Konfiguration Cisco 1721 Router

[Kabar 10]

Hi,

 

sorry musste raus zum Kunden. Also die Config am Anfang ist die ganze Konfiguration des Routers. Das einzige was fehlt war ne reihe von zahlen was wohl aufgrund der verschlüsselung rein kam.

 

Oder welche Konfig meinst Du?

[Wordo 11]

Deine aktuelle, du hast ja jetzt mind. einmal was aendern muessen ..

[Kabar 10]

Building configuration...

 

Current configuration : 6778 bytes

!

version 12.4

no service pad

service tcp-keepalives-in

service tcp-keepalives-out

service timestamps debug datetime msec localtime show-timezone

service timestamps log datetime msec localtime show-timezone

service password-encryption

service internal

service sequence-numbers

!

hostname Router

!

boot-start-marker

boot-end-marker

!

security authentication failure rate 3 log

security passwords min-length 6

logging buffered 51200 debugging

logging console critical

enable secret 5 $1$caNw$AuuszaUv/Ffp6vJGCBKMk.

!

aaa new-model

!

!

aaa authentication login default local

aaa authentication login sdm_vpn_xauth_ml_1 local

aaa authentication login userauth local

aaa authentication login local_authen local

aaa authentication login VPN local

aaa authorization exec default local

aaa authorization exec local_author local

aaa authorization network sdm_vpn_group_ml_1 local

aaa authorization network groupauthor local

aaa authorization network VPN local

!

aaa session-id common

!

resource policy

!

clock timezone PCTime 1

clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00

mmi polling-interval 60

no mmi auto-configure

no mmi pvc

mmi snmp-timeout 180

ip subnet-zero

ip cef

!

!

ip tcp synwait-time 10

no ip dhcp use vrf connected

ip dhcp excluded-address 10.10.10.100 10.10.10.254

ip dhcp excluded-address 10.10.10.1 10.10.10.4

ip dhcp excluded-address 10.10.10.1

ip dhcp excluded-address 192.168.4.1 192.168.4.99

ip dhcp excluded-address 192.168.4.201 192.168.4.254

!

ip dhcp pool sdm-pool1

import all

network 10.10.10.0 255.255.255.0

default-router 10.10.10.1

!

ip dhcp pool DHCP_VLAN1

import all

network 192.168.0.0 255.255.0.0

default-router 10.10.10.1

!

!

no ip ips deny-action ips-interface

no ip bootp server

ip ssh time-out 60

ip ssh authentication-retries 2

vpdn enable

vpdn tunnel accounting network VPN

vpdn ip udp ignore checksum

!

!

!

!

crypto pki trustpoint TP-self-signed-2808419392

enrollment selfsigned

subject-name cn=IOS-Self-Signed-Certificate-2808419392

revocation-check none

rsakeypair TP-self-signed-2808419392

!

!

username admin privilege 15 secret 5 $1$2SrB$P0mxTbG/U6VdmFAGlny8i/

!

!

!

crypto isakmp policy 1

encr 3des

authentication pre-share

group 2

!

crypto isakmp policy 3

encr 3des

authentication pre-share

group 2

crypto isakmp xauth timeout 15

 

!

crypto isakmp client configuration group VPNUSERS

key vpn

pool SDM_POOL_1

group-lock

save-password

include-local-lan

max-users 5

netmask 255.255.0.0

!

crypto isakmp client configuration group vpn

key vpnadmin

pool vpnclients

acl 106

include-local-lan

max-users 5

netmask 255.255.0.0

!

crypto isakmp client configuration group VPN

key vpnusers

include-local-lan

!

!

crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac

crypto ipsec transform-set myset esp-3des esp-sha-hmac

crypto ipsec transform-set ESP-3DES-SHA1 esp-3des esp-sha-hmac

!

crypto dynamic-map SDM_DYNMAP_1 1

set transform-set ESP-3DES-SHA1

reverse-route

!

crypto dynamic-map dynmap 10

set transform-set myset

[Kabar 10]

Zweiter Teil

 

 

!

crypto map SDM_CMAP_1 client authentication list local_authen

crypto map SDM_CMAP_1 isakmp authorization list VPN

crypto map SDM_CMAP_1 client configuration address respond

crypto map SDM_CMAP_1 65535 ipsec-isakmp dynamic SDM_DYNMAP_1

!

crypto map clientmap client authentication list userauthen

crypto map clientmap isakmp authorization list groupauthor

crypto map clientmap client configuration address respond

crypto map clientmap 10 ipsec-isakmp dynamic dynmap

!

!

