onedread
-
Gesamte Inhalte
377 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von onedread
-
-
HI
so ich kann nun den Tunnel aufmachen bekomme auch eine IP und die dynamische ACl wird auch angelegt.
Nur kann ich auf keine Ressource im Netzwerk zugreifen.
hab auch noch nat (inside) 0 access-l VPN_NO_NAT gemacht.
aber es ist kein Traffic möglich.
ciao
onedread
-
aha
ok, des is ja schon mal was :)
thx werd das mal gleich überprüfen.
onedread
-
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto map outside_map 20 ipsec-isakmp
crypto map outside_map 20 set peer XXX
crypto map outside_map 20 set transform-set ESP-3DES-MD5
! Incomplete
crypto map outside_map interface outside
isakmp key ******** address XXX netmask 255.255.255.255 no-xauth no-config-mode
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash sha
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
isakmp policy 30 authentication pre-share
isakmp policy 30 encryption 3des
isakmp policy 30 hash md5
isakmp policy 30 group 2
isakmp policy 30 lifetime 86400
-
HI
hab mal versucht Testweise einen VPN aufzubauen über den Cisco VPNCLient, leider ohne Erfolg bekomme imer die Meldung:
ISAKMP malformed payload received
hab mir schon die Messages auf der Cisco Seite angekuckt und auch den Presharred key geändert leider ohne Erfolge.
Mit der Suchfunktion hab ich leider keine Lösung gefunden.
702206
Error Message %PIX-7-702206: ISAKMP malformed payload received (local <ip>
(initiator|responder), remote <ip>)
Explanation ISAKMP received an illegal or malformed message. May indicate an out of sync problem with the remote peer, a problem decrypting a message, or a message received out of order.
Recommended Action If using preshared key, verify local preshared key is configured correctly on local and remote device. Check local and remote configuration, additional troubleshooting may be required if SA fails to come up.
Hier die VPN Konfig
ip local pool beckft 172.16.87.1-172.16.87.10 mask 255.255.255.0
access-l VPN_NO_NAT permit ip 10.11.0.0 255.255.0.0 172.16.87.0 255.255.255.0
access-l beckft permit ip 10.11.0.0 255.255.0.0 172.16.87.0 255.255.255.0
vpngroup beckft password password
vpngroup beckft address-pool beckft
vpngroup beckft split-tunnel beckft
vpngroup beckft idle-time 1800
mfg
onedread
-
OK
vielleicht hab ich nicht alles gesagt damit mir geholfen werden kann.
Internes Netz Vlan1
10.10.0.0
255.255.0.0
WLAN für Notebooks VLAN4
10.40.0.0
255.255..0.0
IP LOCAL POOL FÜR VPN CLIENT
172.16.83.0
255.255.255.0
Wenn VPN connected kann ich ins VLAN1 hab dann uneingeschränkten zugriff bis aufs Internet.
Deswegen meine Frage wie komm ich ins Internet via WLAN und dann VPN.
thx
onedread
-
Hi
Wir haben in einem VLAN4 unsere Notebooks via WLAN hängen, im 4 VLAN ist es so, das die nichts dürfen so lange der VPN Tunnel nicht steht soll auch so sein. Nur wenn man nun den VPN Tunnel aufmacht kommt man ins interne Netz, aber kann nicht Internetsurfen.
Muss man da nun eine Route einstellen oder ne ACL am Inside Interface?
Bin für jede Hilfe dankbar.
thx
onedread
-
HI
was meinst du mit zu betankendem Router das sagt mir mal überhaupt sicht.?
Für was für eine Installation würde man diese Konstellation brauchen?
mfg
onedread
-
HI
Habe folgendes Problem und zwar wir haben 2 Router als VoiceGateways und einen CCM4.1. Nun mein Problem Ich habe ein Telefon installiert mit der Nummer 801. Wenn man nun von extern aus diese Nummer wählt dann meldet sich ein Fax.
So nun hab ich mir die config der Router angesehen und folgendes gefunden.
dial-peer voice 1000 voip
description zum Callmanager
destination-pattern [1-7]T
progress_ind setup enable 3
translate-outgoing calling 2
voice-class codec 10
session target ipv4:10.20.10.11
dtmf-relay h245-alphanumeric
fax-relay ecm disable
fax rate 9600
no vad
!
dial-peer voice 2000 pots
description LocalViaE1
destination-pattern 0T
progress_ind alert enable 8
progress_ind progress enable 8
progress_ind connect enable 8
direct-inward-dial
port 0/0:15
!
dial-peer voice 8000 voip
description externe Faxe UMS
destination-pattern 8T
progress_ind setup enable 3
translate-outgoing calling 2
session target ipv4:10.10.11.11
dtmf-relay h245-alphanumeric
codec g711alaw
fax-relay ecm disable
fax rate 9600
fax protocol t38 ls-redundancy 0 hs-redundancy 0 fallback cisco
ip qos dscp cs5 media
no vad
Wie kann man diese ConfigZeilen den interpretieren?
bzw. wie kann ich debuggen damit mir angezeigt wird welche Nummer anruft und wo sie hin geroutet wird.
thx 4 help
onedread
-
HI
habs jetzt rausgefunden, ich musste alle statics rausnehmen damit ich dann übers VPN auf die Dienste zugreifen konnte.
