Ciscler

1-3 reicht nicht aus Command rejected: Bad VLAN allowed list. You have to include all default vlans, e.g. 1-2,1002-1005. Was bedeutet 1-2 sind das die vlans ? und was ist 1002-1005 ??

Hallo, also die Preshared Keys für die Tunnel sind in der config nicht verschlüsselt. Kann man also so sehen. Gruß Dirk

Hallo, ich habe einen 1841 Cisco Router. Und möchte gerne einen Port in 2 Vlans einfügen. Habe also vlan 2 und vlan 3 konfiguriert Auf dem Interface fastethernet 0/0/2 habe ich "switchport mode trunk" eingegeben. switchport trunk allowed vlan 2-3. Dann erhalte ich immer die Meldung Command rejected: Bad VLAN allowed list. You have to include all default vlans, e.g. 1-2,1002-1005. Was ist mit der Meldung genau gemeint? Gruß Dirk

ip local pool ippool 14.1.1.100 14.1.1.200 ip classless ip route 0.0.0.0 0.0.0.0 Dialer1 ! ip http server no ip http secure-server ip nat inside source list 1 interface Dialer1 overload ip dns server ! access-list 1 permit 192.168.1.0 0.0.0.255 access-list 1 permit 192.168.0.0 0.0.0.255 dialer-list 100 protocol ip permit snmp-server community public RO snmp-server enable traps tty ! ! control-plane ! ! line con 0 line aux 0 line vty 0 4 login ! end

Habe mit dem Cisco 1841 eine Router to cisco vpn client Verbindung. Per Cisco VPN client kann man sicht auch verbinden. Das Problem ist nur ich verbinde mich und kann immer nur einen PC im netzwerk pingen z.B. pinge ich die 192.168.0.4 ist ein pc im netzwerk der auch am cisco hängt. Wenn ich dann einen anderen pc über den tunnel pingen möchte geht es wieder nicht. Verbinde ich dann den vpn client und wähle mich nochmal ein pinge dann den anderen pc mit z.B. 192.168.0.1 geht es aber obwohl die 192.168.0.4 auch online ist erreiche ich ihn wieder nicht kann irgendwie mit einer Einwahl mit dem client immer nur einen pc im netzwerk erreichen woran kann das denn liegen? Und wofür benötigt man aaa new-model ! ! aaa authentication login userauthen local aaa authorization network groupauthor local ! aaa session-id common immer wenn ich diese einfüge wählt sich der Router nicht mehr ins Internet ein. Hier nochmal meine Config: Current configuration : 3162 bytes ! version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname Router ! boot-start-marker boot-end-marker ! enable secret 5 $1$JGTc$lLIWJF2XKs7J5eKBOP6zA0 enable password xxxxxxxxxxx ! no aaa new-model ! resource policy ! mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ip subnet-zero ip cef ! ! no ip dhcp use vrf connected ! ! no ip ips deny-action ips-interface ip ddns update method test HTTP add http://xxxxxxxxxxx:xxxxxxxxxxx@members.dyndns.org/nic/updatesystem=dyndns&hostname=<h>&myip=<a> interval maximum 0 1 0 0 ! vpdn enable vpdn ip udp ignore checksum ! vpdn-group pppoe request-dialin protocol pppoe ip mtu adjust ! ! no ftp-server write-enable ! ! ! username cisco password xxxxxxxxxxxxxxxxxxxxx ! ! ! crypto isakmp policy 3 encr 3des authentication pre-share group 2 no crypto isakmp ccm ! crypto isakmp client configuration group 3000client key xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx pool ippool ! ! crypto ipsec transform-set myset esp-3des esp-sha-hmac ! crypto dynamic-map dynmap 10 set transform-set myset ! ! crypto map clientmap client authentication list userauthen crypto map clientmap isakmp authorization list groupauthor crypto map clientmap client configuration address respond crypto map clientmap 10 ipsec-isakmp dynamic dynmap ! ! ! interface FastEthernet0/0 description T-dsl no ip address no ip proxy-arp ip route-cache flow duplex auto speed auto pppoe enable pppoe-client dial-pool-number 1 fair-queue ! interface FastEthernet0/1 description LAN ip address 192.168.0.253 255.255.255.0 ip nat inside ip virtual-reassembly duplex auto speed auto crypto map clientmap ! interface FastEthernet0/0/0 ! interface FastEthernet0/0/1 ! interface FastEthernet0/0/2 ! interface FastEthernet0/0/3 ! interface Vlan1 no ip address ! interface Dialer1 description WAN bandwidth 2048 ip ddns update hostname xxxxxxxxxxxxxxxxxxx ip ddns update test ip address negotiated no ip redirects no ip unreachables no ip proxy-arp ip mtu 1492 ip nat outside ip virtual-reassembly encapsulation ppp ip route-cache flow ip tcp adjust-mss 1452 no ip mroute-cache dialer pool 1 dialer idle-timeout 0 dialer persistent dialer-group 1 fair-queue no cdp enable ppp authentication chap callin ppp chap hostname xxxxxxxxxxxxxxxxxxxxxxxxxx@t-online.de ppp chap password xxxxxxxxxxxxxxxxx ppp ipcp dns request crypto map clientmap !

