Whistleblower

Dank Dir erstmal, werde ich mich heute abend wohl nochmal dransetzen.

Die verschiedenen Möglichkeiten für VPNs bei Cisco haben sich mir bisher noch nicht erschlossen, bin da in letzter Zeit eher NetasQ und Watchguard belastet.

Hast Du Dir Dein reichliches Wissen eigentlich alles selbst angeeignet, oder kannst Du mir Schulungen und/oder Literatur empfehlen, um mein gefährliches Halbwissen mal auszugleichen?

Hi Wordo,

das hat so leider noch nicht geklappt.

Ich habe auf dem einen Router dann die ACL wieder gelöscht (um hinterher wieder den alten Eintrag für die ACL 101 vorzunhmen) und festgestellt, dass der Tunnel zwischen den beiden Routern weiterlief, obwohl von der crypto map SDM_CMAP_1 noch ein Verweis auf die nicht existente ACL101 vorhanden war.

Hast Du dafür eine Erklärung?

Die crypto map meckert er jetzt ja auch korrekterweise als incomplete an... Der Tunnel steht trotzdem.

Aber noch mal was anderes: Ich muss jetzt noch mehrere feste IPSec-Tunnel zu anderen Lokationen aufbauen, daher überlege ich, ob es nicht sinnvoll wäre, das Gesamtkonzept noch einmal zu überdenken. Im jetzigen Zustand kann ich ja nur eine Crypto-Map an den Dialer binden, und das müsste ich ja für verschiedene realisieren. Müsste ich dazu doch wieder auf GRE-Tunnel umsteigen?

Wieviele VPN-Verbindungen schafft der 871 denn überhaupt gleichzeitig in der Praxis? Hast Du da Erfahrungswerte?

ip local pool SDM_POOL_1 192.168.10.10 192.168.10.20

access-list 101 permit ip 10.10.0.0 0.0.255.255 172.16.0.0 0.0.255.255

 

Da muss noch der Pool mit rein, sonst gehts nicht durch den Tunnel

D.h.

access-list 101 permit ip 192.168.10.10 0.0.0.0 172.16.0.0 0.0.255.255

... bis ...

access-list 101 permit ip 192.168.10.20 0.0.0.0 172.16.0.0 0.0.255.255

?

Muss auf der Gegenseite auch entsprechend eine ACL eingerichtet werden?

Also bräuchte ich keine Hub'n'Spoke-Config erstellen, oder?

Anbei die Konfig, etwas verkürzt.

"Log" für die ACL hab ich noch nicht aktiv.

!

version 12.4

...

!

hostname router1

...

!

crypto isakmp policy 1

encr 3des

authentication pre-share

group 2

crypto isakmp key xxxxxxxx address xxxxxxxxxxx no-xauth

!

crypto isakmp client configuration group gruppe-xyz

key xxxxxxx

dns xxxxxxxxx

domain xxxxxxxx

pool SDM_POOL_1

include-local-lan

netmask 255.255.255.0

!

!

crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac

!

crypto dynamic-map SDM_DYNMAP_1 1

set transform-set ESP-3DES-SHA

reverse-route

!

!

crypto map SDM_CMAP_1 client authentication list sdm_vpn_xauth_ml_1

crypto map SDM_CMAP_1 isakmp authorization list sdm_vpn_group_ml_1

crypto map SDM_CMAP_1 client configuration address respond

crypto map SDM_CMAP_1 1 ipsec-isakmp

description Tunnel toxxxxxxxxxx

set peer xxxxxxxxxxxxx

set transform-set ESP-3DES-SHA

match address 101

crypto map SDM_CMAP_1 65535 ipsec-isakmp dynamic SDM_DYNMAP_1

!

!

!

!

...

