Chris Duse
-
Gesamte Inhalte
19 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von Chris Duse
-
-
Montag ist O.K.
Es läuft ja augenblicklich alles. Das Gerät soll halt im Laufe der nächsten Zeit ausgetauscht werden und dazu muss ich wissen wie ich das neue Gerät konfigurieren muss.
Es gibt halt nicht viele Infos und völlig Ahnungslos bin ich auch nicht, ich kenne mich halt Null mit Cisco-Routern aus. Aber ich lese mich bis Montag noch ein und dann werden sich wohl einige Fragen von selbst erledigt haben. Und wenn du mir dann noch ein bissle hilfst wird das schon ;-)
Ab wann bist du dann erreichbar? Hier im Forum (dürfte ja vielleicht auch für andere Interesant sein) oder per E-Mail/Messenger/Skype?
Vielen Dank
Ein schönes Wochenende noch
Gruss
Chris
-
Was mich an der Config Datei interesiert!
1) Zu welchen Netzen wird automatisch eine VPN Verbindung aufgebaut? Wie muss ich einen entfernten VPN-Server konfigurieren damit ein Net-to-Net Verbindung möglich ist.?
2) Wie ist der Zugriff auf den, im LAN liegenden, SAPRouter realisiert? Wie greift z.B. ein entfernter Heimwerker auf diesen Router zu? Baut der erst eine VPN-Verbindung zur Cisco auf und dann im LAN Zugriff auf den SAPRouter, der dann wiederum eine VPN-Verbindung durch die Cisco zum entfernten SAP-Server aufbaut? Stimmt das so oder sehe ich das falsch?
3) Ist es möglich von außen eine VPN Verbindung zur Cisco zu initieren? (z.B. Heimarbeiter ins LAN wegen Freigaben). Ist solch eine Verbindung mit den MS-Standart-Tools möglich? bzw. was für Einstellungen sind nötig?
4) Wie kann ich eine VPN-Verbindung durch den Router hindurch aufbauen? bzw. wie muss ich den Router konfigurieren? (z.B. Arbeitsplatzrechner auf VPN-Kundenserver)
5) Welche Ports werden ins LAN weitergeleited (Port Forwarding)
Wäre froh wenn jemand mit mir zusammen diese Fragen klärt. Es gibt keine Dokumentation der Einstellungen mehr und ich muss die augenblicklichen Einstellungen verstehen um sie auf einer anderen Hardware zu implementieren :-(
Vielen Dank
Chris
-
access-list 102 permit icmp any any
access-list 102 permit tcp host 155.55.155.241 host 192.168.1.2 eq telnet
access-list 102 permit tcp host 155.55.155.241 host 192.168.1.2 eq 22
access-list 102 deny ip any any log
access-list 103 remark Auto generated by SDM Management Access feature
access-list 103 remark SDM_ACL Category=1
access-list 103 permit ip host 155.55.155.3 any
access-list 103 permit ip 192.168.146.0 0.0.0.255 any
access-list 105 remark SDM_ACL Category=2
access-list 105 deny ip 192.168.146.0 0.0.0.255 192.168.187.0 0.0.0.255
access-list 105 permit ip 192.168.146.0 0.0.0.255 any
access-list 105 deny ip any any
access-list 125 permit ip 215.15.151.36 0.0.0.3 177.177.177.128 0.0.0.3
access-list 130 remark SDM_ACL Category=18
access-list 130 remark IPSec Rule
access-list 130 deny ip 192.168.146.0 0.0.0.255 192.168.22.0 0.0.0.255
access-list 130 deny ip 192.168.146.0 0.0.0.255 192.168.187.0 0.0.0.255
access-list 130 permit ip 192.168.146.0 0.0.0.255 any
access-list 150 permit ip 192.168.146.0 0.0.0.255 192.168.187.0 0.0.0.255
access-list 150 permit ip host 215.15.151.38 192.168.187.0 0.0.0.255
dialer-list 1 protocol ip permit
!
route-map nonat permit 10
match ip address 130
!
snmp-server community <removed> RO
snmp-server enable traps tty
snmp-server host 177.177.177.131 <removed>
!
line con 0
transport output telnet
line aux 0
line vty 0 4
access-class 103 in
transport input telnet ssh
transport output telnet ssh
!
ntp clock-period 17180059
ntp source Ethernet0
ntp server 177.177.177.129
!
