Cisco 1720 VPN, kein VNC, kein SHH usw...

[romeo310 10]

Moin,

 

habe einige Threads weiter unten ein VPN Problem gehabt. Ging kein ping ( http://www.mcseboard.de/showthread.php?t=86048 ). Nun klappt alles mit ping und Namensauflösung, aber ich kann, wenn ich mich authentifiziert habe, keine VNC Verbindung zu einem Windows Server und keine SSH Verbindung zu einem Linux Server aufbauen.

 

Wie gesagt. Konfig wie im Link des o.g. Threads, ping und Nameserverauflösung ok !

 

Please Help !

 

 

THX romeo310

[romeo310 10]

Hallo Cisco Forum Gemeinde,

 

hat denn keiner im Forum einen Lösungsansatz für mein Problem ?

 

Ein Lösungsansatz würde mir ja reichen. Nach 7 stündiger konfiguriererei gestern Abend kam ich immer noch nicht weiter.

 

PLEASE HELP !

 

THX

[Wordo 11]

Welcher Ping geht? Auf die VNC- und SSH-Kisten oder generell? Sieht mir eher so aus als wuerden die Server nix mit dem 10er Netz anfangen koennen.

[romeo310 10]

Hi Wordo,

 

die Pings gehen auf alle Maschinen, auch per DNS-Auflösung, also auch auf den w2k-Server, auf dem VNC läuft und auf den Linux Server, auf dem SSH läuft.

 

Habe diese Konstellation 2x mit 1720ern realisiert.

 

Beide Konfigs identisch, außer eben die Netze:

1720-1: 192.168.10.0/24

1720-2: 192.168.11.0/24

 

Beide haben eben meine VPN Config für Roadwarrior. Wenn ich mich aus dem 192.168.10.0er Netz mit dem Cisco VPN Client bei dem Router des Netzes 192.168.11.0 einlogge, klappt die Anmeldung und die Pings, sowie die Namensauflösung des Linux-Servers, auf dem auch SSH läuft. Das gleiche Spiel, wenn ich z.B. mit Smartsurfer per ISDN Eingewählt bin, also unabhängig der Router (DSL).

 

Nur kann ich eben keine Applications fahren ???

 

Beim 1720-2 das gleiche Spiel.

 

Habe gestern schon wieder annähernd 5 Stunden damit verbracht, eine Lösung zu finden. Leider immer noch ohne Erfolg !

 

Danke schon mal für weiter Hilfen !

 

romeo310

[Wordo 11]

Poste mal die beiden Konfigurationen, wenns geht CODE /CODE damit da nicht haufenweise Seiten rauskommen. Bei der alten Konfiguration stand doch was mit 10er IP's fuer den Dialin Pool ...

[romeo310 10]

Hi,

 

hier die config vom Cisco 1720-1 vom 10er Netz. Der 1720-2 hat die gleichen Server und IP Adressen, wie das 10er Netz, nur ist es ein 11er.

 

Also Netz 10 und 11 ist miteinander identisch, außer domain-name.

 

