Routing zwischen zwei VPN Tunnel

[Chrusafan 10]

Hallo zusammen,

 

ich habe einen VPN Tunnel zwischen 2 Cisco 851 gebildet. Nun hat der eine Router einen zusätzlichen Tunnel zu einer Cisco 1811 bekommen. so weit so gut und alle funktioniert.

 

Jetzt möchte ich gerne, das die User A (1811) über den Router B (851) auf die User C (851) sehen. Dies funktioniert nicht. Kann es sein, das der Router hierfür nicht geeignet bzw. nicht lizensiert ist?

 

c850-advsecurityk9-mz.123-8.YI2.bin

 

Gruß

Chrusafan

[Wordo 11]

Deine VPN-Konfiguration ist falsch. Du musst die Netze (Routen oder ACL's) schon auf allen Ciscos festlegen. Poste doch mal die relevanten Configteile ...

[Chrusafan 10]

Ja das ist wohl der erste Verdacht, aber das schliesse ich wohl aus. Trotzdem hier erst einmal die Routing Tabellen von A,B und C.

 

Das Netz bei A ist 172.25.1.0

bei B 172.25.5.0 und bei C 172.25.7.0

 

RouterA#sh ip route

 

172.25.0.0/24 is subnetted, 6 subnets

S 172.25.5.0 [1/0] via 10.0.0.9

S 172.25.7.0 [1/0] via 10.0.0.9

S 172.25.6.0 [1/0] via 10.0.0.13

C 172.25.1.0 is directly connected, Vlan1

S 172.25.3.0 [1/0] via 10.0.0.6

S 172.25.2.0 [1/0] via 10.0.0.2

10.0.0.0/30 is subnetted, 5 subnets

C 10.0.0.8 is directly connected, Tunnel2

 

RouterB#sh ip route

 

172.25.0.0/24 is subnetted, 3 subnets

C 172.25.5.0 is directly connected, Vlan1

S 172.25.7.0 [1/0] via 10.0.0.22

S 172.25.1.0 [1/0] via 10.0.0.10

10.0.0.0/30 is subnetted, 2 subnets

C 10.0.0.8 is directly connected, Tunnel2

C 10.0.0.20 is directly connected, Tunnel6

 

RouterC#sh ip route

 

172.25.0.0/24 is subnetted, 2 subnets

C 172.25.7.0 is directly connected, Vlan1

S 172.25.1.0 [1/0] via 10.0.0.21

10.0.0.0/30 is subnetted, 1 subnets

C 10.0.0.20 is directly connected, Tunnel6

 

Access-lists sind alle ausgeschaltet aufgrund der Probleme.

 

Gruß

Chrusafan

[Wordo 11]

Ich hab mit ACL's nicht Restriktionen gemeint, sondern ACL's die an crypto-maps gebunden sind. Auch kann ich mit den Routingtables nicht viel anfangen. Du solltest schon die Konfiguration der VPN's posten ..

[Chrusafan 10]

Da die Tunnel ja stehen und zwischen a und b sowie zwischen b und c der Verkehr funktioniert, sehe ich hier kein Problem. Anbei die Config.

 

RouterA:

 

crypto isakmp policy 1

encr 3des

authentication pre-share

group 2

 

crypto isakmp key XXXXX address 62.206.150.34 no-xauth

crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac

 

crypto map SDM_CMAP_1 1 ipsec-isakmp

description Tunnel to62.206.150.34

set peer 62.206.150.34

set transform-set ESP-3DES-SHA

match address 105

qos pre-classify

 

!

interface Tunnel2

ip address 10.0.0.10 255.255.255.252

ip mtu 1440

tunnel source 62.206.150.50

tunnel destination 62.206.150.34

crypto map SDM_CMAP_1

crypto ipsec df-bit clear

 

access-list 105 permit ip 62.206.150.48 0.0.0.7 62.206.150.32 0.0.0.7

 

RouterB:

 

!

crypto isakmp policy 1

encr 3des

authentication pre-share

group 2

crypto isakmp key CP5015020662 address 62.206.150.50

crypto isakmp key CP5015020662 address 62.206.250.194

!

!

crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac

crypto ipsec transform-set ESP-3DES-SHA1 esp-3des esp-sha-hmac

!

crypto map SDM_CMAP_1 1 ipsec-isakmp

description Tunnel to62.206.150.50

set peer 62.206.150.50

set transform-set ESP-3DES-SHA

match address 102

crypto map SDM_CMAP_1 2 ipsec-isakmp

description Tunnel to 62.206.250.194

set peer 62.206.250.194

set transform-set ESP-3DES-SHA1

match address 110

!

!

!

interface Tunnel2

ip address 10.0.0.9 255.255.255.252

ip mtu 1440

tunnel source 62.206.150.34

tunnel destination 62.206.150.50

crypto map SDM_CMAP_1

crypto ipsec df-bit clear

!

interface Tunnel6

ip address 10.0.0.21 255.255.255.252

ip mtu 1440

tunnel source 62.206.150.34

tunnel destination 62.206.250.194

crypto map SDM_CMAP_1

crypto ipsec df-bit clear

!

access-list 102 permit ip 62.206.150.32 0.0.0.7 62.206.150.48 0.0.0.7

access-list 110 permit ip 62.206.150.32 0.0.0.7 62.206.250.192 0.0.0.7

 

 

RouterC:

 

crypto isakmp policy 1

encr 3des

authentication pre-share

group 2

 

crypto isakmp key XXXXX address 62.206.150.34

!

!

crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac

!

crypto map SDM_CMAP_1 2 ipsec-isakmp

description Tunnel to 62.206.150.34

set peer 62.206.150.34

set transform-set ESP-3DES-SHA

match address 110

!

interface Tunnel6

ip address 10.0.0.22 255.255.255.252

ip mtu 1440

tunnel source FastEthernet4

tunnel destination 62.206.150.34

crypto map SDM_CMAP_1

crypto ipsec df-bit clear

!

access-list 110 permit ip 62.206.250.192 0.0.0.7 62.206.150.32 0.0.0.7

[Wordo 11]

Naja, also du hast auf A und C nur VPN's (also ACL's) zu Router B. Da gehoert allerdings schon noch jeweils in A und C die gegenseitigen ACL's rein. Und dasselbe noch fuer Router B. Wenn du auf A und C ALLES ueber B schickst, sprich die ACL ist Destination any, dann brauchste das nicht. Aber so .. schon ..

[Chrusafan 10]

Oh, ich hatte ein Layer 8 Problem. Das Routing funktioniert.

 

Danke für die Hilfe.

[Wordo 11]

Layer 8??? Financial Layer?? :)

[Chrusafan 10]

"most of the problems are on Layer 1 or Layer 8"

 

und layer 8 liegt bekanntlich zwischen den Ohren...:D

 

Ich habe auf dem Router keine qualifizierten Ping mit dedizierter Source benutzt.

Da die Transfernetze nicht überall bekannt sind....

[DieterK 10]

Hallo Chrusafan,

 

habe das gleiche Problem und möchte von Router A über B nach C kommen. Kannst Du mir mal die Konfigs der ACL posten. Ich komme mit meinen Konfigs nicht weiter und benötige hier mal Unterstützung. Ein Link zu Doku von Cisco währe auch schon gut. Ich habe dort leider nicht das passende gefunden.

 

Viele Dank im Voraus und viele Grüße

 

Dieter

[Wordo 11]

Poste halt erst mal deine Konfigurationen, dann sehn wir weiter :)