mr-windows 10 Geschrieben 28. März 2006 Melden Teilen Geschrieben 28. März 2006 Moin Leute, ich habe bei einem Kunden folgendes Szenario im Einsatz: Standort 1: Cisco 806 - angebunden mit öffentlicher IP über SDSL internes LAN-Netz: 192.168.0.0/24 PPTP-VPN-Netz: 10.10.10.0/24 IPSec-Tunnel-Netz -> Standort 2: 10.10.14.0/24 IPSec-Tunnel-Netz -> Büro: 10.10.15.0/24 Tunnel IP -> zu Standort 2: 10.10.14.2 (MTU: 1420) Tunnel IP -> ins Büro: 10.10.15.1 (MTU: 1420) RIP: v2 Dieser Router nimmt PPTP-Verbindungen von Heimarbeitern entgegen, routet den Internetaccess und baut einen IPSec-VPN-Tunnel zum Standort 2 und in unser Büro. Standort 2: Cisco 1812 - angebunden mit öffentlicher IP über SDSL internes LAN-Netz: 192.168.1.0/24 PPTP-VPN-Netz: 10.10.2.0/24 IPSec-Tunnel-Netz -> Standort 1: 10.10.14.0/24 IPSec-Tunnel-Netz -> Büro: 10.10.15.0/ Tunnel-IP -> zu Standort 1: 10.10.14.1 Tunnel IP -> Büro: 10.10.15.1 RIP: v2 Dieser Router nimmt PPTP-Verbindungen von Heimarbeitern entgegen, routet den Internetaccess und baut einen IPSec-VPN-Tunnel zum Standort 2 und in unser Büro. Die Tunnel werden alle korrekt aufgebaut, ICMP geht sonst keine Logging Einträge unter crypto ipsec, crypto isakmp - man kann jedes Ziel per Ping erreichen. Nun zu dem Problem: Wenn ich z.B. eine Remotedesktopverbindung vom Büro (durch den IPSec-Tunnel) auf einen Standort-Server aufbauen will, funktioniert das wunderbar (auch NetBIOS, HTTP, FTP usw...) Mache ich das gleiche von einem Standort LAN ins andere Standort LAN (z.B. 192.168.1.0 -> 192.168.0.0) baut die Verbindung kurz auf und bricht dann ab. Fehlerbeispiel 1: Ich möchte vom Server 1 (192.168.0.200) per NETBios auf den Server 2 (192.168.1.200) zugreifen. Also Eingabe: \\192.168.1.200... dann zeigt er mir die Freigaben an. Will ich jetzt eine Freigabe öffnen, funktioniert das nicht. Nach ein paar Sekunden kommt die Fehlermeldung "Der angegebene Netzwerkpfad ist nicht mehr verfügbar" Das selbe passiert auch umgekehrt, also von 192.168.1.0 -> 192.168.0.0. Komme ich jedoch aus irgendeinem Tunnel (egal ob PPTP oder IPSEC) kann ich alles machen und wunderbar zugreifen. Fehlerbeispiel 2: Ich möchte vom Server 1 zum Server 2 eine Remotedesktopverbindung aufbauen... Also Eingabe im MSTSC: 192.168.1.200... Dann baut der RDP auf (dieser graue Bildschirm kommt) aber er bleibt dann mit ner Sanduhr hängen und ich bekomme kein Login-Fenster... auch da kommt nach einer gewissen Zeit ein Timeout Auch hier: komme ich aus irgendeinem Tunnel funktioniert alles problemlos... Zitieren Link zu diesem Kommentar
mr-windows 10 Geschrieben 28. März 2006 Autor Melden Teilen Geschrieben 28. März 2006 Hier mal die Config vom Cisco 806: Nadja#sh run Building configuration... Current configuration : 6393 bytes ! ! Last configuration change at 17:36:14 MESZ Mon Mar 27 2006 by S36t ! NVRAM config last updated at 01:10:25 MESZ Fri Mar 24 2006 by S36t ! version 12.3 no service pad service tcp-keepalives-in service tcp-keepalives-out service timestamps debug datetime msec localtime show-timezone service timestamps log datetime msec localtime show-timezone service password-encryption service sequence-numbers ! hostname Nadja ! boot-start-marker boot-end-marker ! security authentication failure rate 10 log security passwords min-length 6 enable secret 5 $1$pISk$N1CRbvUhcORu1QyzoATPX. ! username S**** password 7 ***** username V**** password 7 ***** username c**** privilege 15 password 7 ***** username c*** privilege 15 password 7 ***** clock timezone MESZ 1 clock summer-time MESZ recurring last Sun Mar 2:00 last Sun Oct 3:00 aaa new-model ! ! aaa authentication login rtr-remote local aaa authentication ppp VPN group radius aaa authorization network rtr-remote local aaa session-id common ip subnet-zero no ip source-route no ip gratuitous-arps no ip domain lookup ip domain name dialyse.local ! no ip bootp server ip cef ip inspect max-incomplete high 1100 ip inspect max-incomplete low 900 ip inspect one-minute high 1100 ip inspect one-minute low 900 ip inspect udp idle-time 1800 ip inspect dns-timeout 7 ip inspect tcp idle-time 14400 ip inspect name myfw tcp alert on timeout 3600 ip inspect name myfw udp timeout 3600 ip inspect name myfw http timeout 3600 ip inspect name myfw smtp timeout 3600 ip inspect name myfw ftp timeout 3600 ip inspect name myfw rcmd timeout 3600 ip inspect name myfw tftp timeout 3600 ip inspect name myfw cuseeme timeout 3600 ip ssh time-out 60 ip ssh authentication-retries 2 vpdn enable ! vpdn-group 1 ! Default PPTP VPDN group accept-dialin protocol pptp virtual-template 1 ! ! ! ! ! crypto isakmp policy 1 encr 3des authentication pre-share group 2 crypto isakmp key **** address ***** ! ! crypto ipsec transform-set ESP-3DES-SHA2 esp-3des esp-sha-hmac ! crypto map SDM_CMAP_2 1 ipsec-isakmp set peer **** match address SDM_2 ! crypto map SDM_CMAP_3 1 ipsec-isakmp set peer **** set transform-set ESP-3DES-SHA2 match address SDM_1 ! ! ! interface Tunnel0 ip address 10.10.14.2 255.255.255.0 ip mtu 1420 ip rip send version 2 ip rip receive version 2 keepalive 10 3 tunnel source Ethernet1 tunnel destination **** tunnel path-mtu-discovery crypto ipsec df-bit clear ! interface Ethernet0 ip address 192.168.0.254 255.255.255.0 no ip unreachables no ip proxy-arp ip nat inside ip inspect myfw in no cdp enable ! interface Ethernet1 ip address **** ip verify unicast source reachable-via rx allow-default 100 no ip unreachables no ip proxy-arp ip nat outside ip inspect myfw in no cdp enable crypto map SDM_CMAP_3 ! interface Virtual-Template1 ip unnumbered Ethernet0 ip nat inside ip mroute-cache peer default ip address pool VPN ppp encrypt mppe auto ppp authentication ms-chap-v2 VPN ppp ipcp dns 192.168.0.200 ! router rip version 2 network 10.0.0.0 network 192.168.0.0 network 192.168.1.0 neighbor 10.10.14.1 ! ip local pool VPN 10.10.10.1 10.10.10.30 ip nat inside source route-map SDM_RMAP_1 interface Ethernet1 overload ip classless ip route 0.0.0.0 0.0.0.0 **** no ip http server no ip http secure-server ! ! Zitieren Link zu diesem Kommentar
mr-windows 10 Geschrieben 28. März 2006 Autor Melden Teilen Geschrieben 28. März 2006 ip access-list extended SDM_1 remark SDM_ACL Category=4 remark IPSec Rule permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255 permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255 ip access-list extended SDM_2 permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255 permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255 permit gre host *** host *** ip access-list extended www permit tcp any any eq 443 permit tcp any any eq smtp permit tcp any any eq pop3 permit tcp any any eq www permit udp any any eq domain permit tcp any any eq domain permit icmp any any permit tcp any any eq 1723 permit tcp any any eq 2275 permit tcp any any eq 1645 permit tcp any any eq 1646 permit tcp any any eq 3389 permit tcp any any eq 139 permit tcp any any eq 445 permit tcp any any eq 9100 permit tcp any any eq 