protec 10 Geschrieben 21. Februar 2006 Melden Teilen Geschrieben 21. Februar 2006 Hallo Leute, ich hab mich mal hier angemeldet um von euch hilfe zu erfahren. Bin auf der Arbeit grade dabei einen Server zu konfigurieren und davor einen Cisco Router zustellen. Habe auf den Cisco Router schon Inter-VLAN-Routing zu laufen.....was denke ich irrelevant für das VPN sein mag... in VLAN 1 habe ich den server dran und sonst nix.Verbindung für Internet wird über eine BRI hergestellt. der Client der sich auf dem Server einwählt hat einen DSLer als Internet.. So nun habe ich es erstmal mittels PPTP versucht....wunderbar geklappt nachdem ich port und das richtige IOS hatte.... okay weiter... VPN mit L2TP und IPSec. klappte nicht. Okay gesucht und probiert ging nicht...verschiedene crypto Befehle probiert und weggenommen und mit Mobile IP und will einfach nicht...der bleibt beim Verbindungsaufbau mit IP sounso immer stehen....und sagt dann Zeitüberschreitung. hat dafür jemand eine Konfig?wäre echt super.... Vielen Dank Zitieren Link zu diesem Kommentar
CoolDuke 10 Geschrieben 22. Februar 2006 Melden Teilen Geschrieben 22. Februar 2006 ! ! crypto isakmp policy 1 # Richtlinie für die Sicherheitsaushandlung ISAKMP encryption des # Verschlüsselungsalgorythmus ISAKMP hash sha1 # ausgewähltes Hashingverfahren ISAKMP authentication pre-share # Schlüsselaustauschverfahren ISAKMP group 5 # Diffie-Hellman-Gruppe ISAKMP lifetime 43200 # Gültigkeitsdauer crypto isakmp key word address 200.200.201.3 # vorkonfigurierter Schlüssel ISAKMP crypto isakmp identity address # Festlegung ob Adresse oder Hostname für Authentifizierung verwendet wird ISAKMP ! ! crypto ipsec transform-set Z-NL1a ah-sha-hmac esp-des # Transformsatz, zur Definition der Kombination von AH und ESP IPSEC ! ! crypto map Test 1 ipsec-isakmp # IPSec Übersetzungsverfahren Test an Position 1 mit IPSEC und ISAKMP IPSEC set peer 200.200.201.3 # Festlegung des Kommunikationspartners IPSEC match address 100 # Festlegung der Access-List mit interessantem Verkehr IPSEC set security-association lifetime seconds 43200 # Gültigkeitsdauer der IPSEC-Aushandlung IPSEC set transform-set Z-NL1a # Zuordnung des Transform-Sets an die Crypto-Map IPSEC set pfs group 1 # Festlegung Perfect Forward Secrecy mit Diffie Hellman für IPSec ! ! interface Serial ip address 200.200.200.1 255.255.255.0 crypto map Test # Binden der Crypto-Map an das ausgehende Interface Schnittstelle ! ! access-list 100 permit ip 192.168.3.0 0.0.0.255 200.200.206.128 0.0.0.127 access-list 100 permit ip 192.168.3.0 0.0.0.255 200.200.212.0 0.0.0.255 # Definition des interessanten, IPSec-auslösenden Verkehrs IPSEC ! ! Zitieren Link zu diesem Kommentar
protec 10 Geschrieben 22. Februar 2006 Autor Melden Teilen Geschrieben 22. Februar 2006 cool mit erklärung.vielen dank!!!! wie sieht es denn da abermit nat aus? der router is ja vor dem server geschalten?hab da im moment tcp/upd 1701 und 500.müssen als eintrag bleiben oder? Zitieren Link zu diesem Kommentar
protec 10 Geschrieben 22. Februar 2006 Autor Melden Teilen Geschrieben 22. Februar 2006 noch was zur verständnis... !crypto isakmp key word address 200.200.201.3 # vorkonfigurierter Schlüssel ISAKMP ! die 200er ip ist die ip vom client der zum server will? ! set peer 200.200.201.3 # Festlegung des Kommunikationspartners IPSEC ! hier ja dann sicher das gleiche spiel? ! access-list 100 permit ip 192.168.3.0 0.0.0.255 200.200.206.128 0.0.0.127 access-list 100 permit ip 192.168.3.0 0.0.0.255 200.200.212.0 0.0.0.255 # Definition des interessanten, IPSec-auslösenden Verkehrs IPSEC ! ! das mit den acl's is mir auch noch nicht ganz klar? was sind denn das für bereiche? 200.200.206.128 0.0.0.127 und die 200.200.212.x Zitieren Link zu diesem Kommentar