end
-
interface Dialer1
description SUPPORT Dialin for Netzwerkfirma
ip unnumbered FastEthernet0
ip access-group 102 in
encapsulation ppp
dialer pool 1
dialer remote-name CISCO
dialer idle-timeout 300
dialer string 00496357435750
dialer caller 00496357435750 callback
dialer-group 1
ppp callback permit
ppp authentication chap
!
ip local pool ippool 192.168.187.1 192.168.187.63
ip nat pool 1 215.15.151.38 215.15.151.38 netmask 255.255.255.248
ip nat inside source route-map nonat pool 1 overload
ip nat inside source static 192.168.146.10 215.15.151.38
ip classless
ip route 0.0.0.0 0.0.0.0 215.15.151.33
ip http server
ip http access-class 1
no ip http secure-server
!
!
logging trap debugging
logging facility local0
access-list 1 remark Auto generated by SDM Management Access feature
access-list 1 remark SDM_ACL Category=1
access-list 1 permit 155.55.155.3
access-list 1 permit 192.168.146.0 0.0.0.255
access-list 100 remark SDM_ACL Category=17
access-list 100 permit ahp any host 215.15.151.37
access-list 100 permit tcp host 155.55.155.3 host 215.15.151.37 eq telnet
access-list 100 permit tcp host 155.55.155.3 host 215.15.151.37 eq 22
access-list 100 permit tcp host 155.55.155.3 host 215.15.151.37 eq www
access-list 100 permit tcp host 155.55.155.3 host 215.15.151.37 eq 443
access-list 100 permit tcp any host 215.15.151.38 eq ftp
access-list 100 permit tcp host 215.15.151.38 host 177.177.177.130 eq 3266
access-list 100 permit tcp host 177.177.177.130 eq 3266 host 215.15.151.38
access-list 100 deny tcp any host 215.15.151.37 eq cmd
access-list 100 deny udp any host 215.15.151.37 eq snmp
access-list 100 permit icmp any any
access-list 100 permit udp any host 215.15.151.38 eq isakmp
access-list 100 permit udp any host 215.15.151.38 eq non500-isakmp
access-list 100 permit tcp any host 215.15.151.38 eq 10000
access-list 100 permit udp any host 215.15.151.38 eq 10000
access-list 100 permit udp any host 215.15.151.37 eq isakmp
access-list 100 permit udp any host 215.15.151.37 eq non500-isakmp
access-list 100 permit tcp any host 215.15.151.37 eq 10000
access-list 100 permit udp any host 215.15.151.37 eq 10000
access-list 100 permit esp any host 215.15.151.37
access-list 100 permit udp host 130.133.1.10 host 215.15.151.37 eq ntp
access-list 100 permit tcp 177.177.177.128 0.0.0.3 host 215.15.151.38 eq 3299
access-list 100 permit udp 177.177.177.128 0.0.0.3 host 215.15.151.37
access-list 100 permit tcp 192.168.187.0 0.0.0.255 host 215.15.151.38 eq 3299
access-list 100 permit ip 192.168.187.0 0.0.0.255 192.168.146.0 0.0.0.255
access-list 100 deny ip any any log
access-list 101 remark SDM_ACL Category=4
access-list 101 remark IPSec Rule
access-list 101 permit ip 192.168.146.0 0.0.0.255 192.168.22.0 0.0.0.255
-
!
aaa authorization network vpnclientwft local
aaa session-id common
ip subnet-zero
!
!
no ip domain lookup
ip domain name Beispielfirma.de
ip name-server 193.141.40.1
ip name-server 4.2.2.2
ip dhcp excluded-address 192.168.146.1 192.168.146.19
ip dhcp excluded-address 192.168.146.101 192.168.146.254
!
ip dhcp pool sdm-pool1
network 192.168.146.0 255.255.255.0
dns-server 193.141.40.1 4.2.2.2
default-router 192.168.146.254
!
ip cef
ip inspect name OUT tcp
ip inspect name OUT ftp
ip inspect name OUT udp
ip audit po max-events 100
no ftp-server write-enable
!
isdn switch-type basic-net3
!
!
!
!
crypto isakmp policy 11
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key <removed> address 112.23.111.165 no-xauth
crypto isakmp key <removed> address 46.246.246.147
crypto isakmp client configuration address-pool local ippool
!
crypto isakmp client configuration group vpnclientwft
key <removed>
pool ippool
acl 150
!
!
crypto ipsec transform-set WFT esp-3des esp-md5-hmac
!
crypto dynamic-map dynmap 10
set transform-set WFT
!