Aber jetzt stellt sich natürlich die Frage kann ich nun auf services zugreifen ohne den VPN aufzumachen?
Weil wenn ich jetzt gerade bei einem PC bin wo ich keinen VPN Client habe, wie kann ich das nun realisieren?
Ist keine Firma VPN läuft bei mir zu Hause.
mfg
onedread
-
hi nur die 108 damit ich sage welcher Verkehr verschüsselt wird
die sieht wie folgt aus.
access-list 108 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
sonst ist keine ACL gebunden.
nur noch die 100 für nat deaktiverung.
access-list 100 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 100 permit ip 192.168.1.0 0.0.0.255 any
access-list 100 permit tcp 192.168.1.0 0.0.0.255 any
access-list 100 deny ip any any log
thx
onedread
-
HI
also nun ist es ein bisschen komisch weil es funktioniert ssh auf meinen wlan router intern dateifreigabe übers vpn aber zum Beispiel kann ich nicht VNC, HTTP auf den WLAN Router und auch kein ftp.
sh ip nat translations | include 192.168.2
tcp XXX:9080 192.168.1.1:80 192.168.2.9:48796 192.168.2.9:48796
tcp XXX:21 192.168.1.50:21 192.168.2.4:33019 192.168.2.4:33019
tcp XXX:21 192.168.1.50:21 192.168.2.4:56475 192.168.2.4:56475
tcp XXX:21 192.168.1.50:21 192.168.2.4:56504 192.168.2.4:56504
tcp XXX:21 192.168.1.50:21 192.168.2.9:54846 192.168.2.9:54846
tcp 8XXX:5900 192.168.1.50:5900 192.168.2.3:1999 192.168.2.3:1999
tcp XXX:49152 192.168.1.50:49152 192.168.2.3:3049 192.168.2.3:3049
tcp XXX:49152 192.168.1.50:49152 192.168.220.100:1466 192.168.220.100:1466
so wie kann ich nun feststellen warum dieses Problem nun besteht?
Und welche privilege level braucht der User damit man sich damit am VPN anmelden kann.!!.
thx
onedread
-
HI
hab jetzt die Lösung gefunden ich musste nur noch diese Zeile entfernen ip nat inside source list 1 interface dialer 0 overload. Jetzt kann ich zwar auf die Laufwerke von den einzelnen Rechner zugreifen aber zum Beispiel VNC funktioniert nicht. tipps?
onedread
-
hmm, das geht bei mir ned wirklich weil da reagiert mein router sonderbarer weise nicht mehr. owa meine acl's und die route map sollten passen?
onedread
-
HI
also bei mir geht das noch nicht hab jetzt deine sachen so angepasst wie ich es mir gedacht hatte.
ip nat inside source route-map nonat interface Dialer0 overload
route-map nonat permit 10
match ip address 106
access-list 106 remark Fuer NoNAT Regel
access-list 106 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 106 permit ip 192.168.1.0 0.0.0.255 any
192.168.1.0 sind die internen Clients hinter dem Router
192.168.2.0 sind die VPN Clients
achja und wie dreh ich das nat debug auf
debug ip nat ? und dann die acl oder wie?
thx
onedread
-
he danke , hab grad meinen router neugestartet weil von dem ganzn rumprobieren wusste ich gar nicht mehr wo mir der Kopf steht.
werd das dann gleich mal ausprobieren ich glaub das das mein Problem lösen wird hatte das heute schon des öfteren gelesen.
werd mich dann wieder meldn wenns geht :)
thx
onedread
-
Ist zwar ein bisschen Umständlich aber mit copy und paste könntest du für jeden user ein eigens VPN einrichten und so ihm die gewünschte ip geben.
-
HI
Kann mich via VPN bei meinem Router anmelden nur komm ich dann nicht in mein internes Netz, wenn ich einen Ping auf einen CLient im Netz mache bekomme ich die Antwort von meiner Öffentlichen Ip Adresse zurück.
