Jump to content

Cisco 871 Site-2-Site VPN an dyn. IP / DynDNS


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

So, hab dann mal beide Configs dabei und eine zeichnung zum verständnis.

Nicht schön, aber hoffentlich hilfreich ;-)

 

Zur Zusammenfassung nochmal die Probleme:

 

1.

Router2 mit den besagten DNS-Problemen am T-DSL, bzw. das DNS-Problem tritt ja nur auf den Clients auf, allerdings auch nur über die Router. Bei Internet by Call (Analog) laufen die Seiten, die sonst Probleme machen.

 

2.

Einwahl des Netgear Routers auf Router1 funktioniert zwar, dann gehen aber die VPN-Clients nicht mehr. Sicher irgendein dummer Fehler in der Config, hab ich selbst noch nicht genauer überprüft.

 

3.

"Routing" von einem VPN-Client in das Netz des jeweils anderen Cisco-Routers (also z.B. die VPN-Clients an router1 können nicht auf LAN hinter router2 zugreifen)

 

Das sind die drei Baustellen, die mich derzeit noch beschäftigen.

Für Zertis wird wohl ein 2003-Server zuständig werden, der dann auch gleich Radius macht.

config_cisco-router1.txt

config_cisco-router2.txt

post-39876-13567389417719_thumb.gif

Link zu diesem Kommentar

Update zum Thema DNS

 

Hab nochmal einiges getestet hier...

 

ping www.ups.com vom Client funktioniert nicht (Name kann nicht aufgelöst werden)

vom Router gehts.

gebe ich die öffentliche IP auf dem Client beim ping an, gehts auch da.

http auf die Webseite über die IP-Adresse geht ebenso.

Zumindest bei der Adresse liegts also nicht an der MTU, sondern scheint an unserem internen DNS zu hängen.

Werd also nochmal andere DNS-Server am Client eintragen und testen.

Link zu diesem Kommentar

Ist ja noch immer nicht freigeschaltet... :-(

 

Noch mal zum Verständnis dynamischer Crypto-Maps:

Wie kann der Router denn überhaupt unterscheiden, ob das jetzt der Netgear oder ein mobiler Client ist, der einen Verbindungsaufbau versucht?

Warum gehen die Clients nicht mehr, wenn der Tunnel zum Netgear eingerichtet ist...?

Können zwei dyn. Crypto-Maps nebeneinander existieren? Glaub, ich muss mich da nochmal reinlesen...

Link zu diesem Kommentar
Ist ja noch immer nicht freigeschaltet... :-(

Ach ne ... ?! ;) Ich sag nur EoL :cool:

 

Noch mal zum Verständnis dynamischer Crypto-Maps:

Wie kann der Router denn überhaupt unterscheiden, ob das jetzt der Netgear oder ein mobiler Client ist, der einen Verbindungsaufbau versucht?

Wenn du einen PSK konfigurierst mit 0.0.0.0, dann wird da nicht unterschieden. Mit dem PSK werden die Devices authorisiert. Wenn alle denselben verwenden wirds schwierig.

 

Warum gehen die Clients nicht mehr, wenn der Tunnel zum Netgear eingerichtet ist...?

Moment, Netgear=Tunnel, Clients=Transport oder?

 

Können zwei dyn. Crypto-Maps nebeneinander existieren? Glaub, ich muss mich da nochmal reinlesen...

Aeh ... ja? Du bindest doch eine static an eine dynamic. Oder ist das ne Fangfrage :)

Ich wuerd jetzt auch nochmal ins Buch schauen, aber du hasts ja selber :p

Link zu diesem Kommentar

War schon spät gestern, um solche Fragen online zu stellen... ;-)

Ich vergrab mich lieber nochmal in den Tiefen der "Bibel" ...

 

DNS-Problem scheint jetzt übrigens gelöst, auf dem DNS-Server (den ich bisher nicht betreut habe) war für externe Auflösung ein DNS-Server irgendeines Feld-Wald-und-Wiesen Providers eingetragen. Telekom-DNS rein und die Seiten laufen wieder!

Wenigstens ein Problem weniger :-)

Link zu diesem Kommentar

Hey, die Anhänge sind freigeschaltet!!!

Sind zwar mittlerweile überholt, aber egal...

Hab jetzt in der "Bibel" auch ein HowTo für Site-2-Site VPN mit dyn. IP und gleichzeitiger Unterstützung von VPN-Clients gefunden. "Keyring" heisst da für mich das Schlüsselwort (wieder was dazugelernt... ;) ) ...

Habe mich da gestern auch mal drangewagt, hat mich aber noch nicht zum gewünschten Erfolg geführt, war bestimmt schon zu spät... ;) Es ging dann keiner der Tunnel mehr, und der SDM hat mir auch fälschlicherweise 3 konfigurierte Site-2-Site VPNs angezeigt, aber sicher deshalb, weil er mit dem Keyring Feature nicht klarkommt.

