Zum Inhalt wechseln


Foto

Cisco 1720 VPN, kein VNC, kein SHH usw...


  • Bitte melde dich an um zu Antworten
42 Antworten in diesem Thema

#1 romeo310

romeo310

    Junior Member

  • 79 Beiträge

 

Geschrieben 25. April 2006 - 14:36

Moin,

habe einige Threads weiter unten ein VPN Problem gehabt. Ging kein ping ( http://www.mcseboard...ead.php?t=86048 ). Nun klappt alles mit ping und Namensauflösung, aber ich kann, wenn ich mich authentifiziert habe, keine VNC Verbindung zu einem Windows Server und keine SSH Verbindung zu einem Linux Server aufbauen.

Wie gesagt. Konfig wie im Link des o.g. Threads, ping und Nameserverauflösung ok !

Please Help !


THX romeo310

#2 romeo310

romeo310

    Junior Member

  • 79 Beiträge

 

Geschrieben 27. April 2006 - 09:35

Hallo Cisco Forum Gemeinde,

hat denn keiner im Forum einen Lösungsansatz für mein Problem ?

Ein Lösungsansatz würde mir ja reichen. Nach 7 stündiger konfiguriererei gestern Abend kam ich immer noch nicht weiter.

PLEASE HELP !

THX

#3 Wordo

Wordo

    Board Veteran

  • 3.213 Beiträge

 

Geschrieben 27. April 2006 - 09:45

Welcher Ping geht? Auf die VNC- und SSH-Kisten oder generell? Sieht mir eher so aus als wuerden die Server nix mit dem 10er Netz anfangen koennen.

#4 romeo310

romeo310

    Junior Member

  • 79 Beiträge

 

Geschrieben 28. April 2006 - 07:57

Hi Wordo,

die Pings gehen auf alle Maschinen, auch per DNS-Auflösung, also auch auf den w2k-Server, auf dem VNC läuft und auf den Linux Server, auf dem SSH läuft.

Habe diese Konstellation 2x mit 1720ern realisiert.

Beide Konfigs identisch, außer eben die Netze:
1720-1: 192.168.10.0/24
1720-2: 192.168.11.0/24

Beide haben eben meine VPN Config für Roadwarrior. Wenn ich mich aus dem 192.168.10.0er Netz mit dem Cisco VPN Client bei dem Router des Netzes 192.168.11.0 einlogge, klappt die Anmeldung und die Pings, sowie die Namensauflösung des Linux-Servers, auf dem auch SSH läuft. Das gleiche Spiel, wenn ich z.B. mit Smartsurfer per ISDN Eingewählt bin, also unabhängig der Router (DSL).

Nur kann ich eben keine Applications fahren ???

Beim 1720-2 das gleiche Spiel.

Habe gestern schon wieder annähernd 5 Stunden damit verbracht, eine Lösung zu finden. Leider immer noch ohne Erfolg !

Danke schon mal für weiter Hilfen !

romeo310

#5 Wordo

Wordo

    Board Veteran

  • 3.213 Beiträge

 

Geschrieben 28. April 2006 - 08:36

Poste mal die beiden Konfigurationen, wenns geht CODE /CODE damit da nicht haufenweise Seiten rauskommen. Bei der alten Konfiguration stand doch was mit 10er IP's fuer den Dialin Pool ...

#6 romeo310

romeo310

    Junior Member

  • 79 Beiträge

 

Geschrieben 28. April 2006 - 09:40

Hi,

hier die config vom Cisco 1720-1 vom 10er Netz. Der 1720-2 hat die gleichen Server und IP Adressen, wie das 10er Netz, nur ist es ein 11er.

Also Netz 10 und 11 ist miteinander identisch, außer domain-name.

