ich habe bei einem Kunden folgendes Szenario im Einsatz:
Standort 1:
Cisco 806 - angebunden mit öffentlicher IP über SDSL
internes LAN-Netz: 192.168.0.0/24
PPTP-VPN-Netz: 10.10.10.0/24
IPSec-Tunnel-Netz -> Standort 2: 10.10.14.0/24
IPSec-Tunnel-Netz -> Büro: 10.10.15.0/24
Tunnel IP -> zu Standort 2: 10.10.14.2 (MTU: 1420)
Tunnel IP -> ins Büro: 10.10.15.1 (MTU: 1420)
RIP: v2
Dieser Router nimmt PPTP-Verbindungen von Heimarbeitern entgegen, routet den Internetaccess und baut einen IPSec-VPN-Tunnel zum Standort 2 und in unser Büro.
Standort 2:
Cisco 1812 - angebunden mit öffentlicher IP über SDSL
internes LAN-Netz: 192.168.1.0/24
PPTP-VPN-Netz: 10.10.2.0/24
IPSec-Tunnel-Netz -> Standort 1: 10.10.14.0/24
IPSec-Tunnel-Netz -> Büro: 10.10.15.0/
Tunnel-IP -> zu Standort 1: 10.10.14.1
Tunnel IP -> Büro: 10.10.15.1
RIP: v2
Dieser Router nimmt PPTP-Verbindungen von Heimarbeitern entgegen, routet den Internetaccess und baut einen IPSec-VPN-Tunnel zum Standort 2 und in unser Büro.
Die Tunnel werden alle korrekt aufgebaut, ICMP geht sonst keine Logging Einträge unter crypto ipsec, crypto isakmp - man kann jedes Ziel per Ping erreichen.
Nun zu dem Problem:
Wenn ich z.B. eine Remotedesktopverbindung vom Büro (durch den IPSec-Tunnel) auf einen Standort-Server aufbauen will, funktioniert das wunderbar (auch NetBIOS, HTTP, FTP usw...)
Mache ich das gleiche von einem Standort LAN ins andere Standort LAN (z.B. 192.168.1.0 -> 192.168.0.0) baut die Verbindung kurz auf und bricht dann ab.
Fehlerbeispiel 1:
Ich möchte vom Server 1 (192.168.0.200) per NETBios auf den Server 2 (192.168.1.200) zugreifen. Also Eingabe: \\192.168.1.200... dann zeigt er mir die Freigaben an. Will ich jetzt eine Freigabe öffnen, funktioniert das nicht. Nach ein paar Sekunden kommt die Fehlermeldung "Der angegebene Netzwerkpfad ist nicht mehr verfügbar"
Das selbe passiert auch umgekehrt, also von 192.168.1.0 -> 192.168.0.0.
Komme ich jedoch aus irgendeinem Tunnel (egal ob PPTP oder IPSEC) kann ich alles machen und wunderbar zugreifen.
Fehlerbeispiel 2:
Ich möchte vom Server 1 zum Server 2 eine Remotedesktopverbindung aufbauen... Also Eingabe im MSTSC: 192.168.1.200... Dann baut der RDP auf (dieser graue Bildschirm kommt) aber er bleibt dann mit ner Sanduhr hängen und ich bekomme kein Login-Fenster... auch da kommt nach einer gewissen Zeit ein Timeout
Auch hier: komme ich aus irgendeinem Tunnel funktioniert alles problemlos...
Current configuration : 6393 bytes
!
! Last configuration change at 17:36:14 MESZ Mon Mar 27 2006 by S36t
! NVRAM config last updated at 01:10:25 MESZ Fri Mar 24 2006 by S36t
!
version 12.3
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname Nadja
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 10 log
security passwords min-length 6
enable secret 5 $1$pISk$N1CRbvUhcORu1QyzoATPX.
!
username S**** password 7 *****
username V**** password 7 *****
username c**** privilege 15 password 7 *****
username c*** privilege 15 password 7 *****
clock timezone MESZ 1
clock summer-time MESZ recurring last Sun Mar 2:00 last Sun Oct 3:00
aaa new-model
!
