cisco801 darüber vpn ohne NAT

[n@ppo]

hi,

das problem bei einer pptp-session via nat ist das der gre-tunnel vom server aufgebaut wird. der router muß also irgendwie erkennen das, das antwort-gre paket auf die pptp session für den client gedacht ist.
das funktioniert zurzeit nur mit der pix im release 6.1/6.2/6.3 (fixup protocol pptp 1723)

alternativen:
1:
wie schon pretender erwähnt einen gre-tunnel von deinem router
zum server konfigurieren.
das problem ist das der server eine dyndns-adresse hat.
d.h. du mußt mit einem script (des öfteren) überprüfen pb sich die
destination gre-adresse ändert und gegebenenfalls ändern, alldieweil der router einen dyndns-adresse nur einmal auflöst wenn du sie im tunnel-interface einträgst.

2:
du machst einen statischen nat eintrag für gre zu deinem client.
das problem ist das es so etwas (zumindest direkt) nicht gibt.
eventuell gibt es noch die möglichkeit das ganze mit einer route-map zu lösen.
das sieht dann so aus.
diesen befehl habe ich auf einem 1700er getestet mit einem 12.3er ios. bei meinem 2610er mit einem 12.2(T)-Release gibt es ihn so nicht.....testen

#
ip nat inside source static "adresse vom gre-client" interface dialer 1 route-map gre
!
route-map gre 10
match ip address 101
access-list 101 permit gre any any
!
access-list 101 permit
!
access-list 101 permit gre any any
#

der befehl bzw. die tastenkombination für das abrechen eines trace ist. entweder strg+c, strg+z oder strg+shift+6 und dann x.
wie pretender schon erwähnt hat pptp läuft auf tcp port 1723 und gre setzt auf ip protokoll-type 47 auf.

[dongel]

also das geht auch nicht scheitert an:
ip nat inside source static 192.168.7.4 interface dialer1 route-map gre
^
% Invalid input detected at '^' marker. .....er meckert das "interface" an. Unter Ip hab ich gesehen das es den vry command gibt:
vrf Configure an IP VPN Routing/Forwarding instance

was hat es denn damit auf sich?? Hab gerad schon versucht damit was zu machen, komm da aber auch nich weiter

cisco(config)#ip vrf vpn
% Can't create VRF vpn

Grundsätzlich hab ich ja angenommen das die cisco alles auf Layer 2 routet ,bis auf das, was ich in der Access-list verbiete. Lieg ich denn da völlig falsch??
Das kann doch nicht sein das man einen stinknormalenPPTP-Tunnel nicht aufbauen kann : das ist ja jetzt "nur" client to side, wie sieht es denn dann erst mit einem side to side Netz-Design aus oder gar mit IPsec?? Da kann ja die Freeware -Geschichte fli4l mehr. Das kann doch nicht sein!! DAs muss sich doch mit einem angeblich professionellen Gerät bewerkstelligen lassen.

*verzweifel* *zweifel*

Was kann man denn jetzt noch machen? Ich will auch nich so schnell aufgeben, es muss!! eine Lösung geben. Vieeleicht fällt euch ja noch was ein!!!?

Kann man den nich das NAT deaktivieren und trotzdem routen?Wenn NAT da im Wege steht kann man das doch einfach weglassen und es wird alles geroutet??

danke und Gruß

dongel

[Pretender]

Dh. dein Server steht irgendwo ausserhalb deines Netzes und du willst mit einem Client aus deinem Netzwerk auf diesen connecten ?

[dongel]

Genau so ist es- ups, hab ich das nich gesagt??
Gibt es denn ne Möglichkeit das so aufzusetzen?

Danke und Gruß

dongel

[dongel]

tja liebe Kollegen, sieht so aus als ließe sich dieses Szenario nicht mit der 801 verwirklichen---Echt bitter

Es sei denn Euch fällt noch irgendetwas ein!!

Danke und Gruß

dongel

[n@ppo]

hi,

ich mach das zurzeit mit einer ipsec-verbindung die auf dem cisco
terminiert wird an dem auch der server hängt.
das läuft mit easy-vpn,xauth, split tunneling und einem cisco-vpn client.

die geschichte mit einem gre-tunnel ist auch nicht (wirklich) kompliziert.

der router hat einen dyndns tunnel-partner eingetragen.
per perl-script wird alle 10 minuten von einer maschine aus deinem lan abgefragt ob die eingetragene ip-adresse des dyndns-partner noch gleich ist oder sich geändert hat.
bei einer geänderten adresse wird auch die ip des tunnel partners auf die aktuelle ip-adresse geändert.
über diesen tunnel kannst du eine pptp-session zum tunnel partner aufbauen.

den von dir erwähnten weg mit vrf-light kannst du wieder abhaken.
vrf und vrf-light eher etwas für isp´s und wird genutzt um mehrere routinginstanzen parallel auf einem router laufen zu lassen.
dabei weiß die eine instanz nichts von dem routingtable der anderen.
somit bekommst eine trennung von kundennetzen auf einem router hin. dies wird u.a meistens mit mpls und bgp implementiert.

Stichwort: bgp pe to ce routing und vpn-mpls

[dongel]

also ich erklär glaub ich noch mal den Aufbau:

WKS>cisco >firewall die als PPTP-Server arbeitet dhinter hängt ein win2000Server.
WKS+ Cisco sind in einem Netz, dh die WKS connectet über die Cisco auf die FW. Auf dem Server läuft ein dyndns-Client der das IP -update der Firewall macht.
Is also noch ein Problem, wie sag ich der Cisco in regelmäßigen Abständen die IP der FW??

