Kabar 10 Geschrieben 23. Oktober 2006 Melden Teilen Geschrieben 23. Oktober 2006 Hallo liebe Board User, ich schlage mich nun schon etwa eine Woche mit dem o.g. Router herum und so langsam scheint er mich zu konfigurieren als umgekehrt :D Ich will folgendes erreichen: VPN Client (192.168.3.x) --> Cisco 1721 als VPN Server (10.10.10.1) --> Intranet (192.168.4.x) Also die Verbindung des Client und authetifizierung läuft. Nun geht es nur noch darum, um mit dem VPN Client Zugriff auf das Intranet zu bekommen. Zur Zeit kann ich nur den Router (10.10.10.1) pingen. Was muss ich noch einstellen um mit dem VPN Client Zugriff auf das 192.168.4.x Netz zu bekommen? Habt etwas Rücksicht, daß ich ein Cisco Newbie bin :( Hier meine aktuelle Running Config... kann sein daß viel unnötiges drin steht und Ihr euch die Haare rauft, aber ich kann es zZ einfach noch nicht besser in neuen Post die Konfig! (Test war zu lang args) Dank euch schon mal... :) und keine Sorge wegen Passwörtern... das Ding wird nur im Intranet betrieben und wer mir lieber ne Email schreiben will ... kabar(at)web.de Zitieren Link zu diesem Kommentar
Kabar 10 Geschrieben 23. Oktober 2006 Autor Melden Teilen Geschrieben 23. Oktober 2006 Building configuration... Current configuration : 6932 bytes ! version 12.4 no service pad service tcp-keepalives-in service tcp-keepalives-out service timestamps debug datetime msec localtime show-timezone service timestamps log datetime msec localtime show-timezone service password-encryption service internal service sequence-numbers ! hostname Cisco1721_R1 ! boot-start-marker boot-end-marker ! security authentication failure rate 3 log security passwords min-length 6 logging buffered 51200 debugging logging console critical enable secret 5 $1$caNw$AuuszaUv/Ffp6vJGCBKMk. ! aaa new-model ! ! aaa authentication login default local aaa authentication login sdm_vpn_xauth_ml_1 local aaa authentication login userauth local aaa authentication login local_authen local aaa authentication login VPN local aaa authorization exec default local aaa authorization exec local_author local aaa authorization network sdm_vpn_group_ml_1 local aaa authorization network groupauthor local aaa authorization network VPN local ! aaa session-id common ! resource policy ! clock timezone PCTime 1 clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00 mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ip subnet-zero ip cef ! ! ip tcp synwait-time 10 no ip dhcp use vrf connected ip dhcp excluded-address 10.10.10.100 10.10.10.254 ip dhcp excluded-address 10.10.10.1 10.10.10.4 ip dhcp excluded-address 10.10.10.1 ip dhcp excluded-address 192.168.4.1 192.168.4.99 ip dhcp excluded-address 192.168.4.201 192.168.4.254 ! ip dhcp pool sdm-pool1 import all network 10.10.10.0 255.255.255.0 default-router 10.10.10.1 ! ip dhcp pool DHCP_VLAN1 import all network 192.168.4.0 255.255.255.0 ! ! no ip ips deny-action ips-interface no ip bootp server ip domain name spe-azubis.mine.nu ip ssh time-out 60 ip ssh authentication-retries 2 vpdn enable vpdn tunnel accounting network VPN vpdn ip udp ignore checksum ! ! ! ! crypto pki trustpoint TP-self-signed-2808419392 enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-2808419392 revocation-check none rsakeypair TP-self-signed-2808419392 ! ! crypto pki certificate chain TP-self-signed-2808419392 certificate self-signed 01 // hab den Schlüssel rausgeschnitten ... zu viel Platz ^^ quit username admin privilege 15 secret 5 $1$2SrB$P0mxTbG/U6VdmFAGlny8i/ username vpn_user1 privilege 15 secret 5 $1$qMkF$iTsmj90R0RmXLQF.wfa6U0 ! ! ! crypto isakmp policy 1 encr 3des authentication pre-share group 2 ! crypto isakmp policy 3 encr 3des authentication pre-share group 2 crypto isakmp xauth timeout 15 ! crypto isakmp client configuration group VPNUSERS key vpn pool SDM_POOL_1 group-lock save-password include-local-lan max-users 5 netmask 255.255.0.0 ! crypto isakmp client configuration group vpn key vpnadmin pool vpnclients acl 106 include-local-lan ! crypto