tom12 10 Geschrieben 22. Februar 2006 Melden Teilen Geschrieben 22. Februar 2006 Hi, Authentication Header (AH) kannst du mit einem NAT inzwischen, also irgendwo zwischen den VPN Endpoints NICHT machen! AH sichert ausschliesslich die Authentizität des PAketes, indem eine Checksumme über den IP Header, TCP HEader und Payload gemacht wird. Ist irgendwo ein NAT, klappts nicht. Mache nur ESP. Grüsse Thomas Zitieren Link zu diesem Kommentar
protec 10 Geschrieben 23. Februar 2006 Autor Melden Teilen Geschrieben 23. Februar 2006 gut zu wissen. weißt auch warum? aus sicherheitsgründen? ist das nur bei cisco so oder allegemein? Zitieren Link zu diesem Kommentar
daking 10 Geschrieben 23. Februar 2006 Melden Teilen Geschrieben 23. Februar 2006 Hola, mit AH wird Autentifiziert. Der Payload ist nicht verschlüsselt.. Ciao Zitieren Link zu diesem Kommentar
protec 10 Geschrieben 23. Februar 2006 Autor Melden Teilen Geschrieben 23. Februar 2006 also ich hab das mal so abgetippelt... weiß nun leider nciht ob das protokoll AH aktiv ist, da ich noch nichts zum abschalten gefunden habe bei windows.. hier meine konfig: service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! ! boot-start-marker boot-end-marker ! ! no aaa new-model ! resource policy ! memory-size iomem 10 mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ip cef ! ! ! ! ip name-server 194.25.2.129 ! isdn switch-type basic-net3 ! ! crypto isakmp policy 1 authentication pre-share group 5 lifetime 43200 crypto isakmp key 123456 address 0.0.0.0 0.0.0.0 ! crypto ipsec transform-set Z-NL1a esp-des ! crypto map test 1 ipsec-isakmp set peer 192.168.1.110 set security-association lifetime seconds 43200 set transform-set Z-NL1a set pfs group1 match address 110 ! interface FastEthernet0/0 no ip address no ip proxy-arp no ip split-horizon speed auto ! interface FastEthernet0/0.10 encapsulation dot1Q 10 ip address 172.16.10.1 255.255.255.240 no ip redirects ip nat inside ip virtual-reassembly no snmp trap link-status ! interface FastEthernet0/0.20 encapsulation dot1Q 20 ip address 172.16.20.1 255.255.255.0 ip access-group 102 in no ip redirects ip nat inside ip virtual-reassembly no snmp trap link-status ! interface FastEthernet0/0.30 encapsulation dot1Q 30 ip address 172.16.30.1 255.255.255.0 no ip redirects ip nat inside ip virtual-reassembly no snmp trap link-status ! interface BRI0/0 no ip address ip access-group 101 out encapsulation ppp load-interval 30 dialer pool-member 1 isdn switch-type basic-net3 isdn point-to-point-setup no cdp enable ! interface Ethernet1/0 no ip address shutdown half-duplex ! interface Dialer1 description ISDN ip address negotiated no ip proxy-arp ip nat outside ip virtual-reassembly encapsulation ppp ip tcp header-compression ip tcp compression-connections 64 dialer pool 1 dialer idle-timeout 30 dialer string dialer load-threshold 80 either dialer-group 1 ppp authentication chap pap callin ppp chap hostname ppp chap password ppp pap sent-username ppp multilink crypto map test ! ip route 0.0.0.0 0.0.0.0 Dialer1 ! ip http server no ip http secure-server ip nat inside source list 101 interface Dialer1 overload ip nat inside source static tcp 172.16.10.2 1701 interface Dialer1 1701 ip nat inside source static udp 172.16.10.2 500 interface Dialer1 500 ip nat inside source static udp 172.16.10.2 1701 interface Dialer1 1701 ip nat inside source static esp 172.16.10.2 interface Dialer1 ip nat inside source static tcp 172.16.10.2 1723 interface Dialer1 1723 ip nat inside source static udp 172.16.10.2 1723 interface Dialer1 1723 ip nat inside