Zum Inhalt wechseln


Foto

Cisco 871 Site-2-Site VPN an dyn. IP / DynDNS


  • Bitte melde dich an um zu Antworten
41 Antworten in diesem Thema

#1 Whistleblower

Whistleblower

    Senior Member

  • 368 Beiträge

 

Geschrieben 04. Dezember 2006 - 20:45

Und noch ein Beitrag zum Cisco 871.
Hab hier schon einige Beiträge zum DynDNS-Problem gelesen, aber passen alle nicht zu meiner Problemstellung.
Ich befinde mich in der (eigentlich) guten Position, dass mein 871 über eine feste IP angebunden ist. Jetzt soll aber der andere Endpunkt mit dyn. IP einen IPSec Tunnel mit dem Cisco aufbauen. Trage ich die temporäre IP als feste Adresse ein, klappt das ganze auch einwandfrei. Dummerweise ist die Adresse aber spätestens nach 24 Stunden weg (meist sogar deutlich früher). Also für die Gegenseite (Netgear DG 834B) einen DynDNS-Account eingerichtet und in Betrieb genommen.
Aber trage ich nun bei dem Cisco für die Crypto Map als peer den Hostname "adresse.homeip.net" ein, und richte den crypto key ebenfalls hierfür ein, baut sich der Tunnel partout nicht auf.
Habe jetzt auch herausgefunden, dass die alte Netgear-Kiste nur den Main Mode unterstützt. Könnte es sein, dass der Cisco bei dyn.DNS gleich im Aggressive Mode startet und ich somit keine gültige Response von dem Netgear bekomme?
Gibt es da irgendeine Lösung oder Workaround zu?
Oder kann mir jemand als Alternative irgendeine Netgear/D-Link Kiste empfehlen, die sowohl dynDNS als auch Main und Aggressive Mode unterstützt?

THX!

#2 mturba

mturba

    Member

  • 238 Beiträge

 

Geschrieben 04. Dezember 2006 - 22:07

Wie sieht denn deine Konfiguration aus? Hast du dir mal das Debugging mit
debug crypto isakmp
debug crypto ipsec
angeschaut?

#3 Wordo

Wordo

    Board Veteran

  • 3.213 Beiträge

 

Geschrieben 05. Dezember 2006 - 08:31

Stell die Adresse beim key auf 0.0.0.0 und erstell eine dynamic map statt einer static.

#4 Whistleblower

Whistleblower

    Senior Member

  • 368 Beiträge

 

Geschrieben 05. Dezember 2006 - 09:08

Hm, das wär noch mal eine Idee, werde ich heute abend mal versuchen.
Habe grad mit anderen Problemen zu kämpfen, und zwar mal wieder mit DNS...
Heute gehen einige Seiten mal wieder nicht, wie z.b. UPS Global Home.
Vom Router lässt sich die Seite anpingen, auf den Clients wieder mal nicht...
Hab die MTU-Size für den Dialer schon vor Wochen auf 1444 runtergeschraubt, und die MSS für das Vlan-Interface auf 1300 gesetzt.
Lief bis heute auch alles soweit.
Wieso jetzt nicht mehr? Spielt die Telekom öfter mal mit der Leitung, oder woher kommen diese Probleme? *grummel*

#5 Wordo

Wordo

    Board Veteran

  • 3.213 Beiträge

 

Geschrieben 05. Dezember 2006 - 09:16

Du kannst bei "ping" die Paketgroesse angeben. Spiel doch mal rum ab wann der Ping nicht mehr geht und dann weisste wie weit du die MTU runtersetzen musst (nur zu Testzwecken)

#6 Whistleblower

Whistleblower

    Senior Member

  • 368 Beiträge

 

Geschrieben 05. Dezember 2006 - 14:17

Genau da kämpfe ich mich gerade durch...
Immer fleissig "ping -n 1 -f -l 1300 192.168.x.y" usw...

Das ****e ist ja, dass der ping direkt vom Router erfolgreich ist, z.B. auf UPS Global Home
Vom Client leider gar nicht, nicht einmal wenn ich MTU=576 setze (und den Rechner auch neu boote). Hab mir übrigens den Cisco Complete VPN Config Guide geholt, der behandelt das Thema ja auch angemessen ausführlich. Danke nochmal für den Tipp :-)
Wie sieht die Geschichte mit MTU/MSS auf dem Router eigentlich aus, übernimmt der sofort jede Änderung oder muss ich ggf. das jeweilige IF noch auf shut/no shut setzen?

#7 Wordo

Wordo

    Board Veteran

  • 3.213 Beiträge

 

Geschrieben 05. Dezember 2006 - 14:29

Ja siehste .. in dem Buch steht auch das ganze CA Zeugs auf dem Router. Dann wirste dir schon mal mind. 50% aller Fragen hier sparen :)
Wie sieht denn die Config vom Router aus? Kann mir nicht vorstellen das 576 bytes nicht mal durchhuschen ...

#8 Whistleblower

Whistleblower

    Senior Member

  • 368 Beiträge

 

Geschrieben 05. Dezember 2006 - 15:04

Anbei mal ein Auszug aus der Konfig.
Crypto und ACLs habe ich mal weggelassen, wird sonst zuviel.
Wie gesagt, ping vom Router geht, vom Client trotz Mini-MTU nicht. Aus irgendeinem Grund muss ja das Paket vom Client bei dem Webserver fragmentiert ankommen und wird z.B. wegen irgendweiner DDos-Policy o.ä. dort verworfen... Fragt sich nur, wieso die Pakete vom Client fragmentiert werden...

