onedread

access-list VPN_NO_NAT permit ip 10.11.0.0 255.255.0.0 172.16.87.0 255.255.255.0 access-list beckft permit ip 10.11.0.0 255.255.0.0 172.16.87.0 255.255.255.0 nat (inside) 0 access-list VPN_NO_NAT crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac <--- More ---> crypto dynamic-map dyn-beckft 10 set transform-set ESP-3DES-MD5 crypto map outside_map 10 ipsec-isakmp dynamic dyn-beckft crypto map outside_map 20 ipsec-isakmp crypto map outside_map 20 set peer XXX crypto map outside_map 20 set transform-set ESP-3DES-MD5 ! Incomplete crypto map outside_map interface outside isakmp enable outside isakmp key ******** address XXXX netmask 255.255.255.255 no-xauth no-config-mode isakmp nat-traversal 20 isakmp policy 10 authentication pre-share isakmp policy 10 encryption 3des isakmp policy 10 hash sha isakmp policy 10 group 2 isakmp policy 10 lifetime 86400 isakmp policy 30 authentication pre-share isakmp policy 30 encryption 3des isakmp policy 30 hash md5 isakmp policy 30 group 2 isakmp policy 30 lifetime 86400 vpngroup beckft address-pool beckft vpngroup beckft split-tunnel beckft vpngroup beckft idle-time 1800 vpngroup beckft password ******** Zur Info der statische site to site Tunnel ist nicht mehr aktiv. Achja noch ne Frage auf Der Pix ist ein vpdn konfiguirert mit pppoe für einen adsl anschluss gibt es einen Befehl wo ich den ADSL Tunnel sagen kann das er sich connecten soll? thx onedread

HI so ich kann nun den Tunnel aufmachen bekomme auch eine IP und die dynamische ACl wird auch angelegt. Nur kann ich auf keine Ressource im Netzwerk zugreifen. hab auch noch nat (inside) 0 access-l VPN_NO_NAT gemacht. aber es ist kein Traffic möglich. ciao onedread

aha ok, des is ja schon mal was :) thx werd das mal gleich überprüfen. onedread

crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac crypto map outside_map 20 ipsec-isakmp crypto map outside_map 20 set peer XXX crypto map outside_map 20 set transform-set ESP-3DES-MD5 ! Incomplete crypto map outside_map interface outside isakmp key ******** address XXX netmask 255.255.255.255 no-xauth no-config-mode isakmp policy 10 authentication pre-share isakmp policy 10 encryption 3des isakmp policy 10 hash sha isakmp policy 10 group 2 isakmp policy 10 lifetime 86400 isakmp policy 30 authentication pre-share isakmp policy 30 encryption 3des isakmp policy 30 hash md5 isakmp policy 30 group 2 isakmp policy 30 lifetime 86400

HI hab mal versucht Testweise einen VPN aufzubauen über den Cisco VPNCLient, leider ohne Erfolg bekomme imer die Meldung: ISAKMP malformed payload received hab mir schon die Messages auf der Cisco Seite angekuckt und auch den Presharred key geändert leider ohne Erfolge. Mit der Suchfunktion hab ich leider keine Lösung gefunden. 702206 Error Message %PIX-7-702206: ISAKMP malformed payload received (local <ip> (initiator|responder), remote <ip>) Explanation ISAKMP received an illegal or malformed message. May indicate an out of sync problem with the remote peer, a problem decrypting a message, or a message received out of order. Recommended Action If using preshared key, verify local preshared key is configured correctly on local and remote device. Check local and remote configuration, additional troubleshooting may be required if SA fails to come up. Hier die VPN Konfig ip local pool beckft 172.16.87.1-172.16.87.10 mask 255.255.255.0 access-l VPN_NO_NAT permit ip 10.11.0.0 255.255.0.0 172.16.87.0 255.255.255.0 access-l beckft permit ip 10.11.0.0 255.255.0.0 172.16.87.0 255.255.255.0 vpngroup beckft password password vpngroup beckft address-pool beckft vpngroup beckft split-tunnel beckft vpngroup beckft idle-time 1800 mfg onedread

OK vielleicht hab ich nicht alles gesagt damit mir geholfen werden kann. Internes Netz Vlan1 10.10.0.0 255.255.0.0 WLAN für Notebooks VLAN4 10.40.0.0 255.255..0.0 IP LOCAL POOL FÜR VPN CLIENT 172.16.83.0 255.255.255.0 Wenn VPN connected kann ich ins VLAN1 hab dann uneingeschränkten zugriff bis aufs Internet. Deswegen meine Frage wie komm ich ins Internet via WLAN und dann VPN. thx onedread

