Whistleblower

Hab grad eine Anleitung gefunden, wie es als Stand-Alone CA einzurichten ist...

Das funzt soweit schonmal :-)

Lässt sich ein Windows 2003 STANDARD Server auch als CA einrichten?

Lt. MS braucht man dafür ja zwingend den Enterprise Server... ? :(

So, habe gestern nochmal einiges getestet...

Hab erstmal alle crypto-Einträge rausgeschmissen, und dann wieder den Eintrag für den Tunnel zw. den beiden Ciscos hinzugefügt.

crypto isamkmp policy 1

encr 3des

authentication pre-share

group 2

 

crypto isakmp key xxxxxxxxx address x.x.x.x no-xauth

 

crypto map staticmap 1 ipsec-isakmp

descr Tunnel to router2

set peer x.x.x.x

set transform-set ESP-3DES-SHA

match address 101

Tunnel steht sofort.

Dann habe ich die Einträge für den dyn. Endpunkt und die Clients hinzugefügt, mit dem Ergebnis, dass der erste Tunnel nicht mehr läuft (hab die crypto map vorher vom Interface Fast4 rausgenommen).

Dann habe ich mal einzelne Konfigteile wieder rausgelöscht, und festgestellt, dass sich das ganze am isakmp-Profile aufhängt:

crypto isakmp profile L2Lprofile

descr All L2L peers

keyring L2Lkeyring

match identity address 0.0.0.0

keepalive 20 re 3

exit

Das Profil wiederum ist in der dynamic-map eingebunden:

crypto dynamic-map dynmap 65535

set transform-set ESP-3DES-SHA

set isakmp-profile L2Lprofile

exit

 

crypto map staticmap 65535 ipsec-isakmp dynamic dynmap

Irgendwie scheint er also den Tunnel über dieses Profil abwickeln zu wollen, Bedingung address=0.0.0.0 ist ja auch erfüllt. Trotzdem sollte er es doch erst über den anderen Crypto map Eintrag versuchen, oder?

Hilft es evtl. weiter, einen weiteren keyring und ein weiteres isakmp-Profil zu erstellen? Ich hatte das gestern auch schon versucht, hat aber leider auch nicht zu Erfolg geführt... :-(

Any ideas?

Hi Wordo!

Dachte schon, Du hättest Dich in den (verdienten!) Winterurlaub verabschiedet! ;-)

Also das Problem besteht noch, habe gestern abend noch einmal getestet, erstmal sämtliche Crypto-Einträge raus, und dann Stück für Stück neu konfiguriert.

Tunnel zum Netgear läuft, mobile Clients funzten dann auch.

Anschließend hatte ich versucht, den Tunnel zwischen den beiden Cisco hinzuzufügen, baut sich aber leider nicht auf, "debug crypto errors" ergab dann "peer x.x.x.x has no SA".

Muss ich evtl. nochmal die ACLs überarbeiten?

Aber eigentlich müsste Phase 1 mit dem anderen Cisco doch ohne Probleme funzen, schließlich haben beide eine feste IP?!

Deinen Vorschlag, den Wert auf 20 zu ändern, werde ich noch testen!

Anbei nochmal der Ausschnitt der getesteten Konfig:

aaa new-model
!
!
aaa authentication login default local
aaa authentication login remoteaccess local
aaa authorization exec default local
aaa authorization network allusers local
!
aaa session-id common
[...]

!
crypto keyring L2Lkeyring
 description PSK for L2L peers with dynamic addressing
 pre-shared-key address 0.0.0.0 0.0.0.0 key xxxxx
!
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
crypto isakmp key xxxxx address x.x.x.x no-xauth
!
crypto isakmp client configuration group allusers
key xxxxx
dns x.x.x.x
wins x.x.x.x
domain xxx.yyy
pool clientpool
crypto isakmp profile allusersprofile
  description Remote access users profile
  match identity group allusers
  client authentication list remoteaccess
  isakmp authorization list allusers
  client configuration address respond
  keepalive 20 retry 3
crypto isakmp profile L2Lprofile
  description All L2L peers
  keyring L2Lkeyring
  match identity address 0.0.0.0
  keepalive 20 retry 3
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
!
!
crypto dynamic-map dynmap 5
set transform-set ESP-3DES-SHA
set isakmp-profile allusersprofile
crypto dynamic-map dynmap 10
set transform-set ESP-3DES-SHA
set isakmp-profile L2Lprofile
!
!
!
crypto map staticmap 10 ipsec-isakmp
description Tunnel nach router2
set peer x.x.x.x
set transform-set ESP-3DES-SHA
match address 101
crypto map staticmap 10 ipsec-isakmp dynamic dynmap
!

