thomasruta

Danke für die schnelle antwort, doch leider beantwortet diese meine Frage nicht.

 

Meine Frage geht hin zu der Client Verbindung -> nicht Server config...

 

Hat jemand in der Vergangenheit solch eine Konfiuration mal vorgenommen, da es ja jetzt nichtmehr unterstützt wird...

 

Andernfalls wären Zertifikate die einzige Lsg.

 

Unter Windows 2000 Pro lässt sich der Key nicht unter Sicherheit bei der Verbindugn eintragen!!!

 

Danke

 

Thomas Ruta

Hallo zusammen,

 

habe da ein Problem. Das VPN läuft sauber - mit XP

aber unter 2000 Pro finde ich nicht die Möglichkeit den Key wie unter XP bei der DFÜ Verbindung den Key zu hinterlegen!

Bei dem Writer "Sicherheit" ist unten nicht das gewünschte Feld!

 

Gibt es hier einen REG Key?

 

Featurepack, ...?

 

Danke im Vorraus

 

Viele Grüße

 

Thomas

http://edited by grizzly999

Hallo

Hinter der Datei oder der Version?

C1700-k9o3sy7-mz.123-1a.bin

oder

Cisco IOS Software, C836 Software (C836-K9O3Y6-M), Version 12.3(8)T11, RELEASE S

 

Kannst das IOS aber nur mit der Entsprechenden Lizenz bei Cisco downloaden...

Viele Grüße

Thomas

Cisco 836 und MS-ISA 2004 als VPN Server L2TP/IPSec

 

ce-got-mz-01#sh run

Building configuration...

 

Current configuration : 3297 bytes

!

version 12.3

no service pad

service timestamps debug datetime msec

service timestamps log datetime msec

no service password-encryption

!

hostname ce-got-mz-01

!

boot-start-marker

boot-end-marker

!

logging buffered 51200 warnings

!

clock timezone cet 0

no aaa new-model

ip subnet-zero

!

!

ip ips po max-events 100

no ftp-server write-enable

isdn switch-type basic-net3

!

!

username thorut privilege 15 secret 5 xx

username petgot privilege 15 secret 5 xx

!

!

!

!

!

interface Ethernet0

description Gottron-wi-lan

ip address 192.168.100.1 255.255.255.248

no ip redirects

no ip unreachables

no ip proxy-arp

ip nat inside

ip virtual-reassembly

ip tcp adjust-mss 1452

no cdp enable

!

interface BRI0

description Backup ISDN Interface

no ip address

no ip redirects

no ip unreachables

encapsulation ppp

shutdown

dialer pool-member 1

isdn switch-type basic-net3

no cdp enable

!

interface ATM0

no ip address

no ip redirects

no ip unreachables

no ip proxy-arp

snmp ifindex persist

no atm ilmi-keepalive

dsl operating-mode annexb-ur2

pvc 1/32

pppoe-client dial-pool-number 2

!

!

interface FastEthernet1

no ip address

duplex auto

speed auto

!

interface FastEthernet2

no ip address

duplex auto

speed auto

!

interface FastEthernet3

no ip address

duplex auto

speed auto

!

interface FastEthernet4

no ip address

duplex auto

speed auto

!

interface Dialer1

ip address negotiated

ip mtu 1492

ip nat outside

ip virtual-reassembly

encapsulation ppp

ip tcp adjust-mss 1452

no ip mroute-cache

dialer pool 2

dialer-group 2

no cdp enable

ppp authentication chap callin

ppp chap hostname xx

ppp chap password 0 xx

ppp pap sent-username xx password 0 xx

!

ip classless

ip route 0.0.0.0 0.0.0.0 Dialer1

ip http server

ip http authentication local

ip http secure-server

ip http timeout-policy idle 5 life 86400 requests 10000

ip dns server

ip nat inside source list 11 interface Dialer1 overload

ip nat inside source static tcp 192.168.100.2 1723 interface Dialer1 1723

!

!

access-list 11 permit 192.168.100.2

access-list 11 permit 192.168.250.210

access-list 100 permit esp any host 192.168.100.2

access-list 100 permit gre any host 192.168.100.2

access-list 100 permit udp any host 192.168.100.2 eq isakmp

access-list 100 permit udp any host 192.168.100.2 eq 1701

access-list 100 permit tcp any host 192.168.100.2 eq 500

access-list 100 permit tcp any host 192.168.100.2 eq 1723

dialer-list 2 protocol ip permit

no cdp run

!

control-plane

!

banner login ^C

-----------------------------------------------------------------------

++++++++++++++++++++++++

+ R&P IT Consulting +

+ Cisco 836 +

+ Support +

+ http://support.thomasruta.de +

++++++++++++++++++++++++

-----------------------------------------------------------------------

^C

!

line con 0

login local

no modem enable

line aux 0

line vty 0 4

privilege level 15

login local

transport input telnet ssh

!

scheduler max-task-time 5000

no rcapi server

!

!

end

 

Vielen Dank für die Hilfestellung ;-)

 

Thomas Ruta

Vielen Dank!