Hat keiner einen Tipp ? :( Gruß Dirk

Hi es liegt doch nicht der dem crypto befehl Sobald ich aaa new-model ! ! aaa authentication login userauthen local aaa authorization network groupauthor local ! aaa session-id common in der Config eingebe wählt sich der Cisco nach dem Neustart nicht mehr ein. Brauch man diesen Befehl? also mit dem VPN client kann ich mich verbinden sehe die Verbindung ja auch mit sh crypto isakmp sa das sie aufgebaut ist. Die Gegenseite mit dem Cisco vpn client kann mich auch anpingen aber es läuft auch keine xp remotedesktopverbindung wird das irgendwie geblockt? Wäre echt super dankbar wenn mir jemand weiterhelfen könnte. Gruß Dirk

ip http server no ip http secure-server ip nat inside source list 1 interface Dialer1 overload ip nat inside source list 100 interface Dialer1 overload ip nat inside source static tcp 192.168.0.1 21 interface Dialer1 21 ip nat inside source static tcp 192.168.0.1 20 interface Dialer1 20 ip nat inside source static udp 192.168.0.1 20 interface Dialer1 20 ip nat inside source static udp 192.168.0.1 21 interface Dialer1 21 ip dns server ! access-list 1 permit 192.168.1.0 0.0.0.255 access-list 1 permit 192.168.0.0 0.0.0.255 access-list 100 deny ip 192.168.0.0 0.0.0.255 14.1.1.0 0.0.0.255 access-list 100 deny ip 192.168.1.0 0.0.0.255 14.1.1.0 0.0.0.255 access-list 100 permit ip 192.168.0.0 0.0.0.255 any access-list 100 permit ip 192.168.1.0 0.0.0.255 any dialer-list 1 protocol ip permit dialer-list 100 protocol ip permit snmp-server community public RO snmp-server enable traps tty ! ! control-plane ! ! line con 0 line aux 0 line vty 0 4 login ! end

Hallo nochmal jetzt wählt sich mein Router immer ein zu mindest bis jetzt ;) Es lag wahrscheinlich an dem Befehl crypto map clientmap auf dem Interface fastethernet 0/1. Hab den Befehl crypto map clientmap jetzt nur auf dem Dialer 1 eingefügt. Per Cisco VPN client kann ich mich jetzt auch wunderbar verbinden. Das Problem ist nur ich verbinde mich und kann immer nur einen PC im netzwerk pingen zb. pinge ich die 192.168.0.4 ist ein pc im netzwerk der auch am cisco hängt. Wenn ich dann einen anderen pc über den tunnel pingen möchte geht es wieder nicht. Verbinde ich dann den vpn client und wähle mich nochmal ein pinge dann den anderen pc mit zb. 192.168.0.1 geht es aber obwohl die 192.168.0.4 auch online ist erreiche ich ihn wieder nicht kann irgendwie mit einer einwahl mit dem client immer nur einen pc im netzwerk erreichen woran kann das denn liegen? Hier nochmal meine Config: Building configuration... Current configuration : 3422 bytes ! version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname Router ! boot-start-marker boot-end-marker ! ! no aaa new-model ! resource policy ! mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ip subnet-zero ip cef ! ! no ip dhcp use vrf connected ! ! no ip ips deny-action ips-interface ip ddns update method test HTTP add http://xxxxxxx:xxxxxxxxxx@members.dyndns.org/nic/updatesystem=dyndns&hostname=<h>&myip=<a> interval maximum 0 1 0 0 ! vpdn enable vpdn ip udp ignore checksum ! vpdn-group pppoe request-dialin protocol pppoe ip mtu adjust ! ! no ftp-server write-enable ! ! ! username cisco password xxxxxxxxxx ! ! ! crypto isakmp policy 3 encr 3des authentication pre-share group 2 no crypto isakmp ccm ! crypto isakmp client configuration group 3000client key xxxxxxxx pool ippool ! ! crypto ipsec transform-set myset esp-3des esp-sha-hmac ! crypto dynamic-map dynmap 10 set transform-set myset ! ! crypto map clientmap client authentication list userauthen crypto map clientmap isakmp authorization list groupauthor crypto map clientmap client configuration address respond crypto map clientmap 10 ipsec-isakmp dynamic dynmap ! ! ! interface FastEthernet0/0 description T-dsl no ip address no ip proxy-arp ip route-cache flow duplex auto speed auto pppoe enable pppoe-client dial-pool-number 1 fair-queue ! interface FastEthernet0/1 description LAN ip address 192.168.0.253 255.255.255.0 ip nat inside ip virtual-reassembly duplex auto speed auto ! interface FastEthernet0/0/0 ! interface FastEthernet0/0/1 ! interface FastEthernet0/0/2 ! interface FastEthernet0/0/3 ! interface Vlan1 no ip address ! interface Dialer1 description WAN bandwidth 2048 ip ddns update hostname xxxxxxxxxxxxxxxxxxxxx ip ddns update test ip address negotiated ip access-group 101 in no ip redirects no ip unreachables no ip proxy-arp ip mtu 1492 ip nat outside ip virtual-reassembly encapsulation ppp ip route-cache flow ip tcp adjust-mss 1452 no ip mroute-cache dialer pool 1 dialer idle-timeout 0 dialer persistent dialer-group 1 fair-queue no cdp enable ppp authentication chap callin ppp chap hostname xxxxxxxxxxxxxxxxxxxx@t-online.de ppp chap password xxxxxxxxxxxxxxxxxxx ppp ipcp dns request crypto map clientmap ! ip local pool ippool 14.1.1.100 14.1.1.200 ip classless ip route 0.0.0.0 0.0.0.0 Dialer1 !