!

interface FastEthernet4

no ip address

ip nat outside

no ip virtual-reassembly

duplex auto

speed auto

pppoe enable

pppoe-client dial-pool-number 1

!

interface Vlan1

description $FW_INSIDE$

ip address 10.10.1.1 255.255.0.0

ip access-group 100 in

no ip proxy-arp

ip accounting output-packets

ip accounting access-violations

ip nat inside

no ip virtual-reassembly

no ip route-cache cef

no ip route-cache

ip tcp adjust-mss 1300

no ip mroute-cache

!

interface Dialer1

description T-Online$FW_OUTSIDE$

mtu 1444

ip address negotiated

no ip redirects

no ip proxy-arp

ip nat outside

no ip virtual-reassembly

encapsulation ppp

no ip route-cache cef

no ip route-cache

no ip mroute-cache

dialer pool 1

dialer-group 1

no cdp enable

ppp authentication chap pap callin

ppp chap hostname xxxxxxxxx

ppp chap password 7 xxxxxxxxxxxx

crypto map SDM_CMAP_1

!

ip local pool SDM_POOL_1 192.168.10.10 192.168.10.20

ip route 0.0.0.0 0.0.0.0 Dialer1

!

no ip http server

ip http access-class 3

ip http secure-server

ip nat inside source route-map SDM_RMAP_1 interface Dialer1 overload

!

access-list 1 remark INSIDE_IF=Vlan1

access-list 1 remark SDM_ACL Category=2

access-list 1 permit 10.10.0.0 0.0.255.255

access-list 2 remark SDM_ACL Category=2

access-list 2 permit 10.10.0.0 0.0.255.255

access-list 3 remark HTTP Access-class list

access-list 3 remark SDM_ACL Category=1

access-list 3 permit 10.10.0.0 0.0.255.255

access-list 3 permit 172.16.0.0 0.0.255.255

access-list 3 deny any

access-list 100 remark SDM_ACL Category=1

access-list 100 permit ip any any

access-list 101 remark SDM_ACL Category=4

access-list 101 remark IPSec Rule

access-list 101 permit ip 10.10.0.0 0.0.255.255 172.16.0.0 0.0.255.255

access-list 102 remark SDM_ACL Category=2

access-list 102 deny ip any host 192.168.10.10

...

access-list 102 deny ip any host 192.168.10.20

access-list 102 remark IPSec Rule

access-list 102 deny ip 10.10.0.0 0.0.255.255 172.16.0.0 0.0.255.255

access-list 102 permit ip 10.10.0.0 0.0.255.255 any

access-list 103 remark Incoming_Traffic

access-list 103 permit ahp host w.x.y.z any

access-list 103 permit esp host w.x.y.z any

access-list 103 permit udp host w.x.y.z any eq isakmp

access-list 103 permit udp host w.x.y.z any eq non500-isakmp

access-list 104 remark VTY Access-class list

access-list 104 remark SDM_ACL Category=1

access-list 104 permit ip 10.10.0.0 0.0.255.255 any

access-list 104 permit ip host a.b.c.d any

access-list 104 deny ip any any

access-list 120 permit ip 10.10.0.0 0.0.255.255 192.168.1.0 0.0.0.255

access-list 120 permit ip 17.16.0.0 0.0.255.255 192.168.1.0 0.0.0.255

no cdp run

!

!

route-map SDM_RMAP_1 permit 1

match ip address 102

!

...

end

Hi Wordo!

Die Clients wählen sich über den Cisco VPN-Client über die öff. IP der Geschäftsstellen ein.

Es gibt kein Transfernetz/GRE-Tunnel:

Client-IP: 192.168.x.y -> öffentl. IP Router -> Vlan1 (10.1.x.y)

von dort sollten sie dann über den bestehenden IPSec-Tunnel weiter zur anderen Geschäftsstelle (LAN 172.16.x.y) kommen.

Es ist für die Clients kein Split-Tunnel eingerichtet, es geht also jeglicher Verkehr in den Tunnel. Die Frage ist, ob der Router aufgrund fehlender ACLs blockt, oder ob seitens der Konfiguration noch Änderungen vorzunehmen sind... Kann ich mir auf der CLI anzeigen lassen, wenn Pakete aufgrund von ACL geblockt werden?

Hallo,

wir haben hier eine VPN-Vernetzung mit 2 Cisco 871 zwischen unseren beiden Standorten. Für Servicemitarbeiter soll eine mobile VPN-Einwahl erfolgen, klappt bei den einzelnen Standorten bisher auch schon.

Allerdings sollen die Mobile-VPNs auch zum jeweils entfernten Standort über den festen Tunnel Zugriff haben.

