Whistleblower 45 Geschrieben 27. November 2006 Melden Teilen Geschrieben 27. November 2006 Hallo, wir haben hier eine VPN-Vernetzung mit 2 Cisco 871 zwischen unseren beiden Standorten. Für Servicemitarbeiter soll eine mobile VPN-Einwahl erfolgen, klappt bei den einzelnen Standorten bisher auch schon. Allerdings sollen die Mobile-VPNs auch zum jeweils entfernten Standort über den festen Tunnel Zugriff haben. Reicht dazu der Eintrag "include-local-lan" bei der client configuration, oder was ist sonst noch zu berücksichtigen dabei? Vor allem, wie kann ich das ganze debuggen, dass ich besser sehen kann, wo es hängt? Vielen Dank! Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 27. November 2006 Melden Teilen Geschrieben 27. November 2006 Wie waehlen sich die Servicemitarbeiter ein und welche IP bekommen die? Direkt vom Netz oder gibts ein Transfernetz? Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 27. November 2006 Autor Melden Teilen Geschrieben 27. November 2006 Hi Wordo! Die Clients wählen sich über den Cisco VPN-Client über die öff. IP der Geschäftsstellen ein. Es gibt kein Transfernetz/GRE-Tunnel: Client-IP: 192.168.x.y -> öffentl. IP Router -> Vlan1 (10.1.x.y) von dort sollten sie dann über den bestehenden IPSec-Tunnel weiter zur anderen Geschäftsstelle (LAN 172.16.x.y) kommen. Es ist für die Clients kein Split-Tunnel eingerichtet, es geht also jeglicher Verkehr in den Tunnel. Die Frage ist, ob der Router aufgrund fehlender ACLs blockt, oder ob seitens der Konfiguration noch Änderungen vorzunehmen sind... Kann ich mir auf der CLI anzeigen lassen, wenn Pakete aufgrund von ACL geblockt werden? Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 27. November 2006 Melden Teilen Geschrieben 27. November 2006 Wenn du hinter die ACL ein "log" setzt ja. Wie sieht denn die Konfiguration auf dem Router aus? Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 27. November 2006 Autor Melden Teilen Geschrieben 27. November 2006 Anbei die Konfig, etwas verkürzt. "Log" für die ACL hab ich noch nicht aktiv. !version 12.4 ... ! hostname router1 ... ! crypto isakmp policy 1 encr 3des authentication pre-share group 2 crypto isakmp key xxxxxxxx address xxxxxxxxxxx no-xauth ! crypto isakmp client configuration group gruppe-xyz key xxxxxxx dns xxxxxxxxx domain xxxxxxxx pool SDM_POOL_1 include-local-lan netmask 255.255.255.0 ! ! crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac ! crypto dynamic-map SDM_DYNMAP_1 1 set transform-set ESP-3DES-SHA reverse-route ! ! crypto map SDM_CMAP_1 client authentication list sdm_vpn_xauth_ml_1 crypto map SDM_CMAP_1 isakmp authorization list sdm_vpn_group_ml_1 crypto map SDM_CMAP_1 client configuration address respond crypto map SDM_CMAP_1 1 ipsec-isakmp description Tunnel toxxxxxxxxxx set peer xxxxxxxxxxxxx set transform-set ESP-3DES-SHA match address 101 crypto map SDM_CMAP_1 65535 ipsec-isakmp dynamic SDM_DYNMAP_1 ! ! ! ! ... ! interface FastEthernet4 no ip address ip nat outside no ip virtual-reassembly duplex auto speed auto pppoe enable pppoe-client dial-pool-number 1 ! interface Vlan1 description $FW_INSIDE$ ip address 10.10.1.1 255.255.0.0 ip access-group 100 in no ip proxy-arp ip accounting output-packets ip accounting access-violations ip nat inside no ip virtual-reassembly no ip route-cache cef no ip route-cache ip tcp adjust-mss 1300 no ip mroute-cache ! interface Dialer1 description T-Online$FW_OUTSIDE$ mtu 1444 ip address negotiated no ip redirects no ip proxy-arp ip nat outside no ip virtual-reassembly encapsulation ppp no ip route-cache cef no ip route-cache no ip mroute-cache dialer pool 1 dialer-group 1 no cdp enable ppp authentication chap pap callin ppp chap hostname xxxxxxxxx ppp chap password 7 xxxxxxxxxxxx crypto map SDM_CMAP_1 ! ip local pool SDM_POOL_1 192.168.10.10 192.168.10.20 ip route 0.0.0.0 0.0.0.0 Dialer1 ! no ip http server