Zum Inhalt wechseln


Foto

Cisco 871 Site-2-Site VPN an dyn. IP / DynDNS


  • Bitte melde dich an um zu Antworten
41 Antworten in diesem Thema

#31 Whistleblower

Whistleblower

    Senior Member

  • 368 Beiträge

 

Geschrieben 14. Dezember 2006 - 09:23

Das Profil und den keyring brauche ich, um unterscheiden zu können, ob der Tunnelaufbau durch einen Client oder den Netgear (beides mal dynamische IP) erfolgt.
Zumindest habe ich das jetzt so verstanden aus der Anleitung von Cisco:

Configuring an IPSec Router Dynamic LAN-to-LAN Peer and VPN Clients [IPSec Negotiation/IKE Protocols] - Cisco Systems

#32 Wordo

Wordo

    Board Veteran

  • 3.213 Beiträge

 

Geschrieben 14. Dezember 2006 - 09:48

Du machst ein NAT auf eine Route MAP die vom SDM als IPSec deklariert wurde???
Also ... entweder alles per Hand, oder alles SDM. Und post doch bitte dann die GANZE config. Von mir aus schicks mir wenns nicht jeder sehen soll.

#33 Whistleblower

Whistleblower

    Senior Member

  • 368 Beiträge

 

Geschrieben 14. Dezember 2006 - 11:59

Ich mache NAT, das stimmt, aber die Routemap verweist auf ACL102, die wiederum denys für den Traffic zwischen den Netzen macht (z.B. deny ip 172.16.0.0 0.0.255.255 10.10.0.0 0.0.255.255). Also sage ich damit letztendlich, dass er den Traffic nicht natten soll, alles andere (ip permit 172.16.0.0 0.0.255.255 any) hingegen schon. So hab ich's bisher zumindest verstanden, und war auch ganz einleuchtend für mich...
Und, ja entweder SDM oder alles per CLI, ich weiss... Aber alles geht leider auch nicht per SDM, und die Anfangskonfig habe ich "damals" mit dem SDM erstellt... Keine Frage, dass das ganze der Verständlichkeit wegen überarbeitet werden sollte...
Werd Dir die Konfig nochmal schicken, muss mal sehen, ob ich die gerade vollständig hier habe, ist ja immer nur eine Testconfig...

#34 Whistleblower

Whistleblower

    Senior Member

  • 368 Beiträge

 

Geschrieben 14. Dezember 2006 - 12:16

Achso, dann erlaube in Deinem Profil doch bitte mal, dass ich Dir ne eMail schicken kann... für eine priv. Nachricht ist die Konfig zu lang...

#35 Wordo

Wordo

    Board Veteran

  • 3.213 Beiträge

 

Geschrieben 14. Dezember 2006 - 13:48

Ich mache NAT, das stimmt, aber die Routemap verweist auf ACL102, die wiederum denys für den Traffic zwischen den Netzen macht (z.B. deny ip 172.16.0.0 0.0.255.255 10.10.0.0 0.0.255.255). Also sage ich damit letztendlich, dass er den Traffic nicht natten soll, alles andere (ip permit 172.16.0.0 0.0.255.255 any) hingegen schon. So hab ich's bisher zumindest verstanden, und war auch ganz einleuchtend für mich...
Und, ja entweder SDM oder alles per CLI, ich weiss... Aber alles geht leider auch nicht per SDM, und die Anfangskonfig habe ich "damals" mit dem SDM erstellt... Keine Frage, dass das ganze der Verständlichkeit wegen überarbeitet werden sollte...
Werd Dir die Konfig nochmal schicken, muss mal sehen, ob ich die gerade vollständig hier habe, ist ja immer nur eine Testconfig...


Stimmt, aber muessen dann die Netze von Netgear und vpnclientpool nicht auch da rein?
Machst du den debug vom "Client"-Cisco?

#36 Whistleblower

Whistleblower

    Senior Member

  • 368 Beiträge

 

Geschrieben 14. Dezember 2006 - 14:42

Hm, stimmt... Irgendwie stehen die da nicht drin... :o
Aber das Problem muss noch irgendwo anders liegen, die ACLs greifen ja erst in Phase 2, und so wie ich das bis jetzt sehe, scheitert schon Phase 1...
Die Debugs habe ich jeweils auf beiden Ciscos angeschmissen...

