guelcki

Hallo, nachdem mein Router jetzt soweit läuft, möchte ich VPN einrichten. Ich möchte einem externen User per Cisco VPN-Client Zugriff auf das lokale Netz ermöglichen. Für die Adressauflösung von extern habe ich DynDNS bereits eingerichtet. Wie muss ich jetzt aber den Router für VPN konfigurieren? Ich habe bei Cisco nur Anleitungen gefunden, bei dem mindestens ein Router eine feste IP hat (vielleicht wusste ich auch nur nicht, wonach ich suchen soll). Kennt jemand einen Configuration-Guide, der mir bei dieser Aufgabe hilft, oder hat eine Beispielkonfiguration für mich? Andere Frage interessehalber: Wieviele gleichzeitige VPN Verbindungen unterstützt die Soho96? Kann ein 1721er Router mehr Verbindungen aufgebaut haben? Vielen Dank guelcki

Okay, ich glaube ich habe die Lösung, das war eine Verkettung sehr unglücklicher Umstände! ;-) Meine Freundin hat den Brief mit den Zugangsdaten von Arcor vor vier Jahren gleich weggeschmissen, nachdem sie die Daten in den Router eingetragen hatte. Sprich: Ich kannte unser Passwort nicht, und im Router war das Passwort nur mit Sternchen zu sehen. Clever wie ich bin, habe ich mir dann ein Tool aus dem Netz runtergeladen, dass diese Passwörter sichtbar macht. Klappte auch hervorragend, Passwort wurde mir angezeigt. Das habe ich dann mit dem Router getestet und mir dafür das PPP debug angesehen und da stand: CHAP: I SUCCESS id 1 len 41 msg is "CHAP authentication success, unit 110" Super, dachte ich, du bist ein Fuchs! Jetzt wollte ich aber Schritt für Schritt die Verbindung in Betrieb nehmen, und habe deshalb erstmal ein Ping vom Router aus probiert. DNS hatte ich auf dem Client noch nicht eingetragen, deshalb hatte ich es da nicht probiert. In meiner Verzweifelung habe ich gerade eben mal beim Client einen OpenDNS Server eingetragen und wollte mal sehen, was denn ein Browser für eine Fehlermeldung ausgibt. Seltsamerweise kam gar nicht sofort eine Fehlermeldung sondern ein Redirect. Verwundert habe ich auf den Seitenaufbau gewartet und was musste ich sehen? Arcor schreibt mir, dass meine Benutzerdaten falsch sind! Also: Zuerst hat mich mein alter Router überlistet, indem er unter den Sternchen ein anderes Passwort als das eigentlich richtige anzeigt, und dann auch noch Arcor indem sie mir trotz falscher Benutzerdaten ein Authentication success geben und mich erst per HTTP auf meinen Fehler hinweisen! Also Franz und blackbox, vielen Dank für eure Mühe! Der Fehler lag, wie so häufig, zwischen meinen Ohren. Ich hoffe, dass ich trotzdem in Zukunft noch mal hier eine Frage stellen darf! Vielen Dank guelcki

Was ist denn eigentlich mit der Firewall? Der Router soll doch eine stateful Firewall haben, wird die vielleicht woanders konfiguriert als in der running-config und blockt im Augenblick alles?

Okay, hier das Ergebnis: routerblack#term mon routerblack#debug ip icmp ICMP packet debugging is on routerblack#sh ip int brief Interface IP-Address OK? Method Status Protocol Ethernet0 192.168.22.254 YES NVRAM up up ATM0 unassigned YES NVRAM up up BRI0 unassigned YES NVRAM administratively down down BRI0:1 unassigned YES unset administratively down down BRI0:2 unassigned YES unset administratively down down NVI0 unassigned NO unset up up Dialer1 92.75.103.157 YES IPCP up up Virtual-Access1 unassigned YES unset up up routerblack#ping heise.de Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 193.99.144.80, timeout is 2 seconds: ..... Success rate is 0 percent (0/5) routerblack#traceroute www.heise.de Type escape sequence to abort. Tracing the route to www.heise.de (193.99.144.85) 1 * * * 2 * * * 3 * * * 4 * * * 5 routerblack#telnet www.heise.de 80 Trying www.heise.de (193.99.144.85, 80)... Open [Connection to www.heise.de closed by foreign host] routerblack# Warum bekomme ich denn trotz ICMP Debugging keinerlei Debug Informationen? Habe auch auf der Konsolenport mitgeloggt, dort gabe es auch keine Meldungen. Gruß guelcki

