VPN und Internet (Split-tunnel) mit Cisco 871

[Whistleblower 45]

Hallo zusammen,

 

bin neu hier im Forum, und habe ein paar Probleme (oder einfach Verständnisfragen) zur Konfig zweier 871.

Es handelt sich um zwei Zweigstellen, die über ein VPN verbunden werden sollen, und gleichzeitig direkten Internetzugang für die lokalen Netze ermöglichen sollen.

Also lässt sich das ganze (nur?) mittels Split-tunnel und entsprechenden Route-Maps und ACLs einrichten.

Meine Frage ist, ob jemand eine entsprechende Musterconfig dazu bereitstellen kann, aus der ich entnehmen kann, was dazu grundlegend alles notwendig ist...

Vielen Dank!!!

[Wordo 11]

Du kannst z.B. das ganze mit eine crypto map machen, die wird dann an eine ACL gebunden und du sagst welche Netze verschluesselt werden. Der Rest geht dann einfach nicht ins VPN.

 

Z.B. so:

 

crypto isakmp policy 1

encr 3des

hash md5

authentication pre-share

group 2

lifetime 28800

crypto isakmp key ASGdcdxgbfzh465zxCHFGZHCrFsaexdrtgrzhcRFTGCdf address <ip>

!

crypto ipsec security-association lifetime seconds 28800

!

crypto ipsec transform-set 3des-md5 esp-3des esp-md5-hmac

!

crypto map VPN 10 ipsec-isakmp

set peer <ip>

set transform-set 3des-md5

set pfs group2

match address 100

!

 

[...]

 

access-list 100 permit ip ...

access-list 100 deny ip ... any

 

Das ganze dann an FA4 binden mit "crypto map VPN".

[Whistleblower 45]

Danke Wordo!

 

Anbei mal mein aktueller Config-Status.

Dialer funktioniert soweit, Internet vom Router aus erreichbar, vom Client sollte es auch möglich sein (konnte ich noch nicht testen).

Mir ist aufgefallen, dass Du keinen GRE-Tunnel angegeben hast, ist der nicht zwingend erforderlich?

Vielleicht findest Du noch Fehler in meiner Config, konnte sie bisher leider nicht wieder testen!

Danke!

 

!

version 12.4

no service pad

service tcp-keepalives-in

service tcp-keepalives-out

service timestamps debug datetime msec localtime show-timezone

service timestamps log datetime msec localtime show-timezone

service password-encryption

service sequence-numbers

!

hostname router1

!

boot-start-marker

boot-end-marker

!

enable secret 5 xxxxxxxxxxxxxxxxxxxx

enable password 7 xxxxxxxxxxxxxxxxxxxx

!

aaa new-model

!

!

aaa authentication login userauthen local

aaa authorization network groupauthor local

!

aaa session-id common

!

resource policy

!

ip cef

!

!

ip name-server 194.25.2.129

vpdn enable

!

!

!

!

username xxxxx privilege 15 secret 5 xxxxxxxxxxxxxxxxxxxxx

!

!

!

crypto isakmp policy 1

encr 3des

hash md5

authentication pre-share

group 2

crypto isakmp key xxxxxxxxx hostname router2

crypto isakmp identity hostname

!

!

crypto ipsec transform-set my-set esp-3des esp-sha-hmac

!

!

!

crypto map vpn-connect 10 ipsec-isakmp

description Crypto Map fuer Router2

set peer a.b.c.d (öffentl. IP)

set transform-set my-set

match address 110

!

!

!

!

interface Tunnel1

ip address 192.168.0.9 255.255.255.252

keepalive 5 3

tunnel source FastEthernet4

tunnel destination a.b.c.d (öffentl. IP)

!

interface FastEthernet0

!

interface FastEthernet1

!

interface FastEthernet2

!

interface FastEthernet3

!

interface FastEthernet4

ip address e.f.g.h (eigene öffentl. IP)

ip nat outside

ip virtual-reassembly

speed 10

full-duplex

pppoe enable

pppoe-client dial-pool-number 1

!

interface Vlan1

ip address 10.1.1.1 255.255.0.0

ip access-group ethernet in

no ip proxy-arp

ip nat inside

ip virtual-reassembly

no ip route-cache cef

no ip route-cache

ip tcp adjust-mss 1452

no ip mroute-cache

!

