guelcki

Hallo,

nachdem mein Router jetzt soweit läuft, möchte ich VPN einrichten. Ich möchte einem externen User per Cisco VPN-Client Zugriff auf das lokale Netz ermöglichen. Für die Adressauflösung von extern habe ich DynDNS bereits eingerichtet.

Wie muss ich jetzt aber den Router für VPN konfigurieren? Ich habe bei Cisco nur Anleitungen gefunden, bei dem mindestens ein Router eine feste IP hat (vielleicht wusste ich auch nur nicht, wonach ich suchen soll).

Kennt jemand einen Configuration-Guide, der mir bei dieser Aufgabe hilft, oder hat eine Beispielkonfiguration für mich?

Andere Frage interessehalber: Wieviele gleichzeitige VPN Verbindungen unterstützt die Soho96? Kann ein 1721er Router mehr Verbindungen aufgebaut haben?

Vielen Dank

guelcki

Okay, ich glaube ich habe die Lösung, das war eine Verkettung sehr unglücklicher Umstände! ;-)

Meine Freundin hat den Brief mit den Zugangsdaten von Arcor vor vier Jahren gleich weggeschmissen, nachdem sie die Daten in den Router eingetragen hatte. Sprich: Ich kannte unser Passwort nicht, und im Router war das Passwort nur mit Sternchen zu sehen.

Clever wie ich bin, habe ich mir dann ein Tool aus dem Netz runtergeladen, dass diese Passwörter sichtbar macht. Klappte auch hervorragend, Passwort wurde mir angezeigt. Das habe ich dann mit dem Router getestet und mir dafür das PPP debug angesehen und da stand:

CHAP: I SUCCESS id 1 len 41 msg is "CHAP authentication success, unit 110"

Super, dachte ich, du bist ein Fuchs!

Jetzt wollte ich aber Schritt für Schritt die Verbindung in Betrieb nehmen, und habe deshalb erstmal ein Ping vom Router aus probiert. DNS hatte ich auf dem Client noch nicht eingetragen, deshalb hatte ich es da nicht probiert.

In meiner Verzweifelung habe ich gerade eben mal beim Client einen OpenDNS Server eingetragen und wollte mal sehen, was denn ein Browser für eine Fehlermeldung ausgibt. Seltsamerweise kam gar nicht sofort eine Fehlermeldung sondern ein Redirect. Verwundert habe ich auf den Seitenaufbau gewartet und was musste ich sehen? Arcor schreibt mir, dass meine Benutzerdaten falsch sind!

Also: Zuerst hat mich mein alter Router überlistet, indem er unter den Sternchen ein anderes Passwort als das eigentlich richtige anzeigt, und dann auch noch Arcor indem sie mir trotz falscher Benutzerdaten ein Authentication success geben und mich erst per HTTP auf meinen Fehler hinweisen!

Also Franz und blackbox, vielen Dank für eure Mühe! Der Fehler lag, wie so häufig, zwischen meinen Ohren. Ich hoffe, dass ich trotzdem in Zukunft noch mal hier eine Frage stellen darf!

Vielen Dank

guelcki

Was ist denn eigentlich mit der Firewall? Der Router soll doch eine stateful Firewall haben, wird die vielleicht woanders konfiguriert als in der running-config und blockt im Augenblick alles?

Okay, hier das Ergebnis:

routerblack#term mon
routerblack#debug ip icmp
ICMP packet debugging is on
routerblack#sh ip int brief
Interface                  IP-Address      OK? Method Status                Protocol
Ethernet0                  192.168.22.254  YES NVRAM  up                    up
ATM0                       unassigned      YES NVRAM  up                    up
BRI0                       unassigned      YES NVRAM  administratively down down
BRI0:1                     unassigned      YES unset  administratively down down
BRI0:2                     unassigned      YES unset  administratively down down
NVI0                       unassigned      NO  unset  up                    up
Dialer1                    92.75.103.157   YES IPCP   up                    up
Virtual-Access1            unassigned      YES unset  up                    up
routerblack#ping heise.de

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 193.99.144.80, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
routerblack#traceroute www.heise.de

Type escape sequence to abort.
Tracing the route to www.heise.de (193.99.144.85)

 1  *  *  *
 2  *  *  *
 3  *  *  *
 4  *  *  *
 5
routerblack#telnet www.heise.de 80
Trying www.heise.de (193.99.144.85, 80)... Open

[Connection to www.heise.de closed by foreign host]
routerblack#

Warum bekomme ich denn trotz ICMP Debugging keinerlei Debug Informationen? Habe auch auf der Konsolenport mitgeloggt, dort gabe es auch keine Meldungen.

Gruß

guelcki

Moin,

entschuldigt bitte, dass ich mich jetzt erst wieder melde!

Habe gerade noch einmal mit der MTU nachgesehen, die ist auf dem WAN Interface schon auf 1488. Beim LAN Interface habe ich keine Einstellungen bei der MTU vorgenommen, aber dass sollte im Augenblick ja auch noch nicht relevant sein, da ja noch nicht einmal der PING vom IOS aus funktioniert.