!

interface Null0

no ip unreachables

!

interface FastEthernet0

description $ETH-SW-LAUNCH$$INTF-INFO-10/100 Ethernet$$ES_LAN$$FW_INSIDE$$ETH-LAN$

ip address 10.10.10.1 255.255.0.0

no ip redirects

no ip unreachables

no ip proxy-arp

ip flow ingress

ip nat outside

ip virtual-reassembly

ip route-cache flow

speed auto

crypto map SDM_CMAP_1

!

interface FastEthernet1

!

interface FastEthernet2

!

interface FastEthernet3

!

interface FastEthernet4

!

interface Vlan1

ip address 192.168.4.10 255.255.255.0

no ip unreachables

no ip proxy-arp

ip nat inside

ip virtual-reassembly

ip route-cache flow

!

ip local pool vpnclients 192.168.3.10 192.168.3.254

ip classless

!

ip http server

ip http access-class 1

ip http authentication local

ip http secure-server

ip http timeout-policy idle 60 life 86400 requests 10000

!

no logging trap

access-list 1 remark The local LAN

access-list 1 permit 192.168.3.0 0.0.0.255

access-list 1 remark HTTP Access-class list

access-list 1 remark SDM_ACL Category=1

access-list 1 permit 10.10.10.0 0.0.0.255

access-list 23 permit 192.168.3.0 0.0.0.255

access-list 100 remark VTY Access-class list

access-list 100 remark SDM_ACL Category=1

access-list 100 permit ip 10.10.10.0 0.0.0.255 any

access-list 106 permit ip 192.168.3.0 0.0.0.255 any

no cdp run

!

control-plane

!

!

line con 0

login authentication local_authen

transport output telnet

line aux 0

login authentication local_authen

transport output telnet

line vty 0 4

access-class 100 in

authorization exec local_author

login authentication local_authen

transport input telnet ssh

line vty 5 15

access-class 100 in

authorization exec local_author

login authentication local_authen

transport input telnet ssh

!

scheduler allocate 4000 1000

scheduler interval 500

end

[Wordo 11]

1. Du hast 3 VPN Gruppen?

2. Du vergibst schon wieder eine Netmask von 255.255.0.0?

3. Die ACL 106 ist in der falschen Gruppe!

 

Ich bezweifle das die VPN Clients bei dir wirklich ins 3er Netz kommen. Waehl dich mal bitte mit einem Client ins VPN ein und gib "ipconfig /all" ein; bitte posten.

[Kabar 10]

Ohje ich glaube ich stelle das ganze mal etwas zurück und befasse mich zuerst mit etwas mehr Theorie.. ich denke so langsam kann ich Dir das nicht mehr zumuten :(

 

Ethernetadapter LAN-Verbindung 3:

 

Verbindungsspezifisches DNS-Suffix:

Beschreibung. . . . . . . . . . . : 3Com 3C905TX-basierter Ethernetadapt

er (Standard)

Physikalische Adresse . . . . . . : 00-60-08-6D-45-3C

DHCP aktiviert. . . . . . . . . . : Nein

IP-Adresse. . . . . . . . . . . . : 10.10.10.15

Subnetzmaske. . . . . . . . . . . : 255.255.255.0

Standardgateway . . . . . . . . . :

 

Ethernetadapter LAN-Verbindung 4:

 

Verbindungsspezifisches DNS-Suffix:

Beschreibung. . . . . . . . . . . : Cisco Systems VPN Adapter

Physikalische Adresse . . . . . . : 00-05-9A-3C-78-00

DHCP aktiviert. . . . . . . . . . : Nein

IP-Adresse. . . . . . . . . . . . : 192.168.3.10

Subnetzmaske. . . . . . . . . . . : 255.255.0.0

Standardgateway . . . . . . . . . :

[Wordo 11]

Ethernetadapter LAN-Verbindung 4:

 

Verbindungsspezifisches DNS-Suffix:

Beschreibung. . . . . . . . . . . : Cisco Systems VPN Adapter

Physikalische Adresse . . . . . . : 00-05-9A-3C-78-00

DHCP aktiviert. . . . . . . . . . : Nein

IP-Adresse. . . . . . . . . . . . : 192.168.3.10

Subnetzmaske. . . . . . . . . . . : 255.255.0.0

Standardgateway . . . . . . . . . :

 

 

 

Die Subnetmask muss 255.255.255.0 sein, stell das bitte in deiner VPN Group ein und probiers nochmal ..

[Kabar 10]

Also ich habs geändert und nun ist folgendes möglich:

 

ich kann von dem Client 10.10.10.15 (bzw. VPN Client 192.168.3.10) folgende IPs erfolgreich pingen:

 

192.168.4.10 (IP des VLAN1 Switch Modul)

10.10.10.1 Router

 

was nicht geht ist das Pingen des PCs am Switch Modul mit IP 192.168.4.100.

[Wordo 11]

Dann zeig mir bitte ein "route print" von 192.168.4.100 ..

