Microsoft MVPs inside

MCSEboard.de – IT Pro Forum zu Windows Server 2008 R2 / 2008 / 2003 & Windows 7 / Vista / XP
Zurück   MCSEboard.de MCSE Forum > MCSE Forum & Cisco Forum > Cisco Forum — Allgemein
Seite neu laden Cisco 876 VPN Probleme
  SSL
Registrieren Hilfe Regeln Benutzerliste Suchen Heutige Beiträge Alle Foren als gelesen markieren

Cisco Forum — Allgemein


Cisco Forum: Alles zum Thema CISCO Zertifizierungen CCNA, CCNP, CCSP, CCIE etc. — Q & A zum Thema CISCO Router, Switches und Firewalls

Antwort
     
Themen-Optionen
Alt 07.03.2007, 13:09   #1
Newbie
 
Offline
Registriert seit: 02-2007
Beiträge: 45
Frage Cisco 876 VPN Probleme
Hi,

gleich zu meinen Problem(en):

Ich hab vor kurzem ein Site 2 Site VPN Netzwerk zwischen 2 876 Routern erstellt. Funktioniert auch gut, aber

1. Es gibt User die wollen auch von zu Hause aus in das Netzwerk. Richte ich aber auf einem der Router einen Easy VPN Server ein, ist danach sofort die Site 2 Site Verbindung weg. Lösche ich den Server wieder baut sich danach wieder ohne Problem der Site 2 Site Tunnel auf. Kann man beides überhaupt auf einem Router betreiben?

2. Hab ich einen Laptop auf dem schon der neue Terminal Session Client 6 von Microsoft installiert ist. Über diesen kann ich keine Verbindung zu meinem Terminal Server (W2k3 SP1) aufbauen. Netzwerk usw. funktioniert aber ohne Probleme.
Nehm ich einen Laptop wo noch der alte mstsc läuft klappt die Verbindung gleich.
Terminal Session läuft über oben genannte Site 2 Site Verbindung.
(Im normalen Netzwerk klappt die Verbindung zum Server mit dem neuen mstsc)

Danke schon mal im voraus!
    Mit Zitat antworten
Alt 07.03.2007, 13:20   #2
Board Veteran
 
Offline
Registriert seit: 10-2005
Ort: Muenchen
Beiträge: 3.161
Ich glaub du hast den Easy VPN Server falsch konfiguriert. Wie stellen denn die Clients von daheim das VPN her? Mit Cisco Router oder VPN Clients?
    Mit Zitat antworten
Alt 07.03.2007, 14:11   #3
Newbie
 
Offline
Registriert seit: 02-2007
Beiträge: 45
Der Easy VPN Server ist einfach nach standart eingestellt (über Wizard).
Die User von daheim sollen dann über den Cisco VPN Client die Verbdindung herstellen.

Paralell soll aber die Site 2 Site Verbdindung weiterlaufen können.

Wenn ich den Tunnel testen tu, bringt er zum Schluss die Meldung, dass die Gegenseite zwar da ist aber wahrscheinlich die IKE Policies falsch seien.
    Mit Zitat antworten
Alt 07.03.2007, 14:38   #4
Board Veteran
 
Offline
Registriert seit: 10-2005
Ort: Muenchen
Beiträge: 3.161
Poste mal die Konfiguration bitte ..
    Mit Zitat antworten
Alt 07.03.2007, 16:12   #5
Newbie
 
Offline
Registriert seit: 02-2007
Beiträge: 45
Nachfolgend mal die Konfig.
Und zu dem anderen Problem mit der Terminal Session über VPN:
Mit dem alten mstsc funktioniert es doch nicht mehr?!? Ich vermute, dass die Firewall eventuell etwas blockt.
Hat vielleicht jemand Erfahrung damit?