Hi Wir haben in einem VLAN4 unsere Notebooks via WLAN hängen, im 4 VLAN ist es so, das die nichts dürfen so lange der VPN Tunnel nicht steht soll auch so sein. Nur wenn man nun den VPN Tunnel aufmacht kommt man ins interne Netz, aber kann nicht Internetsurfen. Muss man da nun eine Route einstellen oder ne ACL am Inside Interface? Bin für jede Hilfe dankbar. thx onedread

HI was meinst du mit zu betankendem Router das sagt mir mal überhaupt sicht.? Für was für eine Installation würde man diese Konstellation brauchen? mfg onedread

HI Habe folgendes Problem und zwar wir haben 2 Router als VoiceGateways und einen CCM4.1. Nun mein Problem Ich habe ein Telefon installiert mit der Nummer 801. Wenn man nun von extern aus diese Nummer wählt dann meldet sich ein Fax. So nun hab ich mir die config der Router angesehen und folgendes gefunden. dial-peer voice 1000 voip description zum Callmanager destination-pattern [1-7]T progress_ind setup enable 3 translate-outgoing calling 2 voice-class codec 10 session target ipv4:10.20.10.11 dtmf-relay h245-alphanumeric fax-relay ecm disable fax rate 9600 no vad ! dial-peer voice 2000 pots description LocalViaE1 destination-pattern 0T progress_ind alert enable 8 progress_ind progress enable 8 progress_ind connect enable 8 direct-inward-dial port 0/0:15 ! dial-peer voice 8000 voip description externe Faxe UMS destination-pattern 8T progress_ind setup enable 3 translate-outgoing calling 2 session target ipv4:10.10.11.11 dtmf-relay h245-alphanumeric codec g711alaw fax-relay ecm disable fax rate 9600 fax protocol t38 ls-redundancy 0 hs-redundancy 0 fallback cisco ip qos dscp cs5 media no vad Wie kann man diese ConfigZeilen den interpretieren? bzw. wie kann ich debuggen damit mir angezeigt wird welche Nummer anruft und wo sie hin geroutet wird. thx 4 help onedread

HI habs jetzt rausgefunden, ich musste alle statics rausnehmen damit ich dann übers VPN auf die Dienste zugreifen konnte. Aber jetzt stellt sich natürlich die Frage kann ich nun auf services zugreifen ohne den VPN aufzumachen? Weil wenn ich jetzt gerade bei einem PC bin wo ich keinen VPN Client habe, wie kann ich das nun realisieren? Ist keine Firma VPN läuft bei mir zu Hause. mfg onedread

hi nur die 108 damit ich sage welcher Verkehr verschüsselt wird die sieht wie folgt aus. access-list 108 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 sonst ist keine ACL gebunden. nur noch die 100 für nat deaktiverung. access-list 100 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 access-list 100 permit ip 192.168.1.0 0.0.0.255 any access-list 100 permit tcp 192.168.1.0 0.0.0.255 any access-list 100 deny ip any any log thx onedread

HI also nun ist es ein bisschen komisch weil es funktioniert ssh auf meinen wlan router intern dateifreigabe übers vpn aber zum Beispiel kann ich nicht VNC, HTTP auf den WLAN Router und auch kein ftp. sh ip nat translations | include 192.168.2 tcp XXX:9080 192.168.1.1:80 192.168.2.9:48796 192.168.2.9:48796 tcp XXX:21 192.168.1.50:21 192.168.2.4:33019 192.168.2.4:33019 tcp XXX:21 192.168.1.50:21 192.168.2.4:56475 192.168.2.4:56475 tcp XXX:21 192.168.1.50:21 192.168.2.4:56504 192.168.2.4:56504 tcp XXX:21 192.168.1.50:21 192.168.2.9:54846 192.168.2.9:54846 tcp 8XXX:5900 192.168.1.50:5900 192.168.2.3:1999 192.168.2.3:1999 tcp XXX:49152 192.168.1.50:49152 192.168.2.3:3049 192.168.2.3:3049 tcp XXX:49152 192.168.1.50:49152 192.168.220.100:1466 192.168.220.100:1466 so wie kann ich nun feststellen warum dieses Problem nun besteht? Und welche privilege level braucht der User damit man sich damit am VPN anmelden kann.!!. thx onedread

HI hab jetzt die Lösung gefunden ich musste nur noch diese Zeile entfernen ip nat inside source list 1 interface dialer 0 overload. Jetzt kann ich zwar auf die Laufwerke von den einzelnen Rechner zugreifen aber zum Beispiel VNC funktioniert nicht. tipps? onedread

hmm, das geht bei mir ned wirklich weil da reagiert mein router sonderbarer weise nicht mehr. owa meine acl's und die route map sollten passen? onedread

