Router VPN kein Zugirff auf interne Clients

[onedread 10]

HI

 

Kann mich via VPN bei meinem Router anmelden nur komm ich dann nicht in mein internes Netz, wenn ich einen Ping auf einen CLient im Netz mache bekomme ich die Antwort von meiner Öffentlichen Ip Adresse zurück.

 

Ist wahrscheinlich nur ein kleines NAT/Routing Problem, wie mach ich das ich auf meine internen Rechner zugreifen kann. Hab mir folgende Doku Configuring a Router IPsec Tunnel Private-to-Private Network with NAT and a Static - Cisco Systems schon durchgelesen aber weiss nicht genau ob es das ist was ich will.

 

 

version 12.3

service nagle

no service pad

service timestamps debug uptime

service timestamps log uptime

service password-encryption

hostname Router1

 

boot-start-marker

boot-end-marker

 

logging buffered 16000 debugging

enable secret 5 XXX

enable password 7 XXX

 

no aaa new-model

ip subnet-zero

no ip source-route

no ip dhcp conflict logging

ip dhcp excluded-address 10.10.10.1

 

ip dhcp pool home

network 192.168.1.0 255.255.255.0

default-router 192.168.1.100

dns-server 195.58.160.194 195.58.161.122

domain-name iss.local

lease 2

 

ip cef

ip domain name iss.local

ip name-server 195.58.160.194

ip name-server 195.58.161.122

ip inspect log drop-pkt

 

username CRWS_Kannan privilege 15 password 7 015757406C5A002E65431F062A2007135A5955787A7071616473

username onedread privilege 15 password 7 1502190D1D78212520

 

crypto isakmp policy 3

encr 3des

authentication pre-share

group 2

no crypto isakmp ccm

crypto isakmp client configuration group VPNHOME

key XXX

dns 192.168.1.100

pool vpnpool

acl 108

crypto ipsec transform-set myset esp-aes esp-sha-hmac

crypto dynamic-map dynmap 10

set transform-set myset

crypto map clientmap client authentication list userauthen

crypto map clientmap isakmp authorization list groupauthor

crypto map clientmap client configuration address respond

crypto map clientmap 10 ipsec-isakmp dynamic dynmap

 

interface Ethernet0

ip address 192.168.1.100 255.255.255.0

ip nat inside

ip virtual-reassembly

ip tcp adjust-mss 1452

no ip mroute-cache

hold-queue 100 out

interface ATM0

no ip address

no ip mroute-cache

atm vc-per-vp 64

no atm ilmi-keepalive

dsl operating-mode auto

pvc 8/48

encapsulation aal5mux ppp dialer

dialer pool-member 1

interface Dialer0

ip address negotiated

no ip redirects

ip mtu 1492

ip nat outside

ip virtual-reassembly

encapsulation ppp

ip tcp adjust-mss 1452

dialer pool 1

dialer remote-name redback

dialer-group 1

no cdp enable

 

ip local pool vpnpool 192.168.2.1 192.168.2.10

ip classless

ip route 0.0.0.0 0.0.0.0 Dialer0

ip http server

no ip http secure-server

!

ip nat inside source list 1 interface Dialer0 overload

logging trap debugging

logging 192.168.1.50

access-list 1 permit 192.168.1.0 0.0.0.255

access-list 1 deny any log

 

access-list 108 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

dialer-list 1 protocol ip permit

control-plane

 

thx onedread

[blackbox 10]

Hier mal ein Auszug aus meiner Config - der Teil ist bei dir noch anpassungwürdig - den du musst das NAT für den Traffik vom LAN zum VPN Client unterbinden.

 

Die VPN-Clients bekommen bei mir : 192.168.2.240 - 192.168.2.254

 

--------------

ip nat inside source route-map nonat interface Dialer0 overload

 

route-map nonat permit 10

match ip address 106

 

access-list 106 remark Fuer NoNAT Regel

access-list 106 deny ip 192.168.2.0 0.0.0.255 192.168.2.240 0.0.0.15

access-list 106 permit ip 192.168.2.0 0.0.0.255 any

--------

 

Gruss

[onedread 10]

he danke , hab grad meinen router neugestartet weil von dem ganzn rumprobieren wusste ich gar nicht mehr wo mir der Kopf steht.

 

werd das dann gleich mal ausprobieren ich glaub das das mein Problem lösen wird hatte das heute schon des öfteren gelesen.

