romeo310

Hi,

war also auch nix. Selbst wenn ich die Config von Cisco 1 zu 1 übernehme und nur mal einen roadwarrior probieren will, hauts nicht hin. Bekomme zwar Verbindung, was den Client angeht, kann aber nix pingen oder Dienste nutzen.

Bin am Ende mit dem 1720 !

Wenn jemand noch einen Weisen Rat hat, wäre ich ganz Ohr.

Cya

romeo310

So, werde nun nochmal alles VPN relevante kicken und hiernach gehen:

http://www.cisco.com/warp/public/707/ios_D.pdf

Melde mich dann nochmals.

Hi,

leider nein. VPNCLIENT-ROUTES mal rausgenommen, immer noch nicht.

Hab jetzt auch nochmal probiert:

ip nat inside source route-map nonat interface Dialer1 overload

route-map nonat permit 10

match ip address 199

access-list 199 deny ip 192.168.11.0 0.0.0.255 192.168.4.0 0.0.0.255

access-list 199 permit ip 192.168.11.0 0.0.0.255 any

Same Prob.....

Schmeiß dat Teil gleich weg.......

:(

hmmm...geht auch nicht, kann zwar immer noch alles pingen. Im VPN Client bekome ich dann:

12:16:10.259 05/04/06 Sev=Info/4 IPSEC/0x63700019

Activate outbound key with SPI=0x320bc670 for inbound key with SPI=0x3ee3759b

der 1720 macht gateway für den linux ! Der linux hat forwarding an, die Clients nutzen dadurch den Linux auch als Gateway !

Ich probiere mal als Gateway vom w2k aus die ip vom 1720 und dem VPN !

Hmmm, also

der Linux Server (192.168.11.8) fungiert als interner DNS Server (Bind9) und proxy (nicht transparent) für Internet.

Gateway mit PPPoE ist der 1720 (192.168.11.1)

VNC Server (192.168.11.50) ist ein w2k. Dieser hat als Nameserver und Gateway den o.g. Linux Rechner drin.

Funzt auch alles 1a.

???

hmmm, wenn ich das richtig interpretiern kann, bekomme ich von meinem netzinternen linux dns server (192.168.11.8) einen ICMP error zurück:

Destination (auf meinen VPN Client mit der IP 192.168.4.6) unrechable (Port unreachable)

zurück ????

Jaja, die Tiefen der Netze !

Jemand eine Idee ???

mache nun mal ein ethereal von meiner seite aus !

hab doch was gefunden...

der vpn client stellt ein syn und ack an den vnc server.

vpn client hat die 192.168.4.4 und stellt an den vnc Server 192.168.11.50 ein syn.

Der VNC Server gibt ein syn und ack zurück.

Danach gibts vom vpn client 192.168.4.4 ein rst --> Reset------warum ???

Ich bin langsam völligt platt von dem Teil ! :(

so,

nu hab ich mal ein ethereal laufen lassen und eine vnc verbindung per VPN probiert.

Im Ethereal Rohdaten Protokoll taucht kein Ipsec, ESD oder ISA.

HMPF...................

So, Kiste hat wieder die alte Konfig :jau:

Komme somit auch wieder remote dran :)

Also, obere Konfig der 800er Serie schießt den 1700er Kasten ab.

VPN geht mit Einwahl, ping und DNS Auflösung gehen, aber immer noch kein SSH oder VNC.

:suspect: :nene: :schreck:

hmmm...,

habs mal wie oben beschrieben reingeklimpert, vorher meine relevanten konfigs vom vpn raus...

nu is router platt und macht nichts mehr, spiele die alte konfig nachher wieder ein, wenn ich daheim bin...

war´s wohl auch nicht

Brech bald ab mit dem Teil !

Greetz

romeo310

Thx Wordo,

werde ich mal probieren. Ethereal ist auch nicht vergessen.

Werde mich wieder melden.

Greetz

romeo310

Mal ne Frage:

Hat jemand das SDM auf einem 1720 zum laufen bekommen ???

Würde mich mal interessieren, wie das funzt.

Greetz

romeo310

hi nochmal,

vielleicht kann jemand mal seine funktionierende config mit WIC1Enet auf PPPoE Dialer posten, bei der das VPN zumindest mal mit dem Cisco VPN Client klappt.

Würde dann nochmal versuchen, auf einer solchen Konfiguration meine Kiste aufzubauen.

Wäre echt stark !!!

Grüße

romeo310

werde ich heute nicht dazu kommen. Morgen aber. Melde mich morgen dann nochmal.

Cya

romeo310

Hi,

ja, Internet geht noch. rip ist raus !

muss mal kurz weg, melde mich gegen 18:30 nochmal hier im thread.

Bin auf jeden fall da.

:)

router rip rausgenommen, same problem !

Habs nun auch mit ip unnumbered Dialer 1 probiert. Die Syntax zeiht nicht, da ich folgenden Text bekomme:

Point-to-Point (non-multi-acces) interfaces only

Hmpf

Hi,

ja, RIP habe ich auch wieder drin. Probiere das nachher nochmal mit dem Dialer 1 aus. poste dann auf jeden Fall wieder.

MFG

romeo310

habs nun mal getestet. War´s leider auch nicht.

Any Ideas ???

Hi,

danke erst mal für die Antwort:

habe nun folgendes geändert, wie oben beschrieben:

conf te

interface ethernet0

no ip nat outside

no crypto map mymap

!

interface Dialer1

no ip access-group FIREWALL-OUTGOING out

no ip inspect internet in

no ip inspect internet out

!

no router rip

!

end

Leider kann ich dann nicht mehr ins Netz mit dem Router. VPN Zugang geht noch, aber immer noch mit dem besagten Problem. Dass intern wieder Mails usw. abgeholt werden können, hab ich vorerst die Änderungen wieder rückgängig gemacht.

Stehe immer noch auf´m Schlauch. Bin momentan schon dabei, evtl. die

ip access-list extended VPNROUTES-CLIENTS

permit ip any any

deny any any log

zu ändern auf:

ip access-list extended VPNROUTES-CLIENTS

permit 192.168.11.0 0.0.0.255 any

permit 192.168.4.0 0.0.0.255 any

deny any any log

Werde es mal probieren. Werde auch Posten nach test.

Habe mal im Cisco Forum gepostet. Dort bekam ich zumindest mal einen Lösungsansatz, auf dem Outbound Interface

ip tcp adjust-mms 1440

einzutragen.

Habs auf´m Dialer1 und mal auf´m Ethernet0 probiert.

Immer noch das selbse Problem.

Hat keiner noch eine Idee ???

Hab so langsam das gefühl, dass mit dem nat was nicht stimmt für vpn clients. irgendwas blockt oder sperrt, aber warum gehen dan die dns resolver ???