Cisco 871 Site-2-Site VPN an dyn. IP / DynDNS

[Whistleblower 45]

Und noch ein Beitrag zum Cisco 871.

Hab hier schon einige Beiträge zum DynDNS-Problem gelesen, aber passen alle nicht zu meiner Problemstellung.

Ich befinde mich in der (eigentlich) guten Position, dass mein 871 über eine feste IP angebunden ist. Jetzt soll aber der andere Endpunkt mit dyn. IP einen IPSec Tunnel mit dem Cisco aufbauen. Trage ich die temporäre IP als feste Adresse ein, klappt das ganze auch einwandfrei. Dummerweise ist die Adresse aber spätestens nach 24 Stunden weg (meist sogar deutlich früher). Also für die Gegenseite (Netgear DG 834B) einen DynDNS-Account eingerichtet und in Betrieb genommen.

Aber trage ich nun bei dem Cisco für die Crypto Map als peer den Hostname "adresse.homeip.net" ein, und richte den crypto key ebenfalls hierfür ein, baut sich der Tunnel partout nicht auf.

Habe jetzt auch herausgefunden, dass die alte Netgear-Kiste nur den Main Mode unterstützt. Könnte es sein, dass der Cisco bei dyn.DNS gleich im Aggressive Mode startet und ich somit keine gültige Response von dem Netgear bekomme?

Gibt es da irgendeine Lösung oder Workaround zu?

Oder kann mir jemand als Alternative irgendeine Netgear/D-Link Kiste empfehlen, die sowohl dynDNS als auch Main und Aggressive Mode unterstützt?

 

THX!

[mturba 10]

Wie sieht denn deine Konfiguration aus? Hast du dir mal das Debugging mit

debug crypto isakmp
debug crypto ipsec

angeschaut?

[Wordo 11]

Stell die Adresse beim key auf 0.0.0.0 und erstell eine dynamic map statt einer static.

[Whistleblower 45]

Hm, das wär noch mal eine Idee, werde ich heute abend mal versuchen.

Habe grad mit anderen Problemen zu kämpfen, und zwar mal wieder mit DNS...

Heute gehen einige Seiten mal wieder nicht, wie z.b. UPS Global Home.

Vom Router lässt sich die Seite anpingen, auf den Clients wieder mal nicht...

Hab die MTU-Size für den Dialer schon vor Wochen auf 1444 runtergeschraubt, und die MSS für das Vlan-Interface auf 1300 gesetzt.

Lief bis heute auch alles soweit.

Wieso jetzt nicht mehr? Spielt die Telekom öfter mal mit der Leitung, oder woher kommen diese Probleme? *grummel*

[Wordo 11]

Du kannst bei "ping" die Paketgroesse angeben. Spiel doch mal rum ab wann der Ping nicht mehr geht und dann weisste wie weit du die MTU runtersetzen musst (nur zu Testzwecken)

[Whistleblower 45]

Genau da kämpfe ich mich gerade durch...

Immer fleissig "ping -n 1 -f -l 1300 192.168.x.y" usw...

 

Das ****e ist ja, dass der ping direkt vom Router erfolgreich ist, z.B. auf UPS Global Home

Vom Client leider gar nicht, nicht einmal wenn ich MTU=576 setze (und den Rechner auch neu boote). Hab mir übrigens den Cisco Complete VPN Config Guide geholt, der behandelt das Thema ja auch angemessen ausführlich. Danke nochmal für den Tipp :-)

Wie sieht die Geschichte mit MTU/MSS auf dem Router eigentlich aus, übernimmt der sofort jede Änderung oder muss ich ggf. das jeweilige IF noch auf shut/no shut setzen?

[Wordo 11]

Ja siehste .. in dem Buch steht auch das ganze CA Zeugs auf dem Router. Dann wirste dir schon mal mind. 50% aller Fragen hier sparen :)

Wie sieht denn die Config vom Router aus? Kann mir nicht vorstellen das 576 bytes nicht mal durchhuschen ...

[Whistleblower 45]

Anbei mal ein Auszug aus der Konfig.

Crypto und ACLs habe ich mal weggelassen, wird sonst zuviel.

Wie gesagt, ping vom Router geht, vom Client trotz Mini-MTU nicht. Aus irgendeinem Grund muss ja das Paket vom Client bei dem Webserver fragmentiert ankommen und wird z.B. wegen irgendweiner DDos-Policy o.ä. dort verworfen... Fragt sich nur, wieso die Pakete vom Client fragmentiert werden...

