Zum Inhalt wechseln


Foto

Cisco 871 Site-2-Site VPN an dyn. IP / DynDNS


  • Bitte melde dich an um zu Antworten
41 Antworten in diesem Thema

#16 Whistleblower

Whistleblower

    Senior Member

  • 368 Beiträge

 

Geschrieben 06. Dezember 2006 - 11:35

So, hab dann mal beide Configs dabei und eine zeichnung zum verständnis.
Nicht schön, aber hoffentlich hilfreich ;-)

Zur Zusammenfassung nochmal die Probleme:

1.
Router2 mit den besagten DNS-Problemen am T-DSL, bzw. das DNS-Problem tritt ja nur auf den Clients auf, allerdings auch nur über die Router. Bei Internet by Call (Analog) laufen die Seiten, die sonst Probleme machen.

2.
Einwahl des Netgear Routers auf Router1 funktioniert zwar, dann gehen aber die VPN-Clients nicht mehr. Sicher irgendein dummer Fehler in der Config, hab ich selbst noch nicht genauer überprüft.

3.
"Routing" von einem VPN-Client in das Netz des jeweils anderen Cisco-Routers (also z.B. die VPN-Clients an router1 können nicht auf LAN hinter router2 zugreifen)

Das sind die drei Baustellen, die mich derzeit noch beschäftigen.
Für Zertis wird wohl ein 2003-Server zuständig werden, der dann auch gleich Radius macht.

Angehängte Dateien



#17 Wordo

Wordo

    Board Veteran

  • 3.213 Beiträge

 

Geschrieben 06. Dezember 2006 - 11:37

Joah ... also die 87X ist dann EoL wenn der Anhang freigeschalten wurde ... :o

#18 Whistleblower

Whistleblower

    Senior Member

  • 368 Beiträge

 

Geschrieben 06. Dezember 2006 - 12:09

Joah ... also die 87X ist dann EoL wenn der Anhang freigeschalten wurde ... :o

Dauert das hier so lange? Per Copy&Paste passt das leider net... :-(

#19 Wordo

Wordo

    Board Veteran

  • 3.213 Beiträge

 

Geschrieben 06. Dezember 2006 - 12:10

Unterschiedlich, warten wir mal ab :)

#20 Whistleblower

Whistleblower

    Senior Member

  • 368 Beiträge

 

Geschrieben 06. Dezember 2006 - 14:38

Update zum Thema DNS

Hab nochmal einiges getestet hier...

ping www.ups.com vom Client funktioniert nicht (Name kann nicht aufgelöst werden)
vom Router gehts.
gebe ich die öffentliche IP auf dem Client beim ping an, gehts auch da.
http auf die Webseite über die IP-Adresse geht ebenso.
Zumindest bei der Adresse liegts also nicht an der MTU, sondern scheint an unserem internen DNS zu hängen.
Werd also nochmal andere DNS-Server am Client eintragen und testen.

#21 Whistleblower

Whistleblower

    Senior Member

  • 368 Beiträge

 

Geschrieben 06. Dezember 2006 - 23:06

Ist ja noch immer nicht freigeschaltet... :-(

Noch mal zum Verständnis dynamischer Crypto-Maps:
Wie kann der Router denn überhaupt unterscheiden, ob das jetzt der Netgear oder ein mobiler Client ist, der einen Verbindungsaufbau versucht?
Warum gehen die Clients nicht mehr, wenn der Tunnel zum Netgear eingerichtet ist...?
Können zwei dyn. Crypto-Maps nebeneinander existieren? Glaub, ich muss mich da nochmal reinlesen...

#22 Wordo

Wordo

    Board Veteran

  • 3.213 Beiträge

 

Geschrieben 07. Dezember 2006 - 08:23

Ist ja noch immer nicht freigeschaltet... :-(

Ach ne ... ?! ;) Ich sag nur EoL :cool:

Noch mal zum Verständnis dynamischer Crypto-Maps:
Wie kann der Router denn überhaupt unterscheiden, ob das jetzt der Netgear oder ein mobiler Client ist, der einen Verbindungsaufbau versucht?

Wenn du einen PSK konfigurierst mit 0.0.0.0, dann wird da nicht unterschieden. Mit dem PSK werden die Devices authorisiert. Wenn alle denselben verwenden wirds schwierig.

Warum gehen die Clients nicht mehr, wenn der Tunnel zum Netgear eingerichtet ist...?

Moment, Netgear=Tunnel, Clients=Transport oder?

