PPTP Passthrough - Nochmal ich weiss...

[pitt72]

Mache dieses Thema auf, weill ich Crisirius Thema nicht stören will, da es ja teilweise unterschiedliche Probleme sind:

Mein Problem:

Wir haben vor kurzem einen Cisco Router in der Firma, den ich konfiguriert habe. Davor, hatten wir einen Netgear Router und die Probleme die wir Jetzt haben hatten wir nicht.

Es geht um folgendes: Wir sind ein IT Firma und müssen oft bei unseren Kunden auf die Server. Das wird mittels VPN und Remotedesktop erledigt.

Bei den Kunden laufen Windows 2003 oder 2000 Server mit RAS und Routing. Gemacht wird PPTP. So... Jetzt aber mit dem Cisco, habe ich das Problem, dass wir auf manche Server nicht mehr drauf kommen und auf manche schon. Alle Server sind gleich aufgesetzt.
Bei Kunde A funktioniert die VPN Einwahl und bei Kunde B nicht. Bau ich aber von meinen Notebook eine VPN Verbindung zum Kunde A auf und dann noch zusätzlich eine zu Kunde B, funktioniert die Einwahl bei Kunde B. Bau ich aber vorher keine Verbindung zu Kunde A auf kann ich auch keine Verbindung zu Kunde B aufbauen. Er Bleibt bei der Username und Passwort Überprüfung hängen und endet nach ein paar Sekunden mit etwa "Gegenstelle antwortet nicht". Als ob das Protokoll GRE auf dem Router nicht aktiv währe, was aber nicht der Fall ist. Kunde A geht ohne Probleme.

Klemme ich aber wieder den Netgear Router dran, der kaum Konfigurationsmöglichkeiten hat aber VPN Pass Through unterstützt, kann ich mich wieder bei Kunde B einwählen ohne mich zuerst bei Kunden A einzuwählen. Ich bin mit meinem Latin am Ende.

Ich brauche Bestätigung das meine Conf in Ordnung ist, falls das der Fall ist.

Hier das wichtige aus meiner Config.

!
interface FastEthernet0
description connected to EthernetLAN
ip address 192.168.32.1 255.255.255.0
ip access-group 100 in
ip nat inside
ip tcp adjust-mss 1452
speed auto
full-duplex
!
interface Dialer1
description connected to Internet
ip address negotiated
ip access-group 101 in
ip mtu 1492
ip nat outside
encapsulation ppp
dialer pool 1
dialer-group 2
ppp authentication chap pap callin
ppp chap hostname [snip]
ppp chap password [snip]
ppp pap sent-username [snip] password [snip]
!
router rip
version 2
passive-interface Dialer1
network 192.168.32.0
no auto-summary
!
ip nat inside source route-map nonat interface Dialer1 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
no ip http server
!
!
!
access-list 100 permit ip any any
access-list 101 permit gre any any
access-list 101 permit esp any any
access-list 101 permit icmp any any echo-reply
access-list 101 permit icmp any any packet-too-big
access-list 101 permit icmp any any echo
access-list 101 permit icmp any any ttl-exceeded
access-list 101 permit udp any eq domain any
access-list 101 permit tcp any eq www any
access-list 101 permit tcp any eq smtp any
access-list 101 permit udp any eq isakmp any
access-list 101 permit udp any any eq isakmp
access-list 101 permit udp any eq non500-isakmp any
access-list 101 permit udp any any eq non500-isakmp
access-list 101 permit udp any eq 3000 any
access-list 101 permit tcp any any eq 1723
access-list 101 permit tcp any eq 1723 any
access-list 101 permit tcp any any eq telnet
access-list 101 permit tcp any eq telnet any
access-list 101 permit tcp any any eq 3389
access-list 101 permit tcp any eq 3389 any
access-list 101 permit tcp any any established
access-list 101 deny ip any any
access-list 133 permit ip 192.168.32.0 0.0.0.255 any
dialer-list 2 protocol ip permit
!
route-map nonat permit 10
match ip address 133
!
snmp-server community public RO
snmp-server enable traps tty
radius-server authorization permit missing Service-Type
!
line con 0
exec-timeout 0 0
password [snip]
line aux 0
line vty 0 4
exec-timeout 0 0
password [snip]
!
no scheduler allocate
ntp clock-period 17179871
ntp server 194.25.134.196
end

Habs auch schon mit access-list 101 permit ip any any versucht. Half nix.

