DSL Einwahl und VPN

[xor]

Guten Tag,

mein Wissen ist noch im CCNA Level Semester 3, wo leider noch nichts über DSL oder VPN drangekommen ist.

Ich möchte aber gerne eine Projekt starten. Dabei soll sich ein mobiler Nutzer per Cisco VPN Client von seinem Laptop in das Firmennetzwerk einwählen können und gleichzeitig normal im Internet surfen können.

Dazu habe ich folgende Hardware:

Cisco 831 Router (mit 4 x 10/100 BaseT FastEthernet Ports und 1 x 10 BaseT Ethernet Port)
Speedport Modem für die Einwahl in das Internet

Falls Lizenzen gebraucht werden, dann stellt mir das meine Firma zu Ausbildungszwecken zur Verfügung.

Nun habe ich schon vieles gelesen und vieles probiert und hoffe, dass ich nun mit Eurer Hilfe zum Erfolg kommen kann.

Ich schließe ja das Modem an den Ethernet 1 Port des Routers an. Dann muss der Router die Verbindungsdaten haben, um sich über das Modem mit dem Internet verbinden zu können (Provider: Telekom). Dazu habe ich mir folgendes gedacht:

interface Dialer0 description DSL ip address negotiated ip mtu 1492 ip nat outside ip virtual-reassembly encapsulation ppp dialer pool 1 dialer-group 1 ppp authentication pap callin ppp pap sent-username 0000000000000000000000000001@t-online.de password 0 0000000 interface Ethernet1 description DSL Port zum Modem no ip address ip nat inside ip virtual-reassembly ip tcp adjust-mss 1412 duplex auto speed auto ip route 0.0.0.0 0.0.0.0 Dialer0 ip nat inside source list 102 interface Dialer0 overload access-list 102 permit ip 192.168.0.0 0.0.0.255 any dialer-list 1 protocol ip permit

Da habe ich dann schon ein paar Fragen: Ich brauche ja noch ein Interface, wo ich meine internen Clients anstecken kann (Netz: 192.168.0.0/24). Ich habe ja aber das Ethernet1 schon für das DSL Modem genutzt. Dann habe ich nur noch den 4 Port Switch. Dort kann aber aber keinem Port eine IP Adresse geben (z.B. 192.168.0.1/24), weil es ja Layer 2 Ports sind.

Was kann ich da machen? Dann muss ich ja noch dem Ethernet1 Interface sagen, dass es die DSL Einwahl starten soll und bei einem abbruch oder Neustart dies wieder tut. Wie mache ich das?

Das dürfte ja dann alles bezüglich der DSL Geschichte gewesen sein.

Nun zum VPN:

Ich habe mir da folgendes gedacht:

aaa new-model aaa authentication login userauthen local aaa authorization network groupauthor local aaa session-id common resource policy username user password 0 cisco crypto isakmp policy 3 encr 3des authentication pre-share group 2 crypto isakmp client configuration group vpnclient key cisco12345 dns 194.25.2.129 domain firma.com pool ippool crypto ipsec transform-set myset esp-3des esp-md5-hmac crypto dynamic-map dynmap 10 set transform-set myset reverse-route crypto map clientmap client authentication list userauthen crypto map clientmap isakmp authorization list groupauthor crypto map clientmap client configuration address respond crypto map clientmap 10 ipsec-isakmp dynamic dynmap interface Loopback0 ip address 10.10.10.1 255.255.255.0 ip nat inside ip virtual-reassembly interface ?????? ip address 192.168.0.1 duplex auto ip nat inside interface Ethernet1 description DSL Port zum Modem no ip address ==> wegen der DSL Einwahl: ip nat inside ip nat outside ip virtual-reassembly ip tcp adjust-mss 1412 duplex auto speed auto ip policy route-map VPN-Client crypto map clientmap ip local pool ippool 192.168.0.100 192.168.0.110 ip nat inside source list 101 interface Ethernet1 overload access-list 101 permit ip any any access-list 144 permit ip host 192.168.0.0 0.0.0.255 any route-map VPN-Client permit 10 match ip address 144 set interface Loopback0

Naja und dann der VPN Client auf dem mobilen PC, dazu habe ich keine Fragen. Ich hoffe dass mir jemand helfen will, da es ja doch sicher noch einiges zu bereden gibt.

Vielen Dank.

Mfg

[Otaku19]

die Switchports teilst du einem VLAN zu, per default ist das VLAN 1, die L3 Konfiguration machst du dann eben im "int vlan 1", fertig

[Wordo]

Beim 831 sollte eigentlich ein ETH0 da sein?