isakmp client configuration group VPN key vpnusers ! ! crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto ipsec transform-set myset esp-3des esp-sha-hmac crypto ipsec transform-set ESP-3DES-SHA1 esp-3des esp-sha-hmac ! crypto dynamic-map SDM_DYNMAP_1 1 set transform-set ESP-3DES-SHA1 reverse-route ! crypto dynamic-map dynmap 10 set transform-set myset ! ! crypto map SDM_CMAP_1 client authentication list local_authen crypto map SDM_CMAP_1 isakmp authorization list VPN crypto map SDM_CMAP_1 client configuration address respond crypto map SDM_CMAP_1 65535 ipsec-isakmp dynamic SDM_DYNMAP_1 ! crypto map clientmap client authentication list userauthen crypto map clientmap isakmp authorization list groupauthor crypto map clientmap client configuration address respond crypto map clientmap 10 ipsec-isakmp dynamic dynmap ! Zitieren Link zu diesem Kommentar
Kabar 10 Geschrieben 23. Oktober 2006 Autor Melden Teilen Geschrieben 23. Oktober 2006 interface Null0 no ip unreachables ! interface FastEthernet0 description $ETH-SW-LAUNCH$$INTF-INFO-10/100 Ethernet$$ES_LAN$$FW_INSIDE$$ETH-LAN$ ip address 10.10.10.1 255.255.255.248 no ip redirects no ip unreachables no ip proxy-arp ip flow ingress ip nat outside ip virtual-reassembly ip route-cache flow speed auto crypto map SDM_CMAP_1 ! interface FastEthernet1 ! interface FastEthernet2 ! interface FastEthernet3 ! interface FastEthernet4 ! interface Vlan1 ip address 192.168.4.10 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp ip nat inside ip virtual-reassembly ip route-cache flow ! ip local pool vpnclients 192.168.3.10 192.168.3.254 ip classless ! ip http server ip http access-class 1 ip http authentication local ip http secure-server ip http timeout-policy idle 60 life 86400 requests 10000 ! no logging trap access-list 1 remark The local LAN access-list 1 permit 192.168.3.0 0.0.0.255 access-list 1 remark HTTP Access-class list access-list 1 remark SDM_ACL Category=1 access-list 1 permit 10.10.10.0 0.0.0.255 access-list 23 permit 192.168.3.0 0.0.0.255 access-list 100 remark VTY Access-class list access-list 100 remark SDM_ACL Category=1 access-list 100 permit ip 10.10.10.0 0.0.0.255 any access-list 106 permit ip 192.168.3.0 0.0.0.255 any no cdp run ! control-plane ! banner login ^CCCCCAuthorized access only! Disconnect IMMEDIATELY if you are not an authorized user!^C ! line con 0 login authentication local_authen transport output telnet line aux 0 login authentication local_authen transport output telnet line vty 0 4 access-class 100 in authorization exec local_author login authentication local_authen transport input telnet ssh line vty 5 15 access-class 100 in authorization exec local_author login authentication local_authen transport input telnet ssh ! scheduler allocate 4000 1000 scheduler interval 500 end[/i] Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 23. Oktober 2006 Melden Teilen Geschrieben 23. Oktober 2006 Die Clients mit 3.X bekommen eine Netmask von 255.255.0.0 (da ist Netz 4 mit drin) und das Netz 4 hat eine Mask von 255.255.255.0 (Netz 3 nicht dabei). Das ist schon mal der groesste Fehler ... Nimms mal raus und schau was passiert Zitieren Link zu diesem Kommentar
Kabar 10 Geschrieben 23. Oktober 2006 Autor Melden Teilen Geschrieben 23. Oktober 2006 Hallo Wordo und Danke für Deine Mühe, leider war das nicht der Fehler... :( Ich glaube so langsam würd ich besser von vorna anfangen, überall Konfigurationsfragmente von verschiedenen Ideen und Beispielen die ich gefunden hab. Hast Du noch eine Idee? Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 23. Oktober 2006 Melden Teilen Geschrieben 23. Oktober 2006 Laeuft denn der ganze Traffic der Clients ueber den Server? Und sind auf den Rechnern im 3er Netz routen zum 4er? Wenn ja, solltest du mal auf einem einen Sniffer installieren (Wireshark) und schauen ob die Pakete ueberhaupt ankommen. Zitieren Link zu diesem Kommentar
