2 VPN Verbindungen auf ein BRI Interface

[muemicj 10]

Moin zusammen,

 

hab da ein kleines Problem. Ich hab 3 Router.

R1:

Dia0

IP: 192.168.0.1

 

R2:

Dia0

IP: 192.168.1.1

 

R3:

Dia0

IP: 192.168.0.2

Dia10

IP: 192.168.1.2

 

Jede Verbindung soll mittels VPN gesichert werden.

 

R3 wählt sich bei R1 ein: funktioniert

R2 wählt sich bei R3 ein: funktioniert nicht

 

Vorweg, ich bin an pap gebunden. Bin selber nicht glücklich damit, aber ist eben eine Vorgabe die es zu erfüllen gilt.

 

Ist es möglich auf einem B-Kanal angerufen zu werden. Und auf dem anderen einen Anruf zu tätigen?

Kann mir jemand vllt. eine Bsp.-Config posten?

 

Danke im voraus

[collapse 10]

Wenn du einen BRI hast und beide Kanaele sind ausgelastet, ist ein weiteres einwaehlen nicht moeglich!

 

mfg

[blackbox 10]

Hallo

 

prinzipell sollte das gehen. Nur für ISDN habe ich nix mehr so parat - ist solange her....

 

Desweiteren ISDN mit VPN sichern war auch nicht so üblich - da ja nicht so wirklich ein offenes Netz wie z.B. Internet.

[muemicj 10]

Erst mal Danke

@collapse: Ich habe nicht geschrieben das beide B-Kanäle belegt sind. Ich will auf jeden B-Kanal eine Verbindung.

 

@blackbox: Ich bin auch immer fest davon ausgegangen das dies möglich sein sollte. Jedoch habe ich bislang keine Möglichkeit gefunden. Bei einer Eth-Verbindung stellt dies kein Problem dar. Jedoch arbeitet man dort ja auch ohne Dialer. Vielleicht ist das auch einfach der Grund wieso es nicht geht.

Und das mit der Notwendigkeit bei ISDN sehe ich genau so (PPP), jedoch sind dies eben Kundenvorgaben. Was will man da machen. Werde dem Kunden wohl mal mitteilen müssen das dies nicht realisierbar ist. Mal sehen was er sagt.

 

Dennoch wäre ich daran Interessiert dieses Problem zu lösen.

[blackbox 10]

Hi,

 

gib doch mal deine Config - den wenn du das eine an Dialer-A und das andere auf Dialer-B - ich weiss jetzt noch nicht genau - wo bei dir das Problem ist. Bzw. wie du es aufgebaut hast.

[muemicj 10]

Moin!

Oh ha, die Configs. Das kann dauern. Die sind etwas umfangreicher. D.h. ich muss erst mal ziemlich viel bereinigen.

[muemicj 10]

So nun mal die Konfig von dem Router der zwei Verbindungen haben soll! Auf Di1 die ausgehende und Di10 die eingehende.

Bei bereinigen können natürlich auch fehler aufgetreten sein. Hoffe mal ich hab den Rotstift nicht zu sehr walten lassen.

version 12.4

service timestamps debug datetime msec

service timestamps log datetime msec

no service password-encryption

!

hostname XXXXX

!

boot-start-marker

boot-end-marker

!

enable secret 5 (Geheim ;-))

!

aaa new-model

!

!

aaa authentication login default local

!

!

aaa session-id common

!

!

ip cef

!

!

!

!

ip auth-proxy max-nodata-conns 3

ip admission max-nodata-conns 3

!

multilink bundle-name authenticated

isdn switch-type basic-net3

!

!

username ###

username ###

username ###

username ###

username ###

!

crypto isakmp policy 10

encr aes

authentication pre-share

group 2

crypto isakmp key xxx address 1xx.xx.xx.x

crypto isakmp key xxx address 1xx.xx.xx.X

crypto isakmp keepalive 60

!

!

crypto ipsec transform-set #### esp-aes 256 esp-sha-hmac

mode transport

crypto ipsec df-bit clear

!

crypto ipsec profile Isdn

set transform-set ###

!

!

crypto map ISDN_VPN 1 ipsec-isakmp

set peer 1xx.xx.xx.x

set transform-set ###

match address VPNaclISDN

!

crypto map ISDNService 1 ipsec-isakmp

set peer 1xx.xx.xx.x

set transform-set ###

match address ISDNServiceACL

!

archive

log config

hidekeys

!

!

!

!