!
aaa authentication login rtr-remote local
aaa authentication ppp VPN group radius
aaa authorization network rtr-remote local
aaa session-id common
ip subnet-zero
no ip source-route
no ip gratuitous-arps
no ip domain lookup
ip domain name dialyse.local
!
no ip bootp server
ip cef
ip inspect max-incomplete high 1100
ip inspect max-incomplete low 900
ip inspect one-minute high 1100
ip inspect one-minute low 900
ip inspect udp idle-time 1800
ip inspect dns-timeout 7
ip inspect tcp idle-time 14400
ip inspect name myfw tcp alert on timeout 3600
ip inspect name myfw udp timeout 3600
ip inspect name myfw http timeout 3600
ip inspect name myfw smtp timeout 3600
ip inspect name myfw ftp timeout 3600
ip inspect name myfw rcmd timeout 3600
ip inspect name myfw tftp timeout 3600
ip inspect name myfw cuseeme timeout 3600
ip ssh time-out 60
ip ssh authentication-retries 2
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
!
!
!
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key **** address *****
!
!
crypto ipsec transform-set ESP-3DES-SHA2 esp-3des esp-sha-hmac
!
crypto map SDM_CMAP_2 1 ipsec-isakmp
set peer ****
match address SDM_2
!
crypto map SDM_CMAP_3 1 ipsec-isakmp
set peer ****
set transform-set ESP-3DES-SHA2
match address SDM_1
!
!
!
interface Tunnel0
ip address 10.10.14.2 255.255.255.0
ip mtu 1420
ip rip send version 2
ip rip receive version 2
keepalive 10 3
tunnel source Ethernet1
tunnel destination ****
tunnel path-mtu-discovery
crypto ipsec df-bit clear
!
interface Ethernet0
ip address 192.168.0.254 255.255.255.0
no ip unreachables
no ip proxy-arp
ip nat inside
ip inspect myfw in
no cdp enable
!
interface Ethernet1
ip address ****
ip verify unicast source reachable-via rx allow-default 100
no ip unreachables
no ip proxy-arp
ip nat outside
ip inspect myfw in
no cdp enable
crypto map SDM_CMAP_3
!
interface Virtual-Template1
ip unnumbered Ethernet0
ip nat inside
ip mroute-cache
peer default ip address pool VPN
ppp encrypt mppe auto
ppp authentication ms-chap-v2 VPN
ppp ipcp dns 192.168.0.200
!
router rip
version 2
network 10.0.0.0
network 192.168.0.0
network 192.168.1.0
neighbor 10.10.14.1
!
ip local pool VPN 10.10.10.1 10.10.10.30
ip nat inside source route-map SDM_RMAP_1 interface Ethernet1 overload
ip classless
ip route 0.0.0.0 0.0.0.0 ****
no ip http server
no ip http secure-server
!
!
ip access-list extended SDM_1
remark SDM_ACL Category=4
remark IPSec Rule
permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
ip access-list extended SDM_2
permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
permit gre host *** host ***
ip access-list extended www
permit tcp any any eq 443
permit tcp any any eq smtp
permit tcp any any eq pop3
permit tcp any any eq www
permit udp any any eq domain
permit tcp any any eq domain
permit icmp any any
permit tcp any any eq 1723
permit tcp any any eq 2275
permit tcp any any eq 1645
permit tcp any any eq 1646
permit tcp any any eq 3389
permit tcp any any eq 139
permit tcp any any eq 445
permit tcp any any eq 9100
permit tcp any any eq 2638
deny ip any any
logging trap debugging
logging facility local2
access-list 103 permit ip any any
access-list 110 permit ip 10.10.10.0 0.0.0.224 192.168.0.0 0.0.0.255
access-list 110 permit ip 192.168.0.0 0.0.0.255 any
access-list 110 deny gre host *** host ***
access-list 110 deny ip any any
no cdp run
route-map SDM_RMAP_1 permit 1
match ip address 110
!
radius-server host 192.168.0.201 auth-port 1645 acct-port 1646
radius-server key 7 032A58583700161A7A
banner exec ^C
=================================================================
>
> Sie sind jetzt angemeldet am Router/Switch $(hostname)
> ueber die Line vty $(line).
>
> Bei Problemen melden Sie sich bitte bei ****r unter
> ***.
>
=================================================================
^C
banner motd ^CC
Disclaimer
All actions will be monitored for upcoming trials.
Unauthorized acccess will result in prosecution.
Hinweis
Saemtliche Aktionen auf diesem System werden protokolliert und koennen
gerichtlich verwendet werden.