!
[...]
!
### ip inspect name ethernet_0 fragment maximum 256 timeout 1 ### schon entfernt!
ip inspect name ethernet_0 tcp router-traffic
ip inspect name ethernet_0 ftp
ip inspect name ethernet_0 udp
ip inspect name ethernet_0 http
ip inspect name ethernet_0 realaudio
ip inspect name ethernet_0 h323
ip inspect name ethernet_0 h323callsigalt
ip inspect name ethernet_0 h323gatestat
ip inspect name ethernet_0 skinny
ip inspect name ethernet_0 sip-tls
ip inspect name ethernet_0 sip
no ip bootp server
ip domain name xxx.xxx
ip name-server 194.25.2.129
ip ssh authentication-retries 2
vpdn enable
!
[...]
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
 no ip address
 ip nat outside
 no ip virtual-reassembly
 duplex auto
 speed auto
 pppoe enable
 pppoe-client dial-pool-number 1
!
interface Vlan1
 description $FW_INSIDE$
 ip address 10.10.10.1 255.255.0.0
 ip access-group 100 in
 no ip proxy-arp
 ip accounting output-packets
 ip accounting access-violations
 ip inspect ethernet_0 in
 ip inspect ethernet_0 out
 ip nat inside
 ip virtual-reassembly
 no ip route-cache cef
 no ip route-cache
 ip tcp adjust-mss 1300
 no ip mroute-cache
!
interface Dialer1
 description T-Online$FW_OUTSIDE$
 mtu 1444
 ip address negotiated
 no ip redirects
 no ip proxy-arp
 ip inspect ethernet_0 in
 ip inspect ethernet_0 out
 ip nat outside
 no ip virtual-reassembly
 encapsulation ppp
 no ip route-cache cef
 no ip route-cache
 no ip mroute-cache
 dialer pool 1
 dialer-group 1
 no cdp enable
 ppp authentication chap pap callin
 ppp chap hostname xxxxxxx@t-online-com.de
 ppp chap password 7 xxxxxxxxxxxx
 crypto map SDM_CMAP_1
!
[...]
ip nat inside source route-map SDM_RMAP_1 interface Dialer1 overload
!
logging trap debugging
[... ACLs ...]
no cdp run
!
!
route-map SDM_RMAP_1 permit 1
 match ip address 102
!
!
control-plane
!
banner incoming ^CCC You have activated line $(line) ($(line-desc)) ^C
[...]
!
scheduler max-task-time 5000
end



#9 Whistleblower

Whistleblower

    Senior Member

  • 368 Beiträge

 

Geschrieben 05. Dezember 2006 - 15:10

"ip inspect" hatte ich zwischenzeitlich auch mal rausgenommen, macht aber keinen Unterschied!

#10 Wordo

Wordo

    Board Veteran

  • 3.213 Beiträge

 

Geschrieben 05. Dezember 2006 - 15:30

ip access-group 100 in


Was steht denn in der ACL 100?

#11 Whistleblower

Whistleblower

    Senior Member

  • 368 Beiträge

 

Geschrieben 05. Dezember 2006 - 15:49

access-list 100 remark auto generated by Cisco SDM Express firewall configuration
access-list 100 remark SDM_ACL Category=1
access-list 100 permit ip any any

Kann ja normalerweise auch nicht an einer ACL liegen, wenn es bisher ging, und die Probleme plötzlich auftauchen, ohne daß entsprechende Änderungen gemacht wurden... oder?

#12 Wordo

Wordo

    Board Veteran

  • 3.213 Beiträge

 

Geschrieben 05. Dezember 2006 - 15:54

Poste doch mal die komplette Config bitte ...

#13 Whistleblower

Whistleblower

    Senior Member

  • 368 Beiträge

 

Geschrieben 06. Dezember 2006 - 09:14

Um nochmal zum eigentlichen Thema zurückzukommen:

Der Tunnel mit dem Netgear und dynamischer IP funzt jetzt!!!

Habe eine zusätzliche dyn. Crypto-Map angelegt (eine existierte bereits für VPN-Clients) und den crypto key entsprechend mit Wildcard 0.0.0.0 0.0.0.0 angegeben.
Besten Dank an Dich und die Cisco VPN-Bibel! ;-)
Das war wirklich eine lohnende Anschaffung!

Was das DNS-Problem angeht, bin ich noch nicht weiter, werde gleichmal die gesamte Konfig posten. Die bedarf nach den vielen Tests sicher noch einer Überarbeitung, also auf doppelte oder nicht genutzte Einträge erstmal nicht achten!

#14 Whistleblower

Whistleblower

    Senior Member

  • 368 Beiträge

 

Geschrieben 06. Dezember 2006 - 09:49

Kleine Korrektur:

Muss die Konfig nochmal überarbeiten, seit die zweite dynamische Crypto Map eingetragen ist, funzt die Client-Einwahl nicht mehr... Also hab ich sie erstmal wieder rausgenommen, und werde das wohl mit der ersten abhandeln müssen, wenn keine Möglichkeit für zwei dyn. Crypto-Maps besteht...

#15 Wordo

Wordo

    Board Veteran

  • 3.213 Beiträge

 

Geschrieben 06. Dezember 2006 - 10:04

Wennst nicht weiter kommst, einfach posten :)