Whistleblower

Dank Dir erstmal, werde ich mich heute abend wohl nochmal dransetzen. Die verschiedenen Möglichkeiten für VPNs bei Cisco haben sich mir bisher noch nicht erschlossen, bin da in letzter Zeit eher NetasQ und Watchguard belastet. Hast Du Dir Dein reichliches Wissen eigentlich alles selbst angeeignet, oder kannst Du mir Schulungen und/oder Literatur empfehlen, um mein gefährliches Halbwissen mal auszugleichen?

Hi Wordo, das hat so leider noch nicht geklappt. Ich habe auf dem einen Router dann die ACL wieder gelöscht (um hinterher wieder den alten Eintrag für die ACL 101 vorzunhmen) und festgestellt, dass der Tunnel zwischen den beiden Routern weiterlief, obwohl von der crypto map SDM_CMAP_1 noch ein Verweis auf die nicht existente ACL101 vorhanden war. Hast Du dafür eine Erklärung? Die crypto map meckert er jetzt ja auch korrekterweise als incomplete an... Der Tunnel steht trotzdem. Aber noch mal was anderes: Ich muss jetzt noch mehrere feste IPSec-Tunnel zu anderen Lokationen aufbauen, daher überlege ich, ob es nicht sinnvoll wäre, das Gesamtkonzept noch einmal zu überdenken. Im jetzigen Zustand kann ich ja nur eine Crypto-Map an den Dialer binden, und das müsste ich ja für verschiedene realisieren. Müsste ich dazu doch wieder auf GRE-Tunnel umsteigen? Wieviele VPN-Verbindungen schafft der 871 denn überhaupt gleichzeitig in der Praxis? Hast Du da Erfahrungswerte?

D.h. access-list 101 permit ip 192.168.10.10 0.0.0.0 172.16.0.0 0.0.255.255 ... bis ... access-list 101 permit ip 192.168.10.20 0.0.0.0 172.16.0.0 0.0.255.255 ? Muss auf der Gegenseite auch entsprechend eine ACL eingerichtet werden? Also bräuchte ich keine Hub'n'Spoke-Config erstellen, oder?

Anbei die Konfig, etwas verkürzt. "Log" für die ACL hab ich noch nicht aktiv.

Hi Wordo! Die Clients wählen sich über den Cisco VPN-Client über die öff. IP der Geschäftsstellen ein. Es gibt kein Transfernetz/GRE-Tunnel: Client-IP: 192.168.x.y -> öffentl. IP Router -> Vlan1 (10.1.x.y) von dort sollten sie dann über den bestehenden IPSec-Tunnel weiter zur anderen Geschäftsstelle (LAN 172.16.x.y) kommen. Es ist für die Clients kein Split-Tunnel eingerichtet, es geht also jeglicher Verkehr in den Tunnel. Die Frage ist, ob der Router aufgrund fehlender ACLs blockt, oder ob seitens der Konfiguration noch Änderungen vorzunehmen sind... Kann ich mir auf der CLI anzeigen lassen, wenn Pakete aufgrund von ACL geblockt werden?

Hallo, wir haben hier eine VPN-Vernetzung mit 2 Cisco 871 zwischen unseren beiden Standorten. Für Servicemitarbeiter soll eine mobile VPN-Einwahl erfolgen, klappt bei den einzelnen Standorten bisher auch schon. Allerdings sollen die Mobile-VPNs auch zum jeweils entfernten Standort über den festen Tunnel Zugriff haben. Reicht dazu der Eintrag "include-local-lan" bei der client configuration, oder was ist sonst noch zu berücksichtigen dabei? Vor allem, wie kann ich das ganze debuggen, dass ich besser sehen kann, wo es hängt? Vielen Dank!

Hey DANKE, Wordo! Ich glaube jetzt hab ich das Problem dank Deiner Hilfe auch noch in Griff bekommen! Wenn jetzt keine Seiten mehr Bocken ist alles i.O. ! Danke! Wenn ich jetzt noch verstehen würde, warum manche Clients vorher auch keine Probleme hatten...