!

interface Loopback0

ip address 1xx.xx.x.x 255.255.255.255

ip ospf network point-to-point

!

interface Tunnel0

description Con->###

ip address 1xx.xx.xx.x 255.255.255.252

ip mtu 1416

keepalive 3 2

tunnel source Dialer0

tunnel destination 1xx.xx.xx.x

!

interface Tunnel10

description Con->###

ip address 1xx.xx.xx.x 255.255.255.252

ip mtu 1416

keepalive 3 2

tunnel source Dialer10

tunnel destination 1xx.xx.xx.x

!

interface BRI0

no ip address

encapsulation ppp

dialer pool-member 1

dialer pool-member 10

isdn switch-type basic-net3

isdn point-to-point-setup

ppp multilink

!

interface ATM0

no ip address

shutdown

no atm ilmi-keepalive

dsl operating-mode auto

!

interface FastEthernet0

!

interface FastEthernet1

!

interface FastEthernet2

!

interface FastEthernet3

!

interface Vlan1

no ip address

!

interface Dialer0

description ###->###

bandwidth 64

ip address 1xx.xx.xx.1 255.255.255.0

ip access-group 141 in

encapsulation ppp

dialer pool 1

dialer remote-name ###

dialer idle-timeout 0

dialer string 220

dialer persistent

dialer-group 1

no cdp enable

ppp authentication pap

ppp pap sent-username ### password 7 ###

crypto map ISDN_VPN

!

interface Dialer10

description ###->###

bandwidth 64

ip address 1xx.xx.xx.x 255.255.255.0

ip access-group 151 in

encapsulation ppp

dialer pool 10

dialer remote-name ###

dialer-group 1

no cdp enable

ppp authentication pap

ppp pap sent-username ### password 7 ###

crypto map ISDNService

!

router ospf 10

log-adjacency-changes

network 1xx.xx.xx.x 0.0.0.0 area 0

network 1xx.xx.xx.x 0.0.255.255 area 0

!

ip forward-protocol nd

!

!

no ip http server

no ip http secure-server

!

ip access-list extended VPNaclISDN

permit gre any any

permit ip host 1xx.xx.xx.x host 1xx.xx.xx.x

!

ip access-list extended ISDNServiceACL

permit gre any any

permit ip host 1xx.xx.xx.x host 1xx.xx.xx.x

!

access-list 101 permit ospf any any

access-list 101 permit icmp any any

access-list 101 permit tcp any any

access-list 101 permit udp any any

access-list 101 permit ip any any

access-list 141 permit udp host 1xx.xx.xx.x host 1xx.xx.xx.1 eq isakmp

access-list 141 permit esp host 1xx.xx.xx.x host 1xx.xx.xx.1

access-list 151 permit udp host 1xx.xx.xx.x host 1xx.xx.xx.1 eq isakmp

access-list 151 permit esp host 1xx.xx.xx.x host 1xx.xx.xx.1

dialer-list 1 protocol ip list 101

!

!

!

!

control-plane

!

alias exec scs show crypto session

alias exec sir show ip route

alias exec sia show isdn active

alias exec srb show running-config | begin

alias exec cprun copy run tft

!

line con 0

no modem enable

line aux 0

line vty 0 4

 

end

[Wordo 11]

Auf eingehenden Dialer noch ein "ppp authentication pap callin" und bei beiden Dialer ein "ppp multilink", alles andere sieht bei mir genauso aus. Allerdings mach ichs ohne VPN, das sollte aber mit dem Call an sich nichts zu tun haben.

[muemicj 10]

Danke,

das hab ich auch schon versucht! jedoch hat dies auch nicht zum gewünschten Erfolg geführt!

Das sagt Cisco dazu:

ppp authentication pap callin

 

! --- Use PAP authentication for incoming calls.

! --- The callin keyword has made this a one-way authentication scenario.

! --- This router (client) will not request that the peer (server) authenticate

! --- itself back to the client.

 

 

Aber kannst Du mal Deine Config posten wenn Du was ähnliches am laufen hast? Wäre super, vielleicht erkenne ich ja einen Fehler auf diese weise in meinem Konzept.

[Wordo 11]

Bei mir siehts 1:1 gleich aus, allerdings mach ichs ohne VPN. Gehts denn von du VPN aus dem Dialer rausnimmst?

[muemicj 10]

Hi!

Also es geht sogar wenn ich es nur von einem raus nehme! Also wenn ich z.B. den angerufenen Dialer nicht verschlüssel und die andere Verbindung verschlüssele. Ich bin mittlerweile soweit zu glauben das es eben nicht möglich ist zwei VPN Tunnel gleichzeitig an zwei Dialer zu binden

[Wordo 11]

Und wenn du ein VPN rausnimmst gehts bei beiden Interfaces? Wieso mode transport und nicht tunnel?

 

Sind die Geraete auf der anderen Seite auch von Cisco?

[blackbox 10]

Hi,

 

was passiert den wenn du das Debug böse machst auf ddie VPN Sachen - was mag er uns dann erzählen.

 

Desweiteren - warum ISDN Point-to-Point - ist das nen Anlagen Anschluß - desweiteren - warum Multilink ?