#37 Wordo

Wordo

    Board Veteran

  • 3.213 Beiträge

 

Geschrieben 14. Dezember 2006 - 15:00

Hm ... gut, dann wuerd ich doch ein eigenes Profile und eigenen Keyring macht und ins Profile noch den PSK mit selbigen Peer wie dem match eintragen. Ansonsten siehts gut aus.
Mach mal n debug auf isakmp, da muss doch dann der Fehler drinstehn.

#38 Whistleblower

Whistleblower

    Senior Member

  • 368 Beiträge

 

Geschrieben 14. Dezember 2006 - 15:53

Werde ich heute abend nochmal machen...
Und ich werde auch nochmal für die beiden dynamic-maps jeweils eine ACL erstellen und als match mit aufnehmen... Dann sollte es ja eigentlich klar sein, welcher Traffic worüber geht:

So in der Art:

crypto dynamic-map dynmap 5
description Mobile_VPN-Clients
set transform-set ESP-3DES-SHA
set isakmp-profile allusersprofile
match address 105
crypto dynamic-map dynmap 65535
description Tunnel_zum_Netgear
set transform-set ESP-3DES-SHA
set isakmp-profile L2Lprofile
match address 110
!
!
!
crypto map staticmap 1 ipsec-isakmp
description Tunnel nach router2
set peer x.x.x.x
set transform-set ESP-3DES-SHA
match address 101

...

access-list 101 permit ip 172.16.0.0 0.0.255.255 10.10.0.0 0.0.255.255

access-list 105 permit ip 172.16.0.0 0.0.255.255 192.168.11.0 0.0.0.255

access-list 110 permit ip 172.16.0.0 0.0.255.255 192.168.15.0 0.0.0.255


und für NAT:

access-list 102 deny ip 172.16.0.0 0.0.255.255 10.10.0.0 0.0.255.255
access-list 102 deny ip 172.16.0.0 0.0.255.255 192.168.11.0 0.255.255.255
access-list 102 deny ip 172.16.0.0 0.0.255.255 192.168.15.0 0.255.255.255
access-list 102 permit ip 172.16.0.0 0.0.255.255 any


Und damit VPN-Clients vom Router2 auch über den Tunnel auf Router 1 kommen, müsste ich noch sowas einfügen, oder? (lokales Netz der Clients 192.168.10.10 - .20):

access-list 101 permit ip 172.16.0.0 0.0.255.255 192.168.10.0 0.255.255.255
access-list 101 permit ip 192.168.10 0.255.255.255 172.16.0.0 0.0.255.255

access-list 102 deny ip 172.16.0.0 0.0.255.255 192.168.10.0 0.255.255.255


Und entsprechend auf der Gegenseite...

Bei der Gelegenheit werde ich die ACLs auch mal BENENNEN... Steigt man ja sonst nicht mehr durch...

#39 Wordo

Wordo

    Board Veteran

  • 3.213 Beiträge

 

Geschrieben 14. Dezember 2006 - 16:00

Du kannst fuer Clients keinen match machen weil das transport ist und nicht tunnel. Probier das heut abend mal mit den keyrings und dem profile.

#40 Whistleblower

Whistleblower

    Senior Member

  • 368 Beiträge

 

Geschrieben 14. Dezember 2006 - 21:14

FUNZT !!! :D :D :D :D
Mehr dazu morgen!

#41 Whistleblower

Whistleblower

    Senior Member

  • 368 Beiträge

 

Geschrieben 15. Dezember 2006 - 08:27

So, wie versprochen, die entsprechenden Passagen der Konfig:

aaa new-model
!
!
aaa authentication login default local
aaa authentication login remoteaccess local
aaa authorization exec default local
aaa authorization network allusers local
!
aaa session-id common
!
[...]