HI also bei mir geht das noch nicht hab jetzt deine sachen so angepasst wie ich es mir gedacht hatte. ip nat inside source route-map nonat interface Dialer0 overload route-map nonat permit 10 match ip address 106 access-list 106 remark Fuer NoNAT Regel access-list 106 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 access-list 106 permit ip 192.168.1.0 0.0.0.255 any 192.168.1.0 sind die internen Clients hinter dem Router 192.168.2.0 sind die VPN Clients achja und wie dreh ich das nat debug auf debug ip nat ? und dann die acl oder wie? thx onedread

he danke , hab grad meinen router neugestartet weil von dem ganzn rumprobieren wusste ich gar nicht mehr wo mir der Kopf steht. werd das dann gleich mal ausprobieren ich glaub das das mein Problem lösen wird hatte das heute schon des öfteren gelesen. werd mich dann wieder meldn wenns geht :) thx onedread

Ist zwar ein bisschen Umständlich aber mit copy und paste könntest du für jeden user ein eigens VPN einrichten und so ihm die gewünschte ip geben.

HI Kann mich via VPN bei meinem Router anmelden nur komm ich dann nicht in mein internes Netz, wenn ich einen Ping auf einen CLient im Netz mache bekomme ich die Antwort von meiner Öffentlichen Ip Adresse zurück. Ist wahrscheinlich nur ein kleines NAT/Routing Problem, wie mach ich das ich auf meine internen Rechner zugreifen kann. Hab mir folgende Doku Configuring a Router IPsec Tunnel Private-to-Private Network with NAT and a Static - Cisco Systems schon durchgelesen aber weiss nicht genau ob es das ist was ich will. version 12.3 service nagle no service pad service timestamps debug uptime service timestamps log uptime service password-encryption hostname Router1 boot-start-marker boot-end-marker logging buffered 16000 debugging enable secret 5 XXX enable password 7 XXX no aaa new-model ip subnet-zero no ip source-route no ip dhcp conflict logging ip dhcp excluded-address 10.10.10.1 ip dhcp pool home network 192.168.1.0 255.255.255.0 default-router 192.168.1.100 dns-server 195.58.160.194 195.58.161.122 domain-name iss.local lease 2 ip cef ip domain name iss.local ip name-server 195.58.160.194 ip name-server 195.58.161.122 ip inspect log drop-pkt username CRWS_Kannan privilege 15 password 7 015757406C5A002E65431F062A2007135A5955787A7071616473 username onedread privilege 15 password 7 1502190D1D78212520 crypto isakmp policy 3 encr 3des authentication pre-share group 2 no crypto isakmp ccm crypto isakmp client configuration group VPNHOME key XXX dns 192.168.1.100 pool vpnpool acl 108 crypto ipsec transform-set myset esp-aes esp-sha-hmac crypto dynamic-map dynmap 10 set transform-set myset crypto map clientmap client authentication list userauthen crypto map clientmap isakmp authorization list groupauthor crypto map clientmap client configuration address respond crypto map clientmap 10 ipsec-isakmp dynamic dynmap interface Ethernet0 ip address 192.168.1.100 255.255.255.0 ip nat inside ip virtual-reassembly ip tcp adjust-mss 1452 no ip mroute-cache hold-queue 100 out interface ATM0 no ip address no ip mroute-cache atm vc-per-vp 64 no atm ilmi-keepalive dsl operating-mode auto pvc 8/48 encapsulation aal5mux ppp dialer dialer pool-member 1 interface Dialer0 ip address negotiated no ip redirects ip mtu 1492 ip nat outside ip virtual-reassembly encapsulation ppp ip tcp adjust-mss 1452 dialer pool 1 dialer remote-name redback dialer-group 1 no cdp enable ip local pool vpnpool 192.168.2.1 192.168.2.10 ip classless ip route 0.0.0.0 0.0.0.0 Dialer0 ip http server no ip http secure-server ! ip nat inside source list 1 interface Dialer0 overload logging trap debugging logging 192.168.1.50 access-list 1 permit 192.168.1.0 0.0.0.255 access-list 1 deny any log access-list 108 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 dialer-list 1 protocol ip permit control-plane thx onedread

HI hast du dem VLAN1 eine IP gegeben interface Vlan1 ip address 10.10.20.10 255.255.0.0 no ip route-cache end oder einem physikalischen Interface? Weiters solltest du noch die Lines konfigurieren line vty 0 4 password XXX login line vty 5 15 password XXX login mfg onedread

HMm Könnte sein das der IPSEC Dienst nicht Automatisch startet. Dieses Problem hatte ich mal. Check meine Dienste ab IPSEC-Dienste sollte der heissen. mfg onedread

