VirtualMachine 10 Geschrieben 2. Juni 2010 Melden Teilen Geschrieben 2. Juni 2010 Hallo, ich habe gerade massive Kopfschmerzen, da mir die Ideen ausgegangen sind wie ich weiter google traktieren kann um doch noch die gewünschte Antwort zu finden. Ich habe ein L2L VPN zwischen einem 2811er ( mittels einsteckkarte zur Telefonanlage hochgerüstet ) und einer PIX. Das läuft sauber stabil und ohne weitere Probleme. Ok nun connecte ich mit Lappi und dem Cisco VPN Client auf den 2811er, was auch keinerlei Schwierigkeiten bereitet und das Cisco Softphone funktioniert auch tadellos. Nun muss ich aber mit dem Laptop auch in das Netz was hinter der PIX liegt, da dort die Serverfarm liegt. Der Laptop schickt die Pakete die ich ins Netz der PIX schicken will, irgendwo ins Internetnirwana, so dass diese auf dem 2811er gar nicht erst in den debugs auftauchen. Wie gebe ich dem VPN Client beim Aufbau des VPNs zu verstehen, dass er das Netz der PIX über den 2811er also den VPN - Tunnel erreicht? Zitieren Link zu diesem Kommentar
StefanWe 14 Geschrieben 2. Juni 2010 Melden Teilen Geschrieben 2. Juni 2010 wie sehen denn die Routingtabellen aus ? Zitieren Link zu diesem Kommentar
DocZenith 12 Geschrieben 2. Juni 2010 Melden Teilen Geschrieben 2. Juni 2010 Schau mal nach Split Tunneling als Stichwort bei google. Wahrscheinlich muss das auf dem 2811er konfiguriert sein, dort wo du dich mit dem VPN Client einwählst. Gruß. Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 3. Juni 2010 Melden Teilen Geschrieben 3. Juni 2010 Ich denke eher er hat Split Tunneling definiert - er hat aber in der ACL nur das Netz definiert was zu seiner Telefonanlage passt. (Den sonnst würde das Netz auf den 2811 auch ankommen wenn ST aus wäre) Er wird die ACL erweitern müssen und ggf DNAT Roules anpassen müssen. Von 2811er muss natürlich das Netz zu erreichen sein. Die Config von 2811er würde da schon sehr helfen. Zitieren Link zu diesem Kommentar
VirtualMachine 10 Geschrieben 4. Juni 2010 Autor Melden Teilen Geschrieben 4. Juni 2010 (bearbeitet) Hallo, danke für die Antworten erstmal die Config von der 2811 liegt gedruckt bei 50 Seiten von daher beschränke ich das erst einmal auf die access-listen und die vpn relevanten daten. Falls noch was fehlt reiche ich das gerne nach: crypto isakmp policy 3 encr 3des authentication pre-share group 2 ! crypto isakmp policy 10 hash md5 authentication pre-share crypto isakmp key stehtnix address 213.xxx.xxx.xxx no-xauth ! crypto isakmp client configuration group telefonclient key blubblub dns 4.2.2.3 domain nix.com pool ippool ! ! crypto ipsec transform-set ESP-AES esp-aes 256 esp-md5-hmac ! crypto dynamic-map dynmap 10 set transform-set ESP-AES crypto map SDM_CMAP_2 client authentication list userauthen crypto map SDM_CMAP_2 isakmp authorization list groupauthor crypto map SDM_CMAP_2 client configuration address respond crypto map SDM_CMAP_2 1 ipsec-isakmp set peer 213.xxx.xxx.xxx set transform-set ESP-AES match address 101 crypto map SDM_CMAP_2 10 ipsec-isakmp dynamic dynmap ip local pool ippool 192.168.10.1 192.168.10.254 ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 213.xxx.xxx.xxx ip route 10.0.10.2 255.255.255.255 Service-Engine0/1 ip nat inside source list NO-NAT interface FastEthernet0/1 overload ! ip access-list extended NO-NAT deny ip 10.0.10.0 0.0.0.255 10.0.0.0 0.0.0.255 deny ip 10.1.10.0 0.0.0.255 10.0.0.0 0.0.0.255 deny ip 10.0.10.0 0.0.0.255 192.168.10.0 0.0.0.255 deny ip 10.1.10.0 0.0.0.255 192.168.10.0 0.0.0.255 