StefanWe 14 Geschrieben 6. Mai 2010 Melden Teilen Geschrieben 6. Mai 2010 Hi, ich habe leider nicht soviel Erfahrung mit dem Cisco Packet Tracer für CCNA. Allerdings kann man hiermit ja schön verschiedene Szenarien nachbilden. Ich möchte ganz gerne mich mit dem Thema VPN + Cisco auseinander setzen. Hier gibt es ja nun im Packet Tracer die Möglichkeit das "Internet" mit der "Wolke" zu simulieren. Bin ich hier aufem Holzweg, oder kann man das damit nachstellen ? Und wenn ja, kann mir jemand erklären wie die "Wolke" zu funktionieren hat, bzw. wie ich einen Router entsprechend konfiguriere um z.b. eine DSL Einwahl(dynamische IP + Statische IP ) zu simulieren? Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 6. Mai 2010 Melden Teilen Geschrieben 6. Mai 2010 das hat mit VPN nix zu tun, das kannst du auch testen in dem du 2 Router direkt mtieinander verbindest. Allerdings bezweifle ich das es im Packet Tracer möglich ist VPN zu konfigurieren, müsste man mal testen- Ich würd hier eher auf GNS3 setzen Zitieren Link zu diesem Kommentar
StefanWe 14 Geschrieben 6. Mai 2010 Autor Melden Teilen Geschrieben 6. Mai 2010 gut, aber das ist ja auch langweilig ;) aber was meinst du mit vpn könnte nicht funktionieren? die ios funktionen sind auf jedenfall vorhanden. Zitieren Link zu diesem Kommentar
StefanWe 14 Geschrieben 6. Mai 2010 Autor Melden Teilen Geschrieben 6. Mai 2010 Habe mir den GNS 3 mal runtergeladen. Nur ****erweise habe ich keinen Zugang zu den Cisco IOS Versionen zum Downloaden. Muss man da extra für freigeschaltet werden, oder wo gibts die? Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 6. Mai 2010 Melden Teilen Geschrieben 6. Mai 2010 nur direkt bei Cisco...vielleicht von IOS Devices die du selber hast. Zitieren Link zu diesem Kommentar
StefanWe 14 Geschrieben 7. Mai 2010 Autor Melden Teilen Geschrieben 7. Mai 2010 Ok habe ich ;) Kennst du ein halbwegs verständliches tutorial für einen einfaches IP SEC Tunnel ? Ich hab nur welche gefunden, wo mal ne dynamic map dann wieder ne static map dann beides verwendet wird. Da steig ich leider noch nicht ganz durch ;) Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 7. Mai 2010 Melden Teilen Geschrieben 7. Mai 2010 An Introduction to IP Security (IPSec) Encryption [iPSec Negotiation/IKE Protocols] - Cisco Systems Zitieren Link zu diesem Kommentar
StefanWe 14 Geschrieben 8. Mai 2010 Autor Melden Teilen Geschrieben 8. Mai 2010 danke, hab das mal durchgearbeitet, allerdings baut der Tunnel nicht so richtig auf. Konfig sieht so aus: Client1 = 192.168.0.1 GW0 fa0/0 = 192.168.0.254 GW0 fa0/1 = 10.200.0.1 GW1 fa0/1 = 10.200.0.2 GW1 fa0/0 = 192.168.10.254 Client2 = 192.168.10.1 hier die config von router 0: Router0#show run Building configuration... Current configuration : 912 bytes ! version 12.4 no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption ! hostname Router0 ! ! ! ! ! ! crypto isakmp policy 1 hash md5 authentication pre-share group 2 lifetime 500 ! crypto isakmp key secret address 10.200.0.2 ! ! crypto ipsec transform-set transform ah-sha-hmac esp-des ! crypto map testmap 10 ipsec-isakmp set peer 10.200.0.2 set security-association lifetime seconds 4000 set transform-set transform match address 101 ! ! ! ! ! ! ! ! ! interface FastEthernet0/0 ip address 192.168.0.254 255.255.255.0 duplex auto speed auto ! interface FastEthernet0/1 ip address 10.200.0.1 255.255.255.0 duplex auto speed auto crypto map testmap ! interface Vlan1 no ip address shutdown ! ip classless ! ! access-list 101 permit ip 192.168.0.0 0.0.0.255 192.168.10.0 0.0.0.255 ! ! ! ! ! ! ! line con 0 line vty 0 4 login ! ! ! end Zitieren Link zu diesem Kommentar
