-
Gesamte Inhalte
368 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von Whistleblower
-
-
Hi Wordo,
das hat so leider noch nicht geklappt.
Ich habe auf dem einen Router dann die ACL wieder gelöscht (um hinterher wieder den alten Eintrag für die ACL 101 vorzunhmen) und festgestellt, dass der Tunnel zwischen den beiden Routern weiterlief, obwohl von der crypto map SDM_CMAP_1 noch ein Verweis auf die nicht existente ACL101 vorhanden war.
Hast Du dafür eine Erklärung?
Die crypto map meckert er jetzt ja auch korrekterweise als incomplete an... Der Tunnel steht trotzdem.
Aber noch mal was anderes: Ich muss jetzt noch mehrere feste IPSec-Tunnel zu anderen Lokationen aufbauen, daher überlege ich, ob es nicht sinnvoll wäre, das Gesamtkonzept noch einmal zu überdenken. Im jetzigen Zustand kann ich ja nur eine Crypto-Map an den Dialer binden, und das müsste ich ja für verschiedene realisieren. Müsste ich dazu doch wieder auf GRE-Tunnel umsteigen?
Wieviele VPN-Verbindungen schafft der 871 denn überhaupt gleichzeitig in der Praxis? Hast Du da Erfahrungswerte?
-
ip local pool SDM_POOL_1 192.168.10.10 192.168.10.20
access-list 101 permit ip 10.10.0.0 0.0.255.255 172.16.0.0 0.0.255.255
Da muss noch der Pool mit rein, sonst gehts nicht durch den Tunnel
D.h.
access-list 101 permit ip 192.168.10.10 0.0.0.0 172.16.0.0 0.0.255.255
... bis ...
access-list 101 permit ip 192.168.10.20 0.0.0.0 172.16.0.0 0.0.255.255
?
Muss auf der Gegenseite auch entsprechend eine ACL eingerichtet werden?
Also bräuchte ich keine Hub'n'Spoke-Config erstellen, oder?
-
Anbei die Konfig, etwas verkürzt.
"Log" für die ACL hab ich noch nicht aktiv.
!version 12.4
...
!
hostname router1
...
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key xxxxxxxx address xxxxxxxxxxx no-xauth
!
crypto isakmp client configuration group gruppe-xyz
key xxxxxxx
dns xxxxxxxxx
domain xxxxxxxx
pool SDM_POOL_1
include-local-lan
netmask 255.255.255.0
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
!
crypto dynamic-map SDM_DYNMAP_1 1
set transform-set ESP-3DES-SHA
reverse-route
!
!
crypto map SDM_CMAP_1 client authentication list sdm_vpn_xauth_ml_1
crypto map SDM_CMAP_1 isakmp authorization list sdm_vpn_group_ml_1
crypto map SDM_CMAP_1 client configuration address respond
crypto map SDM_CMAP_1 1 ipsec-isakmp
description Tunnel toxxxxxxxxxx
set peer xxxxxxxxxxxxx
set transform-set ESP-3DES-SHA
match address 101
crypto map SDM_CMAP_1 65535 ipsec-isakmp dynamic SDM_DYNMAP_1
!
!
!
!
...
!
interface FastEthernet4
no ip address
ip nat outside
no ip virtual-reassembly
duplex auto
speed auto
pppoe enable
pppoe-client dial-pool-number 1
!
interface Vlan1
description $FW_INSIDE$
ip address 10.10.1.1 255.255.0.0
ip access-group 100 in
no ip proxy-arp
ip accounting output-packets
ip accounting access-violations
ip nat inside
no ip virtual-reassembly
no ip route-cache cef
no ip route-cache
ip tcp adjust-mss 1300
no ip mroute-cache
!
interface Dialer1
description T-Online$FW_OUTSIDE$
mtu 1444
ip address negotiated
no ip redirects
no ip proxy-arp
ip nat outside
no ip virtual-reassembly
encapsulation ppp
no ip route-cache cef
no ip route-cache
no ip mroute-cache
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication chap pap callin
ppp chap hostname xxxxxxxxx
ppp chap password 7 xxxxxxxxxxxx
crypto map SDM_CMAP_1
!
