Microsoft MVPs inside

MCSEboard.de MCSE Forum zu Windows XP / 2003 / 2008 Server & Windows Vista / Windows 7
Zurück   MCSEboard.de MCSE Forum > MCSE Forum & Cisco Forum > Cisco Forum — Allgemein
Seite neu laden IPSec-Tunnel (Site-To-Site) mit Cisco 876
  SSL
Registrieren Hilfe Regeln Benutzerliste Suchen Heutige Beiträge Alle Foren als gelesen markieren

Cisco Forum — Allgemein


Cisco Forum: Alles zum Thema CISCO Zertifizierungen CCNA, CCNP, CCSP, CCIE etc. — Q & A zum Thema CISCO Router, Switches und Firewalls

Antwort
Seite 1 von 2 1 2
     
Themen-Optionen
Alt 14.05.2007, 10:53   #1
Newbie
 
Offline
Registriert seit: 05-2007
Beiträge: 28
IPSec-Tunnel (Site-To-Site) mit Cisco 876
Hallo liebe Mitglieder,

Ich versuche seit Tagen einen Site-To-Site Tunnel mit IPSec aufzubauen. Ich habe 2 Netzwerke:

10.10.10.0/28 WLAN-Netz
192.168.254.0/28 LAN-Netz

Diese beiden Netzwerke sollen auf das entfernte Netz (172.17.11.80/28) zugreifen über IPSec-Tunnel. Das Netz 172.17.11.80/28 wird mit einer festen IP-Adresse angesprochen, die andere Seite ist dynamisch.

Der Zugriff aus dem 192.168.254.0/28 Netz in das 172.17.11.80/28 Netz funktioniert ohne Probleme. Aber aus dem WLAN-Netz baut sich kein IPSec-Tunnel auf. :-((


Wer hat eine Idee, woran das liegen könnte?

Viele Grüße,

Maik Unger
    Mit Zitat antworten
Alt 14.05.2007, 11:10   #2
Board Veteran
 
Offline
Registriert seit: 10-2005
Ort: Muenchen
Beiträge: 3.140
Config? Logs?
    Mit Zitat antworten
Alt 14.05.2007, 11:14   #3
Board Veteran
 
Benutzerbild von rob_67
 
Offline
Registriert seit: 05-2005
Ort: Bolivien (temporär)
Beiträge: 955
Hi,


deine crypto list ? bei den iossen die ich z.b. auf 7500 er routern getestet habe, zieht nur der erste eintrag in der list . (bug?)


gruss

rob
    Mit Zitat antworten
Alt 14.05.2007, 11:25   #4
Newbie
 
Offline
Registriert seit: 05-2007
Beiträge: 28
Hier die Config (auszugsweise):

interface Dot11Radio0.1
encapsulation dot1Q 1 native
ip address 10.10.10.1 255.255.255.240
ip access-group sdm_dot11radio0.1_in_100 in
ip access-group sdm_dot11radio0.1_out_100 out
ip nat inside
ip virtual-reassembly
no snmp trap link-status
no cdp enable
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$
ip address 192.168.254.1 255.255.255.240
ip access-group 100 in
ip access-group sdm_vlan1_out out
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1412
!

crypto map SDM_CMAP_1 1 ipsec-isakmp
description Tunnel to0.0.0.0
set peer 0.0.0.0
set security-association lifetime seconds 600
set transform-set Firma-ASU
set pfs group2
match address 105
reverse-route
crypto map SDM_CMAP_1 65535 ipsec-isakmp dynamic SDM_DYNMAP_1

access-list 105 remark SDM_ACL Category=4
access-list 105 remark Home Verl WLAN
access-list 105 permit ip 0.0.0.0 255.255.255.240 0.0.0.0 255.255.255.240
access-list 105 remark Home Verl LAN
    Mit Zitat antworten
Alt 14.05.2007, 11:27   #5
Board Veteran
 
Offline
Registriert seit: 10-2005
Ort: Muenchen
Beiträge: 3.140
Wenn das entfernte Netz eine statische IP hat, wieso konfigurierst du sie dann nicht fest rein?
    Mit Zitat antworten
Alt 14.05.2007, 11:28   #6
Newbie
 
Offline
Registriert seit: 05-2007
Beiträge: 28
Habe ich gemacht, die IP wurde hier nur ausgeblendet ;-) (0.0.0.0)
    Mit Zitat antworten
Alt 14.05.2007, 11:46   #7
Board Veteran
 
Offline
Registriert seit: 10-2005
Ort: Muenchen
Beiträge: 3.140
Aber wenn du die ACLs vernullst kann man auch schlecht einen Fehler erkennen
    Mit Zitat antworten
Alt 14.05.2007, 11:47   #8
Newbie
 
Offline
Registriert seit: 05-2007
Beiträge: 28
10.10.10.0/28 WLAN-Netz
192.168.254.0/28 LAN-Netz

access-list 105 permit ip 192.168.254.0 255.255.255.240 172.17.11.80 255.255.255.240
access-list 105 permit ip 10.10.10.0 255.255.255.240 172.17.11.80 255.255.255.240
    Mit Zitat antworten
Alt 14.05.2007, 12:00   #9
Board Veteran
 
Offline
Registriert seit: 10-2005
Ort: Muenchen
Beiträge: 3.140
access-list immer mit !wildmask! (0.0.0.15)
    Mit Zitat antworten
Alt 14.05.2007, 12:03   #10
Newbie
 
Offline
Registriert seit: 05-2007
Beiträge: 28
so wäre es dann wohl richtig?

access-list 105 permit ip 0.0.0.15 255.255.255.240 0.0.0.15 255.255.255.240
    Mit Zitat antworten
Antwort
Seite 1 von 2 1 2


Themen-Optionen


Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
site 2 site vpn und ipsec remote access xunil2 Cisco Forum — Allgemein 6 11.05.2010 19:46
2K3 - Site to Site VPN mit L2TP/IPSec und Zertifikaten ebracko Windows Forum — LAN & WAN 1 11.06.2008 14:35
Site-to-Site - IPSec tunnel MYOEY Cisco Forum — Allgemein 5 22.05.2008 16:20
Pix 501 SNMP durch Site-to-Site Tunnel Robert Arens Cisco Forum — Allgemein 3 11.08.2006 20:48
Site to Site - VPN Tunnel mit 2 Cisco PIX merowinger Cisco Forum — Allgemein 0 25.10.2005 13:15


Alle Zeitangaben in MEZ/CET. Es ist jetzt 06:05 Uhr. Seite generiert in 0,069 Sekunden.
Alle Foren als gelesen markieren |

- Unsere Partner -
Kontakt - MCSEboard.de - Nach oben - Impressum

Copyright © 2000 – 2012 MCSEboard.de

Sprung zum Seitenanfang