Ist wahrscheinlich nur ein kleines NAT/Routing Problem, wie mach ich das ich auf meine internen Rechner zugreifen kann. Hab mir folgende Doku Configuring a Router IPsec Tunnel Private-to-Private Network with NAT and a Static - Cisco Systems schon durchgelesen aber weiss nicht genau ob es das ist was ich will.
version 12.3
service nagle
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
hostname Router1
boot-start-marker
boot-end-marker
logging buffered 16000 debugging
enable secret 5 XXX
enable password 7 XXX
no aaa new-model
ip subnet-zero
no ip source-route
no ip dhcp conflict logging
ip dhcp excluded-address 10.10.10.1
ip dhcp pool home
network 192.168.1.0 255.255.255.0
default-router 192.168.1.100
dns-server 195.58.160.194 195.58.161.122
domain-name iss.local
lease 2
ip cef
ip domain name iss.local
ip name-server 195.58.160.194
ip name-server 195.58.161.122
ip inspect log drop-pkt
username CRWS_Kannan privilege 15 password 7 015757406C5A002E65431F062A2007135A5955787A7071616473
username onedread privilege 15 password 7 1502190D1D78212520
crypto isakmp policy 3
encr 3des
authentication pre-share
group 2
no crypto isakmp ccm
crypto isakmp client configuration group VPNHOME
key XXX
dns 192.168.1.100
pool vpnpool
acl 108
crypto ipsec transform-set myset esp-aes esp-sha-hmac
crypto dynamic-map dynmap 10
set transform-set myset
crypto map clientmap client authentication list userauthen
crypto map clientmap isakmp authorization list groupauthor
crypto map clientmap client configuration address respond
crypto map clientmap 10 ipsec-isakmp dynamic dynmap
interface Ethernet0
ip address 192.168.1.100 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
no ip mroute-cache
hold-queue 100 out
interface ATM0
no ip address
no ip mroute-cache
atm vc-per-vp 64
no atm ilmi-keepalive
dsl operating-mode auto
pvc 8/48
encapsulation aal5mux ppp dialer
dialer pool-member 1
interface Dialer0
ip address negotiated
no ip redirects
ip mtu 1492
ip nat outside
ip virtual-reassembly
encapsulation ppp
ip tcp adjust-mss 1452
dialer pool 1
dialer remote-name redback
dialer-group 1
no cdp enable
ip local pool vpnpool 192.168.2.1 192.168.2.10
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
ip http server
no ip http secure-server
!
ip nat inside source list 1 interface Dialer0 overload
logging trap debugging
logging 192.168.1.50
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 1 deny any log
access-list 108 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
dialer-list 1 protocol ip permit
control-plane
thx onedread
-
HI
hast du dem VLAN1 eine IP gegeben
interface Vlan1
ip address 10.10.20.10 255.255.0.0
no ip route-cache
end
oder einem physikalischen Interface?
Weiters solltest du noch die Lines konfigurieren
line vty 0 4
password XXX
login
line vty 5 15
password XXX
login
mfg
onedread
-
HMm
Könnte sein das der IPSEC Dienst nicht Automatisch startet.
Dieses Problem hatte ich mal.
Check meine Dienste ab IPSEC-Dienste sollte der heissen.
mfg
onedread
-
HI
ist zwar nur eine Vermutung aber kann man beim Client nicht auch nen normal mode einstellen.
Unexpected SW error occurred while processing Aggressive Mode negotiator
Vielleicht liegt der Fehler ja dort.
mfg
manu
-
HI
Ich denke du musst folgendes nat (inside) 0 access-list inside_outbound_nat0_acl mit nat (inside) 0 access-list inside_access ersetzen.
dann sollte es glaube ich funktionieren.
poste mal obs passst.
ciao
onedread
-
hi
es funktioniert nun seltsamer weise hatte das ganze immer nur mit dem dos ftp client getestet dann hab ich mla zufällig den filezilla ftp client benutzt und siehe da es funktioniert kann der ftp client der mit dem xp mitkommt kein passive ftp?
thx 4 help
onedread
-
hi
naja würd eigentlich gern passive ftp benutzen hab auch am server eingestellt das er 6000 - 6010 als ports benutzten diese hab ich auch mittels statics in den router eingetragen doch leider funktioniert das auch nicht.
ka ahnung was ich da alles einstellen muss das es läuft habe schon soviel ausprobiert das ich nicht merh weiß wo mir der Kopf steht.
thx 4 help
onedread
-
HI
Ich hab einen FTP Server laufen bei mir kann mich auch connecten aber leider kann ich keine Dateiauflistung machen also bringt mir der FTP Server leider nichts. Kämpfe schon sehr lange mit dem Problem aber leider ohne Erfolg.