!
interface FastEthernet4
description $ES_WAN$$FW_OUTSIDE$
[...]
crypto map staticmap
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$
ip address 172.16.1.1 255.255.0.0
ip access-group 100 in
no ip proxy-arp
ip nat inside
no ip virtual-reassembly
ip route-cache flow
ip tcp adjust-mss 1452
!
ip local pool clientpool 192.168.11.240 192.168.11.254
!
ip nat inside source route-map SDM_RMAP_1 interface FastEthernet4 overload
!
[...]
access-list 100 remark auto generated by Cisco SDM Express firewall configuration
access-list 100 remark SDM_ACL Category=1
access-list 100 permit ip any any
access-list 100 permit udp any any
access-list 100 permit tcp any any
access-list 101 remark SDM_ACL Category=4
access-list 101 remark IPSec Rule
access-list 101 permit ip 172.16.0.0 0.0.255.255 10.10.0.0 0.0.255.255
access-list 102 remark SDM_ACL Category=2
access-list 102 remark IPSec Rule
access-list 102 deny   ip 172.16.0.0 0.0.255.255 10.10.0.0 0.0.255.255
access-list 102 permit ip 172.16.0.0 0.0.255.255 any
!
!
route-map SDM_RMAP_1 permit 1
match ip address 102
!
!

Beschreib doch mal GENAU dein Problem...

Wenn Du das enable Passwort nicht weißt, musst Du ein password recovery durchführen.

Die genaue Vorgehensweise dazu findest Du bei Cisco.

So, anbei mal die getestete Konfig...

Vielleicht sehr ihr ja nen Fehler warum der Tunnel mit den beiden festen IPs nicht aufgebaut wird...

version 12.4
[...]
hostname router1
!
[...]
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication login remoteaccess local
aaa authorization exec default local
aaa authorization network allusers local
!
aaa session-id common
!
[...]
!
[...]
no ip bootp server
ip name-server xxxx
ip ssh authentication-retries 2
vpdn enable
!
!
!
crypto pki trustpoint TP-self-signed-2481874788
[...]
!
!
username xxx privilege 15 secret xxxxxxxxxx
[...]
!
!
crypto keyring L2Lkeyring
 description PSK for L2L peers with dynamic addressing
 pre-shared-key address 0.0.0.0 0.0.0.0 key xxxxxxxxx
!
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
crypto isakmp key xxx address x.x.x.x no-xauth
!
crypto isakmp client configuration group allusers
key xxxxxx
dns 10.10.1.3
domain domain.local
pool SDM_POOL_1
crypto isakmp profile L2Lprofile
  description All L2L peers
  keyring L2Lkeyring
  match identity address 0.0.0.0
  keepalive 20 retry 3
crypto isakmp profile allusersprofile
  description Remote Access VPN-Clients
  match identity group allusers
  client authentication list remoteaccess
  isakmp authorization list allusers
  client configuration address respond
  keepalive 20 retry 3
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
!
!
crypto dynamic-map dynmap 5
set transform-set ESP-3DES-SHA
set isakmp-profile allusersprofile
crypto dynamic-map dynmap 10
set transform-set ESP-3DES-SHA
set isakmp-profile L2Lprofile
!
!
!
crypto map staticmap 1 ipsec-isakmp
description Tunnel nach router1
set peer x.x.x.x
set transform-set ESP-3DES-SHA
match address 103
crypto map staticmap 10 ipsec-isakmp dynamic dynmap
!
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description $ES_WAN$$FW_OUTSIDE$
ip address x.x.x.x 255.255.255.248
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
no ip virtual-reassembly
ip route-cache flow
speed 100
full-duplex
crypto map staticmap
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$
ip address 172.16.1.1 255.255.0.0
ip access-group 100 in
no ip proxy-arp
ip nat inside
no ip virtual-reassembly
ip route-cache flow
ip tcp adjust-mss 1452
!
ip local pool SDM_POOL_1 192.168.20.10 192.168.20.20
ip route 0.0.0.0 0.0.0.0 x.x.x.x
!
no ip http server
ip http secure-server
ip nat inside source route-map SDM_RMAP_1 interface FastEthernet4 overload
!
no logging trap
access-list 1 remark INSIDE_IF=Vlan1
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 172.16.0.0 0.0.255.255
access-list 2 remark SDM_ACL Category=2
access-list 2 permit 172.16.0.0 0.0.255.255
access-list 100 remark auto generated by Cisco SDM Express firewall configuration
access-list 100 remark SDM_ACL Category=1
access-list 100 permit ip any any
access-list 100 permit udp any any
access-list 100 permit tcp any any
access-list 102 remark SDM_ACL Category=18
access-list 102 deny   ip any host 192.168.20.10 [...] bis .20
access-list 102 remark IPSec Rule
access-list 102 deny   ip 172.16.0.0 0.0.255.255 192.168.15.0 0.0.0.255
access-list 102 remark IPSec Rule
access-list 102 deny   ip 172.16.0.0 0.0.255.255 10.10.0.0 0.0.255.255
access-list 102 permit ip 172.16.0.0 0.0.255.255 any
access-list 103 remark SDM_ACL Category=4
access-list 103 remark IPSec Rule
access-list 103 permit ip 172.16.0.0 0.0.255.255 10.10.0.0 0.0.255.255
no cdp run
!
!
route-map SDM_RMAP_1 permit 1
match ip address 102
!
!
control-plane
!
[...]