Können zwei dyn. Crypto-Maps nebeneinander existieren? Glaub, ich muss mich da nochmal reinlesen...

Aeh ... ja? Du bindest doch eine static an eine dynamic. Oder ist das ne Fangfrage :)
Ich wuerd jetzt auch nochmal ins Buch schauen, aber du hasts ja selber :p

#23 Whistleblower

Whistleblower

    Senior Member

  • 368 Beiträge

 

Geschrieben 07. Dezember 2006 - 08:39

War schon spät gestern, um solche Fragen online zu stellen... ;-)
Ich vergrab mich lieber nochmal in den Tiefen der "Bibel" ...

DNS-Problem scheint jetzt übrigens gelöst, auf dem DNS-Server (den ich bisher nicht betreut habe) war für externe Auflösung ein DNS-Server irgendeines Feld-Wald-und-Wiesen Providers eingetragen. Telekom-DNS rein und die Seiten laufen wieder!
Wenigstens ein Problem weniger :-)

#24 Whistleblower

Whistleblower

    Senior Member

  • 368 Beiträge

 

Geschrieben 08. Dezember 2006 - 12:13

Hey, die Anhänge sind freigeschaltet!!!
Sind zwar mittlerweile überholt, aber egal...
Hab jetzt in der "Bibel" auch ein HowTo für Site-2-Site VPN mit dyn. IP und gleichzeitiger Unterstützung von VPN-Clients gefunden. "Keyring" heisst da für mich das Schlüsselwort (wieder was dazugelernt... ;) ) ...
Habe mich da gestern auch mal drangewagt, hat mich aber noch nicht zum gewünschten Erfolg geführt, war bestimmt schon zu spät... ;) Es ging dann keiner der Tunnel mehr, und der SDM hat mir auch fälschlicherweise 3 konfigurierte Site-2-Site VPNs angezeigt, aber sicher deshalb, weil er mit dem Keyring Feature nicht klarkommt.

Ich werd's heut abend nochmal exakt so durchführen, wie der Guide das sagt, und dann erst (wenns soweit läuft) den allerersten, festen Site-2-Site Tunnel wieder zusätzlich konfigurieren.

Hat hier schonmal jemand mit Keyrings gearbeitet?

#25 Whistleblower

Whistleblower

    Senior Member

  • 368 Beiträge

 

Geschrieben 11. Dezember 2006 - 00:30

Bin mittlerweile etwas weitergekommen,
Tunnel mit dyn. Endpunkt steht, Mobile Clients gehen zumindest in Phase 1... Da haberts irgendwo noch an der Authentifizierung.
Allerdings bekomme ich den Tunnel zum Standort mit der festen IP jetzt nicht mehr zum Laufen... :-( Ich poste später mal wieder ne Konfig....

#26 Whistleblower

Whistleblower

    Senior Member

  • 368 Beiträge

 

Geschrieben 11. Dezember 2006 - 11:58

So, anbei mal die getestete Konfig...

Vielleicht sehr ihr ja nen Fehler warum der Tunnel mit den beiden festen IPs nicht aufgebaut wird...

