Whistleblower

Hab grad eine Anleitung gefunden, wie es als Stand-Alone CA einzurichten ist... Das funzt soweit schonmal :-)

Lässt sich ein Windows 2003 STANDARD Server auch als CA einrichten? Lt. MS braucht man dafür ja zwingend den Enterprise Server... ? :(

So, habe gestern nochmal einiges getestet... Hab erstmal alle crypto-Einträge rausgeschmissen, und dann wieder den Eintrag für den Tunnel zw. den beiden Ciscos hinzugefügt. Tunnel steht sofort. Dann habe ich die Einträge für den dyn. Endpunkt und die Clients hinzugefügt, mit dem Ergebnis, dass der erste Tunnel nicht mehr läuft (hab die crypto map vorher vom Interface Fast4 rausgenommen). Dann habe ich mal einzelne Konfigteile wieder rausgelöscht, und festgestellt, dass sich das ganze am isakmp-Profile aufhängt: Das Profil wiederum ist in der dynamic-map eingebunden: Irgendwie scheint er also den Tunnel über dieses Profil abwickeln zu wollen, Bedingung address=0.0.0.0 ist ja auch erfüllt. Trotzdem sollte er es doch erst über den anderen Crypto map Eintrag versuchen, oder? Hilft es evtl. weiter, einen weiteren keyring und ein weiteres isakmp-Profil zu erstellen? Ich hatte das gestern auch schon versucht, hat aber leider auch nicht zu Erfolg geführt... :-( Any ideas?

Hi Wordo! Dachte schon, Du hättest Dich in den (verdienten!) Winterurlaub verabschiedet! ;-) Also das Problem besteht noch, habe gestern abend noch einmal getestet, erstmal sämtliche Crypto-Einträge raus, und dann Stück für Stück neu konfiguriert. Tunnel zum Netgear läuft, mobile Clients funzten dann auch. Anschließend hatte ich versucht, den Tunnel zwischen den beiden Cisco hinzuzufügen, baut sich aber leider nicht auf, "debug crypto errors" ergab dann "peer x.x.x.x has no SA". Muss ich evtl. nochmal die ACLs überarbeiten? Aber eigentlich müsste Phase 1 mit dem anderen Cisco doch ohne Probleme funzen, schließlich haben beide eine feste IP?! Deinen Vorschlag, den Wert auf 20 zu ändern, werde ich noch testen! Anbei nochmal der Ausschnitt der getesteten Konfig: aaa new-model ! ! aaa authentication login default local aaa authentication login remoteaccess local aaa authorization exec default local aaa authorization network allusers local ! aaa session-id common [...] ! crypto keyring L2Lkeyring description PSK for L2L peers with dynamic addressing pre-shared-key address 0.0.0.0 0.0.0.0 key xxxxx ! crypto isakmp policy 10 encr 3des authentication pre-share group 2 crypto isakmp key xxxxx address x.x.x.x no-xauth ! crypto isakmp client configuration group allusers key xxxxx dns x.x.x.x wins x.x.x.x domain xxx.yyy pool clientpool crypto isakmp profile allusersprofile description Remote access users profile match identity group allusers client authentication list remoteaccess isakmp authorization list allusers client configuration address respond keepalive 20 retry 3 crypto isakmp profile L2Lprofile description All L2L peers keyring L2Lkeyring match identity address 0.0.0.0 keepalive 20 retry 3 ! ! crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac ! ! crypto dynamic-map dynmap 5 set transform-set ESP-3DES-SHA set isakmp-profile allusersprofile crypto dynamic-map dynmap 10 set transform-set ESP-3DES-SHA set isakmp-profile L2Lprofile ! ! ! crypto map staticmap 10 ipsec-isakmp description Tunnel nach router2 set peer x.x.x.x set transform-set ESP-3DES-SHA match address 101 crypto map staticmap 10 ipsec-isakmp dynamic dynmap ! ! interface FastEthernet4 description $ES_WAN$$FW_OUTSIDE$ [...] crypto map staticmap ! interface Vlan1 description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$ ip address 172.16.1.1 255.255.0.0 ip access-group 100 in no ip proxy-arp ip nat inside no ip virtual-reassembly ip route-cache flow ip tcp adjust-mss 1452 ! ip local pool clientpool 192.168.11.240 192.168.11.254 ! ip nat inside source route-map SDM_RMAP_1 interface FastEthernet4 overload ! [...] access-list 100 remark auto generated by Cisco SDM Express firewall configuration access-list 100 remark SDM_ACL Category=1 access-list 100 permit ip any any access-list 100 permit udp any any access-list 100 permit tcp any any access-list 101 remark SDM_ACL Category=4 access-list 101 remark IPSec Rule access-list 101 permit ip 172.16.0.0 0.0.255.255 10.10.0.0 0.0.255.255 access-list 102 remark SDM_ACL Category=2 access-list 102 remark IPSec Rule access-list 102 deny ip 172.16.0.0 0.0.255.255 10.10.0.0 0.0.255.255 access-list 102 permit ip 172.16.0.0 0.0.255.255 any ! ! route-map SDM_RMAP_1 permit 1 match ip address 102 ! !