2638 deny ip any any logging trap debugging logging facility local2 access-list 103 permit ip any any access-list 110 permit ip 10.10.10.0 0.0.0.224 192.168.0.0 0.0.0.255 access-list 110 permit ip 192.168.0.0 0.0.0.255 any access-list 110 deny gre host *** host *** access-list 110 deny ip any any no cdp run route-map SDM_RMAP_1 permit 1 match ip address 110 ! radius-server host 192.168.0.201 auth-port 1645 acct-port 1646 radius-server key 7 032A58583700161A7A banner exec ^C ================================================================= > > Sie sind jetzt angemeldet am Router/Switch $(hostname) > ueber die Line vty $(line). > > Bei Problemen melden Sie sich bitte bei ****r unter > ***. > ================================================================= ^C banner motd ^CC Disclaimer All actions will be monitored for upcoming trials. Unauthorized acccess will result in prosecution. Hinweis Saemtliche Aktionen auf diesem System werden protokolliert und koennen gerichtlich verwendet werden. Unerlaubter Zugriff wird strafrechtlich verfolgt. Avertissement Toutes les actions sur ce systeme sont inscrites au proces-verbal et peuvent etre utilisees juridiquement. L'accces non autorise donne lieu a des poursuites penales. ^C ! line con 0 exec-timeout 5 0 login authentication local_auth transport preferred all transport output telnet stopbits 1 line vty 0 4 password 7 0738320F001311374117260414 login authentication local_auth transport preferred all transport input telnet ssh transport output all ! scheduler max-task-time 5000 ntp clock-period 17168762 ntp source Ethernet1 ntp master 10 ntp server 192.43.244.18 ntp server 131.188.3.220 prefer ! end Nadja# Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 28. März 2006 Melden Teilen Geschrieben 28. März 2006 Hoert sich stark nach MTU an ... haste auch nen Exchange rumstehn? Wennst den Fehler mit ner Outlookverbindung reproduzieren kannst waer ich mir da fast sicher. EDIT: Aender bitte die Passwoerter, auch wenn du nicht die IP angegeben hast ... Zitieren Link zu diesem Kommentar
mr-windows 10 Geschrieben 28. März 2006 Autor Melden Teilen Geschrieben 28. März 2006 und hier die Config vom Cisco 1812: c1800-erf#sh run Building configuration... Current configuration : 7073 bytes ! ! Last configuration change at 11:54:03 MESZ Mon Mar 27 2006 by cosburg ! version 12.4 no service pad service tcp-keepalives-in service tcp-keepalives-out service timestamps debug datetime msec localtime show-timezone service timestamps log datetime msec localtime show-timezone service password-encryption service sequence-numbers ! hostname c1800-erf ! boot-start-marker boot-end-marker ! security authentication failure rate 10 log security passwords min-length 6 logging buffered 4096 debugging enable secret 5 $1$8uDC$G6TEQQPF2W48YBZmiTHIL0 ! aaa new-model ! ! aaa authentication login rtr-remote local aaa authentication login local_auth local aaa authentication ppp VPN group radius aaa authorization network rtr-remote local ! aaa session-id common ! resource policy ! clock timezone MESZ 1 clock summer-time MESZ recurring last Sun Mar 2:00 last Sun Oct 3:00 mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ip subnet-zero no ip source-route no ip gratuitous-arps ! ! ip cef no ip dhcp use vrf connected ! ! no ip bootp server no ip domain lookup ip domain name dialyse.local ip ssh time-out 60 ip ssh authentication-retries 1 ip inspect max-incomplete high 1100 ip inspect max-incomplete low 900 