MaikUnger 10 Geschrieben 14. Mai 2007 Melden Geschrieben 14. Mai 2007 Hallo liebe Mitglieder, Ich versuche seit Tagen einen Site-To-Site Tunnel mit IPSec aufzubauen. Ich habe 2 Netzwerke: 10.10.10.0/28 WLAN-Netz 192.168.254.0/28 LAN-Netz Diese beiden Netzwerke sollen auf das entfernte Netz (172.17.11.80/28) zugreifen über IPSec-Tunnel. Das Netz 172.17.11.80/28 wird mit einer festen IP-Adresse angesprochen, die andere Seite ist dynamisch. Der Zugriff aus dem 192.168.254.0/28 Netz in das 172.17.11.80/28 Netz funktioniert ohne Probleme. Aber aus dem WLAN-Netz baut sich kein IPSec-Tunnel auf. :-(( Wer hat eine Idee, woran das liegen könnte? Viele Grüße, Maik Unger
rob_67 10 Geschrieben 14. Mai 2007 Melden Geschrieben 14. Mai 2007 Hi, deine crypto list ? bei den iossen die ich z.b. auf 7500 er routern getestet habe, zieht nur der erste eintrag in der list . (bug?) gruss rob
MaikUnger 10 Geschrieben 14. Mai 2007 Autor Melden Geschrieben 14. Mai 2007 Hier die Config (auszugsweise): interface Dot11Radio0.1 encapsulation dot1Q 1 native ip address 10.10.10.1 255.255.255.240 ip access-group sdm_dot11radio0.1_in_100 in ip access-group sdm_dot11radio0.1_out_100 out ip nat inside ip virtual-reassembly no snmp trap link-status no cdp enable ! interface Vlan1 description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$ ip address 192.168.254.1 255.255.255.240 ip access-group 100 in ip access-group sdm_vlan1_out out ip nat inside ip virtual-reassembly ip tcp adjust-mss 1412 ! crypto map SDM_CMAP_1 1 ipsec-isakmp description Tunnel to0.0.0.0 set peer 0.0.0.0 set security-association lifetime seconds 600 set transform-set Firma-ASU set pfs group2 match address 105 reverse-route crypto map SDM_CMAP_1 65535 ipsec-isakmp dynamic SDM_DYNMAP_1 access-list 105 remark SDM_ACL Category=4 access-list 105 remark Home Verl WLAN access-list 105 permit ip 0.0.0.0 255.255.255.240 0.0.0.0 255.255.255.240 access-list 105 remark Home Verl LAN
Wordo 11 Geschrieben 14. Mai 2007 Melden Geschrieben 14. Mai 2007 Wenn das entfernte Netz eine statische IP hat, wieso konfigurierst du sie dann nicht fest rein?
MaikUnger 10 Geschrieben 14. Mai 2007 Autor Melden Geschrieben 14. Mai 2007 Habe ich gemacht, die IP wurde hier nur ausgeblendet ;-) (0.0.0.0)
Wordo 11 Geschrieben 14. Mai 2007 Melden Geschrieben 14. Mai 2007 Aber wenn du die ACLs vernullst kann man auch schlecht einen Fehler erkennen ;)
MaikUnger 10 Geschrieben 14. Mai 2007 Autor Melden Geschrieben 14. Mai 2007 10.10.10.0/28 WLAN-Netz 192.168.254.0/28 LAN-Netz access-list 105 permit ip 192.168.254.0 255.255.255.240 172.17.11.80 255.255.255.240 access-list 105 permit ip 10.10.10.0 255.255.255.240 172.17.11.80 255.255.255.240
Wordo 11 Geschrieben 14. Mai 2007 Melden Geschrieben 14. Mai 2007 access-list immer mit !wildmask! (0.0.0.15)
MaikUnger 10 Geschrieben 14. Mai 2007 Autor Melden Geschrieben 14. Mai 2007 so wäre es dann wohl richtig? access-list 105 permit ip 0.0.0.15 255.255.255.240 0.0.0.15 255.255.255.240
Wordo 11 Geschrieben 14. Mai 2007 Melden Geschrieben 14. Mai 2007 nein, so: access-list 105 permit ip 192.168.254.0 0.0.0.15 172.17.11.80 0.0.0.15 access-list 105 permit ip 10.10.10.0 0.0.0.15 172.17.11.80 0.0.0.15
MaikUnger 10 Geschrieben 14. Mai 2007 Autor Melden Geschrieben 14. Mai 2007 und auf der gegenseite dasselbe spiel nur spiegelverkehrt?
MaikUnger 10 Geschrieben 14. Mai 2007 Autor Melden Geschrieben 14. Mai 2007 wäre es im allgemeinen besser alles auf dem terminal zu bearbeiten als mit sdm?
Wordo 11 Geschrieben 14. Mai 2007 Melden Geschrieben 14. Mai 2007 Prinzipiell ja, geht schneller und is uebersichtlicher (wenn mans gewohnt ist). Ausserdem wirste hier nich viel Support fuer SDM bekommen. ;)
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden