Jump to content

Cisco 871 Site-2-Site VPN an dyn. IP / DynDNS


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Und noch ein Beitrag zum Cisco 871.

Hab hier schon einige Beiträge zum DynDNS-Problem gelesen, aber passen alle nicht zu meiner Problemstellung.

Ich befinde mich in der (eigentlich) guten Position, dass mein 871 über eine feste IP angebunden ist. Jetzt soll aber der andere Endpunkt mit dyn. IP einen IPSec Tunnel mit dem Cisco aufbauen. Trage ich die temporäre IP als feste Adresse ein, klappt das ganze auch einwandfrei. Dummerweise ist die Adresse aber spätestens nach 24 Stunden weg (meist sogar deutlich früher). Also für die Gegenseite (Netgear DG 834B) einen DynDNS-Account eingerichtet und in Betrieb genommen.

Aber trage ich nun bei dem Cisco für die Crypto Map als peer den Hostname "adresse.homeip.net" ein, und richte den crypto key ebenfalls hierfür ein, baut sich der Tunnel partout nicht auf.

Habe jetzt auch herausgefunden, dass die alte Netgear-Kiste nur den Main Mode unterstützt. Könnte es sein, dass der Cisco bei dyn.DNS gleich im Aggressive Mode startet und ich somit keine gültige Response von dem Netgear bekomme?

Gibt es da irgendeine Lösung oder Workaround zu?

Oder kann mir jemand als Alternative irgendeine Netgear/D-Link Kiste empfehlen, die sowohl dynDNS als auch Main und Aggressive Mode unterstützt?

 

THX!

Link zu diesem Kommentar

Hm, das wär noch mal eine Idee, werde ich heute abend mal versuchen.

Habe grad mit anderen Problemen zu kämpfen, und zwar mal wieder mit DNS...

Heute gehen einige Seiten mal wieder nicht, wie z.b. UPS Global Home.

Vom Router lässt sich die Seite anpingen, auf den Clients wieder mal nicht...

Hab die MTU-Size für den Dialer schon vor Wochen auf 1444 runtergeschraubt, und die MSS für das Vlan-Interface auf 1300 gesetzt.

Lief bis heute auch alles soweit.

Wieso jetzt nicht mehr? Spielt die Telekom öfter mal mit der Leitung, oder woher kommen diese Probleme? *grummel*

Link zu diesem Kommentar

Genau da kämpfe ich mich gerade durch...

Immer fleissig "ping -n 1 -f -l 1300 192.168.x.y" usw...

 

Das ****e ist ja, dass der ping direkt vom Router erfolgreich ist, z.B. auf UPS Global Home

Vom Client leider gar nicht, nicht einmal wenn ich MTU=576 setze (und den Rechner auch neu boote). Hab mir übrigens den Cisco Complete VPN Config Guide geholt, der behandelt das Thema ja auch angemessen ausführlich. Danke nochmal für den Tipp :-)

Wie sieht die Geschichte mit MTU/MSS auf dem Router eigentlich aus, übernimmt der sofort jede Änderung oder muss ich ggf. das jeweilige IF noch auf shut/no shut setzen?

Link zu diesem Kommentar

Anbei mal ein Auszug aus der Konfig.

Crypto und ACLs habe ich mal weggelassen, wird sonst zuviel.

Wie gesagt, ping vom Router geht, vom Client trotz Mini-MTU nicht. Aus irgendeinem Grund muss ja das Paket vom Client bei dem Webserver fragmentiert ankommen und wird z.B. wegen irgendweiner DDos-Policy o.ä. dort verworfen... Fragt sich nur, wieso die Pakete vom Client fragmentiert werden...

 

!
[...]
!
### ip inspect name ethernet_0 fragment maximum 256 timeout 1 ### schon entfernt!
ip inspect name ethernet_0 tcp router-traffic
ip inspect name ethernet_0 ftp
ip inspect name ethernet_0 udp
ip inspect name ethernet_0 http
ip inspect name ethernet_0 realaudio
ip inspect name ethernet_0 h323
ip inspect name ethernet_0 h323callsigalt
ip inspect name ethernet_0 h323gatestat
ip inspect name ethernet_0 skinny
ip inspect name ethernet_0 sip-tls
ip inspect name ethernet_0 sip
no ip bootp server
ip domain name xxx.xxx
ip name-server 194.25.2.129
ip ssh authentication-retries 2
vpdn enable
!
[...]
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
no ip address
ip nat outside
no ip virtual-reassembly
duplex auto
speed auto
pppoe enable
pppoe-client dial-pool-number 1
!
interface Vlan1
description $FW_INSIDE$
ip address 10.10.10.1 255.255.0.0
ip access-group 100 in
no ip proxy-arp
ip accounting output-packets
ip accounting access-violations
ip inspect ethernet_0 in
ip inspect ethernet_0 out
ip nat inside
ip virtual-reassembly
no ip route-cache cef
no ip route-cache
ip tcp adjust-mss 1300
no ip mroute-cache
!
interface Dialer1
description T-Online$FW_OUTSIDE$
mtu 1444
ip address negotiated
no ip redirects
no ip proxy-arp
ip inspect ethernet_0 in
ip inspect ethernet_0 out
ip nat outside
no ip virtual-reassembly
encapsulation ppp
no ip route-cache cef
no ip route-cache
no ip mroute-cache
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication chap pap callin
ppp chap hostname xxxxxxx@t-online-com.de
ppp chap password 7 xxxxxxxxxxxx
crypto map SDM_CMAP_1
!
[...]
ip nat inside source route-map SDM_RMAP_1 interface Dialer1 overload
!
logging trap debugging
[... ACLs ...]
no cdp run
!
!
route-map SDM_RMAP_1 permit 1
match ip address 102
!
!
control-plane
!
banner incoming ^CCC You have activated line $(line) ($(line-desc)) ^C
[...]
!
scheduler max-task-time 5000
end

Link zu diesem Kommentar

access-list 100 remark auto generated by Cisco SDM Express firewall configuration
access-list 100 remark SDM_ACL Category=1
access-list 100 permit ip any any

 

Kann ja normalerweise auch nicht an einer ACL liegen, wenn es bisher ging, und die Probleme plötzlich auftauchen, ohne daß entsprechende Änderungen gemacht wurden... oder?

Link zu diesem Kommentar

Um nochmal zum eigentlichen Thema zurückzukommen:

 

Der Tunnel mit dem Netgear und dynamischer IP funzt jetzt!!!

 

Habe eine zusätzliche dyn. Crypto-Map angelegt (eine existierte bereits für VPN-Clients) und den crypto key entsprechend mit Wildcard 0.0.0.0 0.0.0.0 angegeben.

Besten Dank an Dich und die Cisco VPN-Bibel! ;-)

Das war wirklich eine lohnende Anschaffung!

 

Was das DNS-Problem angeht, bin ich noch nicht weiter, werde gleichmal die gesamte Konfig posten. Die bedarf nach den vielen Tests sicher noch einer Überarbeitung, also auf doppelte oder nicht genutzte Einträge erstmal nicht achten!

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...