Jump to content

VPN mit IPSec durch Router(NAT)


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Leute,

 

ich hab mich mal hier angemeldet um von euch hilfe zu erfahren. Bin auf der Arbeit grade dabei einen Server zu konfigurieren und davor einen Cisco Router zustellen.

Habe auf den Cisco Router schon Inter-VLAN-Routing zu laufen.....was denke ich irrelevant für das VPN sein mag...

in VLAN 1 habe ich den server dran und sonst nix.Verbindung für Internet wird über eine BRI hergestellt.

der Client der sich auf dem Server einwählt hat einen DSLer als Internet..

 

So nun habe ich es erstmal mittels PPTP versucht....wunderbar geklappt nachdem ich port und das richtige IOS hatte....

okay weiter... VPN mit L2TP und IPSec.

klappte nicht. Okay gesucht und probiert ging nicht...verschiedene crypto Befehle probiert und weggenommen und mit Mobile IP und will einfach nicht...der bleibt beim Verbindungsaufbau mit IP sounso immer stehen....und sagt dann Zeitüberschreitung.

 

hat dafür jemand eine Konfig?wäre echt super....

 

Vielen Dank

Link zu diesem Kommentar

!

!

crypto isakmp policy 1

# Richtlinie für die Sicherheitsaushandlung ISAKMP

encryption des

# Verschlüsselungsalgorythmus ISAKMP

hash sha1

# ausgewähltes Hashingverfahren ISAKMP

authentication pre-share

# Schlüsselaustauschverfahren ISAKMP

group 5

# Diffie-Hellman-Gruppe ISAKMP

lifetime 43200

# Gültigkeitsdauer

crypto isakmp key word address 200.200.201.3

# vorkonfigurierter Schlüssel ISAKMP

crypto isakmp identity address

# Festlegung ob Adresse oder Hostname für Authentifizierung verwendet wird ISAKMP

!

!

crypto ipsec transform-set Z-NL1a ah-sha-hmac esp-des

# Transformsatz, zur Definition der Kombination von AH und ESP IPSEC

!

!

crypto map Test 1 ipsec-isakmp

# IPSec Übersetzungsverfahren Test an Position 1 mit IPSEC und ISAKMP IPSEC

set peer 200.200.201.3

# Festlegung des Kommunikationspartners IPSEC

match address 100

# Festlegung der Access-List mit interessantem Verkehr IPSEC

set security-association lifetime seconds 43200

# Gültigkeitsdauer der IPSEC-Aushandlung IPSEC

set transform-set Z-NL1a

# Zuordnung des Transform-Sets an die Crypto-Map IPSEC

set pfs group 1

# Festlegung Perfect Forward Secrecy mit Diffie Hellman für IPSec

!

!

interface Serial

ip address 200.200.200.1 255.255.255.0

crypto map Test

# Binden der Crypto-Map an das ausgehende Interface Schnittstelle

!

!

access-list 100 permit ip 192.168.3.0 0.0.0.255 200.200.206.128 0.0.0.127

access-list 100 permit ip 192.168.3.0 0.0.0.255 200.200.212.0 0.0.0.255

# Definition des interessanten, IPSec-auslösenden Verkehrs IPSEC

!

!

Link zu diesem Kommentar

noch was zur verständnis...

 

!

crypto isakmp key word address 200.200.201.3

# vorkonfigurierter Schlüssel ISAKMP

!

 

die 200er ip ist die ip vom client der zum server will?

 

!

set peer 200.200.201.3

# Festlegung des Kommunikationspartners IPSEC

!

 

hier ja dann sicher das gleiche spiel?

 

!

 

access-list 100 permit ip 192.168.3.0 0.0.0.255 200.200.206.128 0.0.0.127

access-list 100 permit ip 192.168.3.0 0.0.0.255 200.200.212.0 0.0.0.255

# Definition des interessanten, IPSec-auslösenden Verkehrs IPSEC

!

!

 

das mit den acl's is mir auch noch nicht ganz klar? was sind denn das für bereiche? 200.200.206.128 0.0.0.127 und die 200.200.212.x

Link zu diesem Kommentar

also ich hab das mal so abgetippelt...

weiß nun leider nciht ob das protokoll AH aktiv ist, da ich noch nichts zum abschalten gefunden habe bei windows..

hier meine konfig:

 

 

service timestamps debug datetime msec

service timestamps log datetime msec

no service password-encryption

!

!

boot-start-marker

boot-end-marker

!

!

no aaa new-model

!

resource policy

!

memory-size iomem 10

mmi polling-interval 60

no mmi auto-configure

no mmi pvc

mmi snmp-timeout 180

ip cef

!

!

!

!

ip name-server 194.25.2.129

!

isdn switch-type basic-net3

!

!

crypto isakmp policy 1

authentication pre-share

group 5

lifetime 43200

crypto isakmp key 123456 address 0.0.0.0 0.0.0.0

!

crypto ipsec transform-set Z-NL1a esp-des

!

crypto map test 1 ipsec-isakmp

set peer 192.168.1.110

set security-association lifetime seconds 43200

set transform-set Z-NL1a

set pfs group1

match address 110

!

interface FastEthernet0/0

no ip address

no ip proxy-arp

no ip split-horizon

speed auto

!

interface FastEthernet0/0.10

encapsulation dot1Q 10

ip address 172.16.10.1 255.255.255.240

no ip redirects

ip nat inside

ip virtual-reassembly

no snmp trap link-status

!

interface FastEthernet0/0.20

encapsulation dot1Q 20

ip address 172.16.20.1 255.255.255.0

ip access-group 102 in

no ip redirects

ip nat inside

ip virtual-reassembly

no snmp trap link-status

!

interface FastEthernet0/0.30

encapsulation dot1Q 30

ip address 172.16.30.1 255.255.255.0

no ip redirects

ip nat inside

ip virtual-reassembly

no snmp trap link-status

!

interface BRI0/0

no ip address

ip access-group 101 out

encapsulation ppp

load-interval 30

dialer pool-member 1

isdn switch-type basic-net3

isdn point-to-point-setup

no cdp enable

!

interface Ethernet1/0

no ip address

shutdown

half-duplex

!

interface Dialer1

description ISDN

ip address negotiated

no ip proxy-arp

ip nat outside

ip virtual-reassembly

encapsulation ppp

ip tcp header-compression

ip tcp compression-connections 64

dialer pool 1

dialer idle-timeout 30

dialer string

dialer load-threshold 80 either

dialer-group 1

ppp authentication chap pap callin

ppp chap hostname

ppp chap password

ppp pap sent-username

ppp multilink

crypto map test

!

ip route 0.0.0.0 0.0.0.0 Dialer1

!

ip http server

no ip http secure-server

ip nat inside source list 101 interface Dialer1 overload

ip nat inside source static tcp 172.16.10.2 1701 interface Dialer1 1701

ip nat inside source static udp 172.16.10.2 500 interface Dialer1 500

ip nat inside source static udp 172.16.10.2 1701 interface Dialer1 1701

ip nat inside source static esp 172.16.10.2 interface Dialer1

ip nat inside source static tcp 172.16.10.2 1723 interface Dialer1 1723

ip nat inside source static udp 172.16.10.2 1723 interface Dialer1 1723

ip nat inside source static tcp 172.16.10.2 50 interface Dialer1 50

ip nat inside source static tcp 172.16.10.2 51 interface Dialer1 51

!

access-list 101 permit ip any any

access-list 102 permit udp any any eq domain

access-list 102 permit tcp any any eq domain

access-list 102 permit tcp any any eq ftp

access-list 102 permit tcp any any eq ftp-data

access-list 102 permit tcp any any eq klogin

access-list 102 permit tcp any any eq kshell

access-list 102 permit tcp any any eq login

access-list 102 permit tcp any any eq lpd

access-list 102 permit tcp any any eq www

access-list 102 permit tcp any any eq 443

access-list 102 permit tcp any any eq echo

access-list 102 permit tcp any any eq pop3

access-list 102 permit tcp any any eq smtp

access-list 102 permit icmp any any

access-list 110 permit ip any any

access-list 110 permit ahp any any

access-list 110 permit esp any any

dialer-list 1 protocol ip list 101

!

control-plane

!

!

line con 0

line aux 0

line vty 0 4

login

!

end

 

 

hoffe eienr weiß was ich verkehrt mache :/

Link zu diesem Kommentar

was meinst mit statische route?

 

von wo nach wo??

 

 

ich habe mal mitgesniffert vom client aus und da geht immer nur isakmp protocol raus und sonst nix anderes.

bei router sagt der auch immer folgendes wenn ich mich einwählen will:

 

*Apr 7 16:21:59.720: %CRYPTO-4-RECVD_PKT_NOT_IPSEC: Rec'd packet not an IPSEC p

acket.

(ip) vrf/dest_addr= /217.244.211.221, src_addr= 217.83.x.x, prot= 17

 

EDIT:

217.244.211.221 - is die ip von der bri (is aber nun wieder down :) )

Link zu diesem Kommentar

Also von L2TP/IPSec hab ich nich so viel Plan, aber bei reinem IPSec muss man doch ein Destination Net angeben, also im Client, als auch in der acl 110 bei dir (ausser von und nach ueberall hin ist IPSec gewuenscht).

 

Oh .. und da seh ich noch das du mit acl 101 alles NATtest, sprich auch VPN, das sollte man dann besser irgendwie ausklammern (mit deny vor permit)

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...