ip local pool SDM_POOL_1 192.168.10.10 192.168.10.20
ip route 0.0.0.0 0.0.0.0 Dialer1
!
no ip http server
ip http access-class 3
ip http secure-server
ip nat inside source route-map SDM_RMAP_1 interface Dialer1 overload
!
access-list 1 remark INSIDE_IF=Vlan1
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 10.10.0.0 0.0.255.255
access-list 2 remark SDM_ACL Category=2
access-list 2 permit 10.10.0.0 0.0.255.255
access-list 3 remark HTTP Access-class list
access-list 3 remark SDM_ACL Category=1
access-list 3 permit 10.10.0.0 0.0.255.255
access-list 3 permit 172.16.0.0 0.0.255.255
access-list 3 deny any
access-list 100 remark SDM_ACL Category=1
access-list 100 permit ip any any
access-list 101 remark SDM_ACL Category=4
access-list 101 remark IPSec Rule
access-list 101 permit ip 10.10.0.0 0.0.255.255 172.16.0.0 0.0.255.255
access-list 102 remark SDM_ACL Category=2
access-list 102 deny ip any host 192.168.10.10
...
access-list 102 deny ip any host 192.168.10.20
access-list 102 remark IPSec Rule
access-list 102 deny ip 10.10.0.0 0.0.255.255 172.16.0.0 0.0.255.255
access-list 102 permit ip 10.10.0.0 0.0.255.255 any
access-list 103 remark Incoming_Traffic
access-list 103 permit ahp host w.x.y.z any
access-list 103 permit esp host w.x.y.z any
access-list 103 permit udp host w.x.y.z any eq isakmp
access-list 103 permit udp host w.x.y.z any eq non500-isakmp
access-list 104 remark VTY Access-class list
access-list 104 remark SDM_ACL Category=1
access-list 104 permit ip 10.10.0.0 0.0.255.255 any
access-list 104 permit ip host a.b.c.d any
access-list 104 deny ip any any
access-list 120 permit ip 10.10.0.0 0.0.255.255 192.168.1.0 0.0.0.255
access-list 120 permit ip 17.16.0.0 0.0.255.255 192.168.1.0 0.0.0.255
no cdp run
!
!
route-map SDM_RMAP_1 permit 1
match ip address 102
!
...
end
-
Hi Wordo!
Die Clients wählen sich über den Cisco VPN-Client über die öff. IP der Geschäftsstellen ein.
Es gibt kein Transfernetz/GRE-Tunnel:
Client-IP: 192.168.x.y -> öffentl. IP Router -> Vlan1 (10.1.x.y)
von dort sollten sie dann über den bestehenden IPSec-Tunnel weiter zur anderen Geschäftsstelle (LAN 172.16.x.y) kommen.
Es ist für die Clients kein Split-Tunnel eingerichtet, es geht also jeglicher Verkehr in den Tunnel. Die Frage ist, ob der Router aufgrund fehlender ACLs blockt, oder ob seitens der Konfiguration noch Änderungen vorzunehmen sind... Kann ich mir auf der CLI anzeigen lassen, wenn Pakete aufgrund von ACL geblockt werden?
-
Hallo,
wir haben hier eine VPN-Vernetzung mit 2 Cisco 871 zwischen unseren beiden Standorten. Für Servicemitarbeiter soll eine mobile VPN-Einwahl erfolgen, klappt bei den einzelnen Standorten bisher auch schon.
Allerdings sollen die Mobile-VPNs auch zum jeweils entfernten Standort über den festen Tunnel Zugriff haben.
Reicht dazu der Eintrag "include-local-lan" bei der client configuration, oder was ist sonst noch zu berücksichtigen dabei? Vor allem, wie kann ich das ganze debuggen, dass ich besser sehen kann, wo es hängt?
Vielen Dank!
-
Hey DANKE, Wordo!
Ich glaube jetzt hab ich das Problem dank Deiner Hilfe auch noch in Griff bekommen!
Wenn jetzt keine Seiten mehr Bocken ist alles i.O. !