HI ist zwar nur eine Vermutung aber kann man beim Client nicht auch nen normal mode einstellen. Unexpected SW error occurred while processing Aggressive Mode negotiator Vielleicht liegt der Fehler ja dort. mfg manu

HI Ich denke du musst folgendes nat (inside) 0 access-list inside_outbound_nat0_acl mit nat (inside) 0 access-list inside_access ersetzen. dann sollte es glaube ich funktionieren. poste mal obs passst. ciao onedread

hi es funktioniert nun seltsamer weise hatte das ganze immer nur mit dem dos ftp client getestet dann hab ich mla zufällig den filezilla ftp client benutzt und siehe da es funktioniert kann der ftp client der mit dem xp mitkommt kein passive ftp? thx 4 help onedread

hi naja würd eigentlich gern passive ftp benutzen hab auch am server eingestellt das er 6000 - 6010 als ports benutzten diese hab ich auch mittels statics in den router eingetragen doch leider funktioniert das auch nicht. ka ahnung was ich da alles einstellen muss das es läuft habe schon soviel ausprobiert das ich nicht merh weiß wo mir der Kopf steht. thx 4 help onedread

HI Ich hab einen FTP Server laufen bei mir kann mich auch connecten aber leider kann ich keine Dateiauflistung machen also bringt mir der FTP Server leider nichts. Kämpfe schon sehr lange mit dem Problem aber leider ohne Erfolg. Hat jemand nen Tipp boot-start-marker boot-end-marker ! logging buffered 16000 debugging enable secret 5 $1$pFav$gIBT5KfrliecFx5d0d35z1 enable password 7 124517121F041A012E75 ! no aaa new-model ip subnet-zero no ip source-route no ip dhcp conflict logging ip dhcp excluded-address 10.10.10.1 ! ip dhcp pool home network 192.168.1.0 255.255.255.0 default-router 192.168.1.100 dns-server 195.58.160.194 195.58.161.122 domain-name iss.local lease 2 ! ! ip cef ip domain name iss.local ip name-server 195.58.160.194 ip name-server 195.58.161.122 ip inspect log drop-pkt XXXX! no crypto isakmp ccm interface Ethernet0 ip address 192.168.1.100 255.255.255.0 ip nat inside ip virtual-reassembly ip tcp adjust-mss 1452 no ip mroute-cache hold-queue 100 out interface ATM0 no ip address no ip mroute-cache atm vc-per-vp 64 no atm ilmi-keepalive dsl operating-mode auto pvc 8/48 encapsulation aal5mux ppp dialer dialer pool-member 1 interface Dialer0 ip address negotiated no ip redirects ip mtu 1492 ip nat outside ip virtual-reassembly encapsulation ppp ip tcp adjust-mss 1452 dialer pool 1 dialer remote-name redback dialer-group 1 no cdp enable ppp authentication chap pap callin ppp chap hostname XXX ppp chap password 7 XXXX ppp pap sent-username XXX password 7 XXX hold-queue 224 in ip classless ip route 0.0.0.0 0.0.0.0 Dialer0 ip http server no ip http secure-server ip nat inside source list 1 interface Dialer0 overload ip nat inside source static tcp 192.168.1.50 5800 interface Dialer0 5800 ip nat inside source static tcp 192.168.1.50 5900 interface Dialer0 5900 ip nat inside source static udp 192.168.1.50 8767 interface Dialer0 8767 ip nat inside source static udp 192.168.1.50 49152 interface Dialer0 49152 ip nat inside source static tcp 192.168.1.50 49152 interface Dialer0 49152 ip nat inside source static tcp 192.168.1.50 21 interface Dialer0 21 ip nat inside source static udp 192.168.1.50 21 interface Dialer0 21 ip nat inside source static tcp 192.168.1.10 3389 interface Dialer0 3389 ! logging trap debugging logging 192.168.1.50 access-list 1 permit 192.168.1.0 0.0.0.255 access-list 1 deny any log access-list 2 permit any access-list 101 permit udp any host 192.168.1.50 eq 8767 access-list 101 permit tcp any host 192.168.1.50 eq 5900 access-list 101 permit tcp any host 192.168.1.100 eq telnet access-list 101 permit udp any host 192.168.1.100 eq 23 access-list 101 deny ip any any log dialer-list 1 protocol ip permit ! ! control-plane ! ! voice-port 1 ! voice-port 2 ! voice-port 3 ! voice-port 4 ! ! line con 0 exec-timeout 120 0 password 7 XXX login local stopbits 1 line vty 0 4 exec-timeout 120 0 password 7 XXX login local length 0 transport input ssh ! scheduler max-task-time 5000 sntp server XXX end