Reicht dazu der Eintrag "include-local-lan" bei der client configuration, oder was ist sonst noch zu berücksichtigen dabei? Vor allem, wie kann ich das ganze debuggen, dass ich besser sehen kann, wo es hängt?

Vielen Dank!

Hey DANKE, Wordo!

Ich glaube jetzt hab ich das Problem dank Deiner Hilfe auch noch in Griff bekommen!

Wenn jetzt keine Seiten mehr Bocken ist alles i.O. !

Danke!

Wenn ich jetzt noch verstehen würde, warum manche Clients vorher auch keine Probleme hatten...

Hallo,

ich habe hier ein sehr merkwürdiges Fehlerbild.

Ein Cisco 871 am DSL3000 Anschluss.

Bei einigen Clients im Netz werden manche Webseiten nicht aufgerufen (bzw. nicht bis zum Ende geladen), DNS-Aufllösung funktioniert auf allen Clients.

Habe schon etwas an den MTU/MSS Einstellungen auf dem Router (und auf den betroffenen Clients) geändert, allerdings ohne Erfolg.

Bei dem 871 ist mir auch noch nicht klar, auf welchen Interfaces ich die MTU und/oder MSS ändern muss.

Habe derzeit für den Dialer MTU=1444 und MSS=1412 eingestellt. Muss ich das gleiche eigentlich auch für das FastEth4 (=WAN) vornehmen? Und wie siehts mit dem VLAN1 aus?

Müssen da auch noch Werte angepasst werden?

Verbindung läuft jetzt einwandfrei, hatte die MTU-Size und MSS noch einmal verringert, und seitdem gibt es keine Probs mehr.

ABER:

Ich habe dann den Gegentest gemacht, und noch einmal die alte Konfig eingespielt, und die läuft ebenso problemlos an dem Anschluss... Sehr merkwürdig, aber egal...

Hi!

Habe den Router gerade mal an einem anderen ADSL-Anschluss getestet (4 MBit/348) und habe keine Probleme bei gleicher Konfig (nur Dialer angepasst).

Sehr merkwürdig... Scheint wohl irgendwie mal wieder an MTU/MSS zu liegen, muss ich mal wohl mal ausführlich testen... Oder es besteht intern ein Problem mit dem lokalen DNS-Server, will ich auch nicht ausschließen.

Das ist ein 871, also ohne eigenes DSL-Modem... Dementsprechend kein ATM-Interface...

Werde den Router nachher nochmal an einem anderen Anschluss testen, wegen evtl. Probs mit MTU und MSS

So, habe gestern noch mal mit dem SDM eine Config erstellt,

Internet und Tunnel läuft jetzt auch, allerdings sind die Antwortzeiten miserabel.

Wenn ich einen Dauerping auf z.B. heise.de mache und zwischendurch surfe, habe ich beim ping bereits Zeitüberschreitungen.

ip virtual reassembly habe ich daher schon aus allen Interfaces rausgenommen.

Die Anbindung erfolgt hier über ADSL (Telekom) mit 4 MBit Downstream.

Irgendeine Idee, woran das noch liegen kann? Mit einem anderen Router (Linux) gibts keine Probleme, scheint also nicht an der Leitung zu liegen.

Danke für die Hilfe erstmal!

Da über das VPN kein IPX o.ä. laufen wird, sollte IPSec reichen. Ich werde die Config mal entsprechend ändern!

Danke Wordo!

Anbei mal mein aktueller Config-Status.

Dialer funktioniert soweit, Internet vom Router aus erreichbar, vom Client sollte es auch möglich sein (konnte ich noch nicht testen).

Mir ist aufgefallen, dass Du keinen GRE-Tunnel angegeben hast, ist der nicht zwingend erforderlich?

Vielleicht findest Du noch Fehler in meiner Config, konnte sie bisher leider nicht wieder testen!

Danke!

!

version 12.4

no service pad

service tcp-keepalives-in

service tcp-keepalives-out

service timestamps debug datetime msec localtime show-timezone

service timestamps log datetime msec localtime show-timezone

service password-encryption

service sequence-numbers

!

hostname router1

!

boot-start-marker

boot-end-marker

!

enable secret 5 xxxxxxxxxxxxxxxxxxxx

enable password 7 xxxxxxxxxxxxxxxxxxxx

!

aaa new-model

!