version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname CiscoRH
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 debugging
logging console critical
enable secret 5 *********
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication login sdm_vpn_xauth_ml_1 local
aaa authentication login sdm_vpn_xauth_ml_2 local
aaa authentication login sdm_vpn_xauth_ml_3 local
aaa authorization exec default local
aaa authorization network sdm_vpn_group_ml_1 local
aaa authorization network sdm_vpn_group_ml_2 local
aaa authorization network sdm_vpn_group_ml_3 local
!
aaa session-id common
!
resource policy
!
clock timezone PCTime 1
clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00
ip subnet-zero
no ip source-route
ip cef
!
!
ip inspect name DEFAULT100 cuseeme
ip inspect name DEFAULT100 ftp
ip inspect name DEFAULT100 h323
ip inspect name DEFAULT100 icmp
ip inspect name DEFAULT100 netshow
ip inspect name DEFAULT100 rcmd
ip inspect name DEFAULT100 realaudio
ip inspect name DEFAULT100 rtsp
ip inspect name DEFAULT100 esmtp
ip inspect name DEFAULT100 sqlnet
ip inspect name DEFAULT100 streamworks
ip inspect name DEFAULT100 tftp
ip inspect name DEFAULT100 tcp
ip inspect name DEFAULT100 udp
ip inspect name DEFAULT100 vdolive
ip tcp synwait-time 10
no ip bootp server
ip domain name bvw.local
ip name-server 217.237.151.161
ip name-server 192.168.100.10
ip ssh time-out 60
ip ssh authentication-retries 2
!
!
crypto pki trustpoint TP-self-signed-3893090004
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-3893090004
revocation-check none
rsakeypair TP-self-signed-3893090004
!
!
crypto pki certificate chain TP-self-signed-3893090004
certificate self-signed 01
*********
*********
*********
*********
*********
*********
*********
*********
*********
*********
*********
*********
quit
username admin privilege 15 secret 5 *********
username idremote view SDM_EasyVPN_Remote secret 5 *********
!
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
!
crypto isakmp policy 2
encr 3des
group 2
crypto isakmp key ********* address 0.0.0.0 0.0.0.0
!
crypto isakmp client configuration group BVW
key *********
dns 192.168.100.10
wins 192.168.100.10
domain bvw.local
pool SDM_POOL_1
save-password
netmask 255.255.255.0
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-3DES-SHA1 esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-3DES-SHA2 esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-3DES-SHA3 esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-3DES-SHA4 esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-3DES-SHA5 esp-3des esp-sha-hmac
!
crypto dynamic-map SDM_DYNMAP_1 1
set transform-set ESP-3DES-SHA4
match address 105
crypto dynamic-map SDM_DYNMAP_1 2
set transform-set ESP-3DES-SHA5
reverse-route
!
!
crypto map SDM_CMAP_1 client authentication list sdm_vpn_xauth_ml_3
crypto map SDM_CMAP_1 isakmp authorization list sdm_vpn_group_ml_3
crypto map SDM_CMAP_1 client configuration address respond
crypto map SDM_CMAP_1 65535 ipsec-isakmp dynamic SDM_DYNMAP_1
!
!
    Mit Zitat antworten
Alt 07.03.2007, 16:15   #6
Newbie
 
Offline
Registriert seit: 02-2007
Beiträge: 45
!
interface BRI0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
encapsulation hdlc
ip route-cache flow
shutdown
!
interface ATM0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
description $ES_WAN$$FW_OUTSIDE$
pvc 1/32
pppoe-client dial-pool-number 1
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$
ip address 192.168.100.200 255.255.255.0
ip access-group 100 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip route-cache flow
ip tcp adjust-mss 1412
!
interface Dialer0
description $FW_OUTSIDE$
ip address 217.91.44.105 255.255.255.0
ip access-group 101 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1452
ip inspect DEFAULT100 out
ip nat outside
ip virtual-reassembly
encapsulation ppp
ip route-cache flow
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication chap pap callin
ppp chap hostname *********
ppp chap password 7 *********
ppp pap sent-username ********* password 7 *********
crypto map SDM_CMAP_1
!
ip local pool SDM_POOL_1 192.168.200.215 192.168.200.235
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
ip route 192.168.1.0 255.255.255.0 Dialer0 permanent
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 5 life 86400 requests 10000
ip nat inside source route-map SDM_RMAP_1 interface Dialer0 overload
!
logging trap debugging
access-list 1 remark INSIDE_IF=Vlan1
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 192.168.100.0 0.0.0.255
access-list 100 remark auto generated by Cisco SDM Express firewall configuration
access-list 100 remark SDM_ACL Category=1
access-list 100 permit udp host 192.168.100.10 eq domain any
access-list 100 deny ip 217.91.44.0 0.0.0.255 any
access-list 100 deny ip host 255.255.255.255 any
access-list 100 deny ip 127.0.0.0 0.255.255.255 any
access-list 100 permit ip any any
access-list 101 remark auto generated by Cisco SDM Express firewall configuration
access-list 101 remark SDM_ACL Category=1
access-list 101 remark Auto generated by SDM for NTP (123) 1.de.pool.ntp.org
access-list 101 permit udp host 84.16.227.163 eq ntp host 217.91.44.105 eq ntp
access-list 101 remark Auto generated by SDM for NTP (123) 0.de.pool.ntp.org
access-list 101 permit udp host 85.214.46.68 eq ntp host 217.91.44.105 eq ntp
access-list 101 permit udp host 217.237.151.161 eq domain any
access-list 101 remark TrendMicro Update
access-list 101 permit tcp 192.168.1.0 0.0.0.255 eq 34962 192.168.100.0 0.0.0.255 eq 34962
access-list 101 remark Terminal Session
access-list 101 permit tcp 192.168.1.0 0.0.0.255 eq 3389 192.168.100.0 0.0.0.255 eq 3389
access-list 101 remark IPSec Rule
access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.100.0 0.0.0.255
    Mit Zitat antworten
Alt 07.03.2007, 16:18   #7
Newbie
 
