Whistleblower 45 Geschrieben 6. Dezember 2006 Autor Melden Teilen Geschrieben 6. Dezember 2006 So, hab dann mal beide Configs dabei und eine zeichnung zum verständnis. Nicht schön, aber hoffentlich hilfreich ;-) Zur Zusammenfassung nochmal die Probleme: 1. Router2 mit den besagten DNS-Problemen am T-DSL, bzw. das DNS-Problem tritt ja nur auf den Clients auf, allerdings auch nur über die Router. Bei Internet by Call (Analog) laufen die Seiten, die sonst Probleme machen. 2. Einwahl des Netgear Routers auf Router1 funktioniert zwar, dann gehen aber die VPN-Clients nicht mehr. Sicher irgendein dummer Fehler in der Config, hab ich selbst noch nicht genauer überprüft. 3. "Routing" von einem VPN-Client in das Netz des jeweils anderen Cisco-Routers (also z.B. die VPN-Clients an router1 können nicht auf LAN hinter router2 zugreifen) Das sind die drei Baustellen, die mich derzeit noch beschäftigen. Für Zertis wird wohl ein 2003-Server zuständig werden, der dann auch gleich Radius macht. config_cisco-router1.txt config_cisco-router2.txt Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 6. Dezember 2006 Melden Teilen Geschrieben 6. Dezember 2006 Joah ... also die 87X ist dann EoL wenn der Anhang freigeschalten wurde ... :o Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 6. Dezember 2006 Autor Melden Teilen Geschrieben 6. Dezember 2006 Joah ... also die 87X ist dann EoL wenn der Anhang freigeschalten wurde ... :o Dauert das hier so lange? Per Copy&Paste passt das leider net... :-( Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 6. Dezember 2006 Melden Teilen Geschrieben 6. Dezember 2006 Unterschiedlich, warten wir mal ab :) Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 6. Dezember 2006 Autor Melden Teilen Geschrieben 6. Dezember 2006 Update zum Thema DNS Hab nochmal einiges getestet hier... ping www.ups.com vom Client funktioniert nicht (Name kann nicht aufgelöst werden) vom Router gehts. gebe ich die öffentliche IP auf dem Client beim ping an, gehts auch da. http auf die Webseite über die IP-Adresse geht ebenso. Zumindest bei der Adresse liegts also nicht an der MTU, sondern scheint an unserem internen DNS zu hängen. Werd also nochmal andere DNS-Server am Client eintragen und testen. Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 6. Dezember 2006 Autor Melden Teilen Geschrieben 6. Dezember 2006 Ist ja noch immer nicht freigeschaltet... :-( Noch mal zum Verständnis dynamischer Crypto-Maps: Wie kann der Router denn überhaupt unterscheiden, ob das jetzt der Netgear oder ein mobiler Client ist, der einen Verbindungsaufbau versucht? Warum gehen die Clients nicht mehr, wenn der Tunnel zum Netgear eingerichtet ist...? Können zwei dyn. Crypto-Maps nebeneinander existieren? Glaub, ich muss mich da nochmal reinlesen... Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 7. Dezember 2006 Melden Teilen Geschrieben 7. Dezember 2006 Ist ja noch immer nicht freigeschaltet... :-( Ach ne ... ?! ;) Ich sag nur EoL :cool: Noch mal zum Verständnis dynamischer Crypto-Maps: Wie kann der Router denn überhaupt unterscheiden, ob das jetzt der Netgear oder ein mobiler Client ist, der einen Verbindungsaufbau versucht? Wenn du einen PSK konfigurierst mit 0.0.0.0, dann wird da nicht unterschieden. Mit dem PSK werden die Devices authorisiert. Wenn alle denselben verwenden wirds schwierig. Warum gehen die Clients nicht mehr, wenn der Tunnel zum Netgear eingerichtet ist...? Moment, Netgear=Tunnel, Clients=Transport oder? Können zwei dyn. Crypto-Maps nebeneinander existieren? Glaub, ich muss mich da nochmal reinlesen... Aeh ... ja? Du bindest doch eine static an eine dynamic. Oder ist das ne Fangfrage :) Ich wuerd jetzt auch nochmal ins Buch schauen, aber du hasts ja selber :p Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 7. Dezember 2006 Autor Melden Teilen