Microsoft MVPs inside

MCSEboard.de – IT Pro Forum zu Windows Server 2008 R2 / 2008 / 2003 & Windows 7 / Vista / XP
Zurück   MCSEboard.de MCSE Forum > MCSE Forum & Cisco Forum > Cisco Forum — Allgemein
Seite neu laden Cisco 871 Site-2-Site VPN an dyn. IP / DynDNS
  SSL
Registrieren Hilfe Regeln Benutzerliste Suchen Heutige Beiträge Alle Foren als gelesen markieren

Cisco Forum — Allgemein


Cisco Forum: Alles zum Thema CISCO Zertifizierungen CCNA, CCNP, CCSP, CCIE etc. — Q & A zum Thema CISCO Router, Switches und Firewalls

Antwort
Seite 5 von 5 « Erste 34 5
     
Themen-Optionen
Alt 15.12.2006, 09:27   #41
Senior Member
 
Offline
Registriert seit: 11-2006
Beiträge: 361
So, wie versprochen, die entsprechenden Passagen der Konfig:

aaa new-model
!
!
aaa authentication login default local
aaa authentication login remoteaccess local
aaa authorization exec default local
aaa authorization network allusers local
!
aaa session-id common
!
[...]

username userxyz privilege 15 secret 5 *************
!
!
crypto keyring L2Lkeyring
description PSK fuer L2L Peers mit dynamischen IPs
pre-shared-key address 0.0.0.0 0.0.0.0 key ******
crypto keyring mainkeyring
description PSK fuer Peer mit fester IP
pre-shared-key address x.x.x.x key ******
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
!
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
crypto isakmp key ***** address x.x.x.x no-xauth
!
crypto isakmp client configuration group allusers
key ******
dns 10.10.1.3
wins 10.10.1.3
domain tec.wtg
pool clientpool
crypto isakmp profile mainprofile
description Tunnel feste IPs
keyring mainkeyring
match identity address x.x.x.x 255.255.255.255
crypto isakmp profile allusersprofile
description Remote access users profile
match identity group allusers
client authentication list remoteaccess
isakmp authorization list allusers
client configuration address respond
crypto isakmp profile L2Lprofile
description All L2L peers
keyring L2Lkeyring
match identity address 0.0.0.0
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
!
!
crypto dynamic-map dynmap 5
set transform-set ESP-3DES-SHA
set isakmp-profile allusersprofile
crypto dynamic-map dynmap 65535
set transform-set ESP-3DES-SHA
set isakmp-profile L2Lprofile
match address 110
!
!
!
crypto map staticmap 1 ipsec-isakmp
description Tunnel to router2
set peer x.x.x.x
set transform-set ESP-3DES-SHA
set isakmp-profile mainprofile
match address 101
crypto map staticmap 65535 ipsec-isakmp dynamic dynmap
!
[...]
!
interface FastEthernet4
description $ES_WAN$$FW_OUTSIDE$
ip address x.x.x.x 255.255.255.248
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
no ip virtual-reassembly
ip route-cache flow
speed 100
full-duplex
crypto map staticmap
!
interface Vlan1
description Inside
ip address 172.16.1.1 255.255.0.0
ip access-group 100 in
no ip proxy-arp
ip nat inside
no ip virtual-reassembly
ip route-cache flow
ip tcp adjust-mss 1452
!
ip local pool clientpool 192.168.11.240 192.168.11.254
ip route 0.0.0.0 0.0.0.0 x.x.x.x
!
no ip http server
ip nat inside source route-map SDM_RMAP_1 interface FastEthernet4 overload
!
access-list 100 remark auto generated by Cisco SDM Express firewall configuration
access-list 100 remark SDM_ACL Category=1
access-list 100 permit ip any any
access-list 100 permit udp any any
access-list 100 permit tcp any any
access-list 101 remark SDM_ACL Category=4
access-list 101 remark IPSec Rule
access-list 101 permit ip 172.16.0.0 0.0.255.255 10.10.0.0 0.0.255.255
access-list 101 permit ip 172.16.0.0 0.0.255.255 192.168.10.0 0.0.0.255
access-list 101 permit ip 192.168.11.0 0.0.0.255 10.10.0.0 0.0.255.255
access-list 101 permit ip 192.168.15.0 0.0.0.255 10.10.0.0 0.0.255.255
access-list 102 remark IPSec Rule
access-list 102 deny ip 172.16.0.0 0.0.255.255 10.10.0.0 0.0.255.255
access-list 102 deny ip 172.16.0.0 0.0.255.255 192.168.10.0 0.0.0.255
access-list 102 deny ip 172.16.0.0 0.0.255.255 192.168.11.0 0.0.0.255
access-list 102 deny ip 172.16.0.0 0.0.255.255 192.168.15.0 0.0.0.255
access-list 102 permit ip 172.16.0.0 0.0.255.255 any
access-list 110 permit ip 172.16.0.0 0.0.255.255 192.168.15.0 0.0.0.255
no cdp run
!
!
route-map SDM_RMAP_1 permit 1
match ip address 102
!
!
[...]
    Mit Zitat antworten
Alt 15.12.2006, 09:32   #42
Senior Member
 
Offline
Registriert seit: 11-2006
Beiträge: 361
Die Sachen hier können bestimmt noch raus:

crypto isakmp policy 1

evtl. auch:
crypto isakmp key ***** address x.x.x.x no-xauth
(steht ja alles auch im profile bzw. keyring)
Habe in dem Zuge auch gleich den Traffic von den mobilen Clients über den festen Tunnel zur anderen Niederlassung ermöglicht. Die Probleme lagen einerseits in der ACL 101 (zu verschlüsselnder Traffic) andererseits in ACL 102 (Ausnahmen vom NAT).

Jetzt hab ich nur noch so ein minimales Problem, und zwar wie ich dem Router selbst sage, dass er Pakete, die von ihm ausgehen (z.B. ein ping) in den entsprechenden Tunnel schickt. Wenn ich also z.B. auf dem Router "ping 10.10.1.1" eingebe, erhalte ich keine Antwort, sondern nur wenn ich als source vlan 1 angebe. Beim ping mag das ja noch okay sein, aber bei einem copy xyz tftp kann ich das vlan nicht als Source angeben...

Ist doch bestimmt nur ein Einzeiler, der mir da fehlt, oder?
    Mit Zitat antworten
Antwort
Seite 5 von 5 « Erste 34 5


Themen-Optionen


Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
VPN Site-to-Site mit Namen anstelle IP + DYNDNS glady Cisco Forum — Allgemein 7 23.11.2007 21:30
IPSec-Tunnel (Site-To-Site) mit Cisco 876 MaikUnger Cisco Forum — Allgemein 19 08.06.2007 07:58
VPN Site to Site mit dyndns ollisp Cisco Forum — Allgemein 8 27.10.2006 19:35
VPN Site-to-Site <UND> gleichzeitig VPN Client Server mit Cisco Pix Herbert Leitner Cisco Forum — Allgemein 2 10.04.2006 17:16
Site to Site - VPN Tunnel mit 2 Cisco PIX merowinger Cisco Forum — Allgemein 0 25.10.2005 13:15


Alle Zeitangaben in MEZ/CET. Es ist jetzt 04:55 Uhr. Seite generiert in 0,028 Sekunden.
Alle Foren als gelesen markieren |

- Unsere Partner -
Kontakt - MCSEboard.de - Nach oben - Impressum

Copyright © 2000 – 2012 MCSEboard.de

Sprung zum Seitenanfang