protec

morgen, also ich hab nun mal den registry eintrag gesetzt leider fehlanzeige. der telnet versuch ging auch schief.hab aber mal auf den server mitgesniffert. es kamen dort pakete für das protokol isakmp an und wurden auch wieder losgeschickt... ist es möglich das mein router vom client das nicht zu mir nattet?

schau mal was ich in nem andern thread gefunden habe: http://support.microsoft.com/default.aspx?scid=kb;de;885407 http://support.microsoft.com/default.aspx?scid=kb;de;885348 hab diesen angesprochenen fall auf mein home pc grad geprüft....winXP mit SP2 und diesen eintrag musste ich erst setzen.... werd ich morgen auch mal schauen.... da steht auch das der port 4500 für das ike ist - hat also doch ne funktion :p

gut muss ich morgen dann mal probieren da ich nun nicht mehr auf arbeit bin.... bist morgen auch wieder da?

also telnet hab ich ja nicht aktiviert.... und wenn ich es so im browser eingebe: http://217.244.212.150:1701/ dann sagt er verbindungfehlgeschlagen

leider nicht... der wählt immer zu der ip und weiter nicht...

na 1701 is der vpn port.... 500 für isakmp und 4500 keine ahnung :)

und den eigentlich vpn port 1701 nicht oder doch?

jo der router soll nur zum server natten wenns geht... mehr nicht... also war der vorhergehende aufwand völlig umsonst? klasse! und was muss ich dann machen? der router läßt es ja nicht durch?

so nun habe ich das ganze nochmal über netzwerk probiert ob ich mich überhaupt am server anmelden kann und welches protokoll genutzt wird. der server is ja im vlan 10 und der client im vlan 30... und beim sniffen auf dem client wurden nur isakmp und esp protokolle ausgetauscht und i surf auch im moment über die verbindung...sind momentan auch keine crypto... befehle drin, aber das hängt sicher damit zusammen das es über netzwerk getunnelt wird...was is also verkehrt??? bin völlig verzweifelt :|

mal noch ne andere sache....ich komme mit dem server gar nicht mehr ins netz....erst wenn ich den befehl crypto map test vom dialer nehme...

der vpn server steht aber hinter dem router....der router hat ja das internet und der server soll auf vpn anfragen reagieren....

@ wordo deswegen hab ich ja die statische route angegeben: ip route 172.16.10.2 255.255.255.255 fa 0/0.10 denke das meinst oder? und wie soll ich vpn nicht natten?den port 1701 sperren?

also statische route hab die zum server über die entsprechende schnittstelle. ip route 172.16.10.2 255.255.255.255 fa 0/0.10 is recht so?

was meinst mit statische route? von wo nach wo?? ich habe mal mitgesniffert vom client aus und da geht immer nur isakmp protocol raus und sonst nix anderes. bei router sagt der auch immer folgendes wenn ich mich einwählen will: *Apr 7 16:21:59.720: %CRYPTO-4-RECVD_PKT_NOT_IPSEC: Rec'd packet not an IPSEC p acket. (ip) vrf/dest_addr= /217.244.211.221, src_addr= 217.83.x.x, prot= 17 EDIT: 217.244.211.221 - is die ip von der bri (is aber nun wieder down :) )

die acl hab so gemacht da die verbindung eine dynamische ip hat und ich nicht dauernd umstellen will... und wie stelle ich dann AH aus?