Danke

[rob_67]

Hi Pitt, die config sieht auf den ersten blick nicht sooo schlecht aus, sie funktioniert ja auch, kannst du erstmal die ip erreichbarkeit von b prüfen? (wenn a nicht aufgebaut ist). was genau ist das für ein cisco, mit welcher ios version? nutzen die systeme wirklich cisco's GRE tunneling? schau mal auf matches von deinen access-listen

Grüße

Rob

[tom12]

Hi,

hatte ein ähnliches Prob. .

Mach mal folgendes:

MAch am Router ein "clear ip nat translation *"

Versuch dich dann NUR zu Kunde B zu verbinden..

Grüsse

[pitt72]

Cisco1721#sh ver
Cisco IOS Software, C1700 Software (C1700-K9O3SY7-M), Version 12.3(7)T4, RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2004 by Cisco Systems, Inc.
Compiled Wed 22-Sep-04 12:35 by cmong

ROM: System Bootstrap, Version 12.2(7r)XM2, RELEASE SOFTWARE (fc1)

Cisco1721 uptime is 2 hours, 47 minutes
System returned to ROM by reload at 22:58:12 CEST Sat Jun 18 2005
System restarted at 14:46:48 CEST Sun Jun 19 2005
System image file is "flash:c1700-k9o3sy7-mz.123-7.t4.bin"


This product contains cryptographic features and is subject to United
States and local country laws governing import, export, transfer and
use. Delivery of Cisco cryptographic products does not imply
third-party authority to import, export, distribute or use encryption.
Importers, exporters, distributors and users are responsible for
compliance with U.S. and local country laws. By using this product you
agree to comply with applicable laws and regulations. If you are unable
to comply with U.S. and local laws, return this product immediately.

A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

If you require further assistance please contact us by sending email to
export@cisco.com.

Cisco 1721 (MPC860P) processor (revision 0x300) with 59279K/6257K bytes of memory.
Processor board ID FOC0808010F (2844072093), with hardware revision 0000
MPC860P processor: part number 5, mask 2
1 Ethernet interface
1 FastEthernet interface
1 Serial(sync/async) interface
32K bytes of NVRAM.
32768K bytes of processor board System flash (Read/Write)

Configuration register is 0x2102

Kunde B ist erreichbar. Ping geht und über einen anderen Router oder direkte DSL Einwahl kann man sich problemlos einwählen.

Wie schau ich mir die matches meiner accesslisten den an? Mit sh access-lits ?

Könnte ich was an meiner conf ändern, damit sie nicht mehr soooo schlecht aussieht?

Danke
Pitt

[rob_67]

die config schaut schon in ordnung aus, könnte wirklich ein nat problem sein, hast du den verschlag von tom mal ausprobiert? die matches siehst du bei show access-list (je nach ios version)

[pitt72]

clear ip nat translations * hat auch nichts gebracht.

Ich spiele schon mit dem Gedanken, dass das Problem auf dem Netgear Router ist der beim Kunde B im einsatz ist.

Pitt

[tom12]

Hi,

versuch ein anderes IOS. Eine 12.2 oder so....

Hatte nämlich mit 12.3ern IOS schon Bugs mit NAT, CBAC.

Vorher hätte ich das auch nie gedacht...allerdings haben IOS öfters Bugs als man vermutet!


Grüsse
Thomas

[pitt72]

Cool. Werde ich mal ausprobieren.

Pitt

[rob_67]

...selbst ein GD release ist vor Bugs nicht gefeit...

[pitt72]

ein GD Release ?