Bin mittlerweile etwas weitergekommen,

Tunnel mit dyn. Endpunkt steht, Mobile Clients gehen zumindest in Phase 1... Da haberts irgendwo noch an der Authentifizierung.

Allerdings bekomme ich den Tunnel zum Standort mit der festen IP jetzt nicht mehr zum Laufen... :-( Ich poste später mal wieder ne Konfig....

Hey, die Anhänge sind freigeschaltet!!!

Sind zwar mittlerweile überholt, aber egal...

Hab jetzt in der "Bibel" auch ein HowTo für Site-2-Site VPN mit dyn. IP und gleichzeitiger Unterstützung von VPN-Clients gefunden. "Keyring" heisst da für mich das Schlüsselwort (wieder was dazugelernt... ;) ) ...

Habe mich da gestern auch mal drangewagt, hat mich aber noch nicht zum gewünschten Erfolg geführt, war bestimmt schon zu spät... ;) Es ging dann keiner der Tunnel mehr, und der SDM hat mir auch fälschlicherweise 3 konfigurierte Site-2-Site VPNs angezeigt, aber sicher deshalb, weil er mit dem Keyring Feature nicht klarkommt.

Ich werd's heut abend nochmal exakt so durchführen, wie der Guide das sagt, und dann erst (wenns soweit läuft) den allerersten, festen Site-2-Site Tunnel wieder zusätzlich konfigurieren.

Hat hier schonmal jemand mit Keyrings gearbeitet?

War schon spät gestern, um solche Fragen online zu stellen... ;-)

Ich vergrab mich lieber nochmal in den Tiefen der "Bibel" ...

DNS-Problem scheint jetzt übrigens gelöst, auf dem DNS-Server (den ich bisher nicht betreut habe) war für externe Auflösung ein DNS-Server irgendeines Feld-Wald-und-Wiesen Providers eingetragen. Telekom-DNS rein und die Seiten laufen wieder!

Wenigstens ein Problem weniger :-)

Ist ja noch immer nicht freigeschaltet... :-(

Noch mal zum Verständnis dynamischer Crypto-Maps:

Wie kann der Router denn überhaupt unterscheiden, ob das jetzt der Netgear oder ein mobiler Client ist, der einen Verbindungsaufbau versucht?

Warum gehen die Clients nicht mehr, wenn der Tunnel zum Netgear eingerichtet ist...?

Können zwei dyn. Crypto-Maps nebeneinander existieren? Glaub, ich muss mich da nochmal reinlesen...

Update zum Thema DNS

Hab nochmal einiges getestet hier...

ping www.ups.com vom Client funktioniert nicht (Name kann nicht aufgelöst werden)

vom Router gehts.

gebe ich die öffentliche IP auf dem Client beim ping an, gehts auch da.

http auf die Webseite über die IP-Adresse geht ebenso.

Zumindest bei der Adresse liegts also nicht an der MTU, sondern scheint an unserem internen DNS zu hängen.

Werd also nochmal andere DNS-Server am Client eintragen und testen.

Joah ... also die 87X ist dann EoL wenn der Anhang freigeschalten wurde ... :o

Dauert das hier so lange? Per Copy&Paste passt das leider net... :-(

So, hab dann mal beide Configs dabei und eine zeichnung zum verständnis.

Nicht schön, aber hoffentlich hilfreich ;-)

Zur Zusammenfassung nochmal die Probleme:

1.

Router2 mit den besagten DNS-Problemen am T-DSL, bzw. das DNS-Problem tritt ja nur auf den Clients auf, allerdings auch nur über die Router. Bei Internet by Call (Analog) laufen die Seiten, die sonst Probleme machen.

2.