!
crypto map wft2sap client authentication list vpnclientwft
crypto map wft2sap isakmp authorization list vpnclientwft
crypto map wft2sap client configuration address respond
crypto map wft2sap 10 ipsec-isakmp dynamic dynmap
crypto map wft2sap 11 ipsec-isakmp
description Tunnel to 46.246.246.147
set peer 46.246.246.147
set peer 112.23.111.165
set transform-set WFT
match address 125
!
!
!
interface BRI0
no ip address
encapsulation ppp
shutdown
dialer pool-member 1
isdn switch-type basic-net3
ppp callback request
ppp authentication chap
!
interface Ethernet0
description $ETH-WAN$Connection to Internet Provider
ip address 215.15.151.37 255.255.255.248
ip access-group 100 in
ip nat outside
ip inspect OUT in
no ip mroute-cache
half-duplex
crypto map wft2sap
!
interface FastEthernet0
description $ETH-LAN$Connection to LAN
ip address 192.168.146.254 255.255.255.0
ip nat inside
ip inspect OUT in
no ip mroute-cache
speed auto
half-duplex
!
-
Also hier ist nun die anonymisierte Config-Datei von dem Router.
Ich wäre froh wenn die mal jemand mit mir durchgeht damit ich weis welche Verbindungen aufgebaut werden und wer Zugriff hat.
Die Fragen poste ich sofort hinterher.
------------------------------------------------------------------------
Current configuration : 7406 bytes
!
! Last configuration change at 16:22:46 CET Sat May 27 2006 by admin
! NVRAM config last updated at 18:04:00 CET Wed May 10 2006 by admin
!
version 12.3
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
!
hostname Beispielfirma
!
boot-start-marker
boot-end-marker
!
logging buffered 100000 debugging
enable secret 5 <removed>
enable password 7 <removed>
!
username admin password 7 <removed>
username CISCO password 7 <removed>
username trans3 password 7 <removed>
username trans2 privilege 0 password 7 <removed>
username trans1 privilege 0 password 7 <removed>
username User1 password 7 <removed>
username User2 password 7 <removed>
username User3 password 7 <removed>
username User4 password 7 <removed>
username User5 password 7 <removed>
username TRANS4 password 7 <removed>
username TRANS5 password 7 <removed>
username TRANS6 password 7 <removed>
username TRANS7 password 7 <removed>
clock timezone CET 1
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
aaa new-model
!
-
und wie kriege ich die Ausgabe in eine Datei und auf den FTP-Server?
Sorry, falls ****e Frage, mir fällts nicht ein.
-
Ja, sorry, das mit Telnet war klar. Mann merkt das ich heute nacht bis 6:00 morgend Rechner zusammengeschraubt habe ;-) Bin ein bissle neben der Spur.
Aber es klappt jetzt. Die Verbindung steht wieder und die Leute können weiterarbeiten.
Vielen, vielen Dank.
Können wir jetzt zusammen das Config-File durchgehen? Ich anonymisiert es dann noch schnell.
-
Ich kapier nur nicht wie ich an das Router-Prompt kommen soll? Da ist keine Erklärung für da?
-
Du meisnt sowas:
crypto isakmp key W6FhdKDFVTG72lkGHDJvLF18 address 144.23.143.17 no-xauth
crypto isakmp key jdgJGeskG6 address 162.202.101.112
Ist schon klar, ich verändere alle Keys und Adressen. Und der Router ist auch nicht öffentlich zugänglich (die Konfiadresse), ich sitze sozusagen (per VNC) an einem LAN-Client.
-
Ich hab auch ne Anleitung gefunden zum Backup/Restore:
danach scheint das zu gehen. Das einzige was mich stört ist das ich die Config nicht per FTP-Server o.ä. gezogen habe, sondern per Menüpunkt. Aber wird wohl die gleiche Datei sein.
Können wir nacher noch die Config zusammen durchgehen. Wäre mir unglaublich hilfreich wenn ich wüsste was da genau abgeht.
Danke
Chris
-
Ich glaub die Passwörter sind drinne.
z.B.:
username agnusdei password 7 03974357294792D435949
username amatulli password 7 07540B490F09473E5B
(hab die Codes geändert)
Dann sollte es klappen, oder?
Dann würde ich jetzt erstmal die onfig einspielen. Soll ich ??
Ich schicke dir nacher noch die Config (oder poste sie hierher), es wäre nett wenn du mir dann vielleicht erklären kannst was da genau gemacht wird.