Bei Cisco Routern interface ethernet 0/0 ip address 192.168.1.1 255.255.255.0 ip address 10.1.0.254 255.0.0.0 secondary

Also er wählt sich garnicht ins Internet ein. Eine andere IOS habe bis jetzt noch nicht ausprobiert. Hmm aber von der Config her ist alles ok oder? Gruß Dirk

Sorry bin sehr neu in Sachen Cisco was möchtest du mir damit jetzt sagen? Was hab ich falsch gemacht?

Liegt es also an den aaa Befehlen das sich der Router nicht einwählt?

Was bedeutet diese Meldung? AAA: Warning, authentication list "default" is not defined for PPP Kann es daran liegen das der dialer sich nicht einwählt?

Port Statistics for unclassified packets is not turned on. This product contains cryptographic features and is subject to United States and local country laws governing import, export, transfer and use. Delivery of Cisco cryptographic products does not imply third-party authority to import, export, distribute or use encryption. Importers, exporters, distributors and users are responsible for compliance with U.S. and local country laws. By using this product you agree to comply with applicable laws and regulations. If you are unable to comply with U.S. and local laws, return this product immediately. A summary of U.S. laws governing Cisco cryptographic products may be found at: http://www.cisco.com/wwl/export/crypto/tool/stqrg.html If you require further assistance please contact us by sending email to export@cisco.com. Cisco 1841 (revision 5.0) with 233472K/28672K bytes of memory. Processor board ID FCZ09241140 6 FastEthernet interfaces 2 Virtual Private Network (VPN) Modules DRAM configuration is 64 bits wide with parity disabled. 191K bytes of NVRAM. 62720K bytes of ATA CompactFlash (Read/Write) Press RETURN to get started! *May 10 15:17:14.307: %ESWMRVL_FLTMG-5-NOTICE: Notice: FPGA Rev 0x71 *May 10 15:17:29.779: %VPN_HW-6-INFO_LOC: Crypto engine: aim 0 State changed to: Initialized *May 10 15:17:29.779: %VPN_HW-6-INFO_LOC: Crypto engine: aim 0 State changed to: Enabled sslinit fn *May 10 15:17:32.815: %VPN_HW-6-INFO_LOC: Crypto engine: onboard 0 State changed to: Initialized *May 10 15:17:32.815: %VPN_HW-6-INFO_LOC: Crypto engine: onboard 0 State changed to: Disabled *May 10 15:17:36.831: %LINEPROTO-5-UPDOWN: Line protocol on Interface NVI0, changed state to up *May 10 15:17:37.723: %SYS-5-CONFIG_I: Configured from memory by console *May 10 15:17:38.367: %SYS-5-RESTART: System restarted -- Cisco IOS Software, 1841 Software (C1841-ADVSECURITYK9-M), Version 12.3(14)T7, RELEASE SOFTWARE (fc2) Technical Support: http://www.cisco.com/techsupport Copyright © 1986-2006 by Cisco Systems, Inc. Compiled Wed 22-Mar-06 16:41 by pwade *May 10 15:17:38.371: %SNMP-5-COLDSTART: SNMP agent on host Router is undergoing a cold start *May 10 15:17:38.803: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON *May 10 15:17:39.831: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up Router> Router> *May 10 15:17:42.831: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up *May 10 15:17:44.955: %DIALER-6-BIND: Interface Vi1 bound to profile Di1 *May 10 15:17:45.615: %DIALER-6-UNBIND: Interface Vi1 unbound from profile Di1 *May 10 15:17:48.831: %LINK-3-UPDOWN: Interface FastEthernet0/0/3, changed state to up *May 10 15:17:48.831: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up *May 10 15:17:48.831: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up *May 10 15:17:49.831: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0/3, changed state to down *May 10 15:17:49.831: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0/2, changed state to down *May 10 15:17:49.831: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0/1, changed state to down *May 10 15:17:49.831: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0/0, changed state to down Router> *May 10 15:18:07.847: %DIALER-6-BIND: Interface Vi1 bound to profile Di1 *May 10 15:18:07.851: %LINK-3-UPDOWN: Interface Virtual-Access1, changed state to up *May 10 15:18:08.455: %DIALER-6-UNBIND: Interface Vi1 unbound from profile Di1 *May 10 15:18:08.459: %LINK-3-UPDOWN: Interface Virtual-Access1, changed state to down