Danke!
Wenn ich jetzt noch verstehen würde, warum manche Clients vorher auch keine Probleme hatten...
-
Hallo,
ich habe hier ein sehr merkwürdiges Fehlerbild.
Ein Cisco 871 am DSL3000 Anschluss.
Bei einigen Clients im Netz werden manche Webseiten nicht aufgerufen (bzw. nicht bis zum Ende geladen), DNS-Aufllösung funktioniert auf allen Clients.
Habe schon etwas an den MTU/MSS Einstellungen auf dem Router (und auf den betroffenen Clients) geändert, allerdings ohne Erfolg.
Bei dem 871 ist mir auch noch nicht klar, auf welchen Interfaces ich die MTU und/oder MSS ändern muss.
Habe derzeit für den Dialer MTU=1444 und MSS=1412 eingestellt. Muss ich das gleiche eigentlich auch für das FastEth4 (=WAN) vornehmen? Und wie siehts mit dem VLAN1 aus?
Müssen da auch noch Werte angepasst werden?
-
Verbindung läuft jetzt einwandfrei, hatte die MTU-Size und MSS noch einmal verringert, und seitdem gibt es keine Probs mehr.
ABER:
Ich habe dann den Gegentest gemacht, und noch einmal die alte Konfig eingespielt, und die läuft ebenso problemlos an dem Anschluss... Sehr merkwürdig, aber egal...
-
Hi!
Habe den Router gerade mal an einem anderen ADSL-Anschluss getestet (4 MBit/348) und habe keine Probleme bei gleicher Konfig (nur Dialer angepasst).
Sehr merkwürdig... Scheint wohl irgendwie mal wieder an MTU/MSS zu liegen, muss ich mal wohl mal ausführlich testen... Oder es besteht intern ein Problem mit dem lokalen DNS-Server, will ich auch nicht ausschließen.
-
Das ist ein 871, also ohne eigenes DSL-Modem... Dementsprechend kein ATM-Interface...
Werde den Router nachher nochmal an einem anderen Anschluss testen, wegen evtl. Probs mit MTU und MSS
-
So, habe gestern noch mal mit dem SDM eine Config erstellt,
Internet und Tunnel läuft jetzt auch, allerdings sind die Antwortzeiten miserabel.
Wenn ich einen Dauerping auf z.B. heise.de mache und zwischendurch surfe, habe ich beim ping bereits Zeitüberschreitungen.
ip virtual reassembly habe ich daher schon aus allen Interfaces rausgenommen.
Die Anbindung erfolgt hier über ADSL (Telekom) mit 4 MBit Downstream.
Irgendeine Idee, woran das noch liegen kann? Mit einem anderen Router (Linux) gibts keine Probleme, scheint also nicht an der Leitung zu liegen.
-
Danke für die Hilfe erstmal!
Da über das VPN kein IPX o.ä. laufen wird, sollte IPSec reichen. Ich werde die Config mal entsprechend ändern!
-
Danke Wordo!
Anbei mal mein aktueller Config-Status.
Dialer funktioniert soweit, Internet vom Router aus erreichbar, vom Client sollte es auch möglich sein (konnte ich noch nicht testen).
Mir ist aufgefallen, dass Du keinen GRE-Tunnel angegeben hast, ist der nicht zwingend erforderlich?
Vielleicht findest Du noch Fehler in meiner Config, konnte sie bisher leider nicht wieder testen!
Danke!
!version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname router1
!
boot-start-marker
boot-end-marker
!
enable secret 5 xxxxxxxxxxxxxxxxxxxx
enable password 7 xxxxxxxxxxxxxxxxxxxx
!
aaa new-model
!
!
aaa authentication login userauthen local
aaa authorization network groupauthor local
!
aaa session-id common
!
resource policy
!
ip cef
!
!
ip name-server 194.25.2.129
vpdn enable
!
!
!
!
username xxxxx privilege 15 secret 5 xxxxxxxxxxxxxxxxxxxxx
!
!
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key xxxxxxxxx hostname router2
crypto isakmp identity hostname
!