Unerlaubter Zugriff wird strafrechtlich verfolgt.
Avertissement
Toutes les actions sur ce systeme sont inscrites au proces-verbal et peuvent
etre utilisees juridiquement.
L'accces non autorise donne lieu a des poursuites penales.
^C
!
line con 0
exec-timeout 5 0
login authentication local_auth
transport preferred all
transport output telnet
stopbits 1
line vty 0 4
password 7 0738320F001311374117260414
login authentication local_auth
transport preferred all
transport input telnet ssh
transport output all
!
scheduler max-task-time 5000
ntp clock-period 17168762
ntp source Ethernet1
ntp master 10
ntp server 192.43.244.18
ntp server 131.188.3.220 prefer
!
end
Hoert sich stark nach MTU an ... haste auch nen Exchange rumstehn? Wennst den Fehler mit ner Outlookverbindung reproduzieren kannst waer ich mir da fast sicher.
EDIT: Aender bitte die Passwoerter, auch wenn du nicht die IP angegeben hast ...
Current configuration : 7073 bytes
!
! Last configuration change at 11:54:03 MESZ Mon Mar 27 2006 by cosburg
!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname c1800-erf
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 10 log
security passwords min-length 6
logging buffered 4096 debugging
enable secret 5 $1$8uDC$G6TEQQPF2W48YBZmiTHIL0
!
aaa new-model
!
!
aaa authentication login rtr-remote local
aaa authentication login local_auth local
aaa authentication ppp VPN group radius
aaa authorization network rtr-remote local
!
aaa session-id common
!
resource policy
!
clock timezone MESZ 1
clock summer-time MESZ recurring last Sun Mar 2:00 last Sun Oct 3:00
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
no ip source-route
no ip gratuitous-arps
!
!
ip cef
no ip dhcp use vrf connected
!
!
no ip bootp server
no ip domain lookup
ip domain name dialyse.local
ip ssh time-out 60
ip ssh authentication-retries 1
ip inspect max-incomplete high 1100
ip inspect max-incomplete low 900
ip inspect one-minute high 1100
ip inspect one-minute low 900
ip inspect udp idle-time 1800
ip inspect dns-timeout 7
ip inspect tcp idle-time 14400
ip inspect name myfw tcp alert on timeout 3600
ip inspect name myfw udp timeout 3600
ip inspect name myfw http timeout 3600
ip inspect name myfw smtp timeout 3600
ip inspect name myfw ftp timeout 3600
ip inspect name myfw rcmd timeout 3600
ip inspect name myfw tftp timeout 3600
ip inspect name myfw cuseeme timeout 3600
no ip ips deny-action ips-interface
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
!
!
!
!
username c***** privilege 15 password 7 *****
username s***** privilege 15 password 7 *****
!
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key *** address ****
crypto isakmp key R*** address ****
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-3DES-SHA1 esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-3DES-SHA2 esp-3des esp-sha-hmac
!
!
crypto map SDM_CMAP_2 1 ipsec-isakmp
description Tunnel to ***
set peer ***
set transform-set ESP-3DES-SHA2
match address 102
!
!
!
interface Tunnel0
ip address 10.10.14.1 255.255.255.0
ip mtu 1420
ip rip send version 2
ip rip receive version 2
keepalive 10 3
tunnel source FastEthernet0
tunnel destination 212.6.240.2
tunnel path-mtu-discovery
crypto ipsec df-bit clear
!
interface BRI0
no ip address
shutdown
!
interface FastEthernet0
ip address *** (WAN)
no ip unreachables
no ip proxy-arp
ip nat outside
no ip virtual-reassembly
duplex auto
speed auto
no cdp enable
crypto map SDM_CMAP_2
!
interface FastEthernet1
ip address 192.168.1.254 255.255.255.0
no ip unreachables
no ip proxy-arp
ip nat inside
no ip virtual-reassembly
duplex auto
speed auto
no cdp enable
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
!
interface FastEthernet5
!
interface FastEthernet6
!
interface FastEthernet7
!
interface FastEthernet8
!
interface FastEthernet9
!
interface Virtual-Template1
ip unnumbered FastEthernet0
ip nat inside
no ip virtual-reassembly
ip mroute-cache
peer default ip address pool VPN
ppp encrypt mppe auto required
ppp authentication ms-chap-v2 VPN
ppp ipcp dns 192.168.1.200
!
interface Vlan1
no ip address
!
router rip
version 2
network 10.0.0.0
network 192.168.0.0
network 192.168.1.0
neighbor 10.10.14.2
!
ip local pool VPN 10.10.2.1 10.10.2.10
ip classless
ip route 0.0.0.0 0.0.0.0 213.221.121.89
!