PPTP+ GRE kommen an der Firewall an und das Problem scheint wirklich zu sein, das die cisco den GRE oder PPTP-TCP nicht wieder auf die WKS zurückreicht.
Leider hab ich auch nix gefunden um mir das auf der cisco anzugucken, also was wird permitet /geblockt , welche ports sind auf , alsdas man auf diesem Wege ein wenig schlauer wird.
DU schreibst:

"ich mach das zurzeit mit einer ipsec-verbindung die auf dem cisco
terminiert wird an dem auch der server hängt.
das läuft mit easy-vpn,xauth, split tunneling und einem cisco-vpn client.

die geschichte mit einem gre-tunnel ist auch nicht (wirklich) kompliziert."

Da weiß ich schon wieder nich was easy -VPN, xauth und split-tunneling ist und macht. Und wie mach ich IPsec??, mal abgesehn davon das die Firewall laut Hersteller Probleme mit IPsec und dynamischen IP's hat.

ICh hab hier 3 Cisco - Bücher rumfliegen, alles scheint da auch nich drinzustehen Wo krieg ich denn da die Infos her??Oder sogar Beispiel- configs??

Und wie soll das dann mit dem GRE-Tunnel funktionieren, wenn das nich so schwierig ist??
Tausend Fragen!!

Danke und Gruß


dongel

[n@ppo]

WKS>cisco >firewall die als PPTP-Server arbeitet dhinter hängt ein win2000Server. WKS+ Cisco sind in einem Netz, dh die WKS connectet über die Cisco auf die FW. Auf dem Server läuft ein dyndns-Client der das IP -update der Firewall macht. Is also noch ein Problem, wie sag ich der Cisco in regelmäßigen Abständen die IP der FW??

du legst einen gre-tunnel vom deinem router zur firewall
#
ip address 192.168.10.1 255.255.255.252
keepalive 20 3
tunnel source "dsl-interface"
tunnel destination "ip des partners"
#

du mußt über ein perl-script o.ä sicherstellen das in regelmäßigen abständen überprüft wird ob sich die ip des tunnel-partners geändert hat. wenn ja dann änderst du die ip des tunnel-partners im tunnel-interface.
da bei pptp der gre-tunnel eh vom pptp-server (in deinem fall von der firewall) aufgebaut wird und nicht zwingend durch den nat-table muß sollte es egal sein ob der gret auf dem router oder dem client terminiert wird.

PPTP+ GRE kommen an der Firewall an und das Problem scheint wirklich zu sein, das die cisco den GRE oder PPTP-TCP nicht wieder auf die WKS zurückreicht. Leider hab ich auch nix gefunden um mir das auf der cisco anzugucken, also was wird permitet /geblockt , welche ports sind auf , alsdas man auf diesem Wege ein wenig schlauer wird.

die pptp packete solten via ip nat source static zu deinem client kommen. die gre pakete werden lokal auf deinem router terminiert.

"DU schreibst: ich mach das zurzeit mit einer ipsec-verbindung die auf dem cisco terminiert wird an dem auch der server hängt. das läuft mit easy-vpn,xauth, split tunneling und einem cisco-vpn client.

hi wenn du eh den tunnel von deinem w2k-whatever client aufbaust kannst du den cisco auch ganz aussen vor lassen indem du einen ipsec-tunnel zur firewall aufbaust.
dort wird dann eine gruppe inkl. username und passwort definiert.
du authentifizierst dich dann mit dieser gruppe und dem user nebst passwort (xauth). voraussetzung ist das die firewall xauth kann.

eine beispielconfig für xauth auf einem cisco-router findest du unter www.rulax.de

Da weiß ich schon wieder nich was easy -VPN, xauth und split-tunneling ist und macht. Und wie mach ich IPsec??, mal abgesehn davon das die Firewall laut Hersteller Probleme mit IPsec und dynamischen IP's hat.

um welche art von firewall handelt es sich denn ???

[dongel]

hi nochmal,
habs also nochmal probiert , leider ohne erfolg.
Ich habe allerdings festgestellt, das ich offenbar das tunnel interface nicht brauche, denn wenn ich vom MS client das pptp abschicke kommt es an der Firewall an. Deswegen glaub ich ja ,das wenn ich eine pptp-Verbindung auf einem client aufsetzte der Router das auch entsprechend durchreicht, also ich wollte nicht das die cisco den tunnel aufbaut, sondern der client aus meinem LAN. Wenn ich den TUnnel von der Cisco aufbaue , funktioniert die Verbindung aber auch nich.
Wie kann denn da eine Lösung aussehen. Und es liegt ja definitiv an der cisco das keine pptp- Verbindung aufgebaut wird naja, sie wird kurzzeitig aufgebaut, endet aber mit eine Fehlermeldung des Clients , bei XPpro ist es der Fehler 619
Die Firewall ist eine Securepoint 3.13 , die auch den VPN- Server darstellt.
Habt ihr noch Lösungsansätze??

Danke und Gruß

Stefan

edit:
auf der firewall kommt pptp-TCP und GRE sauber an. Kann also nur sein daß das GRE nicht auf den Client zurückgereicht wird denn für pptp-TCP besteht ja ein static NAT Eintrag. Wie sieht denn sowas fürs GRE aus?

Danke und Gruß

Stefan