 

Ich werd's heut abend nochmal exakt so durchführen, wie der Guide das sagt, und dann erst (wenns soweit läuft) den allerersten, festen Site-2-Site Tunnel wieder zusätzlich konfigurieren.

 

Hat hier schonmal jemand mit Keyrings gearbeitet?

Link zu diesem Kommentar

So, anbei mal die getestete Konfig...

 

Vielleicht sehr ihr ja nen Fehler warum der Tunnel mit den beiden festen IPs nicht aufgebaut wird...

 

version 12.4
[...]
hostname router1
!
[...]
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication login remoteaccess local
aaa authorization exec default local
aaa authorization network allusers local
!
aaa session-id common
!
[...]
!
[...]
no ip bootp server
ip name-server xxxx
ip ssh authentication-retries 2
vpdn enable
!
!
!
crypto pki trustpoint TP-self-signed-2481874788
[...]
!
!
username xxx privilege 15 secret xxxxxxxxxx
[...]
!
!
crypto keyring L2Lkeyring
 description PSK for L2L peers with dynamic addressing
 pre-shared-key address 0.0.0.0 0.0.0.0 key xxxxxxxxx
!
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
crypto isakmp key xxx address x.x.x.x no-xauth
!
crypto isakmp client configuration group allusers
key xxxxxx
dns 10.10.1.3
domain domain.local
pool SDM_POOL_1
crypto isakmp profile L2Lprofile
  description All L2L peers
  keyring L2Lkeyring
  match identity address 0.0.0.0
  keepalive 20 retry 3
crypto isakmp profile allusersprofile
  description Remote Access VPN-Clients
  match identity group allusers
  client authentication list remoteaccess
  isakmp authorization list allusers
  client configuration address respond
  keepalive 20 retry 3
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
!
!
crypto dynamic-map dynmap 5
set transform-set ESP-3DES-SHA
set isakmp-profile allusersprofile
crypto dynamic-map dynmap 10
set transform-set ESP-3DES-SHA
set isakmp-profile L2Lprofile
!
!
!
crypto map staticmap 1 ipsec-isakmp
description Tunnel nach router1
set peer x.x.x.x
set transform-set ESP-3DES-SHA
match address 103
crypto map staticmap 10 ipsec-isakmp dynamic dynmap
!
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description $ES_WAN$$FW_OUTSIDE$
ip address x.x.x.x 255.255.255.248
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
no ip virtual-reassembly
ip route-cache flow
speed 100
full-duplex
crypto map staticmap
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$
ip address 172.16.1.1 255.255.0.0
ip access-group 100 in
no ip proxy-arp
ip nat inside
no ip virtual-reassembly
ip route-cache flow
ip tcp adjust-mss 1452
!
ip local pool SDM_POOL_1 192.168.20.10 192.168.20.20
ip route 0.0.0.0 0.0.0.0 x.x.x.x
!
no ip http server
ip http secure-server
ip nat inside source route-map SDM_RMAP_1 interface FastEthernet4 overload
!
no logging trap
access-list 1 remark INSIDE_IF=Vlan1
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 172.16.0.0 0.0.255.255
access-list 2 remark SDM_ACL Category=2
access-list 2 permit 172.16.0.0 0.0.255.255
access-list 100 remark auto generated by Cisco SDM Express firewall configuration
access-list 100 remark SDM_ACL Category=1
access-list 100 permit ip any any
access-list 100 permit udp any any
access-list 100 permit tcp any any
access-list 102 remark SDM_ACL Category=18
access-list 102 deny   ip any host 192.168.20.10 [...] bis .20
access-list 102 remark IPSec Rule
access-list 102 deny   ip 172.16.0.0 0.0.255.255 192.168.15.0 0.0.0.255
access-list 102 remark IPSec Rule
access-list 102 deny   ip 172.16.0.0 0.0.255.255 10.10.0.0 0.0.255.255
access-list 102 permit ip 172.16.0.0 0.0.255.255 any
access-list 103 remark SDM_ACL Category=4
access-list 103 remark IPSec Rule
access-list 103 permit ip 172.16.0.0 0.0.255.255 10.10.0.0 0.0.255.255
no cdp run
!
!
route-map SDM_RMAP_1 permit 1
match ip address 102
!
!
control-plane
!
[...]

Link zu diesem Kommentar

Hi Wordo!

 

Dachte schon, Du hättest Dich in den (verdienten!) Winterurlaub verabschiedet! ;-)

 

Also das Problem besteht noch, habe gestern abend noch einmal getestet, erstmal sämtliche Crypto-Einträge raus, und dann Stück für Stück neu konfiguriert.

Tunnel zum Netgear läuft, mobile Clients funzten dann auch.

Anschließend hatte ich versucht, den Tunnel zwischen den beiden Cisco hinzuzufügen, baut sich aber leider nicht auf, "debug crypto errors" ergab dann "peer x.x.x.x has no SA".

 

Muss ich evtl. nochmal die ACLs überarbeiten?

Aber eigentlich müsste Phase 1 mit dem anderen Cisco doch ohne Probleme funzen, schließlich haben beide eine feste IP?!