[Kabar 10]

Aktive Routen:

Netzwerkziel Netzwerkmaske Gateway Schnittstelle Anzahl

0.0.0.0 0.0.0.0 10.10.10.1 192.168.4.100 20

127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1

192.168.0.0 255.255.0.0 192.168.4.100 192.168.4.100 20

192.168.4.100 255.255.255.255 127.0.0.1 127.0.0.1 20

192.168.4.255 255.255.255.255 192.168.4.100 192.168.4.100 20

192.168.231.0 255.255.255.0 192.168.231.1 192.168.231.1 20

192.168.231.1 255.255.255.255 127.0.0.1 127.0.0.1 20

192.168.231.255 255.255.255.255 192.168.231.1 192.168.231.1 20

192.168.253.0 255.255.255.0 192.168.253.1 192.168.253.1 20

192.168.253.1 255.255.255.255 127.0.0.1 127.0.0.1 20

192.168.253.255 255.255.255.255 192.168.253.1 192.168.253.1 20

224.0.0.0 240.0.0.0 192.168.4.100 192.168.4.100 20

224.0.0.0 240.0.0.0 192.168.231.1 192.168.231.1 20

224.0.0.0 240.0.0.0 192.168.253.1 192.168.253.1 20

255.255.255.255 255.255.255.255 192.168.4.100 192.168.4.100 1

255.255.255.255 255.255.255.255 192.168.4.100 5 1

255.255.255.255 255.255.255.255 192.168.231.1 192.168.231.1 1

255.255.255.255 255.255.255.255 192.168.253.1 192.168.253.1 1

Standardgateway: 10.10.10.1

==========================================================

Ständige Routen:

Keine

[Wordo 11]

Hae!?!?!?!?! Wie kann denn bitte dein Standardgateway ausserhalb deines IP-Bereichs liegen? Mach mal bitte auf dem Server:

 

route -p add 192.168.3.0 mask 255.255.255.0 192.168.4.10

[Kabar 10]

Ja das sind noch "Reste" von meiner vorherigen Konfiguration... ohne Gateway ändert sich nichts, die Route ist nochmal drin...

 

also auf dem 192.168.4.100 hab ich die Route

 

route -p add 192.168.3.0 mask 255.255.255.0 192.168.4.10

 

eingerichtet (nur damit wir nicht aneinander vorbei reden ;) )

 

 

Aktive Routen:

Netzwerkziel Netzwerkmaske Gateway Schnittstelle Anzahl

127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1

192.168.3.0 255.255.255.0 192.168.4.10 192.168.4.100 1

192.168.4.0 255.255.255.0 192.168.4.100 192.168.4.100 20

192.168.4.100 255.255.255.255 127.0.0.1 127.0.0.1 20

192.168.4.255 255.255.255.255 192.168.4.100 192.168.4.100 20

192.168.231.0 255.255.255.0 192.168.231.1 192.168.231.1 20

192.168.231.1 255.255.255.255 127.0.0.1 127.0.0.1 20

192.168.231.255 255.255.255.255 192.168.231.1 192.168.231.1 20

192.168.253.0 255.255.255.0 192.168.253.1 192.168.253.1 20

192.168.253.1 255.255.255.255 127.0.0.1 127.0.0.1 20

192.168.253.255 255.255.255.255 192.168.253.1 192.168.253.1 20

224.0.0.0 240.0.0.0 192.168.4.100 192.168.4.100 20

224.0.0.0 240.0.0.0 192.168.231.1 192.168.231.1 20

224.0.0.0 240.0.0.0 192.168.253.1 192.168.253.1 20

255.255.255.255 255.255.255.255 192.168.4.100 192.168.4.100 1

255.255.255.255 255.255.255.255 192.168.4.100 5 1

255.255.255.255 255.255.255.255 192.168.231.1 192.168.231.1 1

255.255.255.255 255.255.255.255 192.168.253.1 192.168.253.1 1

==========================================================

Ständige Routen:

Netzwerkadresse Netzmaske Gatewayadresse Anzahl

192.168.3.0 255.255.255.0 192.168.4.10 1

[Wordo 11]

Und du kannst mit der 192.168.3.10 nicht die 192.168.4.100 pingen?

[Kabar 10]

nein,

hmm der PC von dem ich pinge hat ja 2 Verbindungen, die LAN zu, 10.10.10.x Netz und eben die VPN Verbindung. Wenn ich nun pinge, wie kann ich sicherstellen daß ich mit der 192.168.3.10 pinge und nicht vom 10er Netz... geht ein ping von beiden raus?

 

Muss ich am der Konfig des Routers dahingehend nichts ändern?

[Wordo 11]

Aeh, gute Frage, waehl dich ins VPN ein und poste vom Client mal "ipconfig /all" und "route print"