Jump to content

IPSec aus LAN heraus

DocZenith

Von DocZenith
in Cisco Forum — Allgemein

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

DocZenith Rising Star

DocZenith   12

Geschrieben
Geschrieben

Hallo,

 

ich hab eine Verständnisfrage.

 

Ich möchte mit einem 871 Cisco Router, der im internen LAN platziert ist, eine IPSec Verbindung zu einem anderen Standort aufbauen. Das das möglich ist, daran hab ich keine Zweifel, nur weiß ich nicht genau, ob das etwas anders konfiguriert werden muss als wenn der Router selbst das Gateway bzw. die Firewall ist.

 

In dem LAN ist das Gateway ein simpler Netgear Router. Hier habe ich einmal IPSec Passthrough (Port 500) sowie eine statische mit dem zu tunnelnden Netz mit Ziel auf den Cisco Router eingerichtet. Der Cisco macht derzeit leider noch gar keine Reaktion, wenn ich das Zielnetz von einem Host anpinge.

 

Gruß.

Link zu diesem Kommentar
DocZenith Rising Star

DocZenith   12

Geschrieben
  • Autor
Geschrieben

ich hab ein debug ip packet detail mit acl eingestellt, so sehe ich dass ip pakete, die für die spätere cryptomap bestimmt sind, am router ankommen, nur macht der keine anstanden, die vpn aufzubauen.

 

Ein tracert auf das zielnetz am testpc zeigt, dass die route auf den vpn router geht, als nächstes zum gateway, danach ins internet. Das macht mich etwas nachdenklich.

 

mir kommt es so vor als ob der router das ziel nicht definieren kann und schickt es ans default gateway :-(

 

Hier mal ein Auszug aus meiner Config vom Cisco Router:

 

no ip cef

!

!

multilink bundle-name authenticated

!

!

username administrator privilege 15 secret 5 xxxxxxxxxxxxxxx

!

crypto keyring keyring1

pre-shared-key address 1.2.3.4 key hPRe0QytVxxxxxxx

!

crypto isakmp policy 10

encr 3des

hash md5

authentication pre-share

group 2

lifetime 28800

!

crypto isakmp invalid-spi-recovery

crypto isakmp keepalive 10

crypto isakmp nat keepalive 20

crypto isakmp profile crypto_profil

keyring keyring1

match identity address 1.2.3.4 255.255.255.255

!

crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac

!

crypto map MAP local-address FastEthernet4

crypto map MAP 10 ipsec-isakmp

set peer 1.2.3.4

set transform-set ESP-3DES-MD5

set isakmp-profile crypto_profil

match address CRYPTOLIST

qos pre-classify

!

interface FastEthernet0

!

interface FastEthernet1

!

interface FastEthernet2

!

interface FastEthernet3

!

interface FastEthernet4

description LAN INTERFACE

ip address 192.168.0.100 255.255.255.0

no ip redirects

no ip unreachables

no ip proxy-arp

duplex auto

speed auto

!

interface Vlan1

no ip address

no ip redirects

no ip unreachables

no ip proxy-arp

!

ip forward-protocol nd

ip route 0.0.0.0 0.0.0.0 192.168.0.1

!

ip access-list extended CRYPTOLIST

permit ip 192.168.0.0 0.0.0.255 194.31.221.0 0.0.0.255

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...