!
crypto ipsec transform-set my-set esp-3des esp-sha-hmac
!
!
!
crypto map vpn-connect 10 ipsec-isakmp
description Crypto Map fuer Router2
set peer a.b.c.d (öffentl. IP)
set transform-set my-set
match address 110
!
!
!
!
interface Tunnel1
ip address 192.168.0.9 255.255.255.252
keepalive 5 3
tunnel source FastEthernet4
tunnel destination a.b.c.d (öffentl. IP)
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
ip address e.f.g.h (eigene öffentl. IP)
ip nat outside
ip virtual-reassembly
speed 10
full-duplex
pppoe enable
pppoe-client dial-pool-number 1
!
interface Vlan1
ip address 10.1.1.1 255.255.0.0
ip access-group ethernet in
no ip proxy-arp
ip nat inside
ip virtual-reassembly
no ip route-cache cef
no ip route-cache
ip tcp adjust-mss 1452
no ip mroute-cache
!
interface Dialer1
description T-Online
ip address negotiated
no ip redirects
no ip proxy-arp
ip mtu 1492
ip access-group 102 in
ip nat outside
ip virtual-reassembly
encapsulation ppp
no ip route-cache cef
no ip route-cache
no ip mroute-cache
dialer pool 1
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname feste-ip/xxxxxxxxxxxxxxxxx@t-online-com.de
ppp chap password 7 xxxxxxxxxxxx
!
ip route 0.0.0.0 0.0.0.0 Dialer1
!
no ip http server
no ip http secure-server
ip nat inside source route-map split-tunnel interface Dialer1 overload
!
access-list 102 remark Incoming Internet
access-list 102 permit udp any any eq isakmp
access-list 102 permit esp any any
access-list 102 permit gre any any
access-list 110 remark To be encrypted GRE tunnel Router2
!#################### ACL 110 einrichten, Loopback0 ????
access-list 110 permit ip 10.1.0.0 0.0.255.255 172.16.0.0 0.0.255.255
access-list 122 remark Traffic to NAT public IP
access-list 122 deny ip 10.1.0.0 0.0.255.255 172.16.0.0 0.0.255.255
access-list 122 permit ip 10.1.0.0 0.0.255.255 any
dialer-list 1 protocol ip permit
!
!
route-map split-tunnel permit 10
description Traffic to NAT
match ip address 122
!
!
control-plane
!
banner incoming ^C You have activated line $(line) ($(line-desc)) ^C
banner login ^C Authorized access only!
Disconnect IMMEDIATELY if you are not an authorized user!^C
banner motd ^C
******************************************************************
Banner
******************************************************************
^C
banner prompt-timeout ^C Please contact ... ^C
!
line con 0
no modem enable
line aux 0
line vty 0 4
!
scheduler max-task-time 5000
end
-
Hallo zusammen,
bin neu hier im Forum, und habe ein paar Probleme (oder einfach Verständnisfragen) zur Konfig zweier 871.
Es handelt sich um zwei Zweigstellen, die über ein VPN verbunden werden sollen, und gleichzeitig direkten Internetzugang für die lokalen Netze ermöglichen sollen.
Also lässt sich das ganze (nur?) mittels Split-tunnel und entsprechenden Route-Maps und ACLs einrichten.
Meine Frage ist, ob jemand eine entsprechende Musterconfig dazu bereitstellen kann, aus der ich entnehmen kann, was dazu grundlegend alles notwendig ist...
Vielen Dank!!!
Hub'n'Spoke Config auf 871 möglich?
in Cisco Forum — Allgemein
Geschrieben
Dank Dir erstmal, werde ich mich heute abend wohl nochmal dransetzen.
Die verschiedenen Möglichkeiten für VPNs bei Cisco haben sich mir bisher noch nicht erschlossen, bin da in letzter Zeit eher NetasQ und Watchguard belastet.
Hast Du Dir Dein reichliches Wissen eigentlich alles selbst angeeignet, oder kannst Du mir Schulungen und/oder Literatur empfehlen, um mein gefährliches Halbwissen mal auszugleichen?