Beschreib doch mal GENAU dein Problem... Wenn Du das enable Passwort nicht weißt, musst Du ein password recovery durchführen. Die genaue Vorgehensweise dazu findest Du bei Cisco.

So, anbei mal die getestete Konfig... Vielleicht sehr ihr ja nen Fehler warum der Tunnel mit den beiden festen IPs nicht aufgebaut wird... version 12.4 [...] hostname router1 ! [...] ! aaa new-model ! ! aaa authentication login default local aaa authentication login remoteaccess local aaa authorization exec default local aaa authorization network allusers local ! aaa session-id common ! [...] ! [...] no ip bootp server ip name-server xxxx ip ssh authentication-retries 2 vpdn enable ! ! ! crypto pki trustpoint TP-self-signed-2481874788 [...] ! ! username xxx privilege 15 secret xxxxxxxxxx [...] ! ! crypto keyring L2Lkeyring description PSK for L2L peers with dynamic addressing pre-shared-key address 0.0.0.0 0.0.0.0 key xxxxxxxxx ! crypto isakmp policy 10 encr 3des authentication pre-share group 2 crypto isakmp key xxx address x.x.x.x no-xauth ! crypto isakmp client configuration group allusers key xxxxxx dns 10.10.1.3 domain domain.local pool SDM_POOL_1 crypto isakmp profile L2Lprofile description All L2L peers keyring L2Lkeyring match identity address 0.0.0.0 keepalive 20 retry 3 crypto isakmp profile allusersprofile description Remote Access VPN-Clients match identity group allusers client authentication list remoteaccess isakmp authorization list allusers client configuration address respond keepalive 20 retry 3 ! ! crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac ! ! crypto dynamic-map dynmap 5 set transform-set ESP-3DES-SHA set isakmp-profile allusersprofile crypto dynamic-map dynmap 10 set transform-set ESP-3DES-SHA set isakmp-profile L2Lprofile ! ! ! crypto map staticmap 1 ipsec-isakmp description Tunnel nach router1 set peer x.x.x.x set transform-set ESP-3DES-SHA match address 103 crypto map staticmap 10 ipsec-isakmp dynamic dynmap ! ! ! ! interface FastEthernet0 ! interface FastEthernet1 ! interface FastEthernet2 ! interface FastEthernet3 ! interface FastEthernet4 description $ES_WAN$$FW_OUTSIDE$ ip address x.x.x.x 255.255.255.248 no ip redirects no ip unreachables no ip proxy-arp ip nat outside no ip virtual-reassembly ip route-cache flow speed 100 full-duplex crypto map staticmap ! interface Vlan1 description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$ ip address 172.16.1.1 255.255.0.0 ip access-group 100 in no ip proxy-arp ip nat inside no ip virtual-reassembly ip route-cache flow ip tcp adjust-mss 1452 ! ip local pool SDM_POOL_1 192.168.20.10 192.168.20.20 ip route 0.0.0.0 0.0.0.0 x.x.x.x ! no ip http server ip http secure-server ip nat inside source route-map SDM_RMAP_1 interface FastEthernet4 overload ! no logging trap access-list 1 remark INSIDE_IF=Vlan1 access-list 1 remark SDM_ACL Category=2 access-list 1 permit 172.16.0.0 0.0.255.255 access-list 2 remark SDM_ACL Category=2 access-list 2 permit 172.16.0.0 0.0.255.255 access-list 100 remark auto generated by Cisco SDM Express firewall configuration access-list 100 remark SDM_ACL Category=1 access-list 100 permit ip any any access-list 100 permit udp any any access-list 100 permit tcp any any access-list 102 remark SDM_ACL Category=18 access-list 102 deny ip any host 192.168.20.10 [...] bis .20 access-list 102 remark IPSec Rule access-list 102 deny ip 172.16.0.0 0.0.255.255 192.168.15.0 0.0.0.255 access-list 102 remark IPSec Rule access-list 102 deny ip 172.16.0.0 0.0.255.255 10.10.0.0 0.0.255.255 access-list 102 permit ip 172.16.0.0 0.0.255.255 any access-list 103 remark SDM_ACL Category=4 access-list 103 remark IPSec Rule access-list 103 permit ip 172.16.0.0 0.0.255.255 10.10.0.0 0.0.255.255 no cdp run ! ! route-map SDM_RMAP_1 permit 1 match ip address 102 ! ! control-plane ! [...]

Bin mittlerweile etwas weitergekommen, Tunnel mit dyn. Endpunkt steht, Mobile Clients gehen zumindest in Phase 1... Da haberts irgendwo noch an der Authentifizierung. Allerdings bekomme ich den Tunnel zum Standort mit der festen IP jetzt nicht mehr zum Laufen... :-( Ich poste später mal wieder ne Konfig....

Hey, die Anhänge sind freigeschaltet!!! Sind zwar mittlerweile überholt, aber egal... Hab jetzt in der "Bibel" auch ein HowTo für Site-2-Site VPN mit dyn. IP und gleichzeitiger Unterstützung von VPN-Clients gefunden. "Keyring" heisst da für mich das Schlüsselwort (wieder was dazugelernt... ;) ) ... Habe mich da gestern auch mal drangewagt, hat mich aber noch nicht zum gewünschten Erfolg geführt, war bestimmt schon zu spät... ;) Es ging dann keiner der Tunnel mehr, und der SDM hat mir auch fälschlicherweise 3 konfigurierte Site-2-Site VPNs angezeigt, aber sicher deshalb, weil er mit dem Keyring Feature nicht klarkommt. Ich werd's heut abend nochmal exakt so durchführen, wie der Guide das sagt, und dann erst (wenns soweit läuft) den allerersten, festen Site-2-Site Tunnel wieder zusätzlich konfigurieren. Hat hier schonmal jemand mit Keyrings gearbeitet?

War schon spät gestern, um solche Fragen online zu stellen... ;-) Ich vergrab mich lieber nochmal in den Tiefen der "Bibel" ... DNS-Problem scheint jetzt übrigens gelöst, auf dem DNS-Server (den ich bisher nicht betreut habe) war für externe Auflösung ein DNS-Server irgendeines Feld-Wald-und-Wiesen Providers eingetragen. Telekom-DNS rein und die Seiten laufen wieder! Wenigstens ein Problem weniger :-)

Ist ja noch immer nicht freigeschaltet... :-( Noch mal zum Verständnis dynamischer Crypto-Maps: Wie kann der Router denn überhaupt unterscheiden, ob das jetzt der Netgear oder ein mobiler Client ist, der einen Verbindungsaufbau versucht? Warum gehen die Clients nicht mehr, wenn der Tunnel zum Netgear eingerichtet ist...? Können zwei dyn. Crypto-Maps nebeneinander existieren? Glaub, ich muss mich da nochmal reinlesen...

Update zum Thema DNS Hab nochmal einiges getestet hier... ping www.ups.com vom Client funktioniert nicht (Name kann nicht aufgelöst werden) vom Router gehts. gebe ich die öffentliche IP auf dem Client beim ping an, gehts auch da. http auf die Webseite über die IP-Adresse geht ebenso. Zumindest bei der Adresse liegts also nicht an der MTU, sondern scheint an unserem internen DNS zu hängen. Werd also nochmal andere DNS-Server am Client eintragen und testen.

Dauert das hier so lange? Per Copy&Paste passt das leider net... :-(

So, hab dann mal beide Configs dabei und eine zeichnung zum verständnis. Nicht schön, aber hoffentlich hilfreich ;-) Zur Zusammenfassung nochmal die Probleme: 1. Router2 mit den besagten DNS-Problemen am T-DSL, bzw. das DNS-Problem tritt ja nur auf den Clients auf, allerdings auch nur über die Router. Bei Internet by Call (Analog) laufen die Seiten, die sonst Probleme machen. 2. Einwahl des Netgear Routers auf Router1 funktioniert zwar, dann gehen aber die VPN-Clients nicht mehr. Sicher irgendein dummer Fehler in der Config, hab ich selbst noch nicht genauer überprüft. 3. "Routing" von einem VPN-Client in das Netz des jeweils anderen Cisco-Routers (also z.B. die VPN-Clients an router1 können nicht auf LAN hinter router2 zugreifen) Das sind die drei Baustellen, die mich derzeit noch beschäftigen. Für Zertis wird wohl ein 2003-Server zuständig werden, der dann auch gleich Radius macht. config_cisco-router1.txt config_cisco-router2.txt