Geschrieben 7. Dezember 2006 War schon spät gestern, um solche Fragen online zu stellen... ;-) Ich vergrab mich lieber nochmal in den Tiefen der "Bibel" ... DNS-Problem scheint jetzt übrigens gelöst, auf dem DNS-Server (den ich bisher nicht betreut habe) war für externe Auflösung ein DNS-Server irgendeines Feld-Wald-und-Wiesen Providers eingetragen. Telekom-DNS rein und die Seiten laufen wieder! Wenigstens ein Problem weniger :-) Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 8. Dezember 2006 Autor Melden Teilen Geschrieben 8. Dezember 2006 Hey, die Anhänge sind freigeschaltet!!! Sind zwar mittlerweile überholt, aber egal... Hab jetzt in der "Bibel" auch ein HowTo für Site-2-Site VPN mit dyn. IP und gleichzeitiger Unterstützung von VPN-Clients gefunden. "Keyring" heisst da für mich das Schlüsselwort (wieder was dazugelernt... ;) ) ... Habe mich da gestern auch mal drangewagt, hat mich aber noch nicht zum gewünschten Erfolg geführt, war bestimmt schon zu spät... ;) Es ging dann keiner der Tunnel mehr, und der SDM hat mir auch fälschlicherweise 3 konfigurierte Site-2-Site VPNs angezeigt, aber sicher deshalb, weil er mit dem Keyring Feature nicht klarkommt. Ich werd's heut abend nochmal exakt so durchführen, wie der Guide das sagt, und dann erst (wenns soweit läuft) den allerersten, festen Site-2-Site Tunnel wieder zusätzlich konfigurieren. Hat hier schonmal jemand mit Keyrings gearbeitet? Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 11. Dezember 2006 Autor Melden Teilen Geschrieben 11. Dezember 2006 Bin mittlerweile etwas weitergekommen, Tunnel mit dyn. Endpunkt steht, Mobile Clients gehen zumindest in Phase 1... Da haberts irgendwo noch an der Authentifizierung. Allerdings bekomme ich den Tunnel zum Standort mit der festen IP jetzt nicht mehr zum Laufen... :-( Ich poste später mal wieder ne Konfig.... Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 11. Dezember 2006 Autor Melden Teilen Geschrieben 11. Dezember 2006 So, anbei mal die getestete Konfig... Vielleicht sehr ihr ja nen Fehler warum der Tunnel mit den beiden festen IPs nicht aufgebaut wird... version 12.4 [...] hostname router1 ! [...] ! aaa new-model ! ! aaa authentication login default local aaa authentication login remoteaccess local aaa authorization exec default local aaa authorization network allusers local ! aaa session-id common ! [...] ! [...] no ip bootp server ip name-server xxxx ip ssh authentication-retries 2 vpdn enable ! ! ! crypto pki trustpoint TP-self-signed-2481874788 [...] ! ! username xxx privilege 15 secret xxxxxxxxxx [...] ! ! crypto keyring L2Lkeyring description PSK for L2L peers with dynamic addressing pre-shared-key address 0.0.0.0 0.0.0.0 key xxxxxxxxx ! crypto isakmp policy 10 encr 3des authentication pre-share group 2 crypto isakmp key xxx address x.x.x.x no-xauth ! crypto isakmp client configuration group allusers key xxxxxx dns 10.10.1.3 domain domain.local pool SDM_POOL_1 crypto isakmp profile L2Lprofile description All L2L peers keyring L2Lkeyring match identity address 0.0.0.0 keepalive 20 retry 3 crypto isakmp profile allusersprofile description Remote Access VPN-Clients match identity group allusers client authentication list remoteaccess isakmp authorization list allusers client configuration address respond keepalive 20 retry 3 ! ! crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac ! ! crypto dynamic-map dynmap 5 set transform-set ESP-3DES-SHA set isakmp-profile allusersprofile crypto dynamic-map dynmap 10 set transform-set ESP-3DES-SHA set isakmp-profile L2Lprofile ! ! ! crypto map staticmap 1 ipsec-isakmp description Tunnel nach router1 set peer x.x.x.x set transform-set ESP-3DES-SHA match address 103 crypto map staticmap 10 ipsec-isakmp dynamic dynmap ! ! ! ! interface FastEthernet0 ! interface FastEthernet1 ! interface FastEthernet2 ! interface FastEthernet3 ! interface FastEthernet4 description $ES_WAN$$FW_OUTSIDE$ ip address x.x.x.x 255.255.255.248 no ip redirects no ip unreachables no ip proxy-arp ip nat outside no ip virtual-reassembly ip route-cache flow speed 100 full-duplex crypto map staticmap ! interface Vlan1 description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$ ip address 172.16.1.1 255.255.0.0 ip access-group 100 in no ip proxy-arp ip nat inside no ip virtual-reassembly ip route-cache flow ip tcp adjust-mss 1452 ! ip local pool SDM_POOL_1 192.168.20.10 192.168.20.20 ip route 0.0.0.0 0.0.0.0 x.x.x.x ! no ip http server ip http secure-server ip nat inside source route-map SDM_RMAP_1 interface FastEthernet4 overload ! no logging trap access-list 1 remark INSIDE_IF=Vlan1 access-list 1 remark SDM_ACL Category=2 access-list 1 permit 172.16.0.0 0.0.255.255 access-list 2 remark SDM_ACL Category=2 access-list 2 permit 172.16.0.0 0.0.255.255 access-list 100 remark auto generated by Cisco SDM Express firewall configuration access-list 100 remark SDM_ACL Category=1 access-list 100 permit ip any any access-list 100 permit udp any any access-list 100 permit tcp any any access-list 102 remark SDM_ACL Category=18 access-list 102 deny ip any host 192.168.20.10 [...] bis .20 access-list 102 remark IPSec Rule access-list 102 deny ip 172.16.0.0 0.0.255.255 192.168.15.0 0.0.0.255 access-list 102 remark IPSec Rule access-list 102 deny ip 172.16.0.0 0.0.255.255 10.10.0.0 0.0.255.255 access-list 102 permit ip 172.16.0.0 0.0.255.255 any access-list 103 remark SDM_ACL Category=4 access-list 103 remark IPSec Rule access-list 103 permit ip 172.16.0.0 0.0.255.255 10.10.0.0 0.0.255.255 no cdp run ! ! route-map SDM_RMAP_1 permit 1 match ip address 102 ! ! control-plane ! [...] Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 13. Dezember 2006 Melden Teilen Geschrieben 13. Dezember 2006 Besteht das Problem noch? Stell das mal auf 20 statt 10: crypto map staticmap 10 ipsec-isakmp dynamic dynmap Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 13. Dezember 2006 Autor Melden Teilen Geschrieben 13. Dezember 2006 Hi Wordo! Dachte schon, Du hättest Dich in den (verdienten!) Winterurlaub verabschiedet! ;-) Also das Problem besteht noch, habe gestern abend noch einmal getestet, erstmal sämtliche Crypto-Einträge raus, und dann Stück für Stück neu konfiguriert. Tunnel zum Netgear läuft, mobile Clients funzten dann auch. Anschließend hatte ich versucht, den Tunnel zwischen den beiden Cisco hinzuzufügen, baut sich aber leider nicht auf, "debug crypto errors" ergab dann "peer x.x.x.x has no SA". Muss ich evtl. nochmal die ACLs überarbeiten? Aber eigentlich müsste Phase 1 mit dem anderen Cisco doch ohne Probleme funzen, schließlich haben beide eine feste IP?! Deinen Vorschlag, den Wert auf 20 zu ändern, werde ich noch testen! Anbei nochmal der Ausschnitt der getesteten Konfig: aaa new-model ! ! aaa authentication login default local aaa authentication login remoteaccess local aaa authorization exec default local aaa authorization network allusers local ! aaa session-id common [...] ! crypto keyring L2Lkeyring description PSK for L2L peers with dynamic addressing pre-shared-key address 0.0.0.0 0.0.0.0 key xxxxx ! crypto isakmp policy 10 encr 3des authentication pre-share group 2 crypto isakmp key xxxxx address x.x.x.x no-xauth ! crypto isakmp client configuration group allusers key xxxxx dns x.x.x.x wins x.x.x.x domain xxx.yyy pool clientpool crypto isakmp profile allusersprofile description Remote access users profile match identity group allusers client authentication list remoteaccess isakmp authorization list allusers client configuration address respond keepalive 20 retry 3 crypto isakmp profile L2Lprofile description All L2L peers keyring L2Lkeyring match identity address 0.0.0.0 keepalive