[Otaku19]

ajaaaa. die der alte Router hat ja kein VLAN interface, sondern er fasst die 4 Switchports als eth0 zusammenm, unabhängig davon das es Fastethernetports sind

[Servidge]

Im Prinzip sollte der Cisco831 je nach IOS Version folgende Interface haben.
Ethernet0, LAN-LAN Interface
Ethernet1, WAN
Ethernet2 - DMZ Interface - existiert je nach IOS Verson und wenn es no shut ist, ist das fa4 als DMZ Interface herausgeführt.
FastEthernet[1-4] über Ethernet0 verbunden

So ganz verstehe ich deinen Konfigurationsansatz nicht. Versuchst du einen Router on a Stick zu konfigurieren?

[xor]

Hallo,

so ich habe mich nochmal hingesetzt. Habe jetzt das DSL zum Laufen gebracht und somit auch mein Verständnisproblem mit den Interfaces gelöst. Nun werde ich mich nochmal mit der VPN Sache beschäftigen.

@ Servidge

Mein Ziel ist es, dass sich ein mobiler Benutzer über das Internet (z.B. über UMTS Stick im Laptop) per Cisco VPN Client auf den Router einwählen kann und dann Zugriff zum internen LAN hat. Das Surfen im Internet soll aber für diesen mobilen Benutzer weiter möglich sein.

Hier mal die DSL Konfiguration... Könnte man da noch etwas verbessern, also vllt. etwas, was zu viel ist, wieder entfernen?

Vielen Dank für Eure Hilfe.

Mfg

Code:

VPN-DSL-Router#sh running-config
Building configuration...

Current configuration : 2059 bytes
!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname VPN-DSL-Router
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$12Mc$F573Ji12Tb0w.b1270o12/
!
no aaa new-model
ip subnet-zero
!
!
ip dhcp excluded-address 192.168.2.1 192.168.2.10
!
ip dhcp pool LAN
   network 192.168.2.0 255.255.255.0
   default-router 192.168.2.1
   dns-server 194.25.2.129
!
!
ip ips po max-events 100
vpdn enable
!
vpdn-group 1
 request-dialin
  protocol pppoe
!
no ftp-server write-enable
!
!
username CRWS_Santhosh privilege 15 password 7 074B700812581F2453125A03370F3B25796B6274125E41125402
!
!
no crypto isakmp ccm
!
!
!
interface Ethernet0
 description LAN-Schnittstelle
 ip address 192.168.2.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
!
interface Ethernet1
 description WAN-Schnittstelle
 no ip address
 ip virtual-reassembly
 duplex auto
 pppoe enable
 pppoe-client dial-pool-number 1
 no keepalive
!
interface FastEthernet1
 duplex auto
 speed auto
!
interface FastEthernet2
 duplex auto
 speed auto
!
interface FastEthernet3
 duplex auto
 speed auto
!
interface FastEthernet4
 duplex auto
 speed auto
!
interface Dialer0
 description Internet
 ip address negotiated
 ip mtu 1492
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 ip tcp adjust-mss 1452
 dialer pool 1
 dialer-group 1
 ppp authentication pap callin
 ppp pap sent-username 1212121212121212121212121212@t-online.de password 7 121212121212121212
 ppp ipcp dns request accept
 ppp ipcp route default
 ppp ipcp address accept
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
!
ip http server
no ip http secure-server
!
ip nat inside source list 1 interface Dialer0 overload
!
access-list 1 permit 192.168.2.0 0.0.0.255
dialer-list 1 protocol ip permit
!
!
control-plane
!
!
line con 0
 password 7 0508012C2243
 login
 no modem enable
line aux 0
 password 7 0508012C2243
 login
line vty 0 4
 exec-timeout 120 0
 password 7 0508012C2243
 login local
 length 0
!
scheduler max-task-time 5000
end

VPN-DSL-Router#

[xor]

Hallo,

ich habe DSL und VPN erfolgreich konfiguriert. Die Einwahl des mobilen Mitarbeiters mit Cisco VPN Client per DynDNS auf den 831 Router funktioniert. Wenn ich auf dem mobilen Laptop auf Wie ist meine IP-Adresse? gehe, erscheint auch die IP vom 831 Router, so wie es sein soll.

Ich kann nur leider nicht von dem mobilen Laptop auf den internen Webserver (192.168.2.2) zugreifen. Ein Ping funktioniert leider auch nicht.

Ich habe hier mal die Übersicht über das Netz:




Ich habe hier mal meine aktuelle Konfiguration:

Code:

