Jump to content

cisco 1710 VP Easy Server


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

hallo zusammen,

 

ich verusche gerade für unsere Arbeitsgruppe einen VPN Server mit dem Cisco 1710 zu konfigurieren.

 

Ich bin absoluter Neuling in Sachen Cisco, habe mich auf der Webseite umgesehen, aber nichts gefunden, was mir weiterhilft.

 

Wir versuchen dem Router, der eine feste WAN IP hat, per Cisco VPN Clients zu erreichen.

 

Leider gibt die SDM Konfiguration keinerlei ZUgriff auf den Easy VPN Server.

 

Ich habe mich auc noch nicht wirklich getraut an den Configurationsdatein rum zu hacken.

 

Vielleicht gibt es ein paar Hilfen, die Ihr empfehlen könntet.

 

MFG ELuas

Link zu diesem Kommentar

ich habe ssh conn aufgebaut und habe direkt mit linux commands losgelegt, leider ohne erfolg hehe...

da der ios software angeblich falsche befehle verscuht aufzulösen zumindestens stehen die dns server nach und nach da..

 

das ios versucht nicht den befehl aufzulösen, sondern den interpretiert den nicht existierenden befehl als host-adresse und macht daraufhin einen name-lookup ob es diesen host gibt.

das ganze funktioniert im übrigen auch nur im exec-mode bzw. im user-mode. im configuration-mode macht er das nicht.

es gibt aber die möglichkeit der hilfe funktion. das ist ein "?" nach einem befehl. da bekommst du angezeigt welche weiteren befehle danach noch möglich sind.

außerdem vervollständigt das ios seit version 10.x die befehle nach drücken der tabulator-taste.

 

z.b. aus "sh" + "tabulator" wird dann "show"

 

editieren im terminal geht das ??

 

ja das geht. du kannst die konfiguration in einem editor bearbeiten und danach via copy-and-paste über eine terminalsession einspielen.

 

bei einer session via telnet oder ssh ist zu bedenken dass die änderungen in der konfiguration umgehend aktiv sind (zumindest der größte teil davon). somit kann es je nach änderung sein das du dir den ast absägst auf dem du sitzt.

Link zu diesem Kommentar

erstmal vielen dank für die hilfe

 

 

ich habe nun mal eine konfigurations datei erstellt, und habe sie versucht im terminal per copy und paste einzufügen allerdings

ist mir eine sache unklar, wie öffne ich die datei um da rein zu pasten oder muss ich irgendwie ein execvor die zeilen knallen, um das auszuführen,

 

gibt es ein tool um ein conf datei auf funktionalität zu prüfen, es sei denn der reset der kiste wäre einfach..

 

mfg elias

Link zu diesem Kommentar

erstmal vielen dank für die hilfe

 

biddeschön

 

ich habe nun mal eine konfigurations datei erstellt, und habe sie versucht im terminal per copy und paste einzufügen allerdings

ist mir eine sache unklar, wie öffne ich die datei um da rein zu pasten oder muss ich irgendwie ein execvor die zeilen knallen, um das auszuführen,

 

du kannst die konfiguration in einem editor öffnen und ändern.

wenn du die konfiguration einspielen möchtest mußt du im configuration-mode sein. welcher mode für was gut ist siehst steht hier. http://www.mcseboard.de/showthread.php?s=&postid=182524#post182524

 

die laufende konfiguration des routers kannst abspeichern indem du einen log-file innerhalb des terminals mitlaufen lässt und sho running-config im enable-mode eingibst oder aber du speicherst die konfiguration auf einen tftp-server. ein passendes tool gibt es hier. http://support.3com.com/software/utilities_for_windows_32_bit.htm

nachdem du die konfiguration auf dem tftp-server abgelegt hast kannst du diese wiederum mit jedem editor öffnen und bearbeiten.

 

gibt es ein tool um ein conf datei auf funktionalität zu prüfen, es sei denn der reset der kiste wäre einfach..