version 12.3
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug uptime
service timestamps log uptime
service password-encryption
service sequence-numbers
!
hostname c1720w
!
boot-start-marker
boot-end-marker
!
logging buffered 16384 debugging
no logging console
enable password 7 xxx
!
memory-size iomem 25
clock timezone MEZ 1
clock summer-time MEZ+1 recurring
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
aaa new-model
!
!
aaa authentication login clientauth local
aaa authorization network groupauthor local 
aaa session-id common
ip subnet-zero
no ip source-route
!
!
ip domain name domain.de
ip name-server 192.168.10.101
ip dhcp excluded-address 192.168.10.1
ip dhcp excluded-address 192.168.10.2
ip dhcp excluded-address 192.168.10.3
ip dhcp excluded-address 192.168.10.4
ip dhcp excluded-address 192.168.10.5
ip dhcp excluded-address 192.168.10.6
ip dhcp excluded-address 192.168.10.7
ip dhcp excluded-address 192.168.10.8
ip dhcp excluded-address 192.168.10.9
ip dhcp excluded-address 192.168.10.10
ip dhcp excluded-address 192.168.10.11
ip dhcp excluded-address 192.168.10.50
ip dhcp excluded-address 192.168.10.51
ip dhcp excluded-address 192.168.10.52
ip dhcp excluded-address 192.168.10.53
ip dhcp excluded-address 192.168.10.100
ip dhcp excluded-address 192.168.10.101
ip dhcp excluded-address 192.168.10.102
ip dhcp excluded-address 192.168.10.103
ip dhcp excluded-address 192.168.10.104
ip dhcp excluded-address 192.168.10.105
ip dhcp excluded-address 192.168.10.106
ip dhcp excluded-address 192.168.10.107
ip dhcp excluded-address 192.168.10.150
ip dhcp excluded-address 192.168.10.151
ip dhcp excluded-address 192.168.10.152
ip dhcp excluded-address 192.168.10.153
!
ip dhcp pool standard-clients
  network 192.168.10.0 255.255.255.0
  dns-server 192.168.10.52 194.25.2.129 
  default-router 192.168.10.101
  domain-name domain.de
!
no ip bootp server
ip cef
ip inspect max-incomplete low 300
ip inspect max-incomplete high 400
ip inspect one-minute low 150
ip inspect one-minute high 250
ip inspect udp idle-time 35
ip inspect dns-timeout 6
ip inspect tcp idle-time 300
ip inspect tcp finwait-time 6
ip inspect tcp synwait-time 35
ip inspect tcp max-incomplete host 50 block-time 15
ip inspect name internet http timeout 180
ip inspect name internet realaudio timeout 30
ip inspect name internet udp timeout 300
ip inspect name internet tcp timeout 600
ip inspect name internet ftp timeout 60
ip inspect name internet sip timeout 600
ip inspect name internet rtsp timeout 30
ip inspect name internet tftp timeout 30
ip inspect name internet sqlnet timeout 60
ip inspect name internet vdolive timeout 60
ip inspect name internet streamworks timeout 60
ip inspect name internet rcmd timeout 30
ip inspect name internet cuseeme timeout 30
ip audit po max-events 100
vpdn enable
!
vpdn-group 1
request-dialin
 protocol pppoe
!
!
isdn switch-type basic-net3
!
username ms2 password 7 xxx
!
!
class-map match-all Queue-MediumPrio
 match  dscp af31 
class-map match-all Queue-HighPrio
 match  dscp ef 
!
! 
crypto keyring spokes 
 pre-shared-key address 0.0.0.0 0.0.0.0 key xxx
!
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
crypto isakmp keepalive 30 10
crypto isakmp nat keepalive 30

[romeo310 10]

