protec
-
Gesamte Inhalte
48 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von protec
-
-
schau mal was ich in nem andern thread gefunden habe:
http://support.microsoft.com/default.aspx?scid=kb;de;885407
http://support.microsoft.com/default.aspx?scid=kb;de;885348
hab diesen angesprochenen fall auf mein home pc grad geprüft....winXP mit SP2 und diesen eintrag musste ich erst setzen....
werd ich morgen auch mal schauen....
da steht auch das der port 4500 für das ike ist - hat also doch ne funktion :p
-
gut muss ich morgen dann mal probieren da ich nun nicht mehr auf arbeit bin.... bist morgen auch wieder da?
-
also telnet hab ich ja nicht aktiviert.... und wenn ich es so im browser eingebe:
dann sagt er verbindungfehlgeschlagen
-
leider nicht...
der wählt immer zu der ip und weiter nicht...
-
na 1701 is der vpn port....
500 für isakmp
und 4500 keine ahnung :)
-
und den eigentlich vpn port 1701 nicht oder doch?
-
jo der router soll nur zum server natten wenns geht... mehr nicht...
also war der vorhergehende aufwand völlig umsonst?
klasse!
und was muss ich dann machen? der router läßt es ja nicht durch?
-
so nun habe ich das ganze nochmal über netzwerk probiert ob ich mich überhaupt am server anmelden kann und welches protokoll genutzt wird.
der server is ja im vlan 10 und der client im vlan 30... und beim sniffen auf dem client wurden nur isakmp und esp protokolle ausgetauscht und i surf auch im moment über die verbindung...sind momentan auch keine crypto... befehle drin, aber das hängt sicher damit zusammen das es über netzwerk getunnelt wird...was is also verkehrt???
bin völlig verzweifelt :|
-
mal noch ne andere sache....ich komme mit dem server gar nicht mehr ins netz....erst wenn ich den befehl crypto map test vom dialer nehme...
-
der vpn server steht aber hinter dem router....der router hat ja das internet und der server soll auf vpn anfragen reagieren....
-
@ wordo
deswegen hab ich ja die statische route angegeben:
ip route 172.16.10.2 255.255.255.255 fa 0/0.10 denke das meinst oder?
und wie soll ich vpn nicht natten?den port 1701 sperren?
-
also statische route hab die zum server über die entsprechende schnittstelle.
ip route 172.16.10.2 255.255.255.255 fa 0/0.10
is recht so?
-
was meinst mit statische route?
von wo nach wo??
ich habe mal mitgesniffert vom client aus und da geht immer nur isakmp protocol raus und sonst nix anderes.
bei router sagt der auch immer folgendes wenn ich mich einwählen will:
*Apr 7 16:21:59.720: %CRYPTO-4-RECVD_PKT_NOT_IPSEC: Rec'd packet not an IPSEC p
acket.
(ip) vrf/dest_addr= /217.244.211.221, src_addr= 217.83.x.x, prot= 17
EDIT:
217.244.211.221 - is die ip von der bri (is aber nun wieder down :) )
-
die acl hab so gemacht da die verbindung eine dynamische ip hat und ich nicht dauernd umstellen will...
und wie stelle ich dann AH aus?
-
also ich hab das mal so abgetippelt...
weiß nun leider nciht ob das protokoll AH aktiv ist, da ich noch nichts zum abschalten gefunden habe bei windows..
hier meine konfig:
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
memory-size iomem 10
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip cef
!
!
!
!
ip name-server 194.25.2.129
!
isdn switch-type basic-net3
!
!
crypto isakmp policy 1
authentication pre-share
group 5
lifetime 43200
crypto isakmp key 123456 address 0.0.0.0 0.0.0.0
!
crypto ipsec transform-set Z-NL1a esp-des
!
crypto map test 1 ipsec-isakmp
set peer 192.168.1.110
set security-association lifetime seconds 43200
set transform-set Z-NL1a
set pfs group1
match address 110
!
interface FastEthernet0/0
no ip address
no ip proxy-arp
no ip split-horizon
speed auto
!
interface FastEthernet0/0.10
encapsulation dot1Q 10
ip address 172.16.10.1 255.255.255.240
no ip redirects
ip nat inside
ip virtual-reassembly
no snmp trap link-status
!
interface FastEthernet0/0.20
encapsulation dot1Q 20
ip address 172.16.20.1 255.255.255.0
ip access-group 102 in
no ip redirects
ip nat inside
ip virtual-reassembly
no snmp trap link-status
!
interface FastEthernet0/0.30
encapsulation dot1Q 30
ip address 172.16.30.1 255.255.255.0
no ip redirects
ip nat inside
ip virtual-reassembly
no snmp trap link-status
!
interface BRI0/0
no ip address
ip access-group 101 out
encapsulation ppp
load-interval 30
dialer pool-member 1
isdn switch-type basic-net3
isdn point-to-point-setup
no cdp enable
!
interface Ethernet1/0
no ip address
shutdown
half-duplex
!
interface Dialer1
description ISDN
ip address negotiated
no ip proxy-arp
ip nat outside
ip virtual-reassembly
encapsulation ppp
ip tcp header-compression
ip tcp compression-connections 64
dialer pool 1
dialer idle-timeout 30
dialer string
dialer load-threshold 80 either
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname
ppp chap password
ppp pap sent-username
ppp multilink
crypto map test
!