Vielen, vilen Dank
Chris
-
TFTP-Soft installieren, in der Soft wird ein Verzeichnis angegeben welches per TFTP freigegeben wird, zusehen dass die Soft auch aktiv ist. Ev. vorhandene Firewall entsprechend anpassen oder temporär ausschalten.
Die Datei mit der gesicherten Konfig in den TFTP-Pfad kopieren - da sollte nur die Konfig drinstehen, nicht noch irgendwelcher anderer Schamott. Der Router nimmt was Du ihm gibts, im Zweifelsfall auch die Zeitung von gestern - und dann hast Du beim Starten ein Problem.
Dann einfach auf den Router gehen, enable, copy tftp: startup - der Router fragt dann die Parameter ab - IP vom TFTP, Filename u.s.w.
O.K. ich probier das mal.
Ich bin mir jetzt nicht sicher ob die Passwörter für den Tunnel in der Konfig drinstehen, bitte vorher prüfen!!!
Was bedeutet das? Ich kenne die Passwörter der Tunnel nicht und kann keine weiteren konfigurationen vornehmen. Ich dachte das Einsppielen der Konfig stellt den früheren Zustand des Routers vollständig wieder her. Ist das so nicht der Fall?
-
Und wie spiele ich die Konfiguration auf. Könntest du mich schnell mal bei der Hand führen?
Einen TFTP-Server bin ich grad am installieren. Wie gehts dann weiter?
Danke
-
Ich nehme an der Fehler liegt hier:
Funktionstüchtige Konfig:
----------------------------
set peer 194.39.131.165
set transform-set WFT
match address 125
Fehlerhafte Konfig:
-------------------------
description Tunnel to 62.214.234.147
set peer 62.214.234.147
set transform-set WFT
match address 101
Es wird keine Verbindung zu 194.39.131.165 aufgebaut da das in der fehlerhaften Konfig fehlt. Oder? Wie andere ich das?
Der Tunnel nach 62.214.234.147 wollte ich eigentlich zusätzlich definieren und nicht den vorher bestehenden dabei rausschmeissen :-(
Der Tunnel nach 62.214.234.147 kann ruhig weg.
-
Mit den Konfig-Fragmenten kann man relativ wenig anfangen.
Eine Skizze von dem ganzen Elend wäre auch hilfreich.
Ansonsten kannst Du auf einem PC einen TFTP-Server aufsetzen und von da aus die "gute" Konfig zurück auf den Router kopieren (copy tftp: startup-config) und den Router durchbooten (nicht nach "running-config" kopieren da sonst ein Merge gemacht wird).
Das ist das was ich suche. Wie geht das? Könntest du mir bitte helfen?
Alternativ mit der Hand am Arm die einzelnen Zeilen abgleichen.
Das würde mich am meisten interesieren, da ich dann wenigstens was über das Maschinchen lerne. Da das aber länger dauert, möchte ich doch lieber das Erste probieren.
Solange Du an der running-config operierst ggf. vorher ein "reload in 30" (für 30 Minuten) absetzen, dann startet der Router nach 30 Minuten neu - nur für den Fall dass Du Dich aussperrst. Wenn Du in den 30 Minuten die Konfig wegspeicherst startet der natürlich mit der letzten gespeicherten Konfig neu.
Ebenso, bitte etwas genauer.
Ich hab das Gefühl du könntest mir sehr helfen. :-)
Ich steh hier ziemlich unter Druck und suche gerade eine Seite um mich in die Handhabung der Roters einzulesen. Aber das dauert :-(
Vielen Dank
Chris
Gruss
Markus
-
Hier nun die Unterschiede in den beiden Konfigurationen:
-------------------------------------------------------------
Funktionstüchtige Konfig:
----------------------------
crypto map wft2sap client authentication list vpnclientwft
crypto map wft2sap isakmp authorization list vpnclientwft
crypto map wft2sap client configuration address respond
crypto map wft2sap 10 ipsec-isakmp dynamic dynmap
crypto map wft2sap 11 ipsec-isakmp
set peer 194.39.131.165
set transform-set WFT
match address 125
Fehlerhafte Konfig:
-------------------------
crypto map wft2sap client authentication list vpnclientwft
crypto map wft2sap isakmp authorization list vpnclientwft
crypto map wft2sap client configuration address respond
crypto map wft2sap 10 ipsec-isakmp dynamic dynmap
crypto map wft2sap 11 ipsec-isakmp
description Tunnel to 62.214.234.147
set peer 62.214.234.147
set transform-set WFT
match address 101
Fehlerhafte Konfig:
zusätzliche Einstellungen die so in der funktionstüchtigen nicht drinne waren:
-------------------------
....
access-list 100 remark SDM_ACL Category=17
access-list 100 permit ahp any host 217.5.161.37
....