username userxyz privilege 15 secret 5 *************
!
!
crypto keyring L2Lkeyring
description PSK fuer L2L Peers mit dynamischen IPs
pre-shared-key address 0.0.0.0 0.0.0.0 key ******
crypto keyring mainkeyring
description PSK fuer Peer mit fester IP
pre-shared-key address x.x.x.x key ******
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
!
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
crypto isakmp key ***** address x.x.x.x no-xauth
!
crypto isakmp client configuration group allusers
key ******
dns 10.10.1.3
wins 10.10.1.3
domain tec.wtg
pool clientpool
crypto isakmp profile mainprofile
description Tunnel feste IPs
keyring mainkeyring
match identity address x.x.x.x 255.255.255.255
crypto isakmp profile allusersprofile
description Remote access users profile
match identity group allusers
client authentication list remoteaccess
isakmp authorization list allusers
client configuration address respond
crypto isakmp profile L2Lprofile
description All L2L peers
keyring L2Lkeyring
match identity address 0.0.0.0
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
!
!
crypto dynamic-map dynmap 5
set transform-set ESP-3DES-SHA
set isakmp-profile allusersprofile
crypto dynamic-map dynmap 65535
set transform-set ESP-3DES-SHA
set isakmp-profile L2Lprofile
match address 110
!
!
!
crypto map staticmap 1 ipsec-isakmp
description Tunnel to router2
set peer x.x.x.x
set transform-set ESP-3DES-SHA
set isakmp-profile mainprofile
match address 101
crypto map staticmap 65535 ipsec-isakmp dynamic dynmap
!
[...]
!
interface FastEthernet4
description $ES_WAN$$FW_OUTSIDE$
ip address x.x.x.x 255.255.255.248
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
no ip virtual-reassembly
ip route-cache flow
speed 100
full-duplex
crypto map staticmap
!
interface Vlan1
description Inside
ip address 172.16.1.1 255.255.0.0
ip access-group 100 in
no ip proxy-arp
ip nat inside
no ip virtual-reassembly
ip route-cache flow
ip tcp adjust-mss 1452
!
ip local pool clientpool 192.168.11.240 192.168.11.254
ip route 0.0.0.0 0.0.0.0 x.x.x.x
!
no ip http server
ip nat inside source route-map SDM_RMAP_1 interface FastEthernet4 overload
!
access-list 100 remark auto generated by Cisco SDM Express firewall configuration
access-list 100 remark SDM_ACL Category=1
access-list 100 permit ip any any
access-list 100 permit udp any any
access-list 100 permit tcp any any
access-list 101 remark SDM_ACL Category=4
access-list 101 remark IPSec Rule
access-list 101 permit ip 172.16.0.0 0.0.255.255 10.10.0.0 0.0.255.255
access-list 101 permit ip 172.16.0.0 0.0.255.255 192.168.10.0 0.0.0.255
access-list 101 permit ip 192.168.11.0 0.0.0.255 10.10.0.0 0.0.255.255
access-list 101 permit ip 192.168.15.0 0.0.0.255 10.10.0.0 0.0.255.255
access-list 102 remark IPSec Rule
access-list 102 deny ip 172.16.0.0 0.0.255.255 10.10.0.0 0.0.255.255
access-list 102 deny ip 172.16.0.0 0.0.255.255 192.168.10.0 0.0.0.255
access-list 102 deny ip 172.16.0.0 0.0.255.255 192.168.11.0 0.0.0.255
access-list 102 deny ip 172.16.0.0 0.0.255.255 192.168.15.0 0.0.0.255
access-list 102 permit ip 172.16.0.0 0.0.255.255 any
access-list 110 permit ip 172.16.0.0 0.0.255.255 192.168.15.0 0.0.0.255
no cdp run
!
!
route-map SDM_RMAP_1 permit 1
match ip address 102
!
!
[...]



#42 Whistleblower

Whistleblower

    Senior Member

  • 368 Beiträge

 

Geschrieben 15. Dezember 2006 - 08:32

Die Sachen hier können bestimmt noch raus:

crypto isakmp policy 1

evtl. auch:
crypto isakmp key ***** address x.x.x.x no-xauth
(steht ja alles auch im profile bzw. keyring)


Habe in dem Zuge auch gleich den Traffic von den mobilen Clients über den festen Tunnel zur anderen Niederlassung ermöglicht. Die Probleme lagen einerseits in der ACL 101 (zu verschlüsselnder Traffic) andererseits in ACL 102 (Ausnahmen vom NAT).

Jetzt hab ich nur noch so ein minimales Problem, und zwar wie ich dem Router selbst sage, dass er Pakete, die von ihm ausgehen (z.B. ein ping) in den entsprechenden Tunnel schickt. Wenn ich also z.B. auf dem Router "ping 10.10.1.1" eingebe, erhalte ich keine Antwort, sondern nur wenn ich als source vlan 1 angebe. Beim ping mag das ja noch okay sein, aber bei einem copy xyz tftp kann ich das vlan nicht als Source angeben...

Ist doch bestimmt nur ein Einzeiler, der mir da fehlt, oder?