Verbindung VPN_Client auf einen Cisco 836 Router

[mmuelleh 10]

Hallo

Ich ein Problem mit VPN Zugriff auf einen Cisco 837 ADSL Router.

Den VPN Tunnel starte ich von einem Laptop mit Internet Verbindung und dem Cisco VPN Client.

Der Tunnel steht wunderbar ich kann die Ziel Workstation pingen. Alles i.o. Nur ich bringe keine Verbindung mit dem PCAnywhere oder Remote Desktop auf die Workstation/server zustande.

 

Das heisst sobald ich den Parameter "ip inspect name myfw tcp timeout 3600" ausschalte kann ich über PCAnywhere zugreifen. Gut nur funktioniert jetzt der Internet Zugriff auf Seite Cisco Router nicht mehr, das heisst ich kann den Parameter "ip inspect" nicht aus der Liste entfernen. Ich kann auch die ganze Liste nicht vom Dialer 1 Interface removen (no ip inspect myfw out) sonst funktioniert der Internet Zugriff auch nicht mehr.

Gibt es eine Möglichkeit die Liste zu umgehen ?

 

Oder hat sonst jemand eine Idee was ich falsch mache ?

 

Hier die running config:

version 12.3

!

memory-size iomem 5

no logging buffered

!

aaa new-model

!

aaa authentication login clientauth local

aaa authorization network Client-Group local

aaa session-id common

ip subnet-zero

!

!

ip inspect name myfw cuseeme timeout 3600

ip inspect name myfw ftp timeout 3600

ip inspect name myfw tftp timeout 30

ip inspect name myfw udp timeout 15

ip inspect name myfw h323 timeout 3600

ip inspect name myfw rcmd timeout 3600

ip inspect name myfw tcp timeout 3600

ip audit notify log

ip audit po max-events 100

ip ssh break-string

no ftp-server write-enable

!

crypto isakmp policy 10

encr 3des

authentication pre-share

group 2

!

crypto isakmp client configuration group VPN-Client-Group

key ******

pool ippool

crypto isakmp profile VPNclient

description VPN Clients profile

match identity group VPN-Client-Group

client authentication list clientauth

isakmp authorization list Client-Group

client configuration address respond

!

crypto ipsec transform-set myset esp-3des esp-sha-hmac

!

crypto dynamic-map dynmap 5

set transform-set myset

set isakmp-profile VPNclient

!

crypto map mymap 10 ipsec-isakmp dynamic dynmap

!

interface Ethernet0

ip address 172.25.144.9 255.255.255.0

ip nat inside

ip tcp adjust-mss 1452

no cdp enable

!

interface ATM0

no ip address

atm vc-per-vp 64

no atm ilmi-keepalive

pvc 8/35

pppoe-client dial-pool-number 1

!

dsl operating-mode auto

!

interface Dialer1

ip address negotiated

ip access-group 111 in

ip mtu 1492

ip nat outside

ip inspect myfw out

encapsulation ppp

ip tcp adjust-mss 1452

dialer pool 1

dialer remote-name redback

dialer-group 1

ppp authentication pap chap callin

crypto map mymap

!

ip local pool ippool 192.168.160.1 192.168.160.2

ip nat inside source list 102 interface Dialer1 overload

ip classless

ip route 0.0.0.0 0.0.0.0 Dialer1

ip http server

no ip http secure-server

!

