Cisco 871 Site-2-Site VPN an dyn. IP / DynDNS

[bnice]

Und noch ein Beitrag zum Cisco 871.
Hab hier schon einige Beiträge zum DynDNS-Problem gelesen, aber passen alle nicht zu meiner Problemstellung.
Ich befinde mich in der (eigentlich) guten Position, dass mein 871 über eine feste IP angebunden ist. Jetzt soll aber der andere Endpunkt mit dyn. IP einen IPSec Tunnel mit dem Cisco aufbauen. Trage ich die temporäre IP als feste Adresse ein, klappt das ganze auch einwandfrei. Dummerweise ist die Adresse aber spätestens nach 24 Stunden weg (meist sogar deutlich früher). Also für die Gegenseite (Netgear DG 834B) einen DynDNS-Account eingerichtet und in Betrieb genommen.
Aber trage ich nun bei dem Cisco für die Crypto Map als peer den Hostname "adresse.homeip.net" ein, und richte den crypto key ebenfalls hierfür ein, baut sich der Tunnel partout nicht auf.
Habe jetzt auch herausgefunden, dass die alte Netgear-Kiste nur den Main Mode unterstützt. Könnte es sein, dass der Cisco bei dyn.DNS gleich im Aggressive Mode startet und ich somit keine gültige Response von dem Netgear bekomme?
Gibt es da irgendeine Lösung oder Workaround zu?
Oder kann mir jemand als Alternative irgendeine Netgear/D-Link Kiste empfehlen, die sowohl dynDNS als auch Main und Aggressive Mode unterstützt?

THX!

[mturba]

Wie sieht denn deine Konfiguration aus? Hast du dir mal das Debugging mit

Code:

debug crypto isakmp
debug crypto ipsec

angeschaut?

[Wordo]

Stell die Adresse beim key auf 0.0.0.0 und erstell eine dynamic map statt einer static.

[bnice]

Hm, das wär noch mal eine Idee, werde ich heute abend mal versuchen.
Habe grad mit anderen Problemen zu kämpfen, und zwar mal wieder mit DNS...
Heute gehen einige Seiten mal wieder nicht, wie z.b. UPS Global Home.
Vom Router lässt sich die Seite anpingen, auf den Clients wieder mal nicht...
Hab die MTU-Size für den Dialer schon vor Wochen auf 1444 runtergeschraubt, und die MSS für das Vlan-Interface auf 1300 gesetzt.
Lief bis heute auch alles soweit.
Wieso jetzt nicht mehr? Spielt die Telekom öfter mal mit der Leitung, oder woher kommen diese Probleme? *grummel*

[Wordo]

Du kannst bei "ping" die Paketgroesse angeben. Spiel doch mal rum ab wann der Ping nicht mehr geht und dann weisste wie weit du die MTU runtersetzen musst (nur zu Testzwecken)

[bnice]

Genau da kämpfe ich mich gerade durch...
Immer fleissig "ping -n 1 -f -l 1300 192.168.x.y" usw...

Das ****e ist ja, dass der ping direkt vom Router erfolgreich ist, z.B. auf UPS Global Home
Vom Client leider gar nicht, nicht einmal wenn ich MTU=576 setze (und den Rechner auch neu boote). Hab mir übrigens den Cisco Complete VPN Config Guide geholt, der behandelt das Thema ja auch angemessen ausführlich. Danke nochmal für den Tipp :-)
Wie sieht die Geschichte mit MTU/MSS auf dem Router eigentlich aus, übernimmt der sofort jede Änderung oder muss ich ggf. das jeweilige IF noch auf shut/no shut setzen?

[Wordo]

Ja siehste .. in dem Buch steht auch das ganze CA Zeugs auf dem Router. Dann wirste dir schon mal mind. 50% aller Fragen hier sparen
Wie sieht denn die Config vom Router aus? Kann mir nicht vorstellen das 576 bytes nicht mal durchhuschen ...

[bnice]

Anbei mal ein Auszug aus der Konfig.
Crypto und ACLs habe ich mal weggelassen, wird sonst zuviel.
Wie gesagt, ping vom Router geht, vom Client trotz Mini-MTU nicht. Aus irgendeinem Grund muss ja das Paket vom Client bei dem Webserver fragmentiert ankommen und wird z.B. wegen irgendweiner DDos-Policy o.ä. dort verworfen... Fragt sich nur, wieso die Pakete vom Client fragmentiert werden...

Code:

!
[...]
!
### ip inspect name ethernet_0 fragment maximum 256 timeout 1 ### schon entfernt!
ip inspect name ethernet_0 tcp router-traffic
ip inspect name ethernet_0 ftp
ip inspect name ethernet_0 udp
ip inspect name ethernet_0 http
ip inspect name ethernet_0 realaudio
ip inspect name ethernet_0 h323
ip inspect name ethernet_0 h323callsigalt
ip inspect name ethernet_0 h323gatestat
ip inspect name ethernet_0 skinny
ip inspect name ethernet_0 sip-tls
ip inspect name ethernet_0 sip
no ip bootp server
ip domain name xxx.xxx
ip name-server 194.25.2.129
ip ssh authentication-retries 2
vpdn enable
!
[...]
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
 no ip address
 ip nat outside
 no ip virtual-reassembly
 duplex auto
 speed auto
 pppoe enable
 pppoe-client dial-pool-number 1
!
interface Vlan1
 description $FW_INSIDE$
 ip address 10.10.10.1 255.255.0.0
 ip access-group 100 in
 no ip proxy-arp
 ip accounting output-packets
 ip accounting access-violations
 ip inspect ethernet_0 in
 ip inspect ethernet_0 out
 ip nat inside
 ip virtual-reassembly
 no ip route-cache cef
 no ip route-cache
 ip tcp adjust-mss 1300
 no ip mroute-cache
!
interface Dialer1
 description T-Online$FW_OUTSIDE$
 mtu 1444
 ip address negotiated
 no ip redirects
 no ip proxy-arp
 ip inspect ethernet_0 in
 ip inspect ethernet_0 out
 ip nat outside
 no ip virtual-reassembly
 encapsulation ppp
 no ip route-cache cef
 no ip route-cache
 no ip mroute-cache
 dialer pool 1
 dialer-group 1
 no cdp enable
 ppp authentication chap pap callin
 ppp chap hostname xxxxxxx@t-online-com.de
 ppp chap password 7 xxxxxxxxxxxx
 crypto map SDM_CMAP_1
!
[...]
ip nat inside source route-map SDM_RMAP_1 interface Dialer1 overload
!
logging trap debugging
[... ACLs ...]
no cdp run
!
!
route-map SDM_RMAP_1 permit 1
 match ip address 102
!
!
control-plane
!
banner incoming ^CCC You have activated line $(line) ($(line-desc)) ^C
[...]
!
scheduler max-task-time 5000
end

[bnice]

"ip inspect" hatte ich zwischenzeitlich auch mal rausgenommen, macht aber keinen Unterschied!

[Wordo]

ip access-group 100 in


Was steht denn in der ACL 100?