also ich hab das mal so abgetippelt... weiß nun leider nciht ob das protokoll AH aktiv ist, da ich noch nichts zum abschalten gefunden habe bei windows.. hier meine konfig: service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! ! boot-start-marker boot-end-marker ! ! no aaa new-model ! resource policy ! memory-size iomem 10 mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ip cef ! ! ! ! ip name-server 194.25.2.129 ! isdn switch-type basic-net3 ! ! crypto isakmp policy 1 authentication pre-share group 5 lifetime 43200 crypto isakmp key 123456 address 0.0.0.0 0.0.0.0 ! crypto ipsec transform-set Z-NL1a esp-des ! crypto map test 1 ipsec-isakmp set peer 192.168.1.110 set security-association lifetime seconds 43200 set transform-set Z-NL1a set pfs group1 match address 110 ! interface FastEthernet0/0 no ip address no ip proxy-arp no ip split-horizon speed auto ! interface FastEthernet0/0.10 encapsulation dot1Q 10 ip address 172.16.10.1 255.255.255.240 no ip redirects ip nat inside ip virtual-reassembly no snmp trap link-status ! interface FastEthernet0/0.20 encapsulation dot1Q 20 ip address 172.16.20.1 255.255.255.0 ip access-group 102 in no ip redirects ip nat inside ip virtual-reassembly no snmp trap link-status ! interface FastEthernet0/0.30 encapsulation dot1Q 30 ip address 172.16.30.1 255.255.255.0 no ip redirects ip nat inside ip virtual-reassembly no snmp trap link-status ! interface BRI0/0 no ip address ip access-group 101 out encapsulation ppp load-interval 30 dialer pool-member 1 isdn switch-type basic-net3 isdn point-to-point-setup no cdp enable ! interface Ethernet1/0 no ip address shutdown half-duplex ! interface Dialer1 description ISDN ip address negotiated no ip proxy-arp ip nat outside ip virtual-reassembly encapsulation ppp ip tcp header-compression ip tcp compression-connections 64 dialer pool 1 dialer idle-timeout 30 dialer string dialer load-threshold 80 either dialer-group 1 ppp authentication chap pap callin ppp chap hostname ppp chap password ppp pap sent-username ppp multilink crypto map test ! ip route 0.0.0.0 0.0.0.0 Dialer1 ! ip http server no ip http secure-server ip nat inside source list 101 interface Dialer1 overload ip nat inside source static tcp 172.16.10.2 1701 interface Dialer1 1701 ip nat inside source static udp 172.16.10.2 500 interface Dialer1 500 ip nat inside source static udp 172.16.10.2 1701 interface Dialer1 1701 ip nat inside source static esp 172.16.10.2 interface Dialer1 ip nat inside source static tcp 172.16.10.2 1723 interface Dialer1 1723 ip nat inside source static udp 172.16.10.2 1723 interface Dialer1 1723 ip nat inside source static tcp 172.16.10.2 50 interface Dialer1 50 ip nat inside source static tcp 172.16.10.2 51 interface Dialer1 51 ! access-list 101 permit ip any any access-list 102 permit udp any any eq domain access-list 102 permit tcp any any eq domain access-list 102 permit tcp any any eq ftp access-list 102 permit tcp any any eq ftp-data access-list 102 permit tcp any any eq klogin access-list 102 permit tcp any any eq kshell access-list 102 permit tcp any any eq login access-list 102 permit tcp any any eq lpd access-list 102 permit tcp any any eq www access-list 102 permit tcp any any eq 443 access-list 102 permit tcp any any eq echo access-list 102 permit tcp any any eq pop3 access-list 102 permit tcp any any eq smtp access-list 102 permit icmp any any access-list 110 permit ip any any access-list 110 permit ahp any any access-list 110 permit esp any any dialer-list 1 protocol ip list 101 ! control-plane ! ! line con 0 line aux 0 line vty 0 4 login ! end hoffe eienr weiß was ich verkehrt mache :/

gut zu wissen. weißt auch warum? aus sicherheitsgründen? ist das nur bei cisco so oder allegemein?

noch was zur verständnis... die 200er ip ist die ip vom client der zum server will? hier ja dann sicher das gleiche spiel? das mit den acl's is mir auch noch nicht ganz klar? was sind denn das für bereiche? 200.200.206.128 0.0.0.127 und die 200.200.212.x

cool mit erklärung.vielen dank!!!! wie sieht es denn da abermit nat aus? der router is ja vor dem server geschalten?hab da im moment tcp/upd 1701 und 500.müssen als eintrag bleiben oder?

hast schon mal mit einem trunk versucht?

hi, also als erstes kommt ja in den benutzermodus(switch>). du musst aber in den priviligierten benutzermodus. das erreichst du mit dem befehl 'enable' ich gehe mal davon aus das kein passwort drauf ist. so dann müsste switch#> da stehen. jetzt kannst du dich da austoben. die nächsten befehle: configure terminal(um in den konfigurationsmodus zu gelangen) interface vlan 1(standard vlan) und dann mit 'no shutdown' die logische schnittstelle aktivieren und dann sollte es gehen....

welche ccna version wird da benutzt? ich mache diesen kurs auch und hatte vorher schon drauf rumgeklippert und bin dadurch recht schnell durch die ersten 2 semester gekommen..bin jetzt im 3. semester. normalerweise ist doch zu jedem modul ein test zumachen und dann der final test fürs jeweilige semester... wie soll das bitte in einer woche zu schaffen sein...?

Hallo Leute, ich hab mich mal hier angemeldet um von euch hilfe zu erfahren. Bin auf der Arbeit grade dabei einen Server zu konfigurieren und davor einen Cisco Router zustellen. Habe auf den Cisco Router schon Inter-VLAN-Routing zu laufen.....was denke ich irrelevant für das VPN sein mag... in VLAN 1 habe ich den server dran und sonst nix.Verbindung für Internet wird über eine BRI hergestellt. der Client der sich auf dem Server einwählt hat einen DSLer als Internet.. So nun habe ich es erstmal mittels PPTP versucht....wunderbar geklappt nachdem ich port und das richtige IOS hatte.... okay weiter... VPN mit L2TP und IPSec. klappte nicht. Okay gesucht und probiert ging nicht...verschiedene crypto Befehle probiert und weggenommen und mit Mobile IP und will einfach nicht...der bleibt beim Verbindungsaufbau mit IP sounso immer stehen....und sagt dann Zeitüberschreitung. hat dafür jemand eine Konfig?wäre echt super.... Vielen Dank