!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname VPN-DSL-Router
!
boot-start-marker
boot-end-marker
!
enable secret 5 XXXXXXXXXXXXXXXXXXXXXXXXX
!
aaa new-model
!
!
aaa authentication login userauthen local
aaa authorization network groupauthor local 
!
aaa session-id common
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.2.1 192.168.2.10
!
ip dhcp pool LAN
   network 192.168.2.0 255.255.255.0
   default-router 192.168.2.1 
   dns-server 194.25.2.129 
!
!
ip cef
ip ddns update method DynDNS
 HTTP
  add http://xxx:xxx@members.dyndns.org/nic/update?system=dyndns&hostname=<h>&myip=<a>
 interval maximum 0 1 0 0
!
vpdn enable
!
!
!
!
username CRWS_Santhosh privilege 15 password 7 XXXXXXXXXXXXXXXXXXXXXXXXXX
username user password 7 XXXXXXXXXXXXXXXXXXXXXXXX
!
! 
!
crypto isakmp policy 3
 encr 3des
 authentication pre-share
 group 2
!
crypto isakmp client configuration group vpnclient
 key XXXXXXXXXXXXXXXXXXXX
 dns 194.25.2.129
 pool ippool
!
!
crypto ipsec transform-set myset esp-3des esp-md5-hmac 
!
crypto dynamic-map dynmap 10
 set transform-set myset 
 reverse-route
!
!
crypto map clientmap client authentication list userauthen
crypto map clientmap isakmp authorization list groupauthor
crypto map clientmap client configuration address respond
crypto map clientmap 10 ipsec-isakmp dynamic dynmap 
!
!
!
interface Loopback0
 ip address 10.11.0.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
!
interface Ethernet0
 description LAN-Schnittstelle
 ip address 192.168.2.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
!
interface Ethernet1
 description WAN-Schnittstelle
 no ip address
 ip virtual-reassembly
 duplex auto
 pppoe enable group global
 pppoe-client dial-pool-number 1
 no keepalive
!
interface Ethernet2
 no ip address
 shutdown
!
interface FastEthernet1
 duplex auto
 speed auto
!
interface FastEthernet2
 duplex auto
 speed auto
!
interface FastEthernet3
 duplex auto
 speed auto
!
interface FastEthernet4
 duplex auto
 speed auto
!
interface Dialer0
 description Internet
 ip ddns update hostname XXXXXXXXXXXXXXXX
 ip ddns update DynDNS
 ip address negotiated
 ip mtu 1492
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 ip tcp adjust-mss 1452
 ip policy route-map VPN-Client
 dialer pool 1
 dialer-group 1
 ppp authentication pap callin
 ppp pap sent-username XXXXXXXXXXXXXXXXXXXXXXX@t-online.de password 7 XXXXXXXXXXXXXXXXXXX
 ppp ipcp dns request accept
 ppp ipcp route default
 ppp ipcp address accept
 crypto map clientmap
!
ip local pool ippool 192.168.2.150 192.168.2.170
ip route 0.0.0.0 0.0.0.0 Dialer0
ip http server
no ip http secure-server
!
ip nat inside source list 101 interface Dialer0 overload
!
access-list 101 permit ip any any
access-list 144 permit ip 192.168.2.0 0.0.0.255 any
dialer-list 1 protocol ip permit
route-map VPN-Client permit 10
 match ip address 144
 set interface Loopback0
!
!
control-plane
!
!
line con 0
 password 7 05080F1C2243
 no modem enable
line aux 0
 password 7 05080F1C2243
line vty 0 4
 exec-timeout 120 0
 password 7 05080F1C2243
 length 0
!
scheduler max-task-time 5000
end

Vielen Dank für Eure Hilfe.

Mfg

[Wordo]

Dein lokales LAN vom VPN User ist nicht zufaellig 192.168.2.X?

[xor]

Hallo,

ich hatte den ippool für die VPN Clients mit dem gleichen Netz ausgestattet, wie die internen LAN PCs. Das ist natürlich falsch. Das habe ich geändert und dann die ACL 144 dementsprechend angepasst.

Was nur sehr komisch ist:

Manchmal kann ich von dem mobilen Laptop, der sich per VPN eingewählt hat, meinen Webserver (192.168.2.2) pingen. Wenn das geht, dann kann ich aber die Gateway nicht mehr pingen (192.168.2.1). Da bekomme ich die Zeitüberschreitung. Dann ein paar Minuten später, kann ich von dem mobilen Laptop nicht mehr den Webserver anpingen (Zeitüberschreitung), aber dafür dann die Gateway (192.168.2.1).

Wenn ich den Webserver pingen kann, kann ich aber dennnoch nicht per HTTP darauf zugreifen.

Da ist irgendwo der Wurm drin. Ich hatte auch mal den dynpool geändert, ohnd die ACL 144 angepasst zu haben. Und siehe da, ich konnte immernoch ab und zu den Webserver bzw, die Gateway pingen. Obwohl das ja gar nicht funktionieren dürfte.

Also habe ich heute mal einen CISCO 1721 genommen und dort gleich mal das SDM 2.5 installiert. Dann wollte ich dort per Wizard ein Easy VPN Server installieren, aber wenn ich auf den Button von dem Wizard klicke, dann öffnet sich nichts.

Bin gerade mit meinem wenigen Cisco Latein am Ende...

http://www.cisco.com/en/US/products/...06b.shtml#diag

Das hier war mein Leitfaden, den ich halt auf die DSL Einwahl anpassen musste.

Mfg