source static tcp 172.16.10.2 50 interface Dialer1 50 ip nat inside source static tcp 172.16.10.2 51 interface Dialer1 51 ! access-list 101 permit ip any any access-list 102 permit udp any any eq domain access-list 102 permit tcp any any eq domain access-list 102 permit tcp any any eq ftp access-list 102 permit tcp any any eq ftp-data access-list 102 permit tcp any any eq klogin access-list 102 permit tcp any any eq kshell access-list 102 permit tcp any any eq login access-list 102 permit tcp any any eq lpd access-list 102 permit tcp any any eq www access-list 102 permit tcp any any eq 443 access-list 102 permit tcp any any eq echo access-list 102 permit tcp any any eq pop3 access-list 102 permit tcp any any eq smtp access-list 102 permit icmp any any access-list 110 permit ip any any access-list 110 permit ahp any any access-list 110 permit esp any any dialer-list 1 protocol ip list 101 ! control-plane ! ! line con 0 line aux 0 line vty 0 4 login ! end hoffe eienr weiß was ich verkehrt mache :/ Zitieren Link zu diesem Kommentar
CoolDuke 10 Geschrieben 23. Februar 2006 Melden Teilen Geschrieben 23. Februar 2006 zu Punkt 1: ja zu Punkt 2: ja zu Punkt 3: Quelladresse zu Zieladresse zulassen, andere Netze nicht... :D Zitieren Link zu diesem Kommentar
protec 10 Geschrieben 23. Februar 2006 Autor Melden Teilen Geschrieben 23. Februar 2006 die acl hab so gemacht da die verbindung eine dynamische ip hat und ich nicht dauernd umstellen will... und wie stelle ich dann AH aus? Zitieren Link zu diesem Kommentar
CoolDuke 10 Geschrieben 23. Februar 2006 Melden Teilen Geschrieben 23. Februar 2006 mit diesen Befehlen siehst du mehr: show crypto isakamp policy show crypto ipsec transform-set show crypto isakamp sa show crypto ipsec sa show crypto map show crypto isakmp debug crypto ipsec debug crypto isakmp und statische Route der Netze eintragen, da diese bei ipsec verloren gehen Zitieren Link zu diesem Kommentar
CoolDuke 10 Geschrieben 23. Februar 2006 Melden Teilen Geschrieben 23. Februar 2006 crypto ipsec transform-set word ... esp-des ESP transform using DES cipher (56 bits) esp-md5-hmac ESP transform using HMAC-MD5 auth esp-null ESP transform w/o cipher esp-rfc1829 ESP-DES-CBC transform (RFC1829) esp-sha-hmac ESP transform using HMAC-SHA auth wäre ohne AH Zitieren Link zu diesem Kommentar
protec 10 Geschrieben 23. Februar 2006 Autor Melden Teilen Geschrieben 23. Februar 2006 was meinst mit statische route? von wo nach wo?? ich habe mal mitgesniffert vom client aus und da geht immer nur isakmp protocol raus und sonst nix anderes. bei router sagt der auch immer folgendes wenn ich mich einwählen will: *Apr 7 16:21:59.720: %CRYPTO-4-RECVD_PKT_NOT_IPSEC: Rec'd packet not an IPSEC p acket. (ip) vrf/dest_addr= /217.244.211.221, src_addr= 217.83.x.x, prot= 17 EDIT: 217.244.211.221 - is die ip von der bri (is aber nun wieder down :) ) Zitieren Link zu diesem Kommentar
protec 10 Geschrieben 23. Februar 2006 Autor Melden Teilen Geschrieben 23. Februar 2006 also statische route hab die zum server über die entsprechende schnittstelle. ip route 172.16.10.2 255.255.255.255 fa 0/0.10 is recht so? Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 23. Februar 2006 Melden Teilen Geschrieben 23. Februar 2006 Also von L2TP/IPSec hab ich nich so viel Plan, aber bei reinem IPSec muss man doch ein Destination Net angeben, also im Client, als auch in der acl 110 bei dir (ausser von und nach ueberall hin ist IPSec gewuenscht). Oh .. und da seh ich noch das du mit acl 101 alles NATtest, sprich auch VPN, das sollte man dann besser irgendwie ausklammern (mit deny vor permit) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.