 

so ein tool gibt es meines wissens nach nicht zumindest nicht für alle ios-versionen. es macht auch wenig sinn so etwas zu programmieren, weil der entwickler der software permanent damit beschäftigt wäre neue features aus den releasständen einzupflegen. mal ganz abgesehen davon das cisco es nicht wirklich gerne sehen würde.

wenn du wissen möchtest was ein befehl bewirkt empfehle ich dir die release-notes der ios-versionen bzw. das command-summary.

 

ein reset des routers ist durchaus einfach. solltest du einmal einen befehl eingespielt haben der eine fehlfunktion hevorruft oder nicht das was du dir so darunter erhoft hast kannst du ihn mit einem vorangestellten "no" wieder löschen.

oder du schaltest alternativ den router aus.

wenn die konfiguration nicht in den nvram geschrieben wurde mit "write mem" bzw "copy running-config startup-config" kommt der router mit den alten einstellungen wieder nach einem reload.

Link zu diesem Kommentar

danke für die hilfe stellungen, es klappt leider noch immer nicht,

 

ich habe verschiedene konfigs im terminal eingefügt und ausgeführt, nach eingabe von config t.

 

wenn ich dann unter sdm mir meine vpn policy s anschauen sind alle regeln rot makiert, ich kann zwar einige editieren aber es fkt nicht.

 

Geschweige denn eine KOnnektierung auf die Kiste ist möglich über VPN

 

Noch eine Frage muss ich einzelne Ports ins LAN per NAT konfigurieren, so dass Z.B. eine SMB Server erreichbar ist.

Link zu diesem Kommentar

also eine meiner running configs :

no service pad

service tcp-keepalives-in

service tcp-keepalives-out

service timestamps debug uptime

service timestamps log uptime

no service password-encryption

service sequence-numbers

!

hostname mosespa04

!

boot-start-marker

boot-end-marker

!

security authentication failure rate 3 log

security passwords min-length 6

logging buffered 51200 debugging

logging console critical

enable secret *************************

!

username *********** privilege 15 password 7 ********** username ********* password 0 *********

memory-size iomem 15

clock summer-time Europe/Berlin date Mar 30 2003 2:00 Oct 26 2003 3:00

aaa new-model

!

!

aaa authentication login vtyline enable

aaa authentication login userauthen local

aaa authentication enable default none

aaa authorization network groupauthor local

aaa session-id common

ip subnet-zero

no ip source-route

!

!

ip tcp synwait-time 10

ip domain name ***********

ip name-server 192.168.1.198

ip name-server 192.168.1.199

!

no ip bootp server

ip cef

ip inspect name DEFAULT100 cuseeme

ip inspect name DEFAULT100 ftp

ip inspect name DEFAULT100 h323

ip inspect name DEFAULT100 netshow

ip inspect name DEFAULT100 rcmd

ip inspect name DEFAULT100 realaudio

ip inspect name DEFAULT100 rtsp

ip inspect name DEFAULT100 smtp

ip inspect name DEFAULT100 sqlnet

ip inspect name DEFAULT100 streamworks

ip inspect name DEFAULT100 tftp

ip inspect name DEFAULT100 tcp

ip inspect name DEFAULT100 udp

ip inspect name DEFAULT100 vdolive

ip inspect name DEFAULT100 icmp

ip audit po max-events 100

ip ssh time-out 60

ip ssh authentication-retries 2

no ftp-server write-enable

!

!

!

!

!

crypto isakmp policy 3

encr 3des

authentication pre-share

group 2

!

crypto isakmp client configuration group auskommentiert

key superauskommentiert

pool ippool

!

!

crypto ipsec transform-set myset esp-3des esp-sha-hmac

!

crypto dynamic-map dynmap 10

set transform-set myset

!