!
crypto isakmp client configuration group xxx
key xxx
dns 192.168.10.101
domain domain.de
pool ippool
acl VPNROUTES-CLIENTS
crypto isakmp profile VPNclient
description VPN Clients Profile
match identity group xxx
client authentication list clientauth
isakmp authorization list groupauthor
client configuration address respond
crypto isakmp profile l2l
description lan-2-lan Configuration for spokes Routers
keyring spokes
match identity address 0.0.0.0
!
!
crypto ipsec transform-set myset esp-3des esp-sha-hmac
!
crypto dynamic-map dynmap 5
set transform-set myset
set isakmp-profile VPNclient
reverse-route
crypto dynamic-map dynmap 10
set transform-set myset
set isakmp-profile
reverse-route
!
!
crypto map mymap 10 ipsec-isakmp dynamic dynmap
!
!
!
interface BRI0
description connected to Dial-inPCs(ISDN)
ip unnumbered FastEthernet0
ip nat inside
encapsulation ppp
dialer rotary-group 3
dialer-group 1
isdn switch-type basic-net3
isdn point-to-point-setup
no cdp enable
!
interface Ethernet0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip nat outside
ip route-cache flow
half-duplex
pppoe enable
pppoe-client dial-pool-number 1
no cdp enable
crypto map mymap
!
interface FastEthernet0
ip address 192.168.10.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip route-cache flow
no ip mroute-cache
speed auto
full-duplex
!
interface Async5
description connected to Dial-inPCs(modem)
ip unnumbered FastEthernet0
ip nat inside
encapsulation ppp
ip tcp header-compression passive
dialer in-band
dialer rotary-group 2
dialer-group 1
async mode dedicated
!
interface Dialer1
ip address negotiated
ip access-group FIREWALL-INCOMING in
ip access-group FIREWALL-OUTGOING out
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip nat outside
ip inspect internet in
ip inspect internet out
encapsulation ppp
ip route-cache flow
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication chap pap callin
ppp chap hostname xxx
ppp chap password 7 xxx
ppp pap sent-username xxx password 7 xxx
ppp ipcp dns request
crypto map mymap
!
interface Dialer2
description connected to Dial-inPCs(modem)
ip unnumbered FastEthernet0
ip access-group Dialin-modem in
ip nat inside
encapsulation ppp
ip tcp header-compression passive
dialer in-band
dialer-group 1
peer default ip address pool DIALIN-MODEM
no cdp enable
ppp authentication chap
!
interface Dialer3
description connected to Dial-inPCs(ISDN)
ip unnumbered FastEthernet0
ip access-group DIALIN-ISDN in
ip nat inside
encapsulation ppp
no ip split-horizon
dialer in-band
dialer-group 1
peer default ip address pool DIALIN-ISDN
no cdp enable
ppp authentication chap pap callin
ppp multilink
!
router rip
version 2
redistribute static
passive-interface Dialer1
network 192.168.4.0
network 192.168.10.0
no auto-summary

[romeo310 10]

!
ip local pool DIALIN-MODEM 192.168.10.250
ip local pool DIALIN-ISDN 192.168.10.251 192.168.10.252
ip local pool ippool 192.168.4.1 192.168.4.253
ip nat inside source list TRIGGER-CONNECT interface Dialer1 overload
ip nat inside source static tcp 192.168.10.152 20 interface Dialer1 20
ip nat inside source static tcp 192.168.10.152 21 interface Dialer1 21
ip nat inside source static tcp 192.168.10.101 443 interface Dialer1 443
ip nat inside source static tcp 192.168.10.7 5060 interface Dialer1 5060
ip nat inside source static tcp 192.168.10.101 22 interface Dialer1 22
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
no ip http server
no ip http secure-server
!
!
!
ip access-list extended FIREWALL-INCOMING
permit udp host 131.188.3.223 eq ntp any
permit udp host 131.188.3.222 eq ntp any
permit udp host 131.188.3.221 eq ntp any
permit udp host 131.188.3.220 eq ntp any
permit udp any eq 5060 any
permit icmp any any echo-reply
permit tcp any any eq 22
permit tcp any any eq 443
permit ip 192.168.4.0 0.0.0.255 any
permit ip 192.168.10.0 0.0.0.255 any
permit udp any any eq isakmp
permit udp any any eq non500-isakmp
permit esp any any
permit tcp any any eq ftp-data
permit tcp any any eq ftp
deny   ip any any log
ip access-list extended FIREWALL-OUTGOING
permit ip any any
deny   ip any any log
ip access-list extended TRIGGER-CONNECT
deny   ip 192.168.4.0 0.0.0.255 192.168.4.0 0.0.0.255
deny   ip 192.168.10.0 0.0.0.255 192.168.4.0 0.0.0.255
permit ip 192.168.10.0 0.0.0.255 any
deny   ip any any log
ip access-list extended VPNROUTES-CLIENTS
permit ip any any
deny   ip any any
ip access-list extended VTY-SSH
permit ip 192.168.10.0 0.0.0.255 any
access-list 10 permit 131.188.3.220
access-list 10 permit 131.188.3.221
access-list 10 permit 131.188.3.222
access-list 10 permit 131.188.3.223
access-list 10 permit 192.168.10.0 0.0.0.255
dialer-list 1 protocol ip permit
dialer-list 2 protocol ip permit
!
banner motd #CCCCC
*********************************************************************
*                     WARNING !!!!!                                 *
*								    *
*            Firewall Router. RESTRICTED ACCESS                     *
*                                                                   *
*            No Unauthorised Access.                                *
*                                                                   *
*            No Hackers, Phreaks, Crackers or so called security    *
*            experts allowed!                                       *
*                                                                   *
*            Unauthorized use of this system will be logged and     *
*            prosecuted to the fullest extent of the law !          *
*								    *
*            Contact:     [email]webmaster@domain.de[/email]			    *
*								    *
*	        We fight against Spam and Hackers !!!!              *
*********************************************************************
#
!
line con 0
exec-timeout 120 0
password 7 xxx
line aux 0
line vty 0 4
access-class VTY-SSH in
exec-timeout 0 0
password 7 xxx
transport input ssh
!
ntp clock-period 17042046
ntp access-group peer 10
ntp master 2
ntp server 131.188.3.223
ntp server 131.188.3.222
ntp server 131.188.3.221
ntp server 131.188.3.220
end

