cisco 1710 VP Easy Server

[Elias2k]

hallo zusammen,

ich verusche gerade für unsere Arbeitsgruppe einen VPN Server mit dem Cisco 1710 zu konfigurieren.

Ich bin absoluter Neuling in Sachen Cisco, habe mich auf der Webseite umgesehen, aber nichts gefunden, was mir weiterhilft.

Wir versuchen dem Router, der eine feste WAN IP hat, per Cisco VPN Clients zu erreichen.

Leider gibt die SDM Konfiguration keinerlei ZUgriff auf den Easy VPN Server.

Ich habe mich auc noch nicht wirklich getraut an den Configurationsdatein rum zu hacken.

Vielleicht gibt es ein paar Hilfen, die Ihr empfehlen könntet.

MFG ELuas

[n@ppo]

hi,

das kannst du z.b. mit xauth erledigen. eine beispielkonfig findest du meiner hp.

http://rulax.dnsalias.com/public/cis...fig/ipsec.html

oder dort

http://www.cisco.com/en/US/netsol/ns...801890e4.shtml

[Elias2k]

ich habe ssh conn aufgebaut und habe direkt mit linux commands losgelegt, leider ohne erfolg hehe...
da der ios software angeblich falsche befehle verscuht aufzulösen zumindestens stehen die dns server nach und nach da..



editieren im terminal geht das ??

[n@ppo]

ich habe ssh conn aufgebaut und habe direkt mit linux commands losgelegt, leider ohne erfolg hehe... da der ios software angeblich falsche befehle verscuht aufzulösen zumindestens stehen die dns server nach und nach da..

das ios versucht nicht den befehl aufzulösen, sondern den interpretiert den nicht existierenden befehl als host-adresse und macht daraufhin einen name-lookup ob es diesen host gibt.
das ganze funktioniert im übrigen auch nur im exec-mode bzw. im user-mode. im configuration-mode macht er das nicht.
es gibt aber die möglichkeit der hilfe funktion. das ist ein "?" nach einem befehl. da bekommst du angezeigt welche weiteren befehle danach noch möglich sind.
außerdem vervollständigt das ios seit version 10.x die befehle nach drücken der tabulator-taste.

z.b. aus "sh" + "tabulator" wird dann "show"

editieren im terminal geht das ??

ja das geht. du kannst die konfiguration in einem editor bearbeiten und danach via copy-and-paste über eine terminalsession einspielen.

bei einer session via telnet oder ssh ist zu bedenken dass die änderungen in der konfiguration umgehend aktiv sind (zumindest der größte teil davon). somit kann es je nach änderung sein das du dir den ast absägst auf dem du sitzt.

[Elias2k]

erstmal vielen dank für die hilfe


ich habe nun mal eine konfigurations datei erstellt, und habe sie versucht im terminal per copy und paste einzufügen allerdings
ist mir eine sache unklar, wie öffne ich die datei um da rein zu pasten oder muss ich irgendwie ein execvor die zeilen knallen, um das auszuführen,

gibt es ein tool um ein conf datei auf funktionalität zu prüfen, es sei denn der reset der kiste wäre einfach..

mfg elias

[n@ppo]

erstmal vielen dank für die hilfe

biddeschön

ich habe nun mal eine konfigurations datei erstellt, und habe sie versucht im terminal per copy und paste einzufügen allerdings ist mir eine sache unklar, wie öffne ich die datei um da rein zu pasten oder muss ich irgendwie ein execvor die zeilen knallen, um das auszuführen,

du kannst die konfiguration in einem editor öffnen und ändern.
wenn du die konfiguration einspielen möchtest mußt du im configuration-mode sein. welcher mode für was gut ist siehst steht hier. http://www.mcseboard.de/showthread.p...524#post182524

die laufende konfiguration des routers kannst abspeichern indem du einen log-file innerhalb des terminals mitlaufen lässt und sho running-config im enable-mode eingibst oder aber du speicherst die konfiguration auf einen tftp-server. ein passendes tool gibt es hier. http://support.3com.com/software/uti...ows_32_bit.htm
nachdem du die konfiguration auf dem tftp-server abgelegt hast kannst du diese wiederum mit jedem editor öffnen und bearbeiten.

gibt es ein tool um ein conf datei auf funktionalität zu prüfen, es sei denn der reset der kiste wäre einfach..

so ein tool gibt es meines wissens nach nicht zumindest nicht für alle ios-versionen. es macht auch wenig sinn so etwas zu programmieren, weil der entwickler der software permanent damit beschäftigt wäre neue features aus den releasständen einzupflegen. mal ganz abgesehen davon das cisco es nicht wirklich gerne sehen würde.
wenn du wissen möchtest was ein befehl bewirkt empfehle ich dir die release-notes der ios-versionen bzw. das command-summary.

ein reset des routers ist durchaus einfach. solltest du einmal einen befehl eingespielt haben der eine fehlfunktion hevorruft oder nicht das was du dir so darunter erhoft hast kannst du ihn mit einem vorangestellten "no" wieder löschen.
oder du schaltest alternativ den router aus.
wenn die konfiguration nicht in den nvram geschrieben wurde mit "write mem" bzw "copy running-config startup-config" kommt der router mit den alten einstellungen wieder nach einem reload.

[Elias2k]

danke für die hilfe stellungen, es klappt leider noch immer nicht,

ich habe verschiedene konfigs im terminal eingefügt und ausgeführt, nach eingabe von config t.

wenn ich dann unter sdm mir meine vpn policy s anschauen sind alle regeln rot makiert, ich kann zwar einige editieren aber es fkt nicht.