Einwahl des Netgear Routers auf Router1 funktioniert zwar, dann gehen aber die VPN-Clients nicht mehr. Sicher irgendein dummer Fehler in der Config, hab ich selbst noch nicht genauer überprüft.

3.

"Routing" von einem VPN-Client in das Netz des jeweils anderen Cisco-Routers (also z.B. die VPN-Clients an router1 können nicht auf LAN hinter router2 zugreifen)

Das sind die drei Baustellen, die mich derzeit noch beschäftigen.

Für Zertis wird wohl ein 2003-Server zuständig werden, der dann auch gleich Radius macht.

config_cisco-router1.txt

config_cisco-router2.txt

Kleine Korrektur:

Muss die Konfig nochmal überarbeiten, seit die zweite dynamische Crypto Map eingetragen ist, funzt die Client-Einwahl nicht mehr... Also hab ich sie erstmal wieder rausgenommen, und werde das wohl mit der ersten abhandeln müssen, wenn keine Möglichkeit für zwei dyn. Crypto-Maps besteht...

Um nochmal zum eigentlichen Thema zurückzukommen:

Der Tunnel mit dem Netgear und dynamischer IP funzt jetzt!!!

Habe eine zusätzliche dyn. Crypto-Map angelegt (eine existierte bereits für VPN-Clients) und den crypto key entsprechend mit Wildcard 0.0.0.0 0.0.0.0 angegeben.

Besten Dank an Dich und die Cisco VPN-Bibel! ;-)

Das war wirklich eine lohnende Anschaffung!

Was das DNS-Problem angeht, bin ich noch nicht weiter, werde gleichmal die gesamte Konfig posten. Die bedarf nach den vielen Tests sicher noch einer Überarbeitung, also auf doppelte oder nicht genutzte Einträge erstmal nicht achten!

access-list 100 remark auto generated by Cisco SDM Express firewall configuration
access-list 100 remark SDM_ACL Category=1
access-list 100 permit ip any any

Kann ja normalerweise auch nicht an einer ACL liegen, wenn es bisher ging, und die Probleme plötzlich auftauchen, ohne daß entsprechende Änderungen gemacht wurden... oder?

"ip inspect" hatte ich zwischenzeitlich auch mal rausgenommen, macht aber keinen Unterschied!

Anbei mal ein Auszug aus der Konfig.

Crypto und ACLs habe ich mal weggelassen, wird sonst zuviel.

Wie gesagt, ping vom Router geht, vom Client trotz Mini-MTU nicht. Aus irgendeinem Grund muss ja das Paket vom Client bei dem Webserver fragmentiert ankommen und wird z.B. wegen irgendweiner DDos-Policy o.ä. dort verworfen... Fragt sich nur, wieso die Pakete vom Client fragmentiert werden...

!
[...]
!
### ip inspect name ethernet_0 fragment maximum 256 timeout 1 ### schon entfernt!
ip inspect name ethernet_0 tcp router-traffic
ip inspect name ethernet_0 ftp
ip inspect name ethernet_0 udp
ip inspect name ethernet_0 http
ip inspect name ethernet_0 realaudio
ip inspect name ethernet_0 h323
ip inspect name ethernet_0 h323callsigalt
ip inspect name ethernet_0 h323gatestat
ip inspect name ethernet_0 skinny
ip inspect name ethernet_0 sip-tls
ip inspect name ethernet_0 sip
no ip bootp server
ip domain name xxx.xxx
ip name-server 194.25.2.129
ip ssh authentication-retries 2
vpdn enable
!
[...]
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
no ip address
ip nat outside
no ip virtual-reassembly
duplex auto
speed auto
pppoe enable
pppoe-client dial-pool-number 1
!
interface Vlan1
description $FW_INSIDE$
ip address 10.10.10.1 255.255.0.0
ip access-group 100 in
no ip proxy-arp
ip accounting output-packets
ip accounting access-violations
ip inspect ethernet_0 in
ip inspect ethernet_0 out
ip nat inside
ip virtual-reassembly
no ip route-cache cef
no ip route-cache
ip tcp adjust-mss 1300
no ip mroute-cache
!
interface Dialer1
description T-Online$FW_OUTSIDE$
mtu 1444
ip address negotiated
no ip redirects
no ip proxy-arp
ip inspect ethernet_0 in
ip inspect ethernet_0 out
ip nat outside
no ip virtual-reassembly
encapsulation ppp
no ip route-cache cef
no ip route-cache
no ip mroute-cache
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication chap pap callin
ppp chap hostname xxxxxxx@t-online-com.de
ppp chap password 7 xxxxxxxxxxxx
crypto map SDM_CMAP_1
!
[...]
ip nat inside source route-map SDM_RMAP_1 interface Dialer1 overload
!
logging trap debugging
[... ACLs ...]
no cdp run
!
!
route-map SDM_RMAP_1 permit 1
match ip address 102
!
!
control-plane
!
banner incoming ^CCC You have activated line $(line) ($(line-desc)) ^C
[...]
!
scheduler max-task-time 5000
end

Genau da kämpfe ich mich gerade durch...

