Chrusafan 10 Geschrieben 23. Oktober 2006 Melden Teilen Geschrieben 23. Oktober 2006 Hallo zusammen, ich habe einen VPN Tunnel zwischen 2 Cisco 851 gebildet. Nun hat der eine Router einen zusätzlichen Tunnel zu einer Cisco 1811 bekommen. so weit so gut und alle funktioniert. Jetzt möchte ich gerne, das die User A (1811) über den Router B (851) auf die User C (851) sehen. Dies funktioniert nicht. Kann es sein, das der Router hierfür nicht geeignet bzw. nicht lizensiert ist? c850-advsecurityk9-mz.123-8.YI2.bin Gruß Chrusafan Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 23. Oktober 2006 Melden Teilen Geschrieben 23. Oktober 2006 Deine VPN-Konfiguration ist falsch. Du musst die Netze (Routen oder ACL's) schon auf allen Ciscos festlegen. Poste doch mal die relevanten Configteile ... Zitieren Link zu diesem Kommentar
Chrusafan 10 Geschrieben 23. Oktober 2006 Autor Melden Teilen Geschrieben 23. Oktober 2006 Ja das ist wohl der erste Verdacht, aber das schliesse ich wohl aus. Trotzdem hier erst einmal die Routing Tabellen von A,B und C. Das Netz bei A ist 172.25.1.0 bei B 172.25.5.0 und bei C 172.25.7.0 RouterA#sh ip route 172.25.0.0/24 is subnetted, 6 subnets S 172.25.5.0 [1/0] via 10.0.0.9 S 172.25.7.0 [1/0] via 10.0.0.9 S 172.25.6.0 [1/0] via 10.0.0.13 C 172.25.1.0 is directly connected, Vlan1 S 172.25.3.0 [1/0] via 10.0.0.6 S 172.25.2.0 [1/0] via 10.0.0.2 10.0.0.0/30 is subnetted, 5 subnets C 10.0.0.8 is directly connected, Tunnel2 RouterB#sh ip route 172.25.0.0/24 is subnetted, 3 subnets C 172.25.5.0 is directly connected, Vlan1 S 172.25.7.0 [1/0] via 10.0.0.22 S 172.25.1.0 [1/0] via 10.0.0.10 10.0.0.0/30 is subnetted, 2 subnets C 10.0.0.8 is directly connected, Tunnel2 C 10.0.0.20 is directly connected, Tunnel6 RouterC#sh ip route 172.25.0.0/24 is subnetted, 2 subnets C 172.25.7.0 is directly connected, Vlan1 S 172.25.1.0 [1/0] via 10.0.0.21 10.0.0.0/30 is subnetted, 1 subnets C 10.0.0.20 is directly connected, Tunnel6 Access-lists sind alle ausgeschaltet aufgrund der Probleme. Gruß Chrusafan Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 23. Oktober 2006 Melden Teilen Geschrieben 23. Oktober 2006 Ich hab mit ACL's nicht Restriktionen gemeint, sondern ACL's die an crypto-maps gebunden sind. Auch kann ich mit den Routingtables nicht viel anfangen. Du solltest schon die Konfiguration der VPN's posten .. Zitieren Link zu diesem Kommentar
Chrusafan 10 Geschrieben 23. Oktober 2006 Autor Melden Teilen Geschrieben 23. Oktober 2006 Da die Tunnel ja stehen und zwischen a und b sowie zwischen b und c der Verkehr funktioniert, sehe ich hier kein Problem. Anbei die Config. RouterA: crypto isakmp policy 1 encr 3des authentication pre-share group 2 crypto isakmp key XXXXX address 62.206.150.34 no-xauth crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto map SDM_CMAP_1 1 ipsec-isakmp description Tunnel to62.206.150.34 set peer 62.206.150.34 set transform-set ESP-3DES-SHA match address 105 qos pre-classify ! interface Tunnel2 ip address 10.0.0.10 255.255.255.252 ip mtu 1440 tunnel source 62.206.150.50 tunnel destination 62.206.150.34 crypto map SDM_CMAP_1 crypto ipsec df-bit clear access-list 105 permit ip 62.206.150.48 0.0.0.7 62.206.150.32 0.0.0.7 RouterB: ! crypto isakmp policy 1 encr 3des authentication pre-share group 2 crypto isakmp key CP5015020662 address 62.206.150.50 crypto isakmp key