Geschweige denn eine KOnnektierung auf die Kiste ist möglich über VPN

Noch eine Frage muss ich einzelne Ports ins LAN per NAT konfigurieren, so dass Z.B. eine SMB Server erreichbar ist.

[n@ppo]

hi,

das mit der nat kann ich dir so nicht beantworten.
die nat läuft unabhängig vom ipsec.
wenn du mit lokalen dhcp-pools arbeitest für ipsec mußt du diese ip-adressen von der nat auschliesen sonst wird das ganze zwei mal durch den nat prozess gejagt.
am besten mal die konfig posten dann sehen wir weiter.

[Elias2k]

also eine meiner running configs :
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
service sequence-numbers
!
hostname mosespa04
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 3 log
security passwords min-length 6
logging buffered 51200 debugging
logging console critical
enable secret *************************
!
username *********** privilege 15 password 7 ********** username ********* password 0 *********
memory-size iomem 15
clock summer-time Europe/Berlin date Mar 30 2003 2:00 Oct 26 2003 3:00
aaa new-model
!
!
aaa authentication login vtyline enable
aaa authentication login userauthen local
aaa authentication enable default none
aaa authorization network groupauthor local
aaa session-id common
ip subnet-zero
no ip source-route
!
!
ip tcp synwait-time 10
ip domain name ***********
ip name-server 192.168.1.198
ip name-server 192.168.1.199
!
no ip bootp server
ip cef
ip inspect name DEFAULT100 cuseeme
ip inspect name DEFAULT100 ftp
ip inspect name DEFAULT100 h323
ip inspect name DEFAULT100 netshow
ip inspect name DEFAULT100 rcmd
ip inspect name DEFAULT100 realaudio
ip inspect name DEFAULT100 rtsp
ip inspect name DEFAULT100 smtp
ip inspect name DEFAULT100 sqlnet
ip inspect name DEFAULT100 streamworks
ip inspect name DEFAULT100 tftp
ip inspect name DEFAULT100 tcp
ip inspect name DEFAULT100 udp
ip inspect name DEFAULT100 vdolive
ip inspect name DEFAULT100 icmp
ip audit po max-events 100
ip ssh time-out 60
ip ssh authentication-retries 2
no ftp-server write-enable
!
!
!
!
!
crypto isakmp policy 3
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group auskommentiert
key superauskommentiert
pool ippool
!
!
crypto ipsec transform-set myset esp-3des esp-sha-hmac
!
crypto dynamic-map dynmap 10
set transform-set myset
!
!
crypto map clientmap client authentication list userauthen
crypto map clientmap isakmp authorization list groupauthor
crypto map clientmap client configuration address respond
crypto map clientmap 10 ipsec-isakmp dynamic dynmap
!
!
!
interface Ethernet0
description $FW_OUTSIDE$$ETH-WAN$
ip address "feste inet ip"
ip access-group 101 in
ip verify unicast reverse-path
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip inspect DEFAULT100 out
no ip route-cache cef
no ip route-cache
no ip mroute-cache
half-duplex
no cdp enable
crypto map clientmap
!
interface FastEthernet0
description $FW_INSIDE$$ETH-LAN$
ip address 192.168.1.253 255.255.255.0
ip access-group 100 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
no ip route-cache cef
no ip route-cache
no ip mroute-cache
speed auto
no cdp enable
!
ip local pool ippool 192.168.1.80 192.168.1.95
ip nat inside source list 1 interface Ethernet0 overload
ip nat inside source route-map nonat interface Ethernet0 overload
ip classless
no ip http server
ip http authentication local
ip http secure-server
!
!
!
ip access-list extended UNKNOWN
ip access-list extended tunnel-password
logging trap debugging
access-list 1 remark INSIDE_IF=FastEthernet0
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 10.10.10.0 0.0.0.7
access-list 100 remark auto generated by SDM firewall configuration
access-list 100 remark SDM_ACL Category=1
access-list 100 deny ip "feste inet ip" 0.0.0.15 any
access-list 100 deny ip host 255.255.255.255 any
access-list 100 deny ip 127.0.0.0 0.255.255.255 any
access-list 100 permit ip any any
access-list 101 remark auto generated by SDM firewall configuration
access-list 101 remark SDM_ACL Category=1
access-list 101 deny ip 192.168.1.0 0.0.0.255 any
access-list 101 permit icmp any host "feste inet ip" echo-reply
access-list 101 permit icmp any host "feste inet ip" time-exceeded
access-list 101 permit icmp any host "feste inet ip"unreachable
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip 127.0.0.0 0.255.255.255 any
access-list 101 deny ip host 255.255.255.255 any
access-list 101 deny ip host 0.0.0.0 any
access-list 101 deny ip any any
access-list 101 permit ip 192.168.1.0 0.0.0.255 any
no cdp run
!
route-map nonat permit 10
match ip address 101
!
banner login ^CAuthorized access only!
Disconnect IMMEDIATELY if you are not an authorized user!^C
!

[Elias2k]

line con 0
transport output telnet
line aux 0
transport output telnet
line vty 0 4
exec-timeout 120 0
privilege level 15
login authentication vtyline
transport input telnet ssh
line vty 5 15
privilege level 15
transport input telnet ssh
!
scheduler allocate 4000 1000
scheduler interval 500
!
end