Hier einmal die sh Befehle:

routerblack#sh ip int brie
Interface                  IP-Address      OK? Method Status                Protocol
Ethernet0                  192.168.22.254  YES NVRAM  down                  down
ATM0                       unassigned      YES NVRAM  up                    up  
BRI0                       unassigned      YES NVRAM  administratively down down
BRI0:1                     unassigned      YES unset  administratively down down
BRI0:2                     unassigned      YES unset  administratively down down
NVI0                       unassigned      NO  unset  up                    up  
Dialer1                    88.69.68.46     YES IPCP   up                    up  
Virtual-Access1            unassigned      YES unset  up                    up  

routerblack#sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
      D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
      N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
      E1 - OSPF external type 1, E2 - OSPF external type 2
      i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
      ia - IS-IS inter area, * - candidate default, U - per-user static route
      o - ODR, P - periodic downloaded static route

Gateway of last resort is 0.0.0.0 to network 0.0.0.0

    88.0.0.0/32 is subnetted, 2 subnets
C       88.69.64.1 is directly connected, Dialer1
C       88.69.68.46 is directly connected, Dialer1
S*   0.0.0.0/0 is directly connected, Dialer1

routerblack#ping heise.de
Translating "heise.de"...domain server (195.50.140.178) [OK]

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 193.99.144.80, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)

Man sieht, dass der Router den Namen auflösen kann, bloß der Ping klappt nicht.

Gruß

guelcki

So, habe es jetzt ausprobiert, hat leider beides nichts gebracht.

Moin Franz,

vielen Dank für die Tipps, ich habe aber wenig Hofnung, dass das hilft.

Zum DNS: Der Eintrag im DHCP Pool ist ja nur für die Clients, so weit bin ich ja noch gar nicht. Zuerst einmal möchte ich vom Router aus einen Server im Internet anpingen können. Die Namensauflösung in Richtung Arcor funktioniert ja auch, nur der Ping nicht.

Zum HTTPS: Ich denke nicht, dass es daran liegt. Der Router liefert mir ja schon HTML und Java über Http aus, es hängt ja erst bei einem Java Applett. Ich hatte eher die Vermutung, es liegt an einem Problem mit Java, kann es aber leider nicht eingrenzen und hatte die Hoffnung, sowas hat hier jemand schon gesehen.

Werde deine beiden Vorschläge aber trotzdem gleich einmal ausprobieren.

Gruß

guelcki

Hallo,

ich habe mir aus Spaß an der Freude günstig bei Ebay einen Soho96 zugelegt. Soweit habe ich den Router auch zum laufen bekommen, ich bekomme eine IP von Arcor und auch DNS von Arcor in Richtung Router funktioniert. Ich kann bloß leider keinen einzigen Server vom Router aus anpingen, auch von den beiden angeschlossenen PCs klappt es nicht.

Wenn ich auf dem Router z.B. heise.de anpinge, wird die IP Adresse aufgelöst, grundsätzlich scheint die Verbindung zu Arcor also zu funktionieren. Kann sich bitte mal jemand die config ansehen, ob ich da einen ganz eklatanten Fehler gemacht habe? Sollte es so sein, bitte ich das mir nachzusehen, ich bin (noch) nicht sonderlich Cisco-fest. ^^

!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname routerblack
!
boot-start-marker
boot-end-marker
!
memory-size iomem 5
enable secret 5 xxxxxx
!
no aaa new-model
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.22.100 192.168.22.254
!
ip dhcp pool LAN
  network 192.168.22.0 255.255.255.0
  default-router 192.168.22.254 
  dns-server 192.168.22.254 
!
!
ip cef
ip domain name lan.local
!
!
!
username admin secret 5 xxxxxx
!
!
! 
!
!
!
interface Ethernet0
ip address 192.168.22.254 255.255.255.0
ip nat inside
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
pvc 1/32 
 pppoe-client dial-pool-number 1
!
!
interface Dialer1
mtu 1488
ip address negotiated
ip nat outside
encapsulation ppp
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication chap callin
ppp chap hostname xxxxxx
ppp chap password 7 xxxxxx
ppp pap sent-username xxxxxx password 0 xxxxxx
ppp ipcp dns request
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer1
ip http server
no ip http secure-server
!
ip nat inside source list 11 interface Dialer1 overload
!
access-list 11 permit 192.168.22.0 0.0.0.255
access-list 100 permit ip 192.168.22.0 0.0.0.255 any
dialer-list 1 protocol ip permit
no cdp run
!
control-plane
!
line con 0
login local
transport output all
line vty 0 4
exec-timeout 120 0
login local
length 0
transport input ssh
transport output all
!
scheduler max-task-time 5000
!
end

Außerdem habe ich noch ein anderes Problem:

Ich bekomme partout die Weboberfläche nicht zum laufen! Wenn ich per http auf den Router gehe, wird das Java-Applett gestartet, ich sehe im Hintergrund schon das Menü, aber im Vordergrund ist ein Fenster in dem steht "Checking the Router Model, ...". Das Fenster will einfach nicht verschwinden. Habe es mit Firefox 3 und IE 7 probiert, außerdem habe ich Java 1.4 und Java 1.6 probiert, nichts hat geholfen. Hat da jemand eine Idee?

Ganz vielen Dank schonmal für die Hilfe!

guelcki