Cisco 831 - ipsec passthrough wie??

[mludwig]

Hallo Leute,

ich habe folgendes Problem: Hinter meinem Cisco 831 sitzt ein Astaro Security Gateway (v.6.300).
Auf dieser möchte ich ein ipsec-VPN freigeben. Alles soweit eingerichtet, doch ich komme nicht durch den Cisco durch.
Was muss ich dafür einstellen, dass der Cisco die entsprechenden Pakete sowie Protokolle durchlässt? Zugelassen habe ich zur Zeit nur ICMP und TCP, auf der Dialer-List komplett "ip permit".

Freue mich über jeden Tip und Hilfestellung! ;-)

Michael

[mludwig]

... was ich vergessen habe zu schreiben, ist dass sowohl der Cisco-Router als auch das Astaro Security Gateway über öffentliche IPs verfügen.
Ich muss also an keiner Stellen NATten, ich möchte einfach nur, dass der Cisco alle ipsec-betreffenden Pakete durchlässt...
Was müsste ich dem Cisco dafür mit auf den Weg geben?

Michael

[Wordo]

Du solltest deine access-lists mal posten
Fuer IPSec brauchst du Port 500/UDP und Protokoll 50.

[mludwig]

Hallo,

Zitat von Wordo Du solltest deine access-lists mal posten Fuer IPSec brauchst du Port 500/UDP und Protokoll 50.

folgende ACL habe ich:

============================================
access-list 100 permit icmp any host 82.139.196.198
access-list 100 permit icmp any host 82.139.201.73
access-list 100 permit icmp any host 82.139.201.74
access-list 100 permit icmp any host 212.60.137.241
access-list 100 permit icmp any host 212.60.137.242
access-list 100 permit icmp any host 212.60.137.243
access-list 100 permit icmp any host 212.60.137.244
access-list 100 permit icmp any host 212.60.137.245
access-list 100 permit icmp any host 212.60.137.246
access-list 100 permit icmp any host 212.60.137.247
access-list 100 permit icmp any host 212.60.137.248
access-list 100 permit icmp any host 212.60.137.249
access-list 100 permit icmp any host 212.60.137.250
access-list 100 permit icmp any host 212.60.137.251
access-list 100 permit icmp any host 212.60.137.252
access-list 100 permit icmp any host 212.60.137.253
access-list 100 permit icmp any host 212.60.137.254
access-list 100 permit udp any host 212.60.137.254
access-list 100 permit ahp any host 212.60.137.254
access-list 100 permit esp any host 212.60.137.254
access-list 100 permit gre any host 212.60.137.254
access-list 100 permit tcp any host 82.139.201.74
access-list 100 permit tcp any host 212.60.137.241
access-list 100 permit tcp any host 212.60.137.242
access-list 100 permit tcp any host 212.60.137.243
access-list 100 permit tcp any host 212.60.137.244
access-list 100 permit tcp any host 212.60.137.245
access-list 100 permit tcp any host 212.60.137.246
access-list 100 permit tcp any host 212.60.137.247
access-list 100 permit tcp any host 212.60.137.248
access-list 100 permit tcp any host 212.60.137.249
access-list 100 permit tcp any host 212.60.137.250
access-list 100 permit tcp any host 212.60.137.251
access-list 100 permit tcp any host 212.60.137.252
access-list 100 permit tcp any host 212.60.137.253
access-list 100 permit tcp any host 212.60.137.254
access-list 100 deny ip any any log
access-list 199 deny ip any any log
dialer-list 1 protocol ip permit
============================================

Die Pakete kommen scheinbar nicht durch den Cisco-Router durch, denn bei dem ASG kommt nichts an...

Michael

[Wordo]

Und wer hat welche IP und auf welchem Interface ist die ACL in oder out?

[mludwig]

Hi,

Zitat von Wordo Und wer hat welche IP und auf welchem Interface ist die ACL in oder out?

Oh ja, uups, glatt vergessen... ;-)
Also, Cisco-Router hat 82.139.201.73, dahinter sitzt das Astaro Security Gateway mit der IP 212.60.137.254.

===================================
interface Ethernet1
description ADSL INET Interface
no ip address
ip access-group 100 in
duplex auto
pppoe enable
pppoe-client dial-pool-number 1
===================================


===================================
interface Dialer1
no ip address
ip access-group 100 in
===================================

Braucht Ihr noch mehr? Dann reiche ich das selbstverständlich nach!!! ;-)

Michael

[Wordo]

Du brauchst das nicht doppelt machen mit den ACL's. Bin mir jetzt nicht sicher obs an denen liegt. Wenn du access-group aus beiden rausnimmst, gehts dann?

[mludwig]

Hi Wordo,

Zitat von Wordo Du brauchst das nicht doppelt machen mit den ACL's. Bin mir jetzt nicht sicher obs an denen liegt. Wenn du access-group aus beiden rausnimmst, gehts dann?

Nein, leider nicht. :-( deswegen frage ich auch - ich bin *leicht* ratlos... :-//
Oder muss ich nachdem ich "no ip access-group 100 in" eingegeben habe und mit exit/exit raus bin noch alles mit wr speichern??? Das habe ich nämlich nicht getan...

Michael

[Wordo]

Ne musste nicht, vielleicht ist beim Astaro noch der IPSec-Traffic geblockt ..

[mludwig]

Hi,

Zitat von Wordo Ne musste nicht, vielleicht ist beim Astaro noch der IPSec-Traffic geblockt ..

na das ist ja das Problem! Der traffic kommt ja nicht bei der Astaro an... :-( deswegen denke ich lässt der Cisco irgendwas nicht durch...
Wenn ich die ACL von int e1 und ind d 1 rausnehme, ist es denn dann so, dass der Cisco alle Protokolle komplett durchlässt, die für ipsec notwendig sind?
Ist das dann der Passthrough, den ich prinzipiell benötige?

Michael