 

!
[...]
!
### ip inspect name ethernet_0 fragment maximum 256 timeout 1 ### schon entfernt!
ip inspect name ethernet_0 tcp router-traffic
ip inspect name ethernet_0 ftp
ip inspect name ethernet_0 udp
ip inspect name ethernet_0 http
ip inspect name ethernet_0 realaudio
ip inspect name ethernet_0 h323
ip inspect name ethernet_0 h323callsigalt
ip inspect name ethernet_0 h323gatestat
ip inspect name ethernet_0 skinny
ip inspect name ethernet_0 sip-tls
ip inspect name ethernet_0 sip
no ip bootp server
ip domain name xxx.xxx
ip name-server 194.25.2.129
ip ssh authentication-retries 2
vpdn enable
!
[...]
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
no ip address
ip nat outside
no ip virtual-reassembly
duplex auto
speed auto
pppoe enable
pppoe-client dial-pool-number 1
!
interface Vlan1
description $FW_INSIDE$
ip address 10.10.10.1 255.255.0.0
ip access-group 100 in
no ip proxy-arp
ip accounting output-packets
ip accounting access-violations
ip inspect ethernet_0 in
ip inspect ethernet_0 out
ip nat inside
ip virtual-reassembly
no ip route-cache cef
no ip route-cache
ip tcp adjust-mss 1300
no ip mroute-cache
!
interface Dialer1
description T-Online$FW_OUTSIDE$
mtu 1444
ip address negotiated
no ip redirects
no ip proxy-arp
ip inspect ethernet_0 in
ip inspect ethernet_0 out
ip nat outside
no ip virtual-reassembly
encapsulation ppp
no ip route-cache cef
no ip route-cache
no ip mroute-cache
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication chap pap callin
ppp chap hostname xxxxxxx@t-online-com.de
ppp chap password 7 xxxxxxxxxxxx
crypto map SDM_CMAP_1
!
[...]
ip nat inside source route-map SDM_RMAP_1 interface Dialer1 overload
!
logging trap debugging
[... ACLs ...]
no cdp run
!
!
route-map SDM_RMAP_1 permit 1
match ip address 102
!
!
control-plane
!
banner incoming ^CCC You have activated line $(line) ($(line-desc)) ^C
[...]
!
scheduler max-task-time 5000
end

[Whistleblower 45]

"ip inspect" hatte ich zwischenzeitlich auch mal rausgenommen, macht aber keinen Unterschied!

[Wordo 11]

ip access-group 100 in

 

 

Was steht denn in der ACL 100?

[Whistleblower 45]

access-list 100 remark auto generated by Cisco SDM Express firewall configuration
access-list 100 remark SDM_ACL Category=1
access-list 100 permit ip any any

 

Kann ja normalerweise auch nicht an einer ACL liegen, wenn es bisher ging, und die Probleme plötzlich auftauchen, ohne daß entsprechende Änderungen gemacht wurden... oder?

[Wordo 11]

Poste doch mal die komplette Config bitte ...

[Whistleblower 45]

Um nochmal zum eigentlichen Thema zurückzukommen:

 

Der Tunnel mit dem Netgear und dynamischer IP funzt jetzt!!!

 

Habe eine zusätzliche dyn. Crypto-Map angelegt (eine existierte bereits für VPN-Clients) und den crypto key entsprechend mit Wildcard 0.0.0.0 0.0.0.0 angegeben.

Besten Dank an Dich und die Cisco VPN-Bibel! ;-)

Das war wirklich eine lohnende Anschaffung!

 

Was das DNS-Problem angeht, bin ich noch nicht weiter, werde gleichmal die gesamte Konfig posten. Die bedarf nach den vielen Tests sicher noch einer Überarbeitung, also auf doppelte oder nicht genutzte Einträge erstmal nicht achten!

[Whistleblower 45]

Kleine Korrektur:

 

Muss die Konfig nochmal überarbeiten, seit die zweite dynamische Crypto Map eingetragen ist, funzt die Client-Einwahl nicht mehr... Also hab ich sie erstmal wieder rausgenommen, und werde das wohl mit der ersten abhandeln müssen, wenn keine Möglichkeit für zwei dyn. Crypto-Maps besteht...

[Wordo 11]

Wennst nicht weiter kommst, einfach posten :)