!

aaa authentication login userauthen local

aaa authorization network groupauthor local

!

aaa session-id common

!

resource policy

!

ip cef

!

!

ip name-server 194.25.2.129

vpdn enable

!

!

!

!

username xxxxx privilege 15 secret 5 xxxxxxxxxxxxxxxxxxxxx

!

!

!

crypto isakmp policy 1

encr 3des

hash md5

authentication pre-share

group 2

crypto isakmp key xxxxxxxxx hostname router2

crypto isakmp identity hostname

!

!

crypto ipsec transform-set my-set esp-3des esp-sha-hmac

!

!

!

crypto map vpn-connect 10 ipsec-isakmp

description Crypto Map fuer Router2

set peer a.b.c.d (öffentl. IP)

set transform-set my-set

match address 110

!

!

!

!

interface Tunnel1

ip address 192.168.0.9 255.255.255.252

keepalive 5 3

tunnel source FastEthernet4

tunnel destination a.b.c.d (öffentl. IP)

!

interface FastEthernet0

!

interface FastEthernet1

!

interface FastEthernet2

!

interface FastEthernet3

!

interface FastEthernet4

ip address e.f.g.h (eigene öffentl. IP)

ip nat outside

ip virtual-reassembly

speed 10

full-duplex

pppoe enable

pppoe-client dial-pool-number 1

!

interface Vlan1

ip address 10.1.1.1 255.255.0.0

ip access-group ethernet in

no ip proxy-arp

ip nat inside

ip virtual-reassembly

no ip route-cache cef

no ip route-cache

ip tcp adjust-mss 1452

no ip mroute-cache

!

interface Dialer1

description T-Online

ip address negotiated

no ip redirects

no ip proxy-arp

ip mtu 1492

ip access-group 102 in

ip nat outside

ip virtual-reassembly

encapsulation ppp

no ip route-cache cef

no ip route-cache

no ip mroute-cache

dialer pool 1

dialer-group 1

ppp authentication chap pap callin

ppp chap hostname feste-ip/xxxxxxxxxxxxxxxxx@t-online-com.de

ppp chap password 7 xxxxxxxxxxxx

!

ip route 0.0.0.0 0.0.0.0 Dialer1

!

no ip http server

no ip http secure-server

ip nat inside source route-map split-tunnel interface Dialer1 overload

!

access-list 102 remark Incoming Internet

access-list 102 permit udp any any eq isakmp

access-list 102 permit esp any any

access-list 102 permit gre any any

access-list 110 remark To be encrypted GRE tunnel Router2

!#################### ACL 110 einrichten, Loopback0 ????

access-list 110 permit ip 10.1.0.0 0.0.255.255 172.16.0.0 0.0.255.255

access-list 122 remark Traffic to NAT public IP

access-list 122 deny ip 10.1.0.0 0.0.255.255 172.16.0.0 0.0.255.255

access-list 122 permit ip 10.1.0.0 0.0.255.255 any

dialer-list 1 protocol ip permit

!

!

route-map split-tunnel permit 10

description Traffic to NAT

match ip address 122

!

!

control-plane

!

banner incoming ^C You have activated line $(line) ($(line-desc)) ^C

banner login ^C Authorized access only!

Disconnect IMMEDIATELY if you are not an authorized user!^C

banner motd ^C

******************************************************************

Banner

******************************************************************

^C

banner prompt-timeout ^C Please contact ... ^C

!

line con 0

no modem enable

line aux 0

line vty 0 4

!

scheduler max-task-time 5000

end

Hallo zusammen,

bin neu hier im Forum, und habe ein paar Probleme (oder einfach Verständnisfragen) zur Konfig zweier 871.

Es handelt sich um zwei Zweigstellen, die über ein VPN verbunden werden sollen, und gleichzeitig direkten Internetzugang für die lokalen Netze ermöglichen sollen.

Also lässt sich das ganze (nur?) mittels Split-tunnel und entsprechenden Route-Maps und ACLs einrichten.

Meine Frage ist, ob jemand eine entsprechende Musterconfig dazu bereitstellen kann, aus der ich entnehmen kann, was dazu grundlegend alles notwendig ist...

Vielen Dank!!!