!

crypto map clientmap client authentication list userauthen

crypto map clientmap isakmp authorization list groupauthor

crypto map clientmap client configuration address respond

crypto map clientmap 10 ipsec-isakmp dynamic dynmap

!

!

!

interface Ethernet0

description $FW_OUTSIDE$$ETH-WAN$

ip address "feste inet ip"

ip access-group 101 in

ip verify unicast reverse-path

no ip redirects

no ip unreachables

no ip proxy-arp

ip nat outside

ip inspect DEFAULT100 out

no ip route-cache cef

no ip route-cache

no ip mroute-cache

half-duplex

no cdp enable

crypto map clientmap

!

interface FastEthernet0

description $FW_INSIDE$$ETH-LAN$

ip address 192.168.1.253 255.255.255.0

ip access-group 100 in

no ip redirects

no ip unreachables

no ip proxy-arp

ip nat inside

no ip route-cache cef

no ip route-cache

no ip mroute-cache

speed auto

no cdp enable

!

ip local pool ippool 192.168.1.80 192.168.1.95

ip nat inside source list 1 interface Ethernet0 overload

ip nat inside source route-map nonat interface Ethernet0 overload

ip classless

no ip http server

ip http authentication local

ip http secure-server

!

!

!

ip access-list extended UNKNOWN

ip access-list extended tunnel-password

logging trap debugging

access-list 1 remark INSIDE_IF=FastEthernet0

access-list 1 remark SDM_ACL Category=2

access-list 1 permit 10.10.10.0 0.0.0.7

access-list 100 remark auto generated by SDM firewall configuration

access-list 100 remark SDM_ACL Category=1

access-list 100 deny ip "feste inet ip" 0.0.0.15 any

access-list 100 deny ip host 255.255.255.255 any

access-list 100 deny ip 127.0.0.0 0.255.255.255 any

access-list 100 permit ip any any

access-list 101 remark auto generated by SDM firewall configuration

access-list 101 remark SDM_ACL Category=1

access-list 101 deny ip 192.168.1.0 0.0.0.255 any

access-list 101 permit icmp any host "feste inet ip" echo-reply

access-list 101 permit icmp any host "feste inet ip" time-exceeded

access-list 101 permit icmp any host "feste inet ip"unreachable

access-list 101 deny ip 10.0.0.0 0.255.255.255 any

access-list 101 deny ip 172.16.0.0 0.15.255.255 any

access-list 101 deny ip 192.168.0.0 0.0.255.255 any

access-list 101 deny ip 127.0.0.0 0.255.255.255 any

access-list 101 deny ip host 255.255.255.255 any

access-list 101 deny ip host 0.0.0.0 any

access-list 101 deny ip any any

access-list 101 permit ip 192.168.1.0 0.0.0.255 any

no cdp run

!

route-map nonat permit 10

match ip address 101

!

banner login ^CAuthorized access only!

Disconnect IMMEDIATELY if you are not an authorized user!^C

!

Link zu diesem Kommentar

hi,

 

ich habe das ganze ein wenig umgebaut und ergänzt.

 

#

 

no service pad

service tcp-keepalives-in

service tcp-keepalives-out

service timestamps debug uptime

service timestamps log uptime

no service password-encryption

service sequence-numbers

!

hostname mosespa04

!

boot-start-marker

boot-end-marker

!

security authentication failure rate 3 log

security passwords min-length 6

logging buffered 51200 debugging

logging console critical

enable secret *************************

!

username *********** privilege 15 password 7 ********** username ********* password 0 *********

memory-size iomem 15

clock summer-time Europe/Berlin date Mar 30 2003 2:00 Oct 26 2003 3:00

aaa new-model

!

!

aaa authentication login vtyline enable

aaa authentication login userauthen local

aaa authentication enable default none

aaa authorization network groupauthor local

aaa session-id common

ip subnet-zero

no ip source-route

!