Du hast mir sehr geholfen!

 

Jetzt hat es geklappt!

 

Viele Grüße

 

Thomas Ruta

http://www.r-p-it.de

Windows Server können auch IPSec und L2tp jedoch kann ich die den genauen Weg nicht sagen, jedoch kann man zum Beispiel über einen Cisco über eine chap/pap authentifizierung sich über ein VPN an einem Winows VPN Server anmelden können. Ist zwar dann kein nicht die beste authentifizierung aber wenn die daten noch über IPsec verschlüsselst dann klappt das mit der Sicherheit auch noch...

 

Habs aber noch nie probiert!

Wie geht das mit der list und sind gre pakete (1723 und GRE ) das gleiche wie L2tp/IPSEC ?

Die Ports sind hier 1701 udp und tcp 500 ? Lt MS...

ip nat inside source list 11 interface Dialer1 overload

ip nat inside source static tcp 192.168.100.2 3389 interface Dialer1 3389

ip nat inside source static tcp 192.168.100.2 1723 interface Dialer1 1723

ip nat inside source static esp 192.168.100.2 interface Dialer1

ip nat inside source static tcp 192.168.100.2 500 interface Dialer1 500

ip nat inside source static udp 192.168.100.2 1701 interface Dialer1 1701

!

!

access-list 100 permit ipinip any any

access-list 100 permit ip any any

 

Wie baue ich die hier ein?

Danke für die Unterstützung ;-)

Wenn ich den Cisco davor hänge geht es nichtmehr so richtig.

Für den VPN Sevrer benötige ich 1701 udp für L2tp und 500 TCP für den IKE.

1723 ist pptp wäre aber vorab auch OK weil dann liegt es nicht an GRE.

 

Aber es kommt nix im ISA an! Bzw. eine Initialisierung aber kein GRE Paket!

Was gibt es da zu tun?

 

Habe es mal mit

ip nat inside source static esp 192.168.100.2 interface Dialer1

+

access-list 100 permit ipinip any any

access-list 100 permit ip any any

 

geht aber nicht

?

Hallo zusammen.

 

habe versucht ein VPN (Windows L2tp/Ipsec) durch einen Cisco zu veröffentlichen...

Klappt aber nicht zu recht.

 

Woran kann das liegen?

 

*Mar 1 05:17:02.354: %SYS-5-CONFIG_I: Configured from console by thorut on vty2

(89.53.118.67)

*Mar 1 05:17:38.566: %IPNAT-6-NAT_DELETED: Deleted udp 192.168.100.2:1067 84.16

8.5.7:1067 213.198.89.85:53 213.198.89.85:53

*Mar 1 05:17:38.694: %IPNAT-6-NAT_CREATED: Created udp 192.168.100.2:1067 84.16

8.5.7:1067 213.198.89.85:53 213.198.89.85:53

*Mar 1 05:18:16.482: %IPNAT-6-NAT_DELETED: Deleted tcp 192.168.100.2:17080 84.1

68.5.7:17080 63.210.62.190:80 63.210.62.190:80

*Mar 1 05:18:38.506: %IPNAT-6-NAT_CREATED: Created udp 192.168.100.2:1067 84.16

8.5.7:1067 192.43.172.30:53 192.43.172.30:53

*Mar 1 05:18:38.606: %IPNAT-6-NAT_CREATED: Created udp 192.168.100.2:1067 84.16

8.5.7:1067 66.180.174.61:53 66.180.174.61:53

*Mar 1 05:19:38.934: %IPNAT-6-NAT_DELETED: Deleted udp 192.168.100.2:1067 84.16

8.5.7:1067 192.43.172.30:53 192.43.172.30:53

 

Scheint nach der Initialisierung über udp 1701 und tcp 500 keine gre Pakete durchzulassen?

 

kann aber protokoll 47 oder so nicht in der static nat liste hinzufügen...

ip classless

ip route 0.0.0.0 0.0.0.0 Dialer1

ip http server

ip http authentication local

ip http secure-server

ip http timeout-policy idle 5 life 86400 requests 10000

ip dns server

ip nat log translations syslog

ip nat inside source list 11 interface Dialer1 overload

ip nat inside source static tcp 192.168.100.2 3389 interface Dialer1 3389

ip nat inside source static tcp 192.168.100.2 1723 interface Dialer1 1723

ip nat inside source static esp 192.168.100.2 interface Dialer1

ip nat inside source static tcp 192.168.100.2 500 interface Dialer1 500

ip nat inside source static udp 192.168.100.2 1701 interface Dialer1 1701

 

pptp geht auch nicht!

 

Hat jemand eine Ahnung?

 

Danke

 

Viele Grüße

 

Thomas Ruta

http://edited by grizzly999

Danke für die Aufmerksam keit habe ich auch nachdem ich mir alles nochmals durchgelesen habe gefunden.

Die Installation hat auch soweit geklappt.

 

Ich wollte aber noch ein VPN über l2tp und ipsec realisieren. Hier gibt es Probleme...