...
access-list 101 remark SDM_ACL Category=4
access-list 101 remark IPSec Rule
access-list 101 permit ip 192.168.186.0 0.0.0.255 192.168.22.0 0.0.0.255
...
...
access-list 130 remark SDM_ACL Category=18
access-list 130 remark IPSec Rule
access-list 130 deny ip 192.168.186.0 0.0.0.255 192.168.22.0 0.0.0.255
....
Funktionstüchtige Konfig:
----------------------------
ntp clock-period 17180059
Fehlerhafte Konfig:
-------------------------
ntp clock-period 17180058
Kann mir bitte jemand sagen wie ich die Einstellungen auf den richtigen Werte zurücksetze, bzw. wie ich das automatisch machen lassen kann.
Ist wirklich dringend. Danke
Chris
-
Schwerwiegender Fehler, Produktion steht (3 Mitarbeiter ohne Arbeit, Montag Deadline!!
Da niemand der sich mit diesem Gerät auskennt zur Verfügung steht, muss ich das Problem lösen obwohl mir
einiges leider unklar ist. Ich bitte deshalb dringend um Hilfe.
Bestand:
- lokales LAN (LAN1) hinter Cisco 1721.
- lokales LAN (LAN2) hinter anderem Router (unbekannt).
- Freiberufler an verschiedenen Standpunkten greifen per VPN auf LAN 1 zu.
- Im LAN1 steht ein Software-Router (auf WinXP installiert) der eine VPN-Verbindung zu einem Kunden
(LAN3) aufbaut. Dabei tunntlt er durch die Cisco hindurch.
- LAN1, LAN2, LAN3 sind jeweils an das Internet angeschlossen, der gesamte Datenverkehr zwischen den
Netzen (LANs) erfolgt also durch VPN-Verbindungen.
Der Zugriff der Freiberufler auf die Dienste im LAN3 zugreifen wollen, erfolgt nach folgendem Vorgehen:
1) Der Freiberufler/Mitarbeiter im LAN2 greift über eine VPN-Verbindung mit der Cisco, auf LAN1 zu.
2) In LAN1 werden die Anfragen an LAN3 über den Software-VPN-Router an das LAN3 durchgetunnelt.
Problem:
--- Seit heute morgen ist kein Zugriff auf das LAN3 mehr möglich. -----
Ich hatte heute Nacht versucht eine zusätzliche VPN-Verbindung zu einem anderen Netzwerk (LAN4), welches
hinter einer Astaro Firewall liegt, aufzubauen.
Dabei wurde jedoch meine Fernwartung gekappt (UltraVNV s´SC auf Arbeitspechner in LAN1, wovon ich per
WebAdmin auf den Router zugreife) und ich weis nicht genau ob die Konfiguration richtig abgeschlossen
wurde.
Mittlerweile funktioniert die Fernsteuerung wieder und ich kann über den Arbeitsplatzrechner in LAN1 auf
die Cisco zugreifen.
Da ich nicht weis was eigentlich los ist und ich mich mit Cisco-Routern kaum auskenne, dachte ich es wäre
das einfachste die letzte funktionierende Konfiguratzion wieder zu aktivieren.
Ich hatte gestern abend, bevor ich irgendwelche Veränderungen gemacht habe, ein "Save runnig config to
PC" ausgeführt.
Nun meine Fragen:
Gibt es die Möglichkeit diese Textdatei in den Router zu importieren, so dass ich den funktionstüchtigen
Stand von gestern Abend erreichen kann?
Wie kann ich sonst noch vorgehen?
Ich kenne mich mit dem Cisco-Router kaum aus der logischen Aufbau des Netzwerkes ist mir auch nicht so
klar. Deshalb, auch wenn ich "dumme" Fragen stelle, bitte wenigstens einen Hinweis wo ich suchen sollte.
Vielen Dank
Chris
SAPLogon durch Cisco1721 geht plötzlich nicht mehr
in Cisco Forum — Allgemein
Geschrieben
Ich hatte immer noch keine Zeit mich da reinzuknieen. Werde wohl später mit genaueren Fragen zurückkommen müssen.
Gruss
Chris