protec

morgen,

 

also ich hab nun mal den registry eintrag gesetzt leider fehlanzeige.

der telnet versuch ging auch schief.hab aber mal auf den server mitgesniffert. es kamen dort pakete für das protokol isakmp an und wurden auch wieder losgeschickt...

 

ist es möglich das mein router vom client das nicht zu mir nattet?

schau mal was ich in nem andern thread gefunden habe:

 

http://support.microsoft.com/default.aspx?scid=kb;de;885407

http://support.microsoft.com/default.aspx?scid=kb;de;885348

 

hab diesen angesprochenen fall auf mein home pc grad geprüft....winXP mit SP2 und diesen eintrag musste ich erst setzen....

werd ich morgen auch mal schauen....

 

da steht auch das der port 4500 für das ike ist - hat also doch ne funktion :p

gut muss ich morgen dann mal probieren da ich nun nicht mehr auf arbeit bin.... bist morgen auch wieder da?

also telnet hab ich ja nicht aktiviert.... und wenn ich es so im browser eingebe:

 

http://217.244.212.150:1701/

 

dann sagt er verbindungfehlgeschlagen

leider nicht...

 

der wählt immer zu der ip und weiter nicht...

na 1701 is der vpn port....

500 für isakmp

und 4500 keine ahnung :)

und den eigentlich vpn port 1701 nicht oder doch?

jo der router soll nur zum server natten wenns geht... mehr nicht...

also war der vorhergehende aufwand völlig umsonst?

 

klasse!

 

und was muss ich dann machen? der router läßt es ja nicht durch?

so nun habe ich das ganze nochmal über netzwerk probiert ob ich mich überhaupt am server anmelden kann und welches protokoll genutzt wird.

der server is ja im vlan 10 und der client im vlan 30... und beim sniffen auf dem client wurden nur isakmp und esp protokolle ausgetauscht und i surf auch im moment über die verbindung...sind momentan auch keine crypto... befehle drin, aber das hängt sicher damit zusammen das es über netzwerk getunnelt wird...was is also verkehrt???

bin völlig verzweifelt :|

mal noch ne andere sache....ich komme mit dem server gar nicht mehr ins netz....erst wenn ich den befehl crypto map test vom dialer nehme...

der vpn server steht aber hinter dem router....der router hat ja das internet und der server soll auf vpn anfragen reagieren....

@ wordo

 

deswegen hab ich ja die statische route angegeben:

ip route 172.16.10.2 255.255.255.255 fa 0/0.10 denke das meinst oder?

 

und wie soll ich vpn nicht natten?den port 1701 sperren?

also statische route hab die zum server über die entsprechende schnittstelle.

 

ip route 172.16.10.2 255.255.255.255 fa 0/0.10

 

is recht so?

was meinst mit statische route?

 

von wo nach wo??

 

 

ich habe mal mitgesniffert vom client aus und da geht immer nur isakmp protocol raus und sonst nix anderes.

bei router sagt der auch immer folgendes wenn ich mich einwählen will:

 

*Apr 7 16:21:59.720: %CRYPTO-4-RECVD_PKT_NOT_IPSEC: Rec'd packet not an IPSEC p

acket.

(ip) vrf/dest_addr= /217.244.211.221, src_addr= 217.83.x.x, prot= 17

 

EDIT:

217.244.211.221 - is die ip von der bri (is aber nun wieder down :) )

die acl hab so gemacht da die verbindung eine dynamische ip hat und ich nicht dauernd umstellen will...

 

und wie stelle ich dann AH aus?

also ich hab das mal so abgetippelt...

weiß nun leider nciht ob das protokoll AH aktiv ist, da ich noch nichts zum abschalten gefunden habe bei windows..

hier meine konfig:

 

 

service timestamps debug datetime msec

service timestamps log datetime msec

no service password-encryption

!

!

boot-start-marker

boot-end-marker

!

!

no aaa new-model

!

resource policy

!

memory-size iomem 10

mmi polling-interval 60

no mmi auto-configure

no mmi pvc

mmi snmp-timeout 180

ip cef

!

!

!

!

ip name-server 194.25.2.129

!

isdn switch-type basic-net3

!

!

crypto isakmp policy 1

authentication pre-share

group 5

lifetime 43200

crypto isakmp key 123456 address 0.0.0.0 0.0.0.0

!

crypto ipsec transform-set Z-NL1a esp-des

!

crypto map test 1 ipsec-isakmp

set peer 192.168.1.110

set security-association lifetime seconds 43200

set transform-set Z-NL1a

set pfs group1

match address 110

!

interface FastEthernet0/0

no ip address

no ip proxy-arp

no ip split-horizon

speed auto

!

interface FastEthernet0/0.10

encapsulation dot1Q 10

ip address 172.16.10.1 255.255.255.240

no ip redirects

ip nat inside

ip virtual-reassembly

no snmp trap link-status

!

interface FastEthernet0/0.20

encapsulation dot1Q 20

ip address 172.16.20.1 255.255.255.0

ip access-group 102 in

no ip redirects

ip nat inside

ip virtual-reassembly

no snmp trap link-status

!

interface FastEthernet0/0.30

encapsulation dot1Q 30

ip address 172.16.30.1 255.255.255.0

no ip redirects

ip nat inside

ip virtual-reassembly

no snmp trap link-status

!

interface BRI0/0

no ip address

ip access-group 101 out

encapsulation ppp

load-interval 30

dialer pool-member 1

isdn switch-type basic-net3

isdn point-to-point-setup

no cdp enable

!