version 12.3
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug uptime
service timestamps log uptime
service password-encryption
service sequence-numbers
!
hostname c1720w
!
boot-start-marker
boot-end-marker
!
logging buffered 16384 debugging
no logging console
enable password 7 xxx
!
memory-size iomem 25
clock timezone MEZ 1
clock summer-time MEZ+1 recurring
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
aaa new-model
!
!
aaa authentication login clientauth local
aaa authorization network groupauthor local 
aaa session-id common
ip subnet-zero
no ip source-route
!
!
ip domain name domain.de
ip name-server 192.168.10.101
ip dhcp excluded-address 192.168.10.1
ip dhcp excluded-address 192.168.10.2
ip dhcp excluded-address 192.168.10.3
ip dhcp excluded-address 192.168.10.4
ip dhcp excluded-address 192.168.10.5
ip dhcp excluded-address 192.168.10.6
ip dhcp excluded-address 192.168.10.7
ip dhcp excluded-address 192.168.10.8
ip dhcp excluded-address 192.168.10.9
ip dhcp excluded-address 192.168.10.10
ip dhcp excluded-address 192.168.10.11
ip dhcp excluded-address 192.168.10.50
ip dhcp excluded-address 192.168.10.51
ip dhcp excluded-address 192.168.10.52
ip dhcp excluded-address 192.168.10.53
ip dhcp excluded-address 192.168.10.100
ip dhcp excluded-address 192.168.10.101
ip dhcp excluded-address 192.168.10.102
ip dhcp excluded-address 192.168.10.103
ip dhcp excluded-address 192.168.10.104
ip dhcp excluded-address 192.168.10.105
ip dhcp excluded-address 192.168.10.106
ip dhcp excluded-address 192.168.10.107
ip dhcp excluded-address 192.168.10.150
ip dhcp excluded-address 192.168.10.151
ip dhcp excluded-address 192.168.10.152
ip dhcp excluded-address 192.168.10.153
!
ip dhcp pool standard-clients
   network 192.168.10.0 255.255.255.0
   dns-server 192.168.10.52 194.25.2.129 
   default-router 192.168.10.101
   domain-name domain.de
!
no ip bootp server
ip cef
ip inspect max-incomplete low 300
ip inspect max-incomplete high 400
ip inspect one-minute low 150
ip inspect one-minute high 250
ip inspect udp idle-time 35
ip inspect dns-timeout 6
ip inspect tcp idle-time 300
ip inspect tcp finwait-time 6
ip inspect tcp synwait-time 35
ip inspect tcp max-incomplete host 50 block-time 15
ip inspect name internet http timeout 180
ip inspect name internet realaudio timeout 30
ip inspect name internet udp timeout 300
ip inspect name internet tcp timeout 600
ip inspect name internet ftp timeout 60
ip inspect name internet sip timeout 600
ip inspect name internet rtsp timeout 30
ip inspect name internet tftp timeout 30
ip inspect name internet sqlnet timeout 60
ip inspect name internet vdolive timeout 60
ip inspect name internet streamworks timeout 60
ip inspect name internet rcmd timeout 30
ip inspect name internet cuseeme timeout 30
ip audit po max-events 100
vpdn enable
!
vpdn-group 1
 request-dialin
  protocol pppoe
!
!
isdn switch-type basic-net3
!
username ms2 password 7 xxx
!
!
class-map match-all Queue-MediumPrio
  match  dscp af31 
class-map match-all Queue-HighPrio
  match  dscp ef 
!
! 
crypto keyring spokes 
  pre-shared-key address 0.0.0.0 0.0.0.0 key xxx
!
crypto isakmp policy 10
 encr 3des
 authentication pre-share
 group 2
crypto isakmp keepalive 30 10
crypto isakmp nat keepalive 30


#7 romeo310

romeo310

    Junior Member

  • 79 Beiträge

 

Geschrieben 28. April 2006 - 09:41


!

crypto isakmp client configuration group xxx

key xxx

dns 192.168.10.101

domain domain.de

pool ippool

acl VPNROUTES-CLIENTS

crypto isakmp profile VPNclient

description VPN Clients Profile

match identity group xxx

client authentication list clientauth

isakmp authorization list groupauthor

client configuration address respond

crypto isakmp profile l2l

description lan-2-lan Configuration for spokes Routers

keyring spokes

match identity address 0.0.0.0

!

!

crypto ipsec transform-set myset esp-3des esp-sha-hmac

!

crypto dynamic-map dynmap 5

set transform-set myset

set isakmp-profile VPNclient

reverse-route

crypto dynamic-map dynmap 10

set transform-set myset

set isakmp-profile

reverse-route

!

!

crypto map mymap 10 ipsec-isakmp dynamic dynmap

!

!