 

werd mich dann wieder meldn wenns geht :)

 

thx

onedread

[blackbox 10]

Dein Fehler hört sich auf jedenfall genau nach dem Fehler an - kannst du auch schön sehen, wenn du das NAT debugst - dann siehst du das er die Pakete umsetzen will.

[onedread 10]

HI

 

also bei mir geht das noch nicht hab jetzt deine sachen so angepasst wie ich es mir gedacht hatte.

 

ip nat inside source route-map nonat interface Dialer0 overload

 

route-map nonat permit 10

match ip address 106

 

access-list 106 remark Fuer NoNAT Regel

access-list 106 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

access-list 106 permit ip 192.168.1.0 0.0.0.255 any

 

192.168.1.0 sind die internen Clients hinter dem Router

192.168.2.0 sind die VPN Clients

 

achja und wie dreh ich das nat debug auf

 

debug ip nat ? und dann die acl oder wie?

 

thx

onedread

[blackbox 10]

Hi,

 

würde mal "debug ip nat detailed"

 

kannst ja mal posten

[onedread 10]

hmm, das geht bei mir ned wirklich weil da reagiert mein router sonderbarer weise nicht mehr. owa meine acl's und die route map sollten passen?

 

onedread

[blackbox 10]

ja die acl´s sehen gut aus - ich bin nur erstaunt das dein router dann nicht mehr will - machst du das mit ihm, wenn er unter last ist ? Das könnte ihn zum erliegen bringen - da ja alle pakete genattet werden und er es reporten muss - solltest es machen wenn möglich nix hinten dran ist.

 

ANsonsten gib nochmal die config zusammen - dann kann ich sie nochmal durchlesen.

[onedread 10]

HI

 

hab jetzt die Lösung gefunden ich musste nur noch diese Zeile entfernen ip nat inside source list 1 interface dialer 0 overload. Jetzt kann ich zwar auf die Laufwerke von den einzelnen Rechner zugreifen aber zum Beispiel VNC funktioniert nicht. tipps?

 

onedread

[onedread 10]

HI

 

also nun ist es ein bisschen komisch weil es funktioniert ssh auf meinen wlan router intern dateifreigabe übers vpn aber zum Beispiel kann ich nicht VNC, HTTP auf den WLAN Router und auch kein ftp.

 

sh ip nat translations | include 192.168.2

tcp XXX:9080 192.168.1.1:80 192.168.2.9:48796 192.168.2.9:48796

tcp XXX:21 192.168.1.50:21 192.168.2.4:33019 192.168.2.4:33019

tcp XXX:21 192.168.1.50:21 192.168.2.4:56475 192.168.2.4:56475

tcp XXX:21 192.168.1.50:21 192.168.2.4:56504 192.168.2.4:56504

tcp XXX:21 192.168.1.50:21 192.168.2.9:54846 192.168.2.9:54846

tcp 8XXX:5900 192.168.1.50:5900 192.168.2.3:1999 192.168.2.3:1999

tcp XXX:49152 192.168.1.50:49152 192.168.2.3:3049 192.168.2.3:3049

tcp XXX:49152 192.168.1.50:49152 192.168.220.100:1466 192.168.220.100:1466

 

so wie kann ich nun feststellen warum dieses Problem nun besteht?

 

Und welche privilege level braucht der User damit man sich damit am VPN anmelden kann.!!.

 

thx

onedread

[blackbox 10]

Kleinstes Level reicht zum anmelden. Hast du noch irgendwelche Access Listen drauf ?

[onedread 10]

hi nur die 108 damit ich sage welcher Verkehr verschüsselt wird

 

die sieht wie folgt aus.

 

 

access-list 108 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

 

 

sonst ist keine ACL gebunden.

 

nur noch die 100 für nat deaktiverung.

 

access-list 100 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

access-list 100 permit ip 192.168.1.0 0.0.0.255 any

access-list 100 permit tcp 192.168.1.0 0.0.0.255 any

access-list 100 deny ip any any log

 

thx

onedread

[onedread 10]

HI

 

habs jetzt rausgefunden, ich musste alle statics rausnehmen damit ich dann übers VPN auf die Dienste zugreifen konnte.

 

Aber jetzt stellt sich natürlich die Frage kann ich nun auf services zugreifen ohne den VPN aufzumachen?

 

Weil wenn ich jetzt gerade bei einem PC bin wo ich keinen VPN Client habe, wie kann ich das nun realisieren?

 

Ist keine Firma VPN läuft bei mir zu Hause.

 

mfg

onedread