Hallo, ich habe hier ein sehr merkwürdiges Fehlerbild. Ein Cisco 871 am DSL3000 Anschluss. Bei einigen Clients im Netz werden manche Webseiten nicht aufgerufen (bzw. nicht bis zum Ende geladen), DNS-Aufllösung funktioniert auf allen Clients. Habe schon etwas an den MTU/MSS Einstellungen auf dem Router (und auf den betroffenen Clients) geändert, allerdings ohne Erfolg. Bei dem 871 ist mir auch noch nicht klar, auf welchen Interfaces ich die MTU und/oder MSS ändern muss. Habe derzeit für den Dialer MTU=1444 und MSS=1412 eingestellt. Muss ich das gleiche eigentlich auch für das FastEth4 (=WAN) vornehmen? Und wie siehts mit dem VLAN1 aus? Müssen da auch noch Werte angepasst werden?

Verbindung läuft jetzt einwandfrei, hatte die MTU-Size und MSS noch einmal verringert, und seitdem gibt es keine Probs mehr. ABER: Ich habe dann den Gegentest gemacht, und noch einmal die alte Konfig eingespielt, und die läuft ebenso problemlos an dem Anschluss... Sehr merkwürdig, aber egal...

Hi! Habe den Router gerade mal an einem anderen ADSL-Anschluss getestet (4 MBit/348) und habe keine Probleme bei gleicher Konfig (nur Dialer angepasst). Sehr merkwürdig... Scheint wohl irgendwie mal wieder an MTU/MSS zu liegen, muss ich mal wohl mal ausführlich testen... Oder es besteht intern ein Problem mit dem lokalen DNS-Server, will ich auch nicht ausschließen.

Das ist ein 871, also ohne eigenes DSL-Modem... Dementsprechend kein ATM-Interface... Werde den Router nachher nochmal an einem anderen Anschluss testen, wegen evtl. Probs mit MTU und MSS

So, habe gestern noch mal mit dem SDM eine Config erstellt, Internet und Tunnel läuft jetzt auch, allerdings sind die Antwortzeiten miserabel. Wenn ich einen Dauerping auf z.B. heise.de mache und zwischendurch surfe, habe ich beim ping bereits Zeitüberschreitungen. ip virtual reassembly habe ich daher schon aus allen Interfaces rausgenommen. Die Anbindung erfolgt hier über ADSL (Telekom) mit 4 MBit Downstream. Irgendeine Idee, woran das noch liegen kann? Mit einem anderen Router (Linux) gibts keine Probleme, scheint also nicht an der Leitung zu liegen.

Danke für die Hilfe erstmal! Da über das VPN kein IPX o.ä. laufen wird, sollte IPSec reichen. Ich werde die Config mal entsprechend ändern!

Danke Wordo! Anbei mal mein aktueller Config-Status. Dialer funktioniert soweit, Internet vom Router aus erreichbar, vom Client sollte es auch möglich sein (konnte ich noch nicht testen). Mir ist aufgefallen, dass Du keinen GRE-Tunnel angegeben hast, ist der nicht zwingend erforderlich? Vielleicht findest Du noch Fehler in meiner Config, konnte sie bisher leider nicht wieder testen! Danke!

Hallo zusammen, bin neu hier im Forum, und habe ein paar Probleme (oder einfach Verständnisfragen) zur Konfig zweier 871. Es handelt sich um zwei Zweigstellen, die über ein VPN verbunden werden sollen, und gleichzeitig direkten Internetzugang für die lokalen Netze ermöglichen sollen. Also lässt sich das ganze (nur?) mittels Split-tunnel und entsprechenden Route-Maps und ACLs einrichten. Meine Frage ist, ob jemand eine entsprechende Musterconfig dazu bereitstellen kann, aus der ich entnehmen kann, was dazu grundlegend alles notwendig ist... Vielen Dank!!!