[romeo310 10]

Hab so langsam das gefühl, dass mit dem nat was nicht stimmt für vpn clients. irgendwas blockt oder sperrt, aber warum gehen dan die dns resolver ???

[romeo310 10]

Habe mal im Cisco Forum gepostet. Dort bekam ich zumindest mal einen Lösungsansatz, auf dem Outbound Interface

 

ip tcp adjust-mms 1440

 

einzutragen.

 

Habs auf´m Dialer1 und mal auf´m Ethernet0 probiert.

 

Immer noch das selbse Problem.

 

Hat keiner noch eine Idee ???

[Wordo 11]

Brauchst du RIP2? Wenn nein, raus damit ... und nimm mal den ip inspect auf dem Dialer1 raus, und dann noch diese FIREWALL_OUTGOING. Ah ja, und ip nat outside kannste vom ETH0 wegnehmen, weils bei Dialer1 drinsteht und an ETH0 gebunden wird. Sollte fuer die crypto map eigentlich auch gelten.

[romeo310 10]

Hi,

 

danke erst mal für die Antwort:

 

habe nun folgendes geändert, wie oben beschrieben:

 

conf te

interface ethernet0

no ip nat outside

no crypto map mymap

!

interface Dialer1

no ip access-group FIREWALL-OUTGOING out

no ip inspect internet in

no ip inspect internet out

!

no router rip

!

end

 

 

Leider kann ich dann nicht mehr ins Netz mit dem Router. VPN Zugang geht noch, aber immer noch mit dem besagten Problem. Dass intern wieder Mails usw. abgeholt werden können, hab ich vorerst die Änderungen wieder rückgängig gemacht.

 

Stehe immer noch auf´m Schlauch. Bin momentan schon dabei, evtl. die

 

ip access-list extended VPNROUTES-CLIENTS

permit ip any any

deny any any log

 

zu ändern auf:

 

ip access-list extended VPNROUTES-CLIENTS

permit 192.168.11.0 0.0.0.255 any

permit 192.168.4.0 0.0.0.255 any

deny any any log

 

Werde es mal probieren. Werde auch Posten nach test.

[romeo310 10]

habs nun mal getestet. War´s leider auch nicht.

 

Any Ideas ???

[Wordo 11]

Echt? Komisch, dann musste wohl bei ETH0 ip unnumbered dialer 1 machen, dann das Dialer1 resetten und dann sollte es auch ohne dem nat auf ETH0 klappen. Hast du das RIP auch wieder rein?

[romeo310 10]

Hi,

 

ja, RIP habe ich auch wieder drin. Probiere das nachher nochmal mit dem Dialer 1 aus. poste dann auf jeden Fall wieder.

 

MFG

 

romeo310