CP5015020662 address 62.206.250.194 ! ! crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto ipsec transform-set ESP-3DES-SHA1 esp-3des esp-sha-hmac ! crypto map SDM_CMAP_1 1 ipsec-isakmp description Tunnel to62.206.150.50 set peer 62.206.150.50 set transform-set ESP-3DES-SHA match address 102 crypto map SDM_CMAP_1 2 ipsec-isakmp description Tunnel to 62.206.250.194 set peer 62.206.250.194 set transform-set ESP-3DES-SHA1 match address 110 ! ! ! interface Tunnel2 ip address 10.0.0.9 255.255.255.252 ip mtu 1440 tunnel source 62.206.150.34 tunnel destination 62.206.150.50 crypto map SDM_CMAP_1 crypto ipsec df-bit clear ! interface Tunnel6 ip address 10.0.0.21 255.255.255.252 ip mtu 1440 tunnel source 62.206.150.34 tunnel destination 62.206.250.194 crypto map SDM_CMAP_1 crypto ipsec df-bit clear ! access-list 102 permit ip 62.206.150.32 0.0.0.7 62.206.150.48 0.0.0.7 access-list 110 permit ip 62.206.150.32 0.0.0.7 62.206.250.192 0.0.0.7 RouterC: crypto isakmp policy 1 encr 3des authentication pre-share group 2 crypto isakmp key XXXXX address 62.206.150.34 ! ! crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac ! crypto map SDM_CMAP_1 2 ipsec-isakmp description Tunnel to 62.206.150.34 set peer 62.206.150.34 set transform-set ESP-3DES-SHA match address 110 ! interface Tunnel6 ip address 10.0.0.22 255.255.255.252 ip mtu 1440 tunnel source FastEthernet4 tunnel destination 62.206.150.34 crypto map SDM_CMAP_1 crypto ipsec df-bit clear ! access-list 110 permit ip 62.206.250.192 0.0.0.7 62.206.150.32 0.0.0.7 Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 23. Oktober 2006 Melden Teilen Geschrieben 23. Oktober 2006 Naja, also du hast auf A und C nur VPN's (also ACL's) zu Router B. Da gehoert allerdings schon noch jeweils in A und C die gegenseitigen ACL's rein. Und dasselbe noch fuer Router B. Wenn du auf A und C ALLES ueber B schickst, sprich die ACL ist Destination any, dann brauchste das nicht. Aber so .. schon .. Zitieren Link zu diesem Kommentar
Chrusafan 10 Geschrieben 23. Oktober 2006 Autor Melden Teilen Geschrieben 23. Oktober 2006 Oh, ich hatte ein Layer 8 Problem. Das Routing funktioniert. Danke für die Hilfe. Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 23. Oktober 2006 Melden Teilen Geschrieben 23. Oktober 2006 Layer 8??? Financial Layer?? :) Zitieren Link zu diesem Kommentar
Chrusafan 10 Geschrieben 23. Oktober 2006 Autor Melden Teilen Geschrieben 23. Oktober 2006 "most of the problems are on Layer 1 or Layer 8" und layer 8 liegt bekanntlich zwischen den Ohren...:D Ich habe auf dem Router keine qualifizierten Ping mit dedizierter Source benutzt. Da die Transfernetze nicht überall bekannt sind.... Zitieren Link zu diesem Kommentar
DieterK 10 Geschrieben 5. Juli 2007 Melden Teilen Geschrieben 5. Juli 2007 Hallo Chrusafan, habe das gleiche Problem und möchte von Router A über B nach C kommen. Kannst Du mir mal die Konfigs der ACL posten. Ich komme mit meinen Konfigs nicht weiter und benötige hier mal Unterstützung. Ein Link zu Doku von Cisco währe auch schon gut. Ich habe dort leider nicht das passende gefunden. Viele Dank im Voraus und viele Grüße Dieter Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 6. Juli 2007 Melden Teilen Geschrieben 6. Juli 2007 Poste halt erst mal deine Konfigurationen, dann sehn wir weiter :) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.