Kleine Korrektur: Muss die Konfig nochmal überarbeiten, seit die zweite dynamische Crypto Map eingetragen ist, funzt die Client-Einwahl nicht mehr... Also hab ich sie erstmal wieder rausgenommen, und werde das wohl mit der ersten abhandeln müssen, wenn keine Möglichkeit für zwei dyn. Crypto-Maps besteht...

Um nochmal zum eigentlichen Thema zurückzukommen: Der Tunnel mit dem Netgear und dynamischer IP funzt jetzt!!! Habe eine zusätzliche dyn. Crypto-Map angelegt (eine existierte bereits für VPN-Clients) und den crypto key entsprechend mit Wildcard 0.0.0.0 0.0.0.0 angegeben. Besten Dank an Dich und die Cisco VPN-Bibel! ;-) Das war wirklich eine lohnende Anschaffung! Was das DNS-Problem angeht, bin ich noch nicht weiter, werde gleichmal die gesamte Konfig posten. Die bedarf nach den vielen Tests sicher noch einer Überarbeitung, also auf doppelte oder nicht genutzte Einträge erstmal nicht achten!

access-list 100 remark auto generated by Cisco SDM Express firewall configuration access-list 100 remark SDM_ACL Category=1 access-list 100 permit ip any any Kann ja normalerweise auch nicht an einer ACL liegen, wenn es bisher ging, und die Probleme plötzlich auftauchen, ohne daß entsprechende Änderungen gemacht wurden... oder?

"ip inspect" hatte ich zwischenzeitlich auch mal rausgenommen, macht aber keinen Unterschied!

Anbei mal ein Auszug aus der Konfig. Crypto und ACLs habe ich mal weggelassen, wird sonst zuviel. Wie gesagt, ping vom Router geht, vom Client trotz Mini-MTU nicht. Aus irgendeinem Grund muss ja das Paket vom Client bei dem Webserver fragmentiert ankommen und wird z.B. wegen irgendweiner DDos-Policy o.ä. dort verworfen... Fragt sich nur, wieso die Pakete vom Client fragmentiert werden... ! [...] ! ### ip inspect name ethernet_0 fragment maximum 256 timeout 1 ### schon entfernt! ip inspect name ethernet_0 tcp router-traffic ip inspect name ethernet_0 ftp ip inspect name ethernet_0 udp ip inspect name ethernet_0 http ip inspect name ethernet_0 realaudio ip inspect name ethernet_0 h323 ip inspect name ethernet_0 h323callsigalt ip inspect name ethernet_0 h323gatestat ip inspect name ethernet_0 skinny ip inspect name ethernet_0 sip-tls ip inspect name ethernet_0 sip no ip bootp server ip domain name xxx.xxx ip name-server 194.25.2.129 ip ssh authentication-retries 2 vpdn enable ! [...] ! interface FastEthernet0 ! interface FastEthernet1 ! interface FastEthernet2 ! interface FastEthernet3 ! interface FastEthernet4 no ip address ip nat outside no ip virtual-reassembly duplex auto speed auto pppoe enable pppoe-client dial-pool-number 1 ! interface Vlan1 description $FW_INSIDE$ ip address 10.10.10.1 255.255.0.0 ip access-group 100 in no ip proxy-arp ip accounting output-packets ip accounting access-violations ip inspect ethernet_0 in ip inspect ethernet_0 out ip nat inside ip virtual-reassembly no ip route-cache cef no ip route-cache ip tcp adjust-mss 1300 no ip mroute-cache ! interface Dialer1 description T-Online$FW_OUTSIDE$ mtu 1444 ip address negotiated no ip redirects no ip proxy-arp ip inspect ethernet_0 in ip inspect ethernet_0 out ip nat outside no ip virtual-reassembly encapsulation ppp no ip route-cache cef no ip route-cache no ip mroute-cache dialer pool 1 dialer-group 1 no cdp enable ppp authentication chap pap callin ppp chap hostname xxxxxxx@t-online-com.de ppp chap password 7 xxxxxxxxxxxx crypto map SDM_CMAP_1 ! [...] ip nat inside source route-map SDM_RMAP_1 interface Dialer1 overload ! logging trap debugging [... ACLs ...] no cdp run ! ! route-map SDM_RMAP_1 permit 1 match ip address 102 ! ! control-plane ! banner incoming ^CCC You have activated line $(line) ($(line-desc)) ^C [...] ! scheduler max-task-time 5000 end