Kabar 10 Geschrieben 23. Oktober 2006 Autor Melden Teilen Geschrieben 23. Oktober 2006 Hi, also der Traffic muss ja über den Server, VPN Client hängt an Fastethernet0 also die fest installierte Schnittstelle der Routers. Das 4.x LAN hängt komplett an dem Switch Modul dass ich über VLAN1 ansteuere. Die LAN Clients haben keine Route, ich dachte das könnte man auf dem Router einstellen?! Statische Routen an den Clients einrichten wäre doch eher ein Behelf wenn man solch einen mächtigen Router hat oder? Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 23. Oktober 2006 Melden Teilen Geschrieben 23. Oktober 2006 Dein Intranet mit 192.168.4.0/24 muss wissen wo es Pakete fuer 192.168.3.0/24 hinschicken soll. Ist das der Fall? Zitieren Link zu diesem Kommentar
Kabar 10 Geschrieben 23. Oktober 2006 Autor Melden Teilen Geschrieben 23. Oktober 2006 Statisch eingestellt hab ich es nicht, am Router hab ich dahingehend auch nichts eingestellt, dachte dass das Problem mit rip weitestgehend gelöst wäre. Hmm also wenn der Router 10.10.10.1 als IP Adresse hat wie würde dann der Befehl aussehen der die Netze 192.168.3.0, 192.168.4.0 miteinander bekannt macht? Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 23. Oktober 2006 Melden Teilen Geschrieben 23. Oktober 2006 Also ich hab deine Config mehr oder weniger 1 zu 1 nachgebildet. Poste mal bitte auf einem Server im Intranet ein "route print". Bei mir lags nur an einer Router weil der Pool nicht im selben Netzwerk ist. Zitieren Link zu diesem Kommentar
Kabar 10 Geschrieben 23. Oktober 2006 Autor Melden Teilen Geschrieben 23. Oktober 2006 hier mal die Route liste =========================================================================== Aktive Routen: Netzwerkziel Netzwerkmaske Gateway Schnittstelle Anzahl 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1 192.168.4.0 255.255.255.0 192.168.4.79 192.168.4.79 20 192.168.4.79 255.255.255.255 127.0.0.1 127.0.0.1 20 192.168.4.255 255.255.255.255 192.168.4.79 192.168.4.79 20 192.168.231.0 255.255.255.0 192.168.231.1 192.168.231.1 20 192.168.231.1 255.255.255.255 127.0.0.1 127.0.0.1 20 192.168.231.255 255.255.255.255 192.168.231.1 192.168.231.1 20 192.168.253.0 255.255.255.0 192.168.253.1 192.168.253.1 20 192.168.253.1 255.255.255.255 127.0.0.1 127.0.0.1 20 192.168.253.255 255.255.255.255 192.168.253.1 192.168.253.1 20 224.0.0.0 240.0.0.0 192.168.4.79 192.168.4.79 20 224.0.0.0 240.0.0.0 192.168.231.1 192.168.231.1 20 224.0.0.0 240.0.0.0 192.168.253.1 192.168.253.1 20 255.255.255.255 255.255.255.255 192.168.4.79 192.168.4.79 1 255.255.255.255 255.255.255.255 192.168.231.1 192.168.231.1 1 255.255.255.255 255.255.255.255 192.168.231.1 5 1 255.255.255.255 255.255.255.255 192.168.253.1 192.168.253.1 1 =========================================================================== St„ndige Routen: Keine Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 23. Oktober 2006 Melden Teilen Geschrieben 23. Oktober 2006 Hat der Rechner kein Standardgateway? Wenn nicht gib mal ein: route -p add 192.168.3.0 mask 255.255.255.0 192.168.4.10 Dann solltest du diesen Host vom VPN-Client aus erreichen Zitieren Link zu diesem Kommentar
Kabar 10 Geschrieben 23. Oktober 2006 Autor Melden Teilen Geschrieben 23. Oktober 2006 Gateway zZ nicht, weil es handelt sich ja lediglich um einen Testaufbau mit 3 PCs und Router. Wenn ich das mal etwas besser durchblicke kommt der Router zum Einsatz. Aber mir ist es lieber wenn ich mich zuerst einmal an dem armen Ding ne Weile vergehen kann und beim konfigurieren nicht auf User oder so achten muss ;) Ok ich versuch das mal und melde mich dann wieder... danke Dir :thumb1: Hab die Route nun eingetragen, aber kein Erfolg. Hmm muss ich vielleicht nicht doch och etwas an der Router config ändern? Zitieren Link zu diesem Kommentar
Kabar 10 Geschrieben 23. Oktober 2006 Autor Melden Teilen Geschrieben 23. Oktober 2006 Noch ne Idee? :( Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 23. Oktober 2006 Melden Teilen Geschrieben 23. Oktober 2006 Poste nochmal die aktuelle (komplette) Konfiguration ... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.