Offline
Registriert seit: 02-2007
Beiträge: 45
access-list 101 permit udp any host 217.91.44.105 eq non500-isakmp
access-list 101 permit udp any host 217.91.44.105 eq isakmp
access-list 101 permit esp any host 217.91.44.105
access-list 101 permit ahp any host 217.91.44.105
access-list 101 permit udp host 217.237.151.161 eq domain host 217.91.44.105
access-list 101 permit udp host 192.168.100.10 eq domain host 217.91.44.105
access-list 101 deny ip 192.168.100.0 0.0.0.255 any
access-list 101 permit icmp any host 217.91.44.105 echo-reply
access-list 101 permit icmp any host 217.91.44.105 time-exceeded
access-list 101 permit icmp any host 217.91.44.105 unreachable
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip 127.0.0.0 0.255.255.255 any
access-list 101 deny ip host 255.255.255.255 any
access-list 101 deny ip host 0.0.0.0 any
access-list 101 deny ip any any
access-list 101 remark IPSec Rule
access-list 102 remark SDM_ACL Category=2
access-list 102 remark IPSec Rule
access-list 102 deny ip 192.168.100.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 102 remark IPSec Rule
access-list 102 remark IPSec Rule
access-list 102 deny ip any host 192.168.200.215
access-list 102 deny ip any host 192.168.200.216
access-list 102 deny ip any host 192.168.200.217
access-list 102 deny ip any host 192.168.200.218
access-list 102 deny ip any host 192.168.200.219
access-list 102 deny ip any host 192.168.200.220
access-list 102 deny ip any host 192.168.200.221
access-list 102 deny ip any host 192.168.200.222
access-list 102 deny ip any host 192.168.200.223
access-list 102 deny ip any host 192.168.200.224
access-list 102 deny ip any host 192.168.200.225
access-list 102 deny ip any host 192.168.200.226
access-list 102 deny ip any host 192.168.200.227
access-list 102 deny ip any host 192.168.200.228
access-list 102 deny ip any host 192.168.200.229
access-list 102 deny ip any host 192.168.200.230
access-list 102 deny ip any host 192.168.200.231
access-list 102 deny ip any host 192.168.200.232
access-list 102 deny ip any host 192.168.200.233
access-list 102 deny ip any host 192.168.200.234
access-list 102 deny ip any host 192.168.200.235
access-list 102 permit ip 192.168.100.0 0.0.0.255 any
access-list 103 remark SDM_ACL Category=4
access-list 103 remark IPSec Rule
access-list 103 permit ip 192.168.100.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 104 remark SDM_ACL Category=4
access-list 104 remark IPSec Rule
access-list 104 permit ip 192.168.100.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 105 remark SDM_ACL Category=4
access-list 105 remark IPSec Rule
access-list 105 permit ip 192.168.100.0 0.0.0.255 192.168.1.0 0.0.0.255
dialer-list 1 protocol ip permit
no cdp run
route-map SDM_RMAP_1 permit 1
match ip address 102
!

Nachfolgend würden noch Konsolen- und ntpeinstellungen kommen.
Dies dürfte aber glaub ich relativ Banane sein?
    Mit Zitat antworten
Alt 07.03.2007, 16:24   #8
Board Veteran
 
Offline
Registriert seit: 10-2005
Ort: Muenchen
Beiträge: 3.161
<quote zu faul>
!
crypto dynamic-map SDM_DYNMAP_1 1
set transform-set ESP-3DES-SHA4
match address 105
crypto dynamic-map SDM_DYNMAP_1 2
set transform-set ESP-3DES-SHA5
reverse-route
!
!
crypto map SDM_CMAP_1 client authentication list sdm_vpn_xauth_ml_3
crypto map SDM_CMAP_1 isakmp authorization list sdm_vpn_group_ml_3
crypto map SDM_CMAP_1 client configuration address respond
crypto map SDM_CMAP_1 65535 ipsec-isakmp dynamic SDM_DYNMAP_1
!
!
</quote zu faul>

Die 105er is keine dynamic ..

crypto map SDM_CMAP_1 10 ipsec-isakmp
set transform-set ...
set pfs group2
match address 105
crypto map SDM_CMAP_1 20 ipsec-isakmp dynamic SDM_DYNMAP_1

So circa sollte das aussehen.
    Mit Zitat antworten
Antwort


Themen-Optionen


Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Probleme mit 2950 Switch an Cisco 892 Router! Probleme mit trunk ShineDaStar Cisco Forum — Allgemein 9 30.01.2010 21:31
Cisco 876 VPN zu ASA- Probleme mit Phase 1 bnice Cisco Forum — Allgemein 5 10.10.2007 15:27
Cisco Neuling, Connect Probleme Cisco 826 Router HusH Cisco Forum — Allgemein 4 06.02.2005 15:11
Probleme mit Cisco VPN Dialer kaboe Cisco Forum — Allgemein 5 12.11.2003 09:13
Probleme mit Cisco VPN Dialer kaboe Windows Forum — LAN & WAN 1 11.11.2003 00:22


Alle Zeitangaben in MEZ/CET. Es ist jetzt 05:00 Uhr. Seite generiert in 0,043 Sekunden.
Alle Foren als gelesen markieren |

- Unsere Partner -
Kontakt - MCSEboard.de - Nach oben - Impressum

Copyright © 2000 – 2012 MCSEboard.de

Sprung zum Seitenanfang