Genau da kämpfe ich mich gerade durch... Immer fleissig "ping -n 1 -f -l 1300 192.168.x.y" usw... Das ****e ist ja, dass der ping direkt vom Router erfolgreich ist, z.B. auf UPS Global Home Vom Client leider gar nicht, nicht einmal wenn ich MTU=576 setze (und den Rechner auch neu boote). Hab mir übrigens den Cisco Complete VPN Config Guide geholt, der behandelt das Thema ja auch angemessen ausführlich. Danke nochmal für den Tipp :-) Wie sieht die Geschichte mit MTU/MSS auf dem Router eigentlich aus, übernimmt der sofort jede Änderung oder muss ich ggf. das jeweilige IF noch auf shut/no shut setzen?

Danke erstmal für die Hilfe, ich werde das gleichmal einplanen, wenn ich den neuen 2003 Server aufsetze!

Hm, das wär noch mal eine Idee, werde ich heute abend mal versuchen. Habe grad mit anderen Problemen zu kämpfen, und zwar mal wieder mit DNS... Heute gehen einige Seiten mal wieder nicht, wie z.b. UPS Global Home. Vom Router lässt sich die Seite anpingen, auf den Clients wieder mal nicht... Hab die MTU-Size für den Dialer schon vor Wochen auf 1444 runtergeschraubt, und die MSS für das Vlan-Interface auf 1300 gesetzt. Lief bis heute auch alles soweit. Wieso jetzt nicht mehr? Spielt die Telekom öfter mal mit der Leitung, oder woher kommen diese Probleme? *grummel*

Und noch ein Beitrag zum Cisco 871. Hab hier schon einige Beiträge zum DynDNS-Problem gelesen, aber passen alle nicht zu meiner Problemstellung. Ich befinde mich in der (eigentlich) guten Position, dass mein 871 über eine feste IP angebunden ist. Jetzt soll aber der andere Endpunkt mit dyn. IP einen IPSec Tunnel mit dem Cisco aufbauen. Trage ich die temporäre IP als feste Adresse ein, klappt das ganze auch einwandfrei. Dummerweise ist die Adresse aber spätestens nach 24 Stunden weg (meist sogar deutlich früher). Also für die Gegenseite (Netgear DG 834B) einen DynDNS-Account eingerichtet und in Betrieb genommen. Aber trage ich nun bei dem Cisco für die Crypto Map als peer den Hostname "adresse.homeip.net" ein, und richte den crypto key ebenfalls hierfür ein, baut sich der Tunnel partout nicht auf. Habe jetzt auch herausgefunden, dass die alte Netgear-Kiste nur den Main Mode unterstützt. Könnte es sein, dass der Cisco bei dyn.DNS gleich im Aggressive Mode startet und ich somit keine gültige Response von dem Netgear bekomme? Gibt es da irgendeine Lösung oder Workaround zu? Oder kann mir jemand als Alternative irgendeine Netgear/D-Link Kiste empfehlen, die sowohl dynDNS als auch Main und Aggressive Mode unterstützt? THX!

Hi Wordo! D.h. ich sollte lieber einen MS Zerti-Server dafür nutzen? Ist vielleicht nicht vollkommen abwegig, muss sowieso die Woche noch einen 2003 Server aufsetzen...

Hallo, ich möchte gerne einen 871 als Root-CA für zert.-basiertes VPN einrichten. Was gibt es da zu beachten, bzw. wie gehe ich überhaupt dabei vor? Habe bisher nur unter Linux mal eine CA erstellt, und vermisse daher bei Cisco die Möglichkeit, die ganzen Credentials dazu einzugeben... Und der SDM unterstützt das Anlegen einer CA nicht, soweit ich das bisher gesehen hab...?!

Hi! Besten Dank für die 1a Unterstützung, VPNs laufen jetzt soweit, allerdings noch nicht der Traffic von einem Tunnel in den anderen, aber das muss ich mir nochmal in Ruhe anschauen. Vielleicht ist mir das neu angeschaffte Buch dabei ja auch schon eine Hilfe! Ich will jetzt noch einen Tunnel mit Zertis aufbauen, aber da suche ich hier erstmal und erstelle dann ggf. ein neues Thema!