permit ip 192.168.10.0 0.0.0.255 10.0.0.0 0.0.0.255 logging 10.0.0.80 access-list 1 remark INSIDE_IF=FastEthernet0/0 access-list 1 remark SDM_ACL Category=2 access-list 1 permit 10.0.10.0 0.0.0.255 access-list 3 permit 10.0.0.41 access-list 3 permit 10.0.0.45 access-list 100 deny ip 213.XXX.XXX.XXX 0.0.0.15 any access-list 100 permit ip any any access-list 100 deny ip host 255.255.255.255 any access-list 100 deny ip 127.0.0.0 0.255.255.255 any access-list 101 permit ip 10.0.10.0 0.0.0.255 10.0.0.0 0.0.0.255 access-list 101 permit ip 10.1.10.0 0.0.0.255 10.0.0.0 0.0.0.255 access-list 101 permit ip 10.0.14.0 0.0.0.255 10.0.0.0 0.0.0.255 access-list 101 permit ip host 10.0.14.2 10.0.0.0 0.0.0.255 access-list 101 permit ip 10.0.0.0 0.0.0.255 10.0.14.0 0.0.0.255 access-list 102 remark SDM_ACL Category=4 access-list 102 remark IPSec Rule access-list 102 permit ip 10.0.10.0 0.0.0.255 10.0.0.0 0.0.0.255 access-list 104 permit ip 10.1.10.0 0.0.0.255 192.168.10.0 0.0.0.255 access-list 120 permit ip any any access-list 160 permit ip host 213.xxx.xxx.xxx host 213.xxx.xxx.xxx access-list 160 permit ip 10.0.10.0 0.0.0.255 any access-list 160 permit ip 10.1.10.0 0.0.0.255 10.0.0.0 0.0.0.255 access-list 160 permit ip host 213.xxx.xxx.xxx any route-map SDM_RMAP_1 permit 1 match ip address 103 ! route-map SDM_RMAP_2 permit 1 match ip address 106 Musste gerade feststellen das nach meiner letzen access-listen umstellung der Spliuttunnel nicht mehr funktioniert und man nicht ins Internet vom Laptop aus mehr kommt bei bestehendem VPN Thx in Advance bearbeitet 4. Juni 2010 von VirtualMachine Zitieren Link zu diesem Kommentar
VirtualMachine 10 Geschrieben 8. Juni 2010 Autor Melden Teilen Geschrieben 8. Juni 2010 Ok hab jetzt noch ein Splittunnel exklusiv für die VPN-Clients gebastelt womit diese zumindest in der Lage ist neben dem Telefon auch noch das Internet zu erreichen ip access-list extended VPN-CLIENT permit ip 10.0.10.0 0.0.0.255 192.168.10.0 0.0.0.255 permit ip 10.1.10.0 0.0.0.255 192.168.10.0 0.0.0.255 permit ip 10.0.0.0 0.0.0.255 192.168.10.0 0.0.0.255 das permit der 10.0.0.0 bewirkt zumindest schon mal das ich laut tracert auf der 2811 lande wenn ich in das 10.0.0.0-Netz möchte aber dann ist leider auch schon schluss bei dem tracert ist der debug output (falls das hilft): 006982: Jun 8 13:40:22.834 CEST: ICMP: time exceeded (time to live) sent to 192.168.10.41 (dest was 10.0.0.1) 006983: Jun 8 13:40:23.338 CEST: ICMP: time exceeded (time to live) sent to 192.168.10.41 (dest was 10.0.0.1) 006984: Jun 8 13:40:23.862 CEST: ICMP: time exceeded (time to live) sent to 192.168.10.41 (dest was 10.0.0.1) und die erste Station ist die Outside IP-Adresse der 2811 ist das richtig oder deutet das schon auf ne falsche Konfig hin? Zitieren Link zu diesem Kommentar
DocZenith 12 Geschrieben 8. Juni 2010 Melden Teilen Geschrieben 8. Juni 2010 Vielleicht (?) ein Routing Problem. Das 10.0.0.0 Netz liegt lokal am 2811er? Wie sieht es denn mit dem Routing aus dem 10.0.0.0 Netz aus. Gruß. Zitieren Link zu diesem Kommentar
VirtualMachine 10 Geschrieben 9. Juni 2010 Autor Melden Teilen Geschrieben 9. Juni 2010 Hallo, das 10.0.0.0er Netzt liegt lokal bei der PIX und soll zum VPN-Client über die 2811 durchgereicht werden. das routing auf der pix sieht so aus: route inside 192.168.10.0 255.255.255.0 10.0.10.1 1 in der access-liste vom L2L zwischen der 2811 und der PIX habe ich das ganze auch wieder eingetragen Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.