Radius über VPN-Tunnel

[Andreas_Z 10]

Hallo Leute!

 

Ich habe hier ein Problem, welches ich trotz suche im Forum und mehreren Anläufen bei der Konfiguration nicht den Griff bekommen habe. Meine Situation ist die folgende:

 

Ich habe bis vor kurzem erfolgreich und stabil zwecks Remote-Zugriff auf einen Server einen Cisco VPN-Concentrator 3020 betrieben. Dieser unterhielt einen VPN-Tunnel (Lan to Lan) zu einer Firewall, hinter der dann letzlich (direkt angebunden) der Server stand. Meine User konnten sich mittels VPN-Client von Cisco mit dem Concentrator verbinden. Für die Benutzerauthentifikation am VPN-C hatte ich einen Windows2003-Radius Server direkt mit dem VPN-C verbunden (Cross-Over am privaten Interface). Diese Plattform mußte ich nun umbauen, um sie etwas flexibler zu machen. Jetzt befindet sich hinter der Firewall ein Switch mit mehreren VLANs. In jedem VLAN hängt ein anderer Server, welcher über den VPN-C erreichbar sein soll. Aus verschiedenen Gründen ist auch der Radius-Server in eines dieser VLANs gekommen und damit nicht mehr direkt mit dem VPN-C verbunden. Um weiterhin eine Benutzerathentifikation per Radius vornehmen zu können, muß der VPN-C nun seine Radius-Anfragen über den bestehenden VPN-Tunnel hinter die Firewall in das richtige VLAN senden. Aber genau das bekomme ich nicht hin. Was könnte ich alles vergessen haben? Gibt es irgenwo eine Anleitung für eine solche Konfig?

 

Was habe ich alles herausgefunden:

Die Radius-Pakete kommen nicht bei der Firewall an. Der Radius-Server ist seltsamer Weise nicht Pingbar, abwohl der Tunnel steht. Ich würde ja auf fehlende Routen tippen, aber die hatte ich vorher auch nicht und dennoch wurde das Netz hinter dem tunnel gefunden. Um entsprechende Interface-Regeln bauen zu können, brächte ich ein virtu. Interface für den Tunnelanfang, dem ich eine IP-Adresse geben kann. Aber das gibt es nicht.

 

Ich bin für jeden Hinweis dankbar.

Vielen Dank

 

Gruß Andreas

[Wordo 11]

Also wenn das Paket noch nicht mal bei der Firewall ankommt wuerd ich mir keine Gedanken um VLAN machen. Check die Konfiguration vom VPN-C ob die IP von Radius die richtige ist, und das Netz in der VPN-Tunnel Konfiguration steckt.

[Andreas_Z 10]

Hallo Wordo!

 

Um die VLANs mache ich mir auch keine Gedanken. Die habe ich nur der Vollständigkeit halber erwähnt. ;)

 

Check die Konfiguration vom VPN-C ob die IP von Radius die richtige ist, und das Netz in der VPN-Tunnel Konfiguration steckt.

Genau hier sind wir am wunden Punkt. Wo muß ich denn da jetzt genau gucken? Die IP von Radius stimmt auf jeden fall. In der Sektion Configuration - Tunneling and Security - IPSec - LAN-to-LAN gibt es einen Eintrag. Der enthält eigentlich das Netz hinter dem Tunnel. Das Netz vor dem Tunnel ist der IP-Adress-Pool für die User. Ich würde ja meinen, daß hier auch noch die Adresse des VPN-C rein müßte. Aber welche. Er hat dch kein virtuelles Interface mit einer passenden IP-Adresse (siehe oben)?

 

Gruß Andreas

[Wordo 11]

Also, in der ACL die du an die crypto map gebunden hast muss auch das Netz des Radius drin sein. Hab den Thread jetzt nicht mehr im Kopf, wer ist denn der Peer vorm Radius jetzt? Sprich zu wem baut de VPN-C das VPN auf?

[Andreas_Z 10]

Hallo Wordo!

 

Die Peers kannst Du ni meinem ersten Posting nachlesen. VPN-Tunnel zwischen VPN-C und Firewall. Auf der anderen Seite der Firewall stehen sämtliche Server. Auch der Radius.

 

Äh... was ist eine "crypto map" im VPN-C?

 

Gruß Andreas_Z

[Wordo 11]

Was fuer ein erstes Posting? Ah, gibts sowas nich im Concentrator? Sorry, hatte ich noch nie was mit zu tun ...

[Andreas_Z 10]

:shock:

 

Einfach diese Seite ganz nach oben scrollen....

 

 

Gruß Andreas

[Wordo 11]

IP's! Configschnippsel ... irgendsowas halt ;)