!

interface BRI0

description connected to Dial-inPCs(ISDN)

ip unnumbered FastEthernet0

ip nat inside

encapsulation ppp

dialer rotary-group 3

dialer-group 1

isdn switch-type basic-net3

isdn point-to-point-setup

no cdp enable

!

interface Ethernet0

no ip address

no ip redirects

no ip unreachables

no ip proxy-arp

ip mtu 1492

ip nat outside

ip route-cache flow

half-duplex

pppoe enable

pppoe-client dial-pool-number 1

no cdp enable

crypto map mymap

!

interface FastEthernet0

ip address 192.168.10.1 255.255.255.0

no ip redirects

no ip unreachables

no ip proxy-arp

ip nat inside

ip route-cache flow

no ip mroute-cache

speed auto

full-duplex

!

interface Async5

description connected to Dial-inPCs(modem)

ip unnumbered FastEthernet0

ip nat inside

encapsulation ppp

ip tcp header-compression passive

dialer in-band

dialer rotary-group 2

dialer-group 1

async mode dedicated

!

interface Dialer1

ip address negotiated

ip access-group FIREWALL-INCOMING in

ip access-group FIREWALL-OUTGOING out

no ip redirects

no ip unreachables

no ip proxy-arp

ip mtu 1492

ip nat outside

ip inspect internet in

ip inspect internet out

encapsulation ppp

ip route-cache flow

dialer pool 1

dialer-group 1

no cdp enable

ppp authentication chap pap callin

ppp chap hostname xxx

ppp chap password 7 xxx

ppp pap sent-username xxx password 7 xxx

ppp ipcp dns request

crypto map mymap

!

interface Dialer2

description connected to Dial-inPCs(modem)

ip unnumbered FastEthernet0

ip access-group Dialin-modem in

ip nat inside

encapsulation ppp

ip tcp header-compression passive

dialer in-band

dialer-group 1

peer default ip address pool DIALIN-MODEM

no cdp enable

ppp authentication chap

!

interface Dialer3

description connected to Dial-inPCs(ISDN)

ip unnumbered FastEthernet0

ip access-group DIALIN-ISDN in

ip nat inside

encapsulation ppp

no ip split-horizon

dialer in-band

dialer-group 1

peer default ip address pool DIALIN-ISDN

no cdp enable

ppp authentication chap pap callin

ppp multilink

!

router rip

version 2

redistribute static

passive-interface Dialer1

network 192.168.4.0

network 192.168.10.0

no auto-summary


#8 romeo310

romeo310

    Junior Member

  • 79 Beiträge

 

Geschrieben 28. April 2006 - 09:41


!

ip local pool DIALIN-MODEM 192.168.10.250

ip local pool DIALIN-ISDN 192.168.10.251 192.168.10.252

ip local pool ippool 192.168.4.1 192.168.4.253

ip nat inside source list TRIGGER-CONNECT interface Dialer1 overload

ip nat inside source static tcp 192.168.10.152 20 interface Dialer1 20

ip nat inside source static tcp 192.168.10.152 21 interface Dialer1 21

ip nat inside source static tcp 192.168.10.101 443 interface Dialer1 443

ip nat inside source static tcp 192.168.10.7 5060 interface Dialer1 5060

ip nat inside source static tcp 192.168.10.101 22 interface Dialer1 22

ip classless

ip route 0.0.0.0 0.0.0.0 Dialer1

no ip http server

no ip http secure-server

!

!

!

ip access-list extended FIREWALL-INCOMING

 permit udp host 131.188.3.223 eq ntp any

 permit udp host 131.188.3.222 eq ntp any

 permit udp host 131.188.3.221 eq ntp any

 permit udp host 131.188.3.220 eq ntp any

 permit udp any eq 5060 any

 permit icmp any any echo-reply

 permit tcp any any eq 22

 permit tcp any any eq 443

 permit ip 192.168.4.0 0.0.0.255 any

 permit ip 192.168.10.0 0.0.0.255 any

 permit udp any any eq isakmp

 permit udp any any eq non500-isakmp

 permit esp any any

 permit tcp any any eq ftp-data

 permit tcp any any eq ftp

 deny   ip any any log

ip access-list extended FIREWALL-OUTGOING

 permit ip any any

 deny   ip any any log

ip access-list extended TRIGGER-CONNECT

 deny   ip 192.168.4.0 0.0.0.255 192.168.4.0 0.0.0.255

 deny   ip 192.168.10.0 0.0.0.255 192.168.4.0 0.0.0.255

 permit ip 192.168.10.0 0.0.0.255 any

 deny   ip any any log

ip access-list extended VPNROUTES-CLIENTS

 permit ip any any

 deny   ip any any

ip access-list extended VTY-SSH

 permit ip 192.168.10.0 0.0.0.255 any

access-list 10 permit 131.188.3.220

access-list 10 permit 131.188.3.221

access-list 10 permit 131.188.3.222

access-list 10 permit 131.188.3.223

access-list 10 permit 192.168.10.0 0.0.0.255

dialer-list 1 protocol ip permit

dialer-list 2 protocol ip permit

!