version 12.4
[...]
hostname router1
!
[...]
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication login remoteaccess local
aaa authorization exec default local
aaa authorization network allusers local
!
aaa session-id common
!
[...]
!
[...]
no ip bootp server
ip name-server xxxx
ip ssh authentication-retries 2
vpdn enable
!
!
!
crypto pki trustpoint TP-self-signed-2481874788
 [...]
!
!
username xxx privilege 15 secret xxxxxxxxxx
[...]
!
!
crypto keyring L2Lkeyring
  description PSK for L2L peers with dynamic addressing
  pre-shared-key address 0.0.0.0 0.0.0.0 key xxxxxxxxx
!
crypto isakmp policy 10
 encr 3des
 authentication pre-share
 group 2
crypto isakmp key xxx address x.x.x.x no-xauth
!
crypto isakmp client configuration group allusers
 key xxxxxx
 dns 10.10.1.3
 domain domain.local
 pool SDM_POOL_1
crypto isakmp profile L2Lprofile
   description All L2L peers
   keyring L2Lkeyring
   match identity address 0.0.0.0
   keepalive 20 retry 3
crypto isakmp profile allusersprofile
   description Remote Access VPN-Clients
   match identity group allusers
   client authentication list remoteaccess
   isakmp authorization list allusers
   client configuration address respond
   keepalive 20 retry 3
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
!
!
crypto dynamic-map dynmap 5
 set transform-set ESP-3DES-SHA
 set isakmp-profile allusersprofile
crypto dynamic-map dynmap 10
 set transform-set ESP-3DES-SHA
 set isakmp-profile L2Lprofile
!
!
!
crypto map staticmap 1 ipsec-isakmp
 description Tunnel nach router1
 set peer x.x.x.x
 set transform-set ESP-3DES-SHA
 match address 103
crypto map staticmap 10 ipsec-isakmp dynamic dynmap
!
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
 description $ES_WAN$$FW_OUTSIDE$
 ip address x.x.x.x 255.255.255.248
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 no ip virtual-reassembly
 ip route-cache flow
 speed 100
 full-duplex
 crypto map staticmap
!
interface Vlan1
 description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$
 ip address 172.16.1.1 255.255.0.0
 ip access-group 100 in
 no ip proxy-arp
 ip nat inside
 no ip virtual-reassembly
 ip route-cache flow
 ip tcp adjust-mss 1452
!
ip local pool SDM_POOL_1 192.168.20.10 192.168.20.20
ip route 0.0.0.0 0.0.0.0 x.x.x.x
!
no ip http server
ip http secure-server
ip nat inside source route-map SDM_RMAP_1 interface FastEthernet4 overload
!
no logging trap
access-list 1 remark INSIDE_IF=Vlan1
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 172.16.0.0 0.0.255.255
access-list 2 remark SDM_ACL Category=2
access-list 2 permit 172.16.0.0 0.0.255.255
access-list 100 remark auto generated by Cisco SDM Express firewall configuration
access-list 100 remark SDM_ACL Category=1
access-list 100 permit ip any any
access-list 100 permit udp any any
access-list 100 permit tcp any any
access-list 102 remark SDM_ACL Category=18
access-list 102 deny   ip any host 192.168.20.10 [...] bis .20
access-list 102 remark IPSec Rule
access-list 102 deny   ip 172.16.0.0 0.0.255.255 192.168.15.0 0.0.0.255
access-list 102 remark IPSec Rule
access-list 102 deny   ip 172.16.0.0 0.0.255.255 10.10.0.0 0.0.255.255
access-list 102 permit ip 172.16.0.0 0.0.255.255 any
access-list 103 remark SDM_ACL Category=4
access-list 103 remark IPSec Rule
access-list 103 permit ip 172.16.0.0 0.0.255.255 10.10.0.0 0.0.255.255
no cdp run
!
!
route-map SDM_RMAP_1 permit 1
 match ip address 102
!
!
control-plane
!
[...]


#27 Wordo

Wordo

    Board Veteran

  • 3.213 Beiträge

 

Geschrieben 13. Dezember 2006 - 09:30

Besteht das Problem noch?

Stell das mal auf 20 statt 10:
crypto map staticmap 10 ipsec-isakmp dynamic dynmap

#28 Whistleblower

Whistleblower

    Senior Member

  • 368 Beiträge

 

Geschrieben 13. Dezember 2006 - 15:37

Hi Wordo!

Dachte schon, Du hättest Dich in den (verdienten!) Winterurlaub verabschiedet! ;-)

Also das Problem besteht noch, habe gestern abend noch einmal getestet, erstmal sämtliche Crypto-Einträge raus, und dann Stück für Stück neu konfiguriert.
Tunnel zum Netgear läuft, mobile Clients funzten dann auch.
Anschließend hatte ich versucht, den Tunnel zwischen den beiden Cisco hinzuzufügen, baut sich aber leider nicht auf, "debug crypto errors" ergab dann "peer x.x.x.x has no SA".

Muss ich evtl. nochmal die ACLs überarbeiten?
Aber eigentlich müsste Phase 1 mit dem anderen Cisco doch ohne Probleme funzen, schließlich haben beide eine feste IP?!

Deinen Vorschlag, den Wert auf 20 zu ändern, werde ich noch testen!

Anbei nochmal der Ausschnitt der getesteten Konfig:

aaa new-model
!
!
aaa authentication login default local
aaa authentication login remoteaccess local
aaa authorization exec default local
aaa authorization network allusers local
!
aaa session-id common
[...]