Hat jemand nen Tipp
boot-start-marker
boot-end-marker
!
logging buffered 16000 debugging
enable secret 5 $1$pFav$gIBT5KfrliecFx5d0d35z1
enable password 7 124517121F041A012E75
!
no aaa new-model
ip subnet-zero
no ip source-route
no ip dhcp conflict logging
ip dhcp excluded-address 10.10.10.1
!
ip dhcp pool home
network 192.168.1.0 255.255.255.0
default-router 192.168.1.100
dns-server 195.58.160.194 195.58.161.122
domain-name iss.local
lease 2
!
!
ip cef
ip domain name iss.local
ip name-server 195.58.160.194
ip name-server 195.58.161.122
ip inspect log drop-pkt
XXXX!
no crypto isakmp ccm
interface Ethernet0
ip address 192.168.1.100 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
no ip mroute-cache
hold-queue 100 out
interface ATM0
no ip address
no ip mroute-cache
atm vc-per-vp 64
no atm ilmi-keepalive
dsl operating-mode auto
pvc 8/48
encapsulation aal5mux ppp dialer
dialer pool-member 1
interface Dialer0
ip address negotiated
no ip redirects
ip mtu 1492
ip nat outside
ip virtual-reassembly
encapsulation ppp
ip tcp adjust-mss 1452
dialer pool 1
dialer remote-name redback
dialer-group 1
no cdp enable
ppp authentication chap pap callin
ppp chap hostname XXX
ppp chap password 7 XXXX
ppp pap sent-username XXX password 7 XXX
hold-queue 224 in
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
ip http server
no ip http secure-server
ip nat inside source list 1 interface Dialer0 overload
ip nat inside source static tcp 192.168.1.50 5800 interface Dialer0 5800
ip nat inside source static tcp 192.168.1.50 5900 interface Dialer0 5900
ip nat inside source static udp 192.168.1.50 8767 interface Dialer0 8767
ip nat inside source static udp 192.168.1.50 49152 interface Dialer0 49152
ip nat inside source static tcp 192.168.1.50 49152 interface Dialer0 49152
ip nat inside source static tcp 192.168.1.50 21 interface Dialer0 21
ip nat inside source static udp 192.168.1.50 21 interface Dialer0 21
ip nat inside source static tcp 192.168.1.10 3389 interface Dialer0 3389
!
logging trap debugging
logging 192.168.1.50
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 1 deny any log
access-list 2 permit any
access-list 101 permit udp any host 192.168.1.50 eq 8767
access-list 101 permit tcp any host 192.168.1.50 eq 5900
access-list 101 permit tcp any host 192.168.1.100 eq telnet
access-list 101 permit udp any host 192.168.1.100 eq 23
access-list 101 deny ip any any log
dialer-list 1 protocol ip permit
!
!
control-plane
!
!
voice-port 1
!
voice-port 2
!
voice-port 3
!
voice-port 4
!
!
line con 0
exec-timeout 120 0
password 7 XXX
login local
stopbits 1
line vty 0 4
exec-timeout 120 0
password 7 XXX
login local
length 0
transport input ssh
!
scheduler max-task-time 5000
sntp server XXX
end
Pix 506 Remote Vpn
in Cisco Forum — Allgemein
Geschrieben
access-list VPN_NO_NAT permit ip 10.11.0.0 255.255.0.0 172.16.87.0 255.255.255.0
access-list beckft permit ip 10.11.0.0 255.255.0.0 172.16.87.0 255.255.255.0
nat (inside) 0 access-list VPN_NO_NAT
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
<--- More --->
crypto dynamic-map dyn-beckft 10 set transform-set ESP-3DES-MD5
crypto map outside_map 10 ipsec-isakmp dynamic dyn-beckft
crypto map outside_map 20 ipsec-isakmp
crypto map outside_map 20 set peer XXX
crypto map outside_map 20 set transform-set ESP-3DES-MD5
! Incomplete
crypto map outside_map interface outside
isakmp enable outside
isakmp key ******** address XXXX netmask 255.255.255.255 no-xauth no-config-mode
isakmp nat-traversal 20
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash sha
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
isakmp policy 30 authentication pre-share
isakmp policy 30 encryption 3des
isakmp policy 30 hash md5
isakmp policy 30 group 2
isakmp policy 30 lifetime 86400
vpngroup beckft address-pool beckft
vpngroup beckft split-tunnel beckft
vpngroup beckft idle-time 1800
vpngroup beckft password ********
Zur Info der statische site to site Tunnel ist nicht mehr aktiv.
Achja noch ne Frage auf Der Pix ist ein vpdn konfiguirert mit pppoe für einen adsl anschluss gibt es einen Befehl wo ich den ADSL Tunnel sagen kann das er sich connecten soll?
thx
onedread