banner motd #CCCCC

*********************************************************************

*                     WARNING !!!!!                                 *

*								    *

*            Firewall Router. RESTRICTED ACCESS                     *

*                                                                   *

*            No Unauthorised Access.                                *

*                                                                   *

*            No Hackers, Phreaks, Crackers or so called security    *

*            experts allowed!                                       *

*                                                                   *

*            Unauthorized use of this system will be logged and     *

*            prosecuted to the fullest extent of the law !          *

*								    *

*            Contact:     [email]webmaster@domain.de[/email]			    *

*								    *

*	        We fight against Spam and Hackers !!!!              *

*********************************************************************

#

!

line con 0

 exec-timeout 120 0

 password 7 xxx

line aux 0

line vty 0 4

 access-class VTY-SSH in

 exec-timeout 0 0

 password 7 xxx

 transport input ssh

!

ntp clock-period 17042046

ntp access-group peer 10

ntp master 2

ntp server 131.188.3.223

ntp server 131.188.3.222

ntp server 131.188.3.221

ntp server 131.188.3.220

end



#9 romeo310

romeo310

    Junior Member

  • 79 Beiträge

 

Geschrieben 28. April 2006 - 09:43

Hab so langsam das gefühl, dass mit dem nat was nicht stimmt für vpn clients. irgendwas blockt oder sperrt, aber warum gehen dan die dns resolver ???

#10 romeo310

romeo310

    Junior Member

  • 79 Beiträge

 

Geschrieben 29. April 2006 - 08:09

Habe mal im Cisco Forum gepostet. Dort bekam ich zumindest mal einen Lösungsansatz, auf dem Outbound Interface

ip tcp adjust-mms 1440

einzutragen.

Habs auf´m Dialer1 und mal auf´m Ethernet0 probiert.

Immer noch das selbse Problem.

Hat keiner noch eine Idee ???

#11 Wordo

Wordo

    Board Veteran

  • 3.213 Beiträge

 

Geschrieben 02. Mai 2006 - 08:09

Brauchst du RIP2? Wenn nein, raus damit ... und nimm mal den ip inspect auf dem Dialer1 raus, und dann noch diese FIREWALL_OUTGOING. Ah ja, und ip nat outside kannste vom ETH0 wegnehmen, weils bei Dialer1 drinsteht und an ETH0 gebunden wird. Sollte fuer die crypto map eigentlich auch gelten.

#12 romeo310

romeo310

    Junior Member

  • 79 Beiträge

 

Geschrieben 02. Mai 2006 - 12:50

Hi,

danke erst mal für die Antwort:

habe nun folgendes geändert, wie oben beschrieben:

conf te
interface ethernet0
no ip nat outside
no crypto map mymap
!
interface Dialer1
no ip access-group FIREWALL-OUTGOING out
no ip inspect internet in
no ip inspect internet out
!
no router rip
!
end


Leider kann ich dann nicht mehr ins Netz mit dem Router. VPN Zugang geht noch, aber immer noch mit dem besagten Problem. Dass intern wieder Mails usw. abgeholt werden können, hab ich vorerst die Änderungen wieder rückgängig gemacht.

Stehe immer noch auf´m Schlauch. Bin momentan schon dabei, evtl. die

ip access-list extended VPNROUTES-CLIENTS
permit ip any any
deny any any log

zu ändern auf:

ip access-list extended VPNROUTES-CLIENTS
permit 192.168.11.0 0.0.0.255 any
permit 192.168.4.0 0.0.0.255 any
deny any any log

Werde es mal probieren. Werde auch Posten nach test.

#13 romeo310

romeo310

    Junior Member

  • 79 Beiträge

 

Geschrieben 02. Mai 2006 - 12:55

habs nun mal getestet. War´s leider auch nicht.

Any Ideas ???

#14 Wordo

Wordo

    Board Veteran

  • 3.213 Beiträge

 

Geschrieben 02. Mai 2006 - 13:00

Echt? Komisch, dann musste wohl bei ETH0 ip unnumbered dialer 1 machen, dann das Dialer1 resetten und dann sollte es auch ohne dem nat auf ETH0 klappen. Hast du das RIP auch wieder rein?

#15 romeo310

romeo310

    Junior Member

  • 79 Beiträge

 

Geschrieben 02. Mai 2006 - 13:49

Hi,

ja, RIP habe ich auch wieder drin. Probiere das nachher nochmal mit dem Dialer 1 aus. poste dann auf jeden Fall wieder.

MFG

romeo310