 

*Mar 1 05:17:02.354: %SYS-5-CONFIG_I: Configured from console by thorut on vty2

(89.53.118.67)

*Mar 1 05:17:38.566: %IPNAT-6-NAT_DELETED: Deleted udp 192.168.100.2:1067 84.16

8.5.7:1067 213.198.89.85:53 213.198.89.85:53

*Mar 1 05:17:38.694: %IPNAT-6-NAT_CREATED: Created udp 192.168.100.2:1067 84.16

8.5.7:1067 213.198.89.85:53 213.198.89.85:53

*Mar 1 05:18:16.482: %IPNAT-6-NAT_DELETED: Deleted tcp 192.168.100.2:17080 84.1

68.5.7:17080 63.210.62.190:80 63.210.62.190:80

*Mar 1 05:18:38.506: %IPNAT-6-NAT_CREATED: Created udp 192.168.100.2:1067 84.16

8.5.7:1067 192.43.172.30:53 192.43.172.30:53

*Mar 1 05:18:38.606: %IPNAT-6-NAT_CREATED: Created udp 192.168.100.2:1067 84.16

8.5.7:1067 66.180.174.61:53 66.180.174.61:53

*Mar 1 05:19:38.934: %IPNAT-6-NAT_DELETED: Deleted udp 192.168.100.2:1067 84.16

8.5.7:1067 192.43.172.30:53 192.43.172.30:53

 

Scheint nach der Initialisierung über udp 1701 und tcp 500 keine gre Pakete durchzulassen?

 

kann aber protokoll 47 oder so nicht in der static nat liste hinzufügen...

ip classless

ip route 0.0.0.0 0.0.0.0 Dialer1

ip http server

ip http authentication local

ip http secure-server

ip http timeout-policy idle 5 life 86400 requests 10000

ip dns server

ip nat log translations syslog

ip nat inside source list 11 interface Dialer1 overload

ip nat inside source static tcp 192.168.100.2 3389 interface Dialer1 3389

ip nat inside source static tcp 192.168.100.2 1723 interface Dialer1 1723

ip nat inside source static esp 192.168.100.2 interface Dialer1

ip nat inside source static tcp 192.168.100.2 500 interface Dialer1 500

ip nat inside source static udp 192.168.100.2 1701 interface Dialer1 1701

 

pptp geht auch nicht!

 

Hat jemand eine Ahnung?

 

Danke

 

Viele Grüße

 

Thomas Ruta

yo jetzt klappt's!!

 

Vielen Dank

habe mal einen Reload gemacht ;-)

Danke habe nur einen DSL Anschluß und muß umstecken...

aber habe 192.168.100.0 0.0.0.248 durch any ersetzt. Hilft nicht wirklich

am NAT liegt es nicht meint Ihr?

Hallo,

 

ich habe ein Problem mit einem 836. Einwahl funtioniert einwandfrei, jedoch Zugang erhält kein Client im Netz!

Im syslog steht auch nix access-list...

 

Hat jemand eine Idee?

interface Ethernet0

description xx

ip address 192.168.100.1 255.255.255.248

no ip redirects

no ip unreachables

no ip proxy-arp

ip nat inside

ip virtual-reassembly

ip tcp adjust-mss 1452

no cdp enable

!

interface BRI0

description Backup ISDN Interface

no ip address

no ip redirects

no ip unreachables

encapsulation ppp

shutdown

dialer pool-member 1

isdn switch-type basic-net3

no cdp enable

!

interface ATM0

no ip address

no ip redirects

no ip unreachables

no ip proxy-arp

snmp ifindex persist

no atm ilmi-keepalive

dsl operating-mode annexb-ur2

pvc 1/32

pppoe-client dial-pool-number 2

!

!

interface FastEthernet1

no ip address

duplex auto

speed auto

!

interface FastEthernet2

no ip address

duplex auto

speed auto

!

interface FastEthernet3

no ip address

duplex auto

speed auto

!

interface FastEthernet4

no ip address

duplex auto

speed auto

!

interface Dialer1

ip address negotiated

ip mtu 1492

ip nat outside

ip virtual-reassembly

encapsulation ppp

ip tcp adjust-mss 1452

no ip mroute-cache

dialer pool 2

dialer-group 2

no cdp enable

ppp authentication chap callin

ppp chap hostname dsl/xx@congster.de

ppp chap password 0 xx

ppp pap sent-username dsl/xx@congster.de password 0 xx

 

!

ip classless

ip route 0.0.0.0 0.0.0.0 Dialer1

ip http server

ip http authentication local

ip http secure-server

ip http timeout-policy idle 5 life 86400 requests 10000

ip dns server

ip nat log translations syslog

ip nat inside source list 11 interface Dialer1 overload

!

!

access-list 11 permit 192.168.100.0 0.0.0.248

access-list 100 permit ip 192.168.100.0 0.0.0.248 any

no cdp run

 

Würde mich freuen wenn mir jemand helfen könnte?

Denke das Problem wird in meiner NAT config sein?

 

Vielen Dank im Voraus!

 

Thomas Ruta