interface Ethernet1/0

no ip address

shutdown

half-duplex

!

interface Dialer1

description ISDN

ip address negotiated

no ip proxy-arp

ip nat outside

ip virtual-reassembly

encapsulation ppp

ip tcp header-compression

ip tcp compression-connections 64

dialer pool 1

dialer idle-timeout 30

dialer string

dialer load-threshold 80 either

dialer-group 1

ppp authentication chap pap callin

ppp chap hostname

ppp chap password

ppp pap sent-username

ppp multilink

crypto map test

!

ip route 0.0.0.0 0.0.0.0 Dialer1

!

ip http server

no ip http secure-server

ip nat inside source list 101 interface Dialer1 overload

ip nat inside source static tcp 172.16.10.2 1701 interface Dialer1 1701

ip nat inside source static udp 172.16.10.2 500 interface Dialer1 500

ip nat inside source static udp 172.16.10.2 1701 interface Dialer1 1701

ip nat inside source static esp 172.16.10.2 interface Dialer1

ip nat inside source static tcp 172.16.10.2 1723 interface Dialer1 1723

ip nat inside source static udp 172.16.10.2 1723 interface Dialer1 1723

ip nat inside source static tcp 172.16.10.2 50 interface Dialer1 50

ip nat inside source static tcp 172.16.10.2 51 interface Dialer1 51

!

access-list 101 permit ip any any

access-list 102 permit udp any any eq domain

access-list 102 permit tcp any any eq domain

access-list 102 permit tcp any any eq ftp

access-list 102 permit tcp any any eq ftp-data

access-list 102 permit tcp any any eq klogin

access-list 102 permit tcp any any eq kshell

access-list 102 permit tcp any any eq login

access-list 102 permit tcp any any eq lpd

access-list 102 permit tcp any any eq www

access-list 102 permit tcp any any eq 443

access-list 102 permit tcp any any eq echo

access-list 102 permit tcp any any eq pop3

access-list 102 permit tcp any any eq smtp

access-list 102 permit icmp any any

access-list 110 permit ip any any

access-list 110 permit ahp any any

access-list 110 permit esp any any

dialer-list 1 protocol ip list 101

!

control-plane

!

!

line con 0

line aux 0

line vty 0 4

login

!

end

 

 

hoffe eienr weiß was ich verkehrt mache :/

gut zu wissen. weißt auch warum? aus sicherheitsgründen?

ist das nur bei cisco so oder allegemein?

noch was zur verständnis...

 

!

crypto isakmp key word address 200.200.201.3

# vorkonfigurierter Schlüssel ISAKMP

!

 

die 200er ip ist die ip vom client der zum server will?

 

!

set peer 200.200.201.3

# Festlegung des Kommunikationspartners IPSEC

!

 

hier ja dann sicher das gleiche spiel?

 

!

 

access-list 100 permit ip 192.168.3.0 0.0.0.255 200.200.206.128 0.0.0.127

access-list 100 permit ip 192.168.3.0 0.0.0.255 200.200.212.0 0.0.0.255

# Definition des interessanten, IPSec-auslösenden Verkehrs IPSEC

!

!

 

das mit den acl's is mir auch noch nicht ganz klar? was sind denn das für bereiche? 200.200.206.128 0.0.0.127 und die 200.200.212.x

cool mit erklärung.vielen dank!!!!

 

wie sieht es denn da abermit nat aus?

 

der router is ja vor dem server geschalten?hab da im moment tcp/upd 1701 und 500.müssen als eintrag bleiben oder?

hast schon mal mit einem trunk versucht?

hi,

 

also als erstes kommt ja in den benutzermodus(switch>). du musst aber in den priviligierten benutzermodus. das erreichst du mit dem befehl 'enable'

ich gehe mal davon aus das kein passwort drauf ist. so dann müsste switch#> da stehen. jetzt kannst du dich da austoben.

die nächsten befehle:

configure terminal(um in den konfigurationsmodus zu gelangen)

interface vlan 1(standard vlan)

und dann mit 'no shutdown' die logische schnittstelle aktivieren und dann sollte es gehen....

welche ccna version wird da benutzt?

 

ich mache diesen kurs auch und hatte vorher schon drauf rumgeklippert und bin dadurch recht schnell durch die ersten 2 semester gekommen..bin jetzt im 3. semester.

 

normalerweise ist doch zu jedem modul ein test zumachen und dann der final test fürs jeweilige semester...

wie soll das bitte in einer woche zu schaffen sein...?

Hallo Leute,

 

ich hab mich mal hier angemeldet um von euch hilfe zu erfahren. Bin auf der Arbeit grade dabei einen Server zu konfigurieren und davor einen Cisco Router zustellen.

Habe auf den Cisco Router schon Inter-VLAN-Routing zu laufen.....was denke ich irrelevant für das VPN sein mag...

in VLAN 1 habe ich den server dran und sonst nix.Verbindung für Internet wird über eine BRI hergestellt.

der Client der sich auf dem Server einwählt hat einen DSLer als Internet..

 

So nun habe ich es erstmal mittels PPTP versucht....wunderbar geklappt nachdem ich port und das richtige IOS hatte....

okay weiter... VPN mit L2TP und IPSec.

klappte nicht. Okay gesucht und probiert ging nicht...verschiedene crypto Befehle probiert und weggenommen und mit Mobile IP und will einfach nicht...der bleibt beim Verbindungsaufbau mit IP sounso immer stehen....und sagt dann Zeitüberschreitung.

 

hat dafür jemand eine Konfig?wäre echt super....

 

Vielen Dank