interface Dialer1

description T-Online

ip address negotiated

no ip redirects

no ip proxy-arp

ip mtu 1492

ip access-group 102 in

ip nat outside

ip virtual-reassembly

encapsulation ppp

no ip route-cache cef

no ip route-cache

no ip mroute-cache

dialer pool 1

dialer-group 1

ppp authentication chap pap callin

ppp chap hostname feste-ip/xxxxxxxxxxxxxxxxx@t-online-com.de

ppp chap password 7 xxxxxxxxxxxx

!

ip route 0.0.0.0 0.0.0.0 Dialer1

!

no ip http server

no ip http secure-server

ip nat inside source route-map split-tunnel interface Dialer1 overload

!

access-list 102 remark Incoming Internet

access-list 102 permit udp any any eq isakmp

access-list 102 permit esp any any

access-list 102 permit gre any any

access-list 110 remark To be encrypted GRE tunnel Router2

!#################### ACL 110 einrichten, Loopback0 ????

access-list 110 permit ip 10.1.0.0 0.0.255.255 172.16.0.0 0.0.255.255

access-list 122 remark Traffic to NAT public IP

access-list 122 deny ip 10.1.0.0 0.0.255.255 172.16.0.0 0.0.255.255

access-list 122 permit ip 10.1.0.0 0.0.255.255 any

dialer-list 1 protocol ip permit

!

!

route-map split-tunnel permit 10

description Traffic to NAT

match ip address 122

!

!

control-plane

!

banner incoming ^C You have activated line $(line) ($(line-desc)) ^C

banner login ^C Authorized access only!

Disconnect IMMEDIATELY if you are not an authorized user!^C

banner motd ^C

******************************************************************

Banner

******************************************************************

^C

banner prompt-timeout ^C Please contact ... ^C

!

line con 0

no modem enable

line aux 0

line vty 0 4

!

scheduler max-task-time 5000

end

[Wordo 11]

Wenn du nur IP ueber den Tunnel schickst brauchst du kein GRE. Ich machs prinzipiell ohne GRE da ichs noch nie gebraucht hab. Da faellt dann auch split tunneling weg.

[Whistleblower 45]

Danke für die Hilfe erstmal!

Da über das VPN kein IPX o.ä. laufen wird, sollte IPSec reichen. Ich werde die Config mal entsprechend ändern!

[Whistleblower 45]

So, habe gestern noch mal mit dem SDM eine Config erstellt,

Internet und Tunnel läuft jetzt auch, allerdings sind die Antwortzeiten miserabel.

Wenn ich einen Dauerping auf z.B. heise.de mache und zwischendurch surfe, habe ich beim ping bereits Zeitüberschreitungen.

ip virtual reassembly habe ich daher schon aus allen Interfaces rausgenommen.

Die Anbindung erfolgt hier über ADSL (Telekom) mit 4 MBit Downstream.

Irgendeine Idee, woran das noch liegen kann? Mit einem anderen Router (Linux) gibts keine Probleme, scheint also nicht an der Leitung zu liegen.

[Wordo 11]

Was sagt denn ein "sh dsl int atm 0" und ein "sh int atm0"? Bitte posten ...

[Whistleblower 45]

Das ist ein 871, also ohne eigenes DSL-Modem... Dementsprechend kein ATM-Interface...

Werde den Router nachher nochmal an einem anderen Anschluss testen, wegen evtl. Probs mit MTU und MSS

[Wordo 11]

Du koenntest in VLan1 "ip tcp adjust-mss 1300" eingeben ... das mit der 871 und Modem war natuerlich unueberlegt ;)

[Whistleblower 45]

Hi!

 

Habe den Router gerade mal an einem anderen ADSL-Anschluss getestet (4 MBit/348) und habe keine Probleme bei gleicher Konfig (nur Dialer angepasst).

Sehr merkwürdig... Scheint wohl irgendwie mal wieder an MTU/MSS zu liegen, muss ich mal wohl mal ausführlich testen... Oder es besteht intern ein Problem mit dem lokalen DNS-Server, will ich auch nicht ausschließen.

[Whistleblower 45]

Verbindung läuft jetzt einwandfrei, hatte die MTU-Size und MSS noch einmal verringert, und seitdem gibt es keine Probs mehr.

ABER:

Ich habe dann den Gegentest gemacht, und noch einmal die alte Konfig eingespielt, und die läuft ebenso problemlos an dem Anschluss... Sehr merkwürdig, aber egal...