ip http access-class 3 ip http secure-server ip nat inside source route-map SDM_RMAP_1 interface Dialer1 overload ! access-list 1 remark INSIDE_IF=Vlan1 access-list 1 remark SDM_ACL Category=2 access-list 1 permit 10.10.0.0 0.0.255.255 access-list 2 remark SDM_ACL Category=2 access-list 2 permit 10.10.0.0 0.0.255.255 access-list 3 remark HTTP Access-class list access-list 3 remark SDM_ACL Category=1 access-list 3 permit 10.10.0.0 0.0.255.255 access-list 3 permit 172.16.0.0 0.0.255.255 access-list 3 deny any access-list 100 remark SDM_ACL Category=1 access-list 100 permit ip any any access-list 101 remark SDM_ACL Category=4 access-list 101 remark IPSec Rule access-list 101 permit ip 10.10.0.0 0.0.255.255 172.16.0.0 0.0.255.255 access-list 102 remark SDM_ACL Category=2 access-list 102 deny ip any host 192.168.10.10 ... access-list 102 deny ip any host 192.168.10.20 access-list 102 remark IPSec Rule access-list 102 deny ip 10.10.0.0 0.0.255.255 172.16.0.0 0.0.255.255 access-list 102 permit ip 10.10.0.0 0.0.255.255 any access-list 103 remark Incoming_Traffic access-list 103 permit ahp host w.x.y.z any access-list 103 permit esp host w.x.y.z any access-list 103 permit udp host w.x.y.z any eq isakmp access-list 103 permit udp host w.x.y.z any eq non500-isakmp access-list 104 remark VTY Access-class list access-list 104 remark SDM_ACL Category=1 access-list 104 permit ip 10.10.0.0 0.0.255.255 any access-list 104 permit ip host a.b.c.d any access-list 104 deny ip any any access-list 120 permit ip 10.10.0.0 0.0.255.255 192.168.1.0 0.0.0.255 access-list 120 permit ip 17.16.0.0 0.0.255.255 192.168.1.0 0.0.0.255 no cdp run ! ! route-map SDM_RMAP_1 permit 1 match ip address 102 ! ... end Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 27. November 2006 Melden Teilen Geschrieben 27. November 2006 ip local pool SDM_POOL_1 192.168.10.10 192.168.10.20 access-list 101 permit ip 10.10.0.0 0.0.255.255 172.16.0.0 0.0.255.255 Da muss noch der Pool mit rein, sonst gehts nicht durch den Tunnel Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 27. November 2006 Autor Melden Teilen Geschrieben 27. November 2006 ip local pool SDM_POOL_1 192.168.10.10 192.168.10.20access-list 101 permit ip 10.10.0.0 0.0.255.255 172.16.0.0 0.0.255.255 Da muss noch der Pool mit rein, sonst gehts nicht durch den Tunnel D.h. access-list 101 permit ip 192.168.10.10 0.0.0.0 172.16.0.0 0.0.255.255 ... bis ... access-list 101 permit ip 192.168.10.20 0.0.0.0 172.16.0.0 0.0.255.255 ? Muss auf der Gegenseite auch entsprechend eine ACL eingerichtet werden? Also bräuchte ich keine Hub'n'Spoke-Config erstellen, oder? Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 27. November 2006 Melden Teilen Geschrieben 27. November 2006 Hub&Spoke mit Cisco VPN Clients ... hmmmm. Also da der Pool ja statisch ist, wuerd ich nur die ACL nehmen: access-list 101 permit ip 192.168.10.20 0.0.0.31 172.16.0.0 0.0.255.255 Das sind halt die IP's von 1-30 (usable). Kommt halt drauf an ob du die anderen benutzt. Muss natuerlich auf beiden Seiten eingetragen werden. Und die ACL mit dem eigenen Netz natuerlich nicht rausnehmen (10.XXXX -> 172.16XXX) Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 30. November 2006 Autor Melden Teilen Geschrieben 30. November 2006 Hi Wordo, das hat so leider noch nicht geklappt. Ich habe auf dem einen Router dann die ACL wieder gelöscht (um hinterher wieder den alten Eintrag für die ACL 101 vorzunhmen) und festgestellt, dass der Tunnel zwischen den beiden Routern weiterlief, obwohl von der crypto map SDM_CMAP_1 noch ein Verweis auf die nicht existente ACL101 vorhanden war. Hast Du dafür eine Erklärung? Die crypto map meckert er jetzt ja auch korrekterweise als incomplete an... Der Tunnel steht trotzdem. Aber noch mal was anderes: Ich muss jetzt noch mehrere feste IPSec-Tunnel zu anderen Lokationen aufbauen, daher überlege ich, ob es nicht sinnvoll wäre, das Gesamtkonzept noch einmal zu überdenken. Im jetzigen Zustand kann ich ja nur eine Crypto-Map an den Dialer binden, und das müsste ich ja für verschiedene realisieren. Müsste ich dazu doch wieder auf GRE-Tunnel umsteigen? Wieviele VPN-Verbindungen schafft der 871 denn überhaupt gleichzeitig in der Praxis? Hast Du da Erfahrungswerte? Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 30. November 2006 Melden Teilen Geschrieben 30. November 2006 Ich habe auf dem einen Router dann die ACL wieder gelöscht (um hinterher wieder den alten Eintrag für die ACL 101 vorzunhmen) und festgestellt, dass der Tunnel zwischen den beiden Routern weiterlief, obwohl von der crypto map SDM_CMAP_1 noch ein Verweis auf die nicht existente ACL101 vorhanden war. Hast Du dafür eine Erklärung? Hm, spaetestens nach Ablauf der Lifetime sollte das nicht mehr funktionieren. Normalerweise nimmt man vor eine Aenderung der ACL's die crypto map vom Interface weg (so wie bei "richtigen" ACL's auch). Aber noch mal was anderes: Ich muss jetzt noch mehrere feste IPSec-Tunnel zu anderen Lokationen aufbauen, daher überlege ich, ob es nicht sinnvoll wäre, das Gesamtkonzept noch einmal zu überdenken. Im jetzigen Zustand kann ich ja nur eine Crypto-Map an den Dialer binden, und das müsste ich ja für verschiedene realisieren. Müsste ich dazu doch wieder auf GRE-Tunnel umsteigen? Wieviele VPN-Verbindungen schafft der 871 denn überhaupt gleichzeitig in der Praxis? Hast Du da Erfahrungswerte? Je nachdem wieviel Bandbreite du hast kannst du einen Router als "Concentrator" auswaehlen zu dem alle ein VPN machen. Darunter kannste dann die Netze mit ACL's trennen. Klar kannst du nur eine crypto map pro Interface festlegen, allerdings kannst du auch mehrere Peers fuer eine crypto map festlegen. Die Anzahl maximaler Tunnel ist fuer die 870er Reihe definiert, ich glaube es sind 30 oder so. Das steht auf cisco.com unter Model comparison oder so. Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 30. November 2006 Autor Melden Teilen Geschrieben 30. November 2006 Dank Dir erstmal, werde ich mich heute abend wohl nochmal dransetzen. Die verschiedenen Möglichkeiten für VPNs bei Cisco haben sich mir bisher noch nicht erschlossen, bin da in letzter Zeit eher NetasQ und Watchguard belastet. Hast Du Dir Dein reichliches Wissen eigentlich alles selbst angeeignet, oder kannst Du mir Schulungen und/oder Literatur empfehlen, um mein gefährliches Halbwissen mal auszugleichen? Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 30. November 2006 Melden Teilen Geschrieben 30. November 2006 Also ich hab mir auf Ratschlag von Blacky_24 "The Complete Cisco VPN Configuration Guide" gekauft. Wobei es darin zu 50% um Concentrators geht bin ich sehr zufrieden. Auch die Basics von crypto maps in IOS Routern kannte ich davor schon. Bin mit dem Buch auch noch nicht ganz fertig, aber es lohnt sich auf alle Faelle. Das Englisch darin ist auch was fuer mid-skilled haette ich mal gesagt :) Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 4. Dezember 2006 Autor Melden Teilen Geschrieben 4. Dezember 2006 Hi! Besten Dank für die 1a Unterstützung, VPNs laufen jetzt soweit, allerdings noch nicht der Traffic von einem Tunnel in den anderen, aber das muss ich mir nochmal in Ruhe anschauen. Vielleicht ist mir das neu angeschaffte Buch dabei ja auch schon eine Hilfe! Ich will jetzt noch einen Tunnel mit Zertis aufbauen, aber da suche ich hier erstmal und erstelle dann ggf. ein neues Thema! Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 4. Dezember 2006 Melden Teilen Geschrieben 4. Dezember 2006 Ich will jetzt noch einen Tunnel mit Zertis aufbauen, aber da suche ich hier erstmal und erstelle dann ggf. ein neues Thema! Das wird ein Spass :D Ist recht fuselig sich da durchzuarbeiten ... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.