Moin, entschuldigt bitte, dass ich mich jetzt erst wieder melde! Habe gerade noch einmal mit der MTU nachgesehen, die ist auf dem WAN Interface schon auf 1488. Beim LAN Interface habe ich keine Einstellungen bei der MTU vorgenommen, aber dass sollte im Augenblick ja auch noch nicht relevant sein, da ja noch nicht einmal der PING vom IOS aus funktioniert. Hier einmal die sh Befehle: routerblack#sh ip int brie Interface IP-Address OK? Method Status Protocol Ethernet0 192.168.22.254 YES NVRAM down down ATM0 unassigned YES NVRAM up up BRI0 unassigned YES NVRAM administratively down down BRI0:1 unassigned YES unset administratively down down BRI0:2 unassigned YES unset administratively down down NVI0 unassigned NO unset up up Dialer1 88.69.68.46 YES IPCP up up Virtual-Access1 unassigned YES unset up up routerblack#sh ip route Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is 0.0.0.0 to network 0.0.0.0 88.0.0.0/32 is subnetted, 2 subnets C 88.69.64.1 is directly connected, Dialer1 C 88.69.68.46 is directly connected, Dialer1 S* 0.0.0.0/0 is directly connected, Dialer1 routerblack#ping heise.de Translating "heise.de"...domain server (195.50.140.178) [OK] Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 193.99.144.80, timeout is 2 seconds: ..... Success rate is 0 percent (0/5) Man sieht, dass der Router den Namen auflösen kann, bloß der Ping klappt nicht. Gruß guelcki

So, habe es jetzt ausprobiert, hat leider beides nichts gebracht.

Moin Franz, vielen Dank für die Tipps, ich habe aber wenig Hofnung, dass das hilft. Zum DNS: Der Eintrag im DHCP Pool ist ja nur für die Clients, so weit bin ich ja noch gar nicht. Zuerst einmal möchte ich vom Router aus einen Server im Internet anpingen können. Die Namensauflösung in Richtung Arcor funktioniert ja auch, nur der Ping nicht. Zum HTTPS: Ich denke nicht, dass es daran liegt. Der Router liefert mir ja schon HTML und Java über Http aus, es hängt ja erst bei einem Java Applett. Ich hatte eher die Vermutung, es liegt an einem Problem mit Java, kann es aber leider nicht eingrenzen und hatte die Hoffnung, sowas hat hier jemand schon gesehen. Werde deine beiden Vorschläge aber trotzdem gleich einmal ausprobieren. Gruß guelcki

Hallo, ich habe mir aus Spaß an der Freude günstig bei Ebay einen Soho96 zugelegt. Soweit habe ich den Router auch zum laufen bekommen, ich bekomme eine IP von Arcor und auch DNS von Arcor in Richtung Router funktioniert. Ich kann bloß leider keinen einzigen Server vom Router aus anpingen, auch von den beiden angeschlossenen PCs klappt es nicht. Wenn ich auf dem Router z.B. heise.de anpinge, wird die IP Adresse aufgelöst, grundsätzlich scheint die Verbindung zu Arcor also zu funktionieren. Kann sich bitte mal jemand die config ansehen, ob ich da einen ganz eklatanten Fehler gemacht habe? Sollte es so sein, bitte ich das mir nachzusehen, ich bin (noch) nicht sonderlich Cisco-fest. ^^ ! version 12.4 no service pad service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname routerblack ! boot-start-marker boot-end-marker ! memory-size iomem 5 enable secret 5 xxxxxx ! no aaa new-model no ip dhcp use vrf connected ip dhcp excluded-address 192.168.22.100 192.168.22.254 ! ip dhcp pool LAN network 192.168.22.0 255.255.255.0 default-router 192.168.22.254 dns-server 192.168.22.254 ! ! ip cef ip domain name lan.local ! ! ! username admin secret 5 xxxxxx ! ! ! ! ! ! interface Ethernet0 ip address 192.168.22.254 255.255.255.0 ip nat inside ! interface BRI0 no ip address encapsulation hdlc shutdown ! interface ATM0 no ip address no atm ilmi-keepalive dsl operating-mode auto pvc 1/32 pppoe-client dial-pool-number 1 ! ! interface Dialer1 mtu 1488 ip address negotiated ip nat outside encapsulation ppp dialer pool 1 dialer-group 1 no cdp enable ppp authentication chap callin ppp chap hostname xxxxxx ppp chap password 7 xxxxxx ppp pap sent-username xxxxxx password 0 xxxxxx ppp ipcp dns request ! ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 Dialer1 ip http server no ip http secure-server ! ip nat inside source list 11 interface Dialer1 overload ! access-list 11 permit 192.168.22.0 0.0.0.255 access-list 100 permit ip 192.168.22.0 0.0.0.255 any dialer-list 1 protocol ip permit no cdp run ! control-plane ! line con 0 login local transport output all line vty 0 4 exec-timeout 120 0 login local length 0 transport input ssh transport output all ! scheduler max-task-time 5000 ! end Außerdem habe ich noch ein anderes Problem: Ich bekomme partout die Weboberfläche nicht zum laufen! Wenn ich per http auf den Router gehe, wird das Java-Applett gestartet, ich sehe im Hintergrund schon das Menü, aber im Vordergrund ist ein Fenster in dem steht "Checking the Router Model, ...". Das Fenster will einfach nicht verschwinden. Habe es mit Firefox 3 und IE 7 probiert, außerdem habe ich Java 1.4 und Java 1.6 probiert, nichts hat geholfen. Hat da jemand eine Idee? Ganz vielen Dank schonmal für die Hilfe! guelcki