Cisco IOS Software, 1841 Software (C1841-ADVSECURITYK9-M), Version 12.3(14)T7, RELEASE SOFTWARE (fc2) Technical Support: http://www.cisco.com/techsupport Copyright © 1986-2006 by Cisco Systems, Inc. Compiled Wed 22-Mar-06 16:41 by pwade Image text-base: 0x6007D180, data-base: 0x61A00000

So habe gerade mal erst den Tunnel konfiguriert und danach erst den Dialer bekam bei der Konfiguration des Dialers diese Meldung: AAA: Warning, authentication list "default" is not defined for PPP. Da stimmt doch was nicht ;) ? Hier der Bootlog: System Bootstrap, Version 12.3(8r)T8, RELEASE SOFTWARE (fc1) Technical Support: http://www.cisco.com/techsupport Copyright © 2004 by cisco Systems, Inc. PLD version 0x10 GIO ASIC version 0x127 c1841 processor with 262144 Kbytes of main memory Main memory is configured to 64 bit mode with parity disabled Readonly ROMMON initialized program load complete, entry point: 0x8000f000, size: 0xc100 Initializing ATA monitor library....... program load complete, entry point: 0x8000f000, size: 0xc100 Initializing ATA monitor library....... program load complete, entry point: 0x8000f000, size: 0x10c2f54 Self decompressing the image : ################################################################################################################################# ########################################### [OK] Smart Init is enabled smart init is sizing iomem ID MEMORY_REQ TYPE 0X003AA110 public buffer pools 0X00211000 public particle pools 00046C 0X00016804 Virtual Private Network (VPN) Module 0X0056 0X00035600 Card in slot 0 0X000021B8 Onboard USB If any of the above Memory Requirements are "UNKNOWN", you may be using an unsupported configuration or there is a software problem and system operation may be compromised. Allocating additional 19892126 bytes to IO Memory. PMem allocated: 239075328 bytes; IOMem allocated: 29360128 bytes Restricted Rights Legend Use, duplication, or disclosure by the Government is subject to restrictions as set forth in subparagraph © of the Commercial Computer Software - Restricted Rights clause at FAR sec. 52.227-19 and subparagraph © (1) (ii) of the Rights in Technical Data and Computer Software clause at DFARS sec. 252.227-7013. cisco Systems, Inc. 170 West Tasman Drive San Jose, California 95134-1706

Ja ist ne DSL Konfiguration. Also kann ich die beiden Einträge raus nehmen? Ist denn sonst kein Fehler?

Ich glaub es hat was mit der Tunnel konfiguration zu tun. Ich hab nähmlich immer als erstes meine DSL Config reingeschrieben dann ist er online gegangen und anschließend hab ich dann die vpn sachen konfiguriert. Ist da denn irgendwo ein Fehler?