!

ip tcp synwait-time 10

ip domain name ***********

ip name-server 192.168.1.198

ip name-server 192.168.1.199

!

no ip bootp server

ip cef

ip inspect name DEFAULT100 cuseeme

ip inspect name DEFAULT100 ftp

ip inspect name DEFAULT100 h323

ip inspect name DEFAULT100 netshow

ip inspect name DEFAULT100 rcmd

ip inspect name DEFAULT100 realaudio

ip inspect name DEFAULT100 rtsp

ip inspect name DEFAULT100 sqlnet

ip inspect name DEFAULT100 streamworks

ip inspect name DEFAULT100 tftp

ip inspect name DEFAULT100 tcp

ip inspect name DEFAULT100 udp

ip inspect name DEFAULT100 vdolive

ip inspect name DEFAULT100 icmp

ip audit po max-events 100

ip ssh time-out 60

ip ssh authentication-retries 2

no ftp-server write-enable

!

crypto isakmp policy 1

hash md5

authentication pre-share

group 2

crypto isakmp keepalive 10

!

crypto isakmp client configuration group groupauthor

key superauskommentiert

pool ippool

!

!

crypto ipsec transform-set myset esp-3des esp-md5-hmac

crypto ipsec df-bit clear

!

crypto dynamic-map dynmap 10

set transform-set myset

!

!

crypto map clientmap client authentication list groupauthor

crypto map clientmap isakmp authorization list groupauthor

crypto map clientmap client configuration address respond

crypto map clientmap 10 ipsec-isakmp dynamic dynmap

!

!

!

interface Loopback0

description nonat-out-interface fuer ipsec

ip address 1.1.1.1 255.255.255.0

!

interface Ethernet0

description $FW_OUTSIDE$$ETH-WAN$

ip address "feste inet ip"

ip access-group 101 in

no ip redirects

no ip unreachables

no ip proxy-arp

ip nat outside

ip inspect DEFAULT100 out

half-duplex

no cdp enable

crypto map clientmap

!

interface FastEthernet0

description $FW_INSIDE$$ETH-LAN$

ip address 192.168.1.253 255.255.255.0

ip access-group 100 in

no ip redirects

no ip unreachables

no ip proxy-arp

ip nat inside

ip route-cache policy

ip policy route-map nonat

speed auto

no cdp enable

!

ip local pool ippool 192.168.10.1 192.168.10.16

ip nat inside source route-map nat interface Ethernet0 overload

ip classless

no ip http server

ip http authentication local

ip http secure-server

!

logging trap debugging

access-list 100 remark *** for nat translation and inbound on inside interface ***

access-list 100 permit ip 192.168.1.0 0.0.0.255 any

access-list 101 remark *** inbound inet-list only few services allowed ***

access-list 101 permit icmp any host "feste inet ip" echo-reply

access-list 101 permit icmp any host "feste inet ip" time-exceeded

access-list 101 permit icmp any host "feste inet ip"unreachable

access-list 101 permit udp any eq isakmp any

access-list 101 permit udp any any eq isakmp

access-list 101 permit udp any any eq non500-isakmp

access-list 101 permit esp any any

access-list 101 permit ip 192.168.10.0 0.0.0.15 any

access-list 111 remark *** for nonating the destination ipsec-clients-ip ***

access-list 111 permit ip any 192.168.10.0 0.0.0.15

no cdp run

!

route-map nonat permit 10

match ip address 111

set ip next-hop 1.1.1.2

!

route-map nat permit 10

match ip address 100

!

banner login ^CAuthorized access only!

Disconnect IMMEDIATELY if you are not an authorized user!^C

!

transport output telnet

line aux 0

transport output telnet

line vty 0 4

exec-timeout 120 0

privilege level 15

login authentication vtyline

transport input telnet ssh

line vty 5 15

privilege level 15

transport input telnet ssh

!

scheduler allocate 4000 1000

scheduler interval 500

!

end

#

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...