Immer fleissig "ping -n 1 -f -l 1300 192.168.x.y" usw...

Das ****e ist ja, dass der ping direkt vom Router erfolgreich ist, z.B. auf UPS Global Home

Vom Client leider gar nicht, nicht einmal wenn ich MTU=576 setze (und den Rechner auch neu boote). Hab mir übrigens den Cisco Complete VPN Config Guide geholt, der behandelt das Thema ja auch angemessen ausführlich. Danke nochmal für den Tipp :-)

Wie sieht die Geschichte mit MTU/MSS auf dem Router eigentlich aus, übernimmt der sofort jede Änderung oder muss ich ggf. das jeweilige IF noch auf shut/no shut setzen?

Danke erstmal für die Hilfe, ich werde das gleichmal einplanen, wenn ich den neuen 2003 Server aufsetze!

Hm, das wär noch mal eine Idee, werde ich heute abend mal versuchen.

Habe grad mit anderen Problemen zu kämpfen, und zwar mal wieder mit DNS...

Heute gehen einige Seiten mal wieder nicht, wie z.b. UPS Global Home.

Vom Router lässt sich die Seite anpingen, auf den Clients wieder mal nicht...

Hab die MTU-Size für den Dialer schon vor Wochen auf 1444 runtergeschraubt, und die MSS für das Vlan-Interface auf 1300 gesetzt.

Lief bis heute auch alles soweit.

Wieso jetzt nicht mehr? Spielt die Telekom öfter mal mit der Leitung, oder woher kommen diese Probleme? *grummel*

Und noch ein Beitrag zum Cisco 871.

Hab hier schon einige Beiträge zum DynDNS-Problem gelesen, aber passen alle nicht zu meiner Problemstellung.

Ich befinde mich in der (eigentlich) guten Position, dass mein 871 über eine feste IP angebunden ist. Jetzt soll aber der andere Endpunkt mit dyn. IP einen IPSec Tunnel mit dem Cisco aufbauen. Trage ich die temporäre IP als feste Adresse ein, klappt das ganze auch einwandfrei. Dummerweise ist die Adresse aber spätestens nach 24 Stunden weg (meist sogar deutlich früher). Also für die Gegenseite (Netgear DG 834B) einen DynDNS-Account eingerichtet und in Betrieb genommen.

Aber trage ich nun bei dem Cisco für die Crypto Map als peer den Hostname "adresse.homeip.net" ein, und richte den crypto key ebenfalls hierfür ein, baut sich der Tunnel partout nicht auf.

Habe jetzt auch herausgefunden, dass die alte Netgear-Kiste nur den Main Mode unterstützt. Könnte es sein, dass der Cisco bei dyn.DNS gleich im Aggressive Mode startet und ich somit keine gültige Response von dem Netgear bekomme?

Gibt es da irgendeine Lösung oder Workaround zu?

Oder kann mir jemand als Alternative irgendeine Netgear/D-Link Kiste empfehlen, die sowohl dynDNS als auch Main und Aggressive Mode unterstützt?

THX!

Hi Wordo!

D.h. ich sollte lieber einen MS Zerti-Server dafür nutzen? Ist vielleicht nicht vollkommen abwegig, muss sowieso die Woche noch einen 2003 Server aufsetzen...

Hallo,

ich möchte gerne einen 871 als Root-CA für zert.-basiertes VPN einrichten.

Was gibt es da zu beachten, bzw. wie gehe ich überhaupt dabei vor? Habe bisher nur unter Linux mal eine CA erstellt, und vermisse daher bei Cisco die Möglichkeit, die ganzen Credentials dazu einzugeben... Und der SDM unterstützt das Anlegen einer CA nicht, soweit ich das bisher gesehen hab...?!

Hi!

Besten Dank für die 1a Unterstützung, VPNs laufen jetzt soweit, allerdings noch nicht der Traffic von einem Tunnel in den anderen, aber das muss ich mir nochmal in Ruhe anschauen. Vielleicht ist mir das neu angeschaffte Buch dabei ja auch schon eine Hilfe!

Ich will jetzt noch einen Tunnel mit Zertis aufbauen, aber da suche ich hier erstmal und erstelle dann ggf. ein neues Thema!