Ich bin ziehmlich neu in Sachen Cisco was muss ich genau machen um den Bootvorgang mitzu loggen

ip local pool ippool 14.1.1.100 14.1.1.200 ip classless ip route 0.0.0.0 0.0.0.0 Dialer1 ! ip http server no ip http secure-server ip nat inside source list 100 interface Dialer1 overload ip nat inside source list 101 interface Dialer1 overload ip nat inside source static tcp 192.168.0.1 21 interface Dialer1 21 ip nat inside source static tcp 192.168.0.1 20 interface Dialer1 20 ip nat inside source static udp 192.168.0.1 20 interface Dialer1 20 ip nat inside source static udp 192.168.0.1 21 interface Dialer1 21 ip dns server ! access-list 100 deny ip 192.168.0.0 0.0.0.255 14.1.1.0 0.0.0.255 access-list 100 deny ip 192.168.1.0 0.0.0.255 14.1.1.0 0.0.0.255 access-list 100 permit ip 192.168.0.0 0.0.0.255 any access-list 100 permit ip 192.168.1.0 0.0.0.255 any dialer-list 1 protocol ip permit snmp-server community public RO snmp-server enable traps tty ! ! control-plane ! ! line con 0 line aux 0 line vty 0 4 ! end

Hallo, ich habe ein kleines Problem. Jedes mal wenn ich den Router ausschalte und danach wieder einschalte wählt er sich nicht mehr ins Internet ein. Config hab ich auch gespeichert ist auch alles noch drin. Dann gebe ich die gleiche config nochmal ein und dann gehts wieder. Es ist ein Cisco 1841 Router. Hab ich irgendwas in der Config falsch gemacht. Wie gesagt ich gebe die gleiche Config dann nochmal an mache erst erase-startupconfig und dann wählt er sich auch ein. Hier nochmal die komplette Config: version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname Router ! boot-start-marker boot-end-marker ! enable secret 5 $1$0HpD$rIZNXrjAIEQBcepaWFlwj1 ! aaa new-model ! ! aaa authentication login userauthen local aaa authorization network groupauthor local ! aaa session-id common ! resource policy ! mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ip subnet-zero ip cef ! ! no ip dhcp use vrf connected ! ! no ip ips deny-action ips-interface ip ddns update method test HTTP add &myip=http://xxxxxxxx:xxxxxxx@members.dyndns.org/nic/updatesystem=dyndns&hostname=<h>&myip=<a> interval maximum 0 1 0 0 ! vpdn enable vpdn ip udp ignore checksum ! vpdn-group pppoe request-dialin protocol pppoe ip mtu adjust ! ! no ftp-server write-enable ! ! ! username cisco password xxxxxxxxx ! ! ! crypto isakmp policy 3 encr 3des authentication pre-share group 2 no crypto isakmp ccm ! crypto isakmp client configuration group 3000client key cisco123 pool ippool ! ! crypto ipsec transform-set myset esp-3des esp-sha-hmac ! crypto dynamic-map dynmap 10 set transform-set myset ! ! crypto map clientmap client authentication list userauthen crypto map clientmap isakmp authorization list groupauthor crypto map clientmap client configuration address respond crypto map clientmap 10 ipsec-isakmp dynamic dynmap ! ! ! interface FastEthernet0/0 description T-dsl no ip address no ip proxy-arp ip route-cache flow duplex auto speed auto pppoe enable pppoe-client dial-pool-number 1 fair-queue crypto map clientmap ! interface FastEthernet0/1 description LAN ip address 192.168.0.253 255.255.255.0 ip nat inside ip virtual-reassembly duplex auto speed auto crypto map clientmap ! interface FastEthernet0/0/0 ! interface FastEthernet0/0/1 ! interface FastEthernet0/0/2 ! interface FastEthernet0/0/3 ! interface Vlan1 ip address 192.168.2.1 255.255.255.0 ip nat inside ip virtual-reassembly ! interface Dialer1 description WAN bandwidth 2048 ip ddns update hostname cobradirk.dyndns.org ip ddns update test ip address negotiated no ip redirects no ip unreachables no ip proxy-arp ip mtu 1492 ip nat outside ip virtual-reassembly encapsulation ppp ip route-cache flow ip tcp adjust-mss 1452 no ip mroute-cache dialer pool 1 dialer idle-timeout 0 dialer persistent dialer-group 1 fair-queue no cdp enable ppp authentication chap callin ppp chap hostname xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx@t-online.de ppp chap password xxxxxxxxxxxxxxxxx ppp ipcp dns request crypto map clientmap !

Ok vielen dank für die schnellen antworten

Ja aber könnte ich den z.b wenn sich der client aus dem 1.0 Netzeinwählt dieser bekommt ja aus dem IP Pool eine adresse mit 14.1.1.0 irgendwas kann ich dann nur die addresse erreichen oder auch seine physikalische ip z.b die 192.168.1.2 die der PC besitz der sich einwählt

Wie ein anderes VPN. Der VPN Client reicht doch völlig aus oder nicht? Versteh ich nicht was du damit meinst