!
crypto keyring L2Lkeyring
  description PSK for L2L peers with dynamic addressing
  pre-shared-key address 0.0.0.0 0.0.0.0 key xxxxx
!
crypto isakmp policy 10
 encr 3des
 authentication pre-share
 group 2
crypto isakmp key xxxxx address x.x.x.x no-xauth
!
crypto isakmp client configuration group allusers
 key xxxxx
 dns x.x.x.x
 wins x.x.x.x
 domain xxx.yyy
 pool clientpool
crypto isakmp profile allusersprofile
   description Remote access users profile
   match identity group allusers
   client authentication list remoteaccess
   isakmp authorization list allusers
   client configuration address respond
   keepalive 20 retry 3
crypto isakmp profile L2Lprofile
   description All L2L peers
   keyring L2Lkeyring
   match identity address 0.0.0.0
   keepalive 20 retry 3
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
!
!
crypto dynamic-map dynmap 5
 set transform-set ESP-3DES-SHA
 set isakmp-profile allusersprofile
crypto dynamic-map dynmap 10
 set transform-set ESP-3DES-SHA
 set isakmp-profile L2Lprofile
!
!
!
crypto map staticmap 10 ipsec-isakmp
 description Tunnel nach router2
 set peer x.x.x.x
 set transform-set ESP-3DES-SHA
 match address 101
crypto map staticmap 10 ipsec-isakmp dynamic dynmap
!

!
interface FastEthernet4
 description $ES_WAN$$FW_OUTSIDE$
 [...]
 crypto map staticmap
!
interface Vlan1
 description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$
 ip address 172.16.1.1 255.255.0.0
 ip access-group 100 in
 no ip proxy-arp
 ip nat inside
 no ip virtual-reassembly
 ip route-cache flow
 ip tcp adjust-mss 1452
!
ip local pool clientpool 192.168.11.240 192.168.11.254
!
ip nat inside source route-map SDM_RMAP_1 interface FastEthernet4 overload
!
[...]
access-list 100 remark auto generated by Cisco SDM Express firewall configuration
access-list 100 remark SDM_ACL Category=1
access-list 100 permit ip any any
access-list 100 permit udp any any
access-list 100 permit tcp any any
access-list 101 remark SDM_ACL Category=4
access-list 101 remark IPSec Rule
access-list 101 permit ip 172.16.0.0 0.0.255.255 10.10.0.0 0.0.255.255
access-list 102 remark SDM_ACL Category=2
access-list 102 remark IPSec Rule
access-list 102 deny   ip 172.16.0.0 0.0.255.255 10.10.0.0 0.0.255.255
access-list 102 permit ip 172.16.0.0 0.0.255.255 any
!
!
route-map SDM_RMAP_1 permit 1
 match ip address 102
!
!


#29 Whistleblower

Whistleblower

    Senior Member

  • 368 Beiträge

 

Geschrieben 14. Dezember 2006 - 08:03

So, habe gestern nochmal einiges getestet...
Hab erstmal alle crypto-Einträge rausgeschmissen, und dann wieder den Eintrag für den Tunnel zw. den beiden Ciscos hinzugefügt.

crypto isamkmp policy 1
encr 3des
authentication pre-share
group 2

crypto isakmp key xxxxxxxxx address x.x.x.x no-xauth

crypto map staticmap 1 ipsec-isakmp
descr Tunnel to router2
set peer x.x.x.x
set transform-set ESP-3DES-SHA
match address 101


Tunnel steht sofort.
Dann habe ich die Einträge für den dyn. Endpunkt und die Clients hinzugefügt, mit dem Ergebnis, dass der erste Tunnel nicht mehr läuft (hab die crypto map vorher vom Interface Fast4 rausgenommen).
Dann habe ich mal einzelne Konfigteile wieder rausgelöscht, und festgestellt, dass sich das ganze am isakmp-Profile aufhängt:

crypto isakmp profile L2Lprofile
descr All L2L peers
keyring L2Lkeyring
match identity address 0.0.0.0
keepalive 20 re 3
exit


Das Profil wiederum ist in der dynamic-map eingebunden:

crypto dynamic-map dynmap 65535
set transform-set ESP-3DES-SHA
set isakmp-profile L2Lprofile
exit

crypto map staticmap 65535 ipsec-isakmp dynamic dynmap


Irgendwie scheint er also den Tunnel über dieses Profil abwickeln zu wollen, Bedingung address=0.0.0.0 ist ja auch erfüllt. Trotzdem sollte er es doch erst über den anderen Crypto map Eintrag versuchen, oder?
Hilft es evtl. weiter, einen weiteren keyring und ein weiteres isakmp-Profil zu erstellen? Ich hatte das gestern auch schon versucht, hat aber leider auch nicht zu Erfolg geführt... :-(

Any ideas?

#30 Wordo

Wordo

    Board Veteran

  • 3.213 Beiträge

 

Geschrieben 14. Dezember 2006 - 09:09

Wozu ueberhaupt das Profil und den Keyring?