ip route 0.0.0.0 0.0.0.0 Dialer1
!
ip http server
no ip http secure-server
ip nat inside source list 101 interface Dialer1 overload
ip nat inside source static tcp 172.16.10.2 1701 interface Dialer1 1701
ip nat inside source static udp 172.16.10.2 500 interface Dialer1 500
ip nat inside source static udp 172.16.10.2 1701 interface Dialer1 1701
ip nat inside source static esp 172.16.10.2 interface Dialer1
ip nat inside source static tcp 172.16.10.2 1723 interface Dialer1 1723
ip nat inside source static udp 172.16.10.2 1723 interface Dialer1 1723
ip nat inside source static tcp 172.16.10.2 50 interface Dialer1 50
ip nat inside source static tcp 172.16.10.2 51 interface Dialer1 51
!
access-list 101 permit ip any any
access-list 102 permit udp any any eq domain
access-list 102 permit tcp any any eq domain
access-list 102 permit tcp any any eq ftp
access-list 102 permit tcp any any eq ftp-data
access-list 102 permit tcp any any eq klogin
access-list 102 permit tcp any any eq kshell
access-list 102 permit tcp any any eq login
access-list 102 permit tcp any any eq lpd
access-list 102 permit tcp any any eq www
access-list 102 permit tcp any any eq 443
access-list 102 permit tcp any any eq echo
access-list 102 permit tcp any any eq pop3
access-list 102 permit tcp any any eq smtp
access-list 102 permit icmp any any
access-list 110 permit ip any any
access-list 110 permit ahp any any
access-list 110 permit esp any any
dialer-list 1 protocol ip list 101
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
login
!
end
hoffe eienr weiß was ich verkehrt mache :/
-
gut zu wissen. weißt auch warum? aus sicherheitsgründen?
ist das nur bei cisco so oder allegemein?
-
noch was zur verständnis...
!crypto isakmp key word address 200.200.201.3
# vorkonfigurierter Schlüssel ISAKMP
!
die 200er ip ist die ip vom client der zum server will?
!set peer 200.200.201.3
# Festlegung des Kommunikationspartners IPSEC
!
hier ja dann sicher das gleiche spiel?
!access-list 100 permit ip 192.168.3.0 0.0.0.255 200.200.206.128 0.0.0.127
access-list 100 permit ip 192.168.3.0 0.0.0.255 200.200.212.0 0.0.0.255
# Definition des interessanten, IPSec-auslösenden Verkehrs IPSEC
!
!
das mit den acl's is mir auch noch nicht ganz klar? was sind denn das für bereiche? 200.200.206.128 0.0.0.127 und die 200.200.212.x
-
cool mit erklärung.vielen dank!!!!
wie sieht es denn da abermit nat aus?
der router is ja vor dem server geschalten?hab da im moment tcp/upd 1701 und 500.müssen als eintrag bleiben oder?
-
hast schon mal mit einem trunk versucht?
-
hi,
also als erstes kommt ja in den benutzermodus(switch>). du musst aber in den priviligierten benutzermodus. das erreichst du mit dem befehl 'enable'
ich gehe mal davon aus das kein passwort drauf ist. so dann müsste switch#> da stehen. jetzt kannst du dich da austoben.
die nächsten befehle:
configure terminal(um in den konfigurationsmodus zu gelangen)
interface vlan 1(standard vlan)
und dann mit 'no shutdown' die logische schnittstelle aktivieren und dann sollte es gehen....
-
welche ccna version wird da benutzt?
ich mache diesen kurs auch und hatte vorher schon drauf rumgeklippert und bin dadurch recht schnell durch die ersten 2 semester gekommen..bin jetzt im 3. semester.
normalerweise ist doch zu jedem modul ein test zumachen und dann der final test fürs jeweilige semester...
wie soll das bitte in einer woche zu schaffen sein...?
-
Hallo Leute,
ich hab mich mal hier angemeldet um von euch hilfe zu erfahren. Bin auf der Arbeit grade dabei einen Server zu konfigurieren und davor einen Cisco Router zustellen.
Habe auf den Cisco Router schon Inter-VLAN-Routing zu laufen.....was denke ich irrelevant für das VPN sein mag...
in VLAN 1 habe ich den server dran und sonst nix.Verbindung für Internet wird über eine BRI hergestellt.
der Client der sich auf dem Server einwählt hat einen DSLer als Internet..
So nun habe ich es erstmal mittels PPTP versucht....wunderbar geklappt nachdem ich port und das richtige IOS hatte....
okay weiter... VPN mit L2TP und IPSec.
klappte nicht. Okay gesucht und probiert ging nicht...verschiedene crypto Befehle probiert und weggenommen und mit Mobile IP und will einfach nicht...der bleibt beim Verbindungsaufbau mit IP sounso immer stehen....und sagt dann Zeitüberschreitung.
hat dafür jemand eine Konfig?wäre echt super....
Vielen Dank
VPN mit IPSec durch Router(NAT)
in Cisco Forum — Allgemein
Geschrieben
morgen,
also ich hab nun mal den registry eintrag gesetzt leider fehlanzeige.
der telnet versuch ging auch schief.hab aber mal auf den server mitgesniffert. es kamen dort pakete für das protokol isakmp an und wurden auch wieder losgeschickt...
ist es möglich das mein router vom client das nicht zu mir nattet?