StefanWe 14 Geschrieben 8. Mai 2010 Autor Melden Teilen Geschrieben 8. Mai 2010 Und hier die config von Router1 Router1#show run Building configuration... Current configuration : 904 bytes ! version 12.4 no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption ! hostname Router1 ! ! ! ! ! ! crypto isakmp policy 1 hash md5 authentication pre-share lifetime 500 ! crypto isakmp key secret address 10.200.0.1 ! ! crypto ipsec transform-set transform ah-sha-hmac esp-des ! crypto map testmap 10 ipsec-isakmp set peer 10.200.0.1 set security-association lifetime seconds 4000 set transform-set transform match address 101 ! ! ! ! ! ! ! ! ! interface FastEthernet0/0 ip address 192.168.10.254 255.255.255.0 duplex auto speed auto ! interface FastEthernet0/1 ip address 10.200.0.2 255.255.255.0 duplex auto speed auto crypto map testmap ! interface Vlan1 no ip address shutdown ! ip classless ! ! access-list 101 permit ip 192.168.10.0 0.0.0.255 192.168.0.0 0.0.0.255 ! ! ! ! ! ! ! line con 0 line vty 0 4 login ! ! ! end Jemand eine Idee warum der Tunnel sich nicht aufbaut ? Zitieren Link zu diesem Kommentar
StefanWe 14 Geschrieben 8. Mai 2010 Autor Melden Teilen Geschrieben 8. Mai 2010 (bearbeitet) show crypto isakmp sa sollte ja wenigstens den tunnel anzeigen egal ob down oder nicht, oder? aber hier steht - nichts. Router0#show crypto isakmp sa IPv4 Crypto ISAKMP SA dst src state conn-id slot status IPv6 Crypto ISAKMP SA Router0# show crypto ipsec sa zeigt folgendes: Router0#show crypto ipsec sa interface: FastEthernet0/1 Crypto map tag: testmap, local addr 10.200.0.1 protected vrf: (none) local ident (addr/mask/prot/port): (192.168.0.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (192.168.10.0/255.255.255.0/0/0) current_peer 10.200.0.2 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: 10.200.0.1, remote crypto endpt.:10.200.0.2 path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/1 current outbound spi: 0x0(0) inbound esp sas: inbound ah sas: inbound pcp sas: outbound esp sas: outbound ah sas: outbound pcp sas: bearbeitet 8. Mai 2010 von StefanWe Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 8. Mai 2010 Melden Teilen Geschrieben 8. Mai 2010 routing fehlt Zitieren Link zu diesem Kommentar
StefanWe 14 Geschrieben 8. Mai 2010 Autor Melden Teilen Geschrieben 8. Mai 2010 ok, habe das routing noch entsprechend hinzugefügt. ip route 192.168.0.0 255.255.255.0 10.200.0.1 und ip route 192.168.10.0 255.255.255.0 10.200.0.2 auf dem andern router. jetzt kann ich natürlich den client anpingen, ein vpn tunnel wird aber immernoch nicht aufgebaut die beiden router sind übrigens im gleichen subnetz mit ihrem fa 0/1 interface. dies sollte aber ja kein problem darstellen, oder? Router1#show crypto ipsec sa interface: FastEthernet0/1 Crypto map tag: testmap, local addr 10.200.0.2 protected vrf: (none) local ident (addr/mask/prot/port): (192.168.10.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (192.168.0.0/255.255.255.0/0/0) current_peer 10.200.0.1 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: 10.200.0.2, remote crypto endpt.:10.200.0.1 path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/1 current outbound spi: 0x0(0) inbound esp sas: inbound ah sas: inbound pcp sas: outbound esp sas: outbound ah sas: outbound pcp sas: Noch ne idee? Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 10. Mai 2010 Melden Teilen Geschrieben 10. Mai 2010 Mach ein Debug auf ipsec und isakmp. Da hat bestimmt ein IF kein Link oder sowas ... Zitieren Link zu diesem Kommentar
StefanWe 14 Geschrieben 10. Mai 2010 Autor Melden Teilen Geschrieben 10. Mai 2010 aber müsste unter show crypto isakmp sa nicht wenigstens der Tunnel auftauchen, egal ob er up oder down ist ? Interfaces sind alle UP. Im Packettracer sind alle Interfaces entsprechend auf "grün" Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 10. Mai 2010 Melden Teilen Geschrieben 10. Mai 2010 Kann ich dir nicht sagen, bei mir funktionieren alle Tunnel, ein Debug wuerde dir trotzdem weiterhelfen ;) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.