access-list 23 permit 172.25.144.0 0.0.0.255

access-list 23 permit 10.0.0.0 0.255.255.255

access-list 102 deny ip 172.25.144.0 0.0.0.255 192.168.160.0 0.0.0.255

access-list 102 permit ip 172.25.144.0 0.0.0.255 any

access-list 110 permit ip 192.168.160.0 0.0.0.255 any

access-list 111 permit ip 192.168.160.0 0.0.0.3 host 172.25.144.21

access-list 111 permit ip 192.168.160.0 0.0.0.3 host 172.25.144.10

access-list 111 permit icmp any any administratively-prohibited

access-list 111 permit icmp any any echo

access-list 111 permit icmp any any echo-reply

access-list 111 permit icmp any any packet-too-big

access-list 111 permit udp any eq domain any

access-list 111 permit esp any any

access-list 111 permit udp any any eq isakmp

access-list 111 permit udp any any eq 10000

access-list 111 permit tcp any any eq 1723

access-list 111 permit tcp any any eq 139

access-list 111 permit udp any any eq netbios-ns

access-list 111 permit udp any any eq netbios-dgm

access-list 111 permit gre any any

access-list 111 deny ip any any log

dialer-list 1 protocol ip permit

[mr._oiso 10]

Hallo mmuelleh

 

So wie ich das sehe, gibt es hier ein paar Probleme

im Verständnis von IP inspecting.

Wichtig dabei ist, dass man die dynamische Abhandlung von

Filter`n nicht durch statische Einträge wie z.B. standard ACL`s

behindert.

Hierbei ist unbedingt darauf zu achten, dass inspecteter Traffic

nicht durch ACL`s zusätzlich beeinträchtigt wird, da sich sonst

keine temporäre Filtertable im IOS bilden lässt.

 

siehe dazu Dein Interface dialer 1

 

An diesem hast Du eine ip access-group 111 inbound

definiert, welche leider den ip inspected Traffic gleichermassen

betrifft.

 

Wichtig: IP Inspect betrifft nur NAT-Traffic

 

Am besten entfernts Du mal die Inbound access-list 111, weil diese läst z.B. eh kein http Traffic zu, sobald Du die inspection rule entfernst. Als nächstes würde ich das IP Inspection inbound eth konfigurieren.

 

ip inspect myfw in eth 0

 

und mal schauen ob es nun funktioniert.

 

MfG

 

Mr. Oiso

[mmuelleh 10]

Ja wenn ich die ACL 101 vom dialer Inteface remove und

den Eintrag ip inspect myfw tcp lösche kann ich über VPN

zugreifen und die Clients können im Internet surfen.

 

Schön und gut nur stehe ich jetzt da ohne Access Liste

vom WAN ins LAN was ja auch nicht die Lösung sein kann im

Zeitalter der HackerInnen.

 

Ist es möglich die ACL anders zu platzieren um nicht mit

dem ip inspect in die Quere zu kommen ?

 

Herbert

[mr._oiso 10]

hi mmuelleh

 

Natürlich kannst Du nun wieder eine Access-List an Dein dialer interface binden. Jedoch würde ich die Liste etwas ausbessern !

Ich weiss nun wirklich nicht was diese ACL mit Sicherheit zu tun hat:

 

access-list 111 permit ip 192.168.160.0 0.0.0.3 host 172.25.144.21

access-list 111 permit ip 192.168.160.0 0.0.0.3 host 172.25.144.10

access-list 111 permit icmp any any administratively-prohibited

access-list 111 permit icmp any any echo

access-list 111 permit icmp any any echo-reply

access-list 111 permit icmp any any packet-too-big

access-list 111 permit udp any eq domain any

access-list 111 permit esp any any

access-list 111 permit udp any any eq isakmp

access-list 111 permit udp any any eq 10000

access-list 111 permit tcp any any eq 1723

access-list 111 permit tcp any any eq 139

access-list 111 permit udp any any eq netbios-ns

access-list 111 permit udp any any eq netbios-dgm

access-list 111 permit gre any any

access-list 111 deny ip any any log

dialer-list 1 protocol ip permit

 

Auch die dialer-list 1 würde ich konfigurieren !

 

MfG

 

Mr. Oiso

[mmuelleh 10]

Hi Oiso

 

Die ACL 111 wird erstellt wenn Du auf dem CRWS Web Gui

die Option Firewall einschalten anwählst.;-) Natürlich nicht mit den Einträgen 192.168 die sind von mir zum testen gesetzt worden. Daher sollte diese ACL eigentlich gut sein. (sollte..)

