Site-to-Site Absicherung: Firewall-Zonen vs. ACL (Einordnung)

Bei Site-to-Site-Verbindungen (meist IPsec) reicht „Tunnel steht“ nicht aus: Du brauchst eine klare Security-Policy für den Verkehr zwischen lokalen und entfernten Netzen. Auf Cisco Routern wird diese Policy entweder klassisch mit ACLs umgesetzt (zustandslos, interface-basiert) oder moderner/strukturierter über Firewall-Zonen (Zone-Based Firewall, zustandsbehaftet). Welche Variante besser passt, hängt von Komplexität, Audit-Anforderungen, Troubleshooting und dem gewünschten Sicherheitsniveau…

Hairpin NAT: Interner Zugriff auf öffentliche Dienste

Hairpin NAT (auch NAT Loopback oder U-Turn NAT) löst ein typisches Praxisproblem: Interne Clients sollen einen Dienst über die öffentliche IP/FQDN erreichen, obwohl Server und Clients im gleichen LAN stehen. Ohne Hairpin NAT „läuft“ der Traffic oft ins Leere, weil die öffentliche Adresse intern nicht sinnvoll geroutet wird oder der Rückweg nicht stimmt. Mit einer…

NAT für IPv6? Übergangsstrategien (NAT64, NPTv6) erklärt

NAT in IPv6 ist ein häufiges Missverständnis: IPv6 wurde so entworfen, dass klassische IPv4-NAT-Probleme (Adressknappheit) nicht mehr existieren. Trotzdem gibt es Übergangs- und Spezialfälle, in denen Übersetzung sinnvoll oder sogar nötig ist – insbesondere NAT64 (IPv6-Clients zu IPv4-Servern) und NPTv6 (Prefix-Translation in IPv6). Dieser Beitrag erklärt, wann diese Techniken helfen, welche Risiken sie haben und…

Internet Failover: Dual-WAN mit Tracking auf Cisco Router

Dual-WAN-Failover auf Cisco Routern sorgt dafür, dass dein Internetzugang auch bei Provider- oder Leitungsproblemen verfügbar bleibt. Entscheidend ist dabei „Tracking“: Nicht nur der Interface-Link kann ausfallen, sondern auch das Upstream-Routing oder DNS/Transit. Mit IP SLA und Object Tracking kannst du die Erreichbarkeit eines externen Ziels überwachen und automatisch zwischen zwei Default Routes umschalten (Floating Static…

PPPoE auf Cisco Router: Anschluss (z. B. DSL) richtig konfigurieren

PPPoE (Point-to-Point Protocol over Ethernet) ist in Deutschland bei DSL- und einigen Glasfaser-/FTTH-Anschlüssen ein gängiges Verfahren, um eine Internetverbindung aufzubauen. Auf Cisco Routern wird PPPoE typischerweise über ein Dialer-Interface umgesetzt: Das physische WAN-Interface arbeitet als PPPoE-Client, die Einwahl (Benutzer/Passwort) und die IP-Adressierung passieren über das Dialer-Interface. Diese Anleitung zeigt ein praxistaugliches Standardsetup inklusive NAT/PAT und…

MTU/MSS Clamping: Wenn Webseiten nicht laden (Praxisfix)

Wenn Webseiten „halb laden“, Downloads hängen oder nur bestimmte HTTPS-Seiten nicht funktionieren, steckt oft ein MTU/PMTUD-Problem dahinter. Besonders häufig tritt das bei PPPoE, VPN (IPsec/GRE), LTE/Carrier-NAT oder restriktiven Firewalls auf, die ICMP „Fragmentation Needed“ blockieren. MTU- und MSS-Clamping ist ein bewährter Praxisfix: Du reduzierst die maximale Paketgröße bzw. die TCP-MSS so, dass Endgeräte automatisch kleinere…

DHCP am Cisco Router: Server einrichten und Optionen setzen

Ein Cisco Router kann in kleinen bis mittleren Netzen problemlos als DHCP-Server arbeiten: Er verteilt automatisch IP-Adressen, Gateway, DNS und weitere DHCP-Optionen an Clients. Das ist ideal für Lab-Setups, Außenstellen oder Heim-/KMU-Netze ohne dedizierten Windows/Linux-DHCP. Dieses Tutorial zeigt die Einrichtung eines DHCP-Pools, sinnvolle Optionen und typische Best Practices zur Fehlervermeidung. DHCP-Grundlagen: Was verteilt der Router?…

ACLs auf Cisco Router: Standard vs. Extended (mit Beispielen)

Access Control Lists (ACLs) auf Cisco Routern sind ein zentrales Werkzeug für Traffic-Kontrolle: Du kannst damit Pakete nach Quelle, Ziel, Protokoll und Port erlauben oder blockieren. Für Einsteiger ist der wichtigste Unterschied: Standard ACLs filtern nur nach Quell-IP, Extended ACLs sind deutlich granularer und können zusätzlich Ziel, Protokolle und Ports berücksichtigen. Mit den richtigen Platzierungsregeln…

ACL Reihenfolge & Logik: So vermeidest du Lockouts

ACL-Lockouts passieren fast immer aus zwei Gründen: falsche Reihenfolge oder falsche Annahmen über die Logik. Cisco ACLs werden strikt von oben nach unten ausgewertet, die erste passende Regel gewinnt – und am Ende steht immer ein implizites deny. Wer diese Logik sauber versteht und Changes kontrolliert durchführt (Sequenzen, Test-Regeln, Logging), kann Lockouts zuverlässig vermeiden –…

SSH auf Cisco Router aktivieren: Sicherer Remote-Zugriff

SSH ist der Standard für sicheren Remote-Zugriff auf Cisco Router, weil Passwörter und Befehle verschlüsselt übertragen werden. Im Gegensatz zu Telnet lässt sich SSH sinnvoll absichern: nur SSHv2, lokale Benutzer, starke Schlüssel und Zugriffsbeschränkung per ACL. Diese Schritt-für-Schritt-Anleitung zeigt ein praxistaugliches Setup, das in Lab und Produktion funktioniert. Voraussetzungen: Management-IP und Basis-Config Damit SSH funktioniert,…