ip inspect one-minute high 1100 ip inspect one-minute low 900 ip inspect udp idle-time 1800 ip inspect dns-timeout 7 ip inspect tcp idle-time 14400 ip inspect name myfw tcp alert on timeout 3600 ip inspect name myfw udp timeout 3600 ip inspect name myfw http timeout 3600 ip inspect name myfw smtp timeout 3600 ip inspect name myfw ftp timeout 3600 ip inspect name myfw rcmd timeout 3600 ip inspect name myfw tftp timeout 3600 ip inspect name myfw cuseeme timeout 3600 no ip ips deny-action ips-interface vpdn enable ! vpdn-group 1 ! Default PPTP VPDN group accept-dialin protocol pptp virtual-template 1 ! ! ! ! username c***** privilege 15 password 7 ***** username s***** privilege 15 password 7 ***** ! ! ! crypto isakmp policy 1 encr 3des authentication pre-share group 2 crypto isakmp key *** address **** crypto isakmp key R*** address **** ! ! crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto ipsec transform-set ESP-3DES-SHA1 esp-3des esp-sha-hmac crypto ipsec transform-set ESP-3DES-SHA2 esp-3des esp-sha-hmac ! ! crypto map SDM_CMAP_2 1 ipsec-isakmp description Tunnel to *** set peer *** set transform-set ESP-3DES-SHA2 match address 102 ! ! ! interface Tunnel0 ip address 10.10.14.1 255.255.255.0 ip mtu 1420 ip rip send version 2 ip rip receive version 2 keepalive 10 3 tunnel source FastEthernet0 tunnel destination 212.6.240.2 tunnel path-mtu-discovery crypto ipsec df-bit clear ! interface BRI0 no ip address shutdown ! interface FastEthernet0 ip address *** (WAN) no ip unreachables no ip proxy-arp ip nat outside no ip virtual-reassembly duplex auto speed auto no cdp enable crypto map SDM_CMAP_2 ! interface FastEthernet1 ip address 192.168.1.254 255.255.255.0 no ip unreachables no ip proxy-arp ip nat inside no ip virtual-reassembly duplex auto speed auto no cdp enable ! interface FastEthernet2 ! interface FastEthernet3 ! interface FastEthernet4 ! interface FastEthernet5 ! interface FastEthernet6 ! interface FastEthernet7 ! interface FastEthernet8 ! interface FastEthernet9 ! interface Virtual-Template1 ip unnumbered FastEthernet0 ip nat inside no ip virtual-reassembly ip mroute-cache peer default ip address pool VPN ppp encrypt mppe auto required ppp authentication ms-chap-v2 VPN ppp ipcp dns 192.168.1.200 ! interface Vlan1 no ip address ! Zitieren Link zu diesem Kommentar
mr-windows 10 Geschrieben 28. März 2006 Autor Melden Teilen Geschrieben 28. März 2006 router rip version 2 network 10.0.0.0 network 192.168.0.0 network 192.168.1.0 neighbor 10.10.14.2 ! ip local pool VPN 10.10.2.1 10.10.2.10 ip classless ip route 0.0.0.0 0.0.0.0 213.221.121.89 ! ! no ip http server no ip http secure-server ip nat inside source route-map SDM_RMAP_1 interface FastEthernet0 overload ip nat inside source static tcp 192.168.1.180 5800 interface FastEthernet0 5800 ! ip access-list extended IPSec_Tunnel permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255 permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255 ip access-list extended www permit tcp any any eq 443 permit tcp any any eq smtp permit tcp any any eq pop3 permit tcp any any eq www permit tcp any any eq domain permit udp any any eq domain permit tcp any any eq 1723 permit tcp any any eq 2275 permit tcp any any eq 1645 permit tcp any any eq 1646 permit tcp any any eq 3389 permit tcp any any eq 139 permit tcp any any eq 445 permit tcp any any eq 9100 permit tcp any any eq 2638 permit icmp any any deny ip any any ! logging trap debugging logging facility