!
no ip http server
no ip http secure-server
ip nat inside source route-map SDM_RMAP_1 interface FastEthernet0 overload
ip nat inside source static tcp 192.168.1.180 5800 interface FastEthernet0 5800
!
ip access-list extended IPSec_Tunnel
permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
ip access-list extended www
permit tcp any any eq 443
permit tcp any any eq smtp
permit tcp any any eq pop3
permit tcp any any eq www
permit tcp any any eq domain
permit udp any any eq domain
permit tcp any any eq 1723
permit tcp any any eq 2275
permit tcp any any eq 1645
permit tcp any any eq 1646
permit tcp any any eq 3389
permit tcp any any eq 139
permit tcp any any eq 445
permit tcp any any eq 9100
permit tcp any any eq 2638
permit icmp any any
deny ip any any
!
logging trap debugging
logging facility local2
access-list 100 remark SDM_ACL Category=16
access-list 100 permit gre host *** host ***
access-list 101 remark SDM_ACL Category=4
access-list 101 permit gre host *** host ***
access-list 102 remark SDM_ACL Category=4
access-list 102 remark IPSec Rule
access-list 102 permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 110 remark SDM_ACL Category=18
access-list 110 remark IPSec Rule
access-list 110 deny ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 110 permit ip 10.10.2.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 110 permit ip 192.168.1.0 0.0.0.255 any
access-list 110 deny ip any any
no cdp run
!
route-map SDM_RMAP_1 permit 1
match ip address 110
!
!
!
radius-server host 192.168.1.201 auth-port 1645 acct-port 1646
radius-server key 7 080F4F1D3816324126
!
control-plane
!
banner exec ^C
=================================================================
>
> Sie sind jetzt angemeldet am Router/Switch $(hostname)
> ueber die Line vty $(line).
>
> Bei Problemen melden Sie sich bitte bei *** unter
> ***
>
=================================================================
^C
banner motd ^C
Disclaimer
All actions will be monitored for upcoming trials.
Unauthorized acccess will result in prosecution.
Hinweis
Saemtliche Aktionen auf diesem System werden protokolliert und koennen
gerichtlich verwendet werden.
Unerlaubter Zugriff wird strafrechtlich verfolgt.
Avertissement
Toutes les actions sur ce systeme sont inscrites au proces-verbal et peuvent
etre utilisees juridiquement.
L'accces non autorise donne lieu a des poursuites penales.
^C
!
line con 0
exec-timeout 5 0
login authentication local_auth
line aux 0
line vty 0 4
password 7 1403171818557878
login authentication local_auth
!
scheduler max-task-time 5000
ntp clock-period 17180110
ntp source FastEthernet0
ntp master 10
ntp server 192.43.224.18
ntp server 131.188.3.220 prefer
end
c1800-erf#
Beide Router bauen aus organisatorischen Gründen zur Zeit nur eine Verbindung vom Standort 1 zum Standort 2. Der Tunnel in unser Büro kommt später, stand aber auch schon problemlos.
Folgendes habe ich schon versucht:
die Firewall ist es nicht
bei NAT bin ich mir nicht ganz sicher
Access-Listen sind es nicht (sonst würde er ja nicht kurz aufbauen)
routing funzt (ping geht ja)
ich bin irgendwie am Ende... Wenn ihr Debug´s braucht meldet euch einfach. Bin für jede Hilfe sehr dankbar, mir raucht der Kopf.
Probier doch mal testweise auf den internen Interfaces der Cisco "ip tcp adjust-mss 1300", ansonsten waer ein "deb ip icmp" nicht schlecht. Vielleicht sind die Fragmention needed ICMP's geblockt.
1300 ist schon extrem vorsichtig gewaehlt, also falls du Performanceprobleme bekommst, oder Leute sich beschweren passe das mal nach oben an. Kannste auch im Livebetrieb machen so lang du nicht zu forsch bist.
Probleme bei Site-to-Site VPN