 

Deinen Vorschlag, den Wert auf 20 zu ändern, werde ich noch testen!

 

Anbei nochmal der Ausschnitt der getesteten Konfig:

 

aaa new-model
!
!
aaa authentication login default local
aaa authentication login remoteaccess local
aaa authorization exec default local
aaa authorization network allusers local
!
aaa session-id common
[...]

!
crypto keyring L2Lkeyring
 description PSK for L2L peers with dynamic addressing
 pre-shared-key address 0.0.0.0 0.0.0.0 key xxxxx
!
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
crypto isakmp key xxxxx address x.x.x.x no-xauth
!
crypto isakmp client configuration group allusers
key xxxxx
dns x.x.x.x
wins x.x.x.x
domain xxx.yyy
pool clientpool
crypto isakmp profile allusersprofile
  description Remote access users profile
  match identity group allusers
  client authentication list remoteaccess
  isakmp authorization list allusers
  client configuration address respond
  keepalive 20 retry 3
crypto isakmp profile L2Lprofile
  description All L2L peers
  keyring L2Lkeyring
  match identity address 0.0.0.0
  keepalive 20 retry 3
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
!
!
crypto dynamic-map dynmap 5
set transform-set ESP-3DES-SHA
set isakmp-profile allusersprofile
crypto dynamic-map dynmap 10
set transform-set ESP-3DES-SHA
set isakmp-profile L2Lprofile
!
!
!
crypto map staticmap 10 ipsec-isakmp
description Tunnel nach router2
set peer x.x.x.x
set transform-set ESP-3DES-SHA
match address 101
crypto map staticmap 10 ipsec-isakmp dynamic dynmap
!

!
interface FastEthernet4
description $ES_WAN$$FW_OUTSIDE$
[...]
crypto map staticmap
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$
ip address 172.16.1.1 255.255.0.0
ip access-group 100 in
no ip proxy-arp
ip nat inside
no ip virtual-reassembly
ip route-cache flow
ip tcp adjust-mss 1452
!
ip local pool clientpool 192.168.11.240 192.168.11.254
!
ip nat inside source route-map SDM_RMAP_1 interface FastEthernet4 overload
!
[...]
access-list 100 remark auto generated by Cisco SDM Express firewall configuration
access-list 100 remark SDM_ACL Category=1
access-list 100 permit ip any any
access-list 100 permit udp any any
access-list 100 permit tcp any any
access-list 101 remark SDM_ACL Category=4
access-list 101 remark IPSec Rule
access-list 101 permit ip 172.16.0.0 0.0.255.255 10.10.0.0 0.0.255.255
access-list 102 remark SDM_ACL Category=2
access-list 102 remark IPSec Rule
access-list 102 deny   ip 172.16.0.0 0.0.255.255 10.10.0.0 0.0.255.255
access-list 102 permit ip 172.16.0.0 0.0.255.255 any
!
!
route-map SDM_RMAP_1 permit 1
match ip address 102
!
!

Link zu diesem Kommentar

So, habe gestern nochmal einiges getestet...

Hab erstmal alle crypto-Einträge rausgeschmissen, und dann wieder den Eintrag für den Tunnel zw. den beiden Ciscos hinzugefügt.

crypto isamkmp policy 1

encr 3des

authentication pre-share

group 2

 

crypto isakmp key xxxxxxxxx address x.x.x.x no-xauth

 

crypto map staticmap 1 ipsec-isakmp

descr Tunnel to router2

set peer x.x.x.x

set transform-set ESP-3DES-SHA

match address 101

 

Tunnel steht sofort.

Dann habe ich die Einträge für den dyn. Endpunkt und die Clients hinzugefügt, mit dem Ergebnis, dass der erste Tunnel nicht mehr läuft (hab die crypto map vorher vom Interface Fast4 rausgenommen).

Dann habe ich mal einzelne Konfigteile wieder rausgelöscht, und festgestellt, dass sich das ganze am isakmp-Profile aufhängt:

 

crypto isakmp profile L2Lprofile

descr All L2L peers

keyring L2Lkeyring

match identity address 0.0.0.0

keepalive 20 re 3

exit

 

Das Profil wiederum ist in der dynamic-map eingebunden:

 

crypto dynamic-map dynmap 65535

set transform-set ESP-3DES-SHA

set isakmp-profile L2Lprofile

exit

 

crypto map staticmap 65535 ipsec-isakmp dynamic dynmap

 

Irgendwie scheint er also den Tunnel über dieses Profil abwickeln zu wollen, Bedingung address=0.0.0.0 ist ja auch erfüllt. Trotzdem sollte er es doch erst über den anderen Crypto map Eintrag versuchen, oder?

Hilft es evtl. weiter, einen weiteren keyring und ein weiteres isakmp-Profil zu erstellen? Ich hatte das gestern auch schon versucht, hat aber leider auch nicht zu Erfolg geführt... :-(

 

Any ideas?

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...