Du meinst also ich soll die ip inspect tcp weglassen und mir eine

neue ACL 111 basteln ?

 

Wie sieht Deine Empfehlung für eine ACL aus.

[mr._oiso 10]

hi mmuelleh

 

So in etwa sieht eine ACL an interface dialer inbound aus.

 

access-list 100 remark ACL fuer Internet

access-list 100 deny udp any any eq netbios-dgm

access-list 100 deny tcp any any eq 139

access-list 100 deny udp any eq netbios-ns any

access-list 100 deny tcp any any eq 1863

access-list 100 deny udp any any eq 4000

access-list 100 deny udp any eq netbios-dgm any

access-list 100 deny udp any eq netbios-ss any

access-list 100 deny udp any range snmp snmptrap any

access-list 100 deny udp any range bootps bootpc any

access-list 100 deny tcp any eq 137 any

access-list 100 deny tcp any eq 138 any

access-list 100 deny tcp any eq 139 any

access-list 100 permit udp any any eq ntp

access-list 100 permit icmp any any echo

access-list 100 permit icmp any any echo-reply

access-list 100 permit udp any any eq domain

access-list 100 permit tcp any any eq www

access-list 100 permit tcp any any eq ftp-data

access-list 100 permit tcp any any eq ftp

access-list 100 permit tcp any any eq smtp

access-list 100 permit tcp any any eq pop3

access-list 100 permit ip 172.25.144.0 0.0.0.255 any

access-list 100 deny ip any any log

dialer-list 1 protocol ip permit

 

Allerdings solltest Du bedenken was das ip(tcp,udp,etc.) inspect macht.

Wie schon erwähnt, ist das IP Inspect nur für NAT based Traffic.

Das heißt, es werde alle inspecteten Protokolle je nach Richtung und Port dynamisch verschlossen. Sprich mit einer ACL, hier z.B. ACL 100 wird nur erreicht, dass alle angegebenen Ports statisch offen und von aussen erreichbar sind.

IP-Inspect jedoch schließt diese automatisch wenn die Timeoutzeiten austimen.

Zusätzlich macht ip-inspect die ports nur dynamisch auf, wenn

Packete "ip inspect myfw inbound Ethernet" fließen.

Sollte also ein HTTP-Server nun auf TCP:80 nicht antworten, so schließt der Router den Port nach Timeout automatisch. Nicht jedoch, wenn Du z.B. eine ACL verwendest wie hier ACL 100.

Deshalb würde ich eine ACL vorschlagen, welche nur noch den VPN Tunnel erlaubt.

 

z.B.

 

access-list 103 permit tcp any eq 500 any

access-list 103 permit udp any eq isakmp any

access-list 103 permit ip 192.168.160.0 0.0.0.3 host 172.25.144.21

access-list 103 permit ip 192.168.160.0 0.0.0.3 host 172.25.144.10

access-list 103 deny ip any any

 

Das wäre dann die Liste, welche auch nicht mit dem inspect in konflikt kommt, da sie nur Traffic erlaubt, welcher mit NAT nix zu tun hat.

a) einaml den VPN Tunnel von jedem Host aus dem Internet auf jede mögliche IP welche das dialer Interface vomProvider bekommen hat.

b) Der Traffic (IP) vom VPN Device

 

MfG

 

Mr.Oiso

[mmuelleh 10]

Hi Oiso

 

Schlussendlich musste ich die IOS Version wechseln von der Version c836-k9o3s8y6-mz.123-4.T.bin auf die Version c836-k9o3sy6-mz.122-13.ZH4.bin.

 

Die Version c836-k9o3s8y6-mz.123-4.T.bin ist von der Cisco als schlecht gekennzeichnet, mit VPN.

 

Wer hätte das gedacht jetzt läuft es auf alle Fälle ;-)

 

mmuellh