local2 access-list 100 remark SDM_ACL Category=16 access-list 100 permit gre host *** host *** access-list 101 remark SDM_ACL Category=4 access-list 101 permit gre host *** host *** access-list 102 remark SDM_ACL Category=4 access-list 102 remark IPSec Rule access-list 102 permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255 access-list 110 remark SDM_ACL Category=18 access-list 110 remark IPSec Rule access-list 110 deny ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255 access-list 110 permit ip 10.10.2.0 0.0.0.255 192.168.1.0 0.0.0.255 access-list 110 permit ip 192.168.1.0 0.0.0.255 any access-list 110 deny ip any any no cdp run ! route-map SDM_RMAP_1 permit 1 match ip address 110 ! ! ! radius-server host 192.168.1.201 auth-port 1645 acct-port 1646 radius-server key 7 080F4F1D3816324126 ! control-plane ! banner exec ^C ================================================================= > > Sie sind jetzt angemeldet am Router/Switch $(hostname) > ueber die Line vty $(line). > > Bei Problemen melden Sie sich bitte bei *** unter > *** > ================================================================= ^C banner motd ^C Disclaimer All actions will be monitored for upcoming trials. Unauthorized acccess will result in prosecution. Hinweis Saemtliche Aktionen auf diesem System werden protokolliert und koennen gerichtlich verwendet werden. Unerlaubter Zugriff wird strafrechtlich verfolgt. Avertissement Toutes les actions sur ce systeme sont inscrites au proces-verbal et peuvent etre utilisees juridiquement. L'accces non autorise donne lieu a des poursuites penales. ^C ! line con 0 exec-timeout 5 0 login authentication local_auth line aux 0 line vty 0 4 password 7 1403171818557878 login authentication local_auth ! scheduler max-task-time 5000 ntp clock-period 17180110 ntp source FastEthernet0 ntp master 10 ntp server 192.43.224.18 ntp server 131.188.3.220 prefer end c1800-erf# Beide Router bauen aus organisatorischen Gründen zur Zeit nur eine Verbindung vom Standort 1 zum Standort 2. Der Tunnel in unser Büro kommt später, stand aber auch schon problemlos. Folgendes habe ich schon versucht: die Firewall ist es nicht bei NAT bin ich mir nicht ganz sicher Access-Listen sind es nicht (sonst würde er ja nicht kurz aufbauen) routing funzt (ping geht ja) ich bin irgendwie am Ende... Wenn ihr Debug´s braucht meldet euch einfach. Bin für jede Hilfe sehr dankbar, mir raucht der Kopf. MfG christian Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 28. März 2006 Melden Teilen Geschrieben 28. März 2006 Probier doch mal testweise auf den internen Interfaces der Cisco "ip tcp adjust-mss 1300", ansonsten waer ein "deb ip icmp" nicht schlecht. Vielleicht sind die Fragmention needed ICMP's geblockt. Zitieren Link zu diesem Kommentar
mr-windows 10 Geschrieben 28. März 2006 Autor Melden Teilen Geschrieben 28. März 2006 Moin, DANKE WORDO!!!! Es funktioniert. Guter Mann ;) Ich komme auf jeden Fall später noch mal auf dich zu (eventuell per PM) hab da noch so´n paar Kleinigkeiten. DANKE DANKE *freu* Des Rätsels Lösung war der Befehl: ip tcp adjust-mss 1300 Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 28. März 2006 Melden Teilen Geschrieben 28. März 2006 1300 ist schon extrem vorsichtig gewaehlt, also falls du Performanceprobleme bekommst, oder Leute sich beschweren passe das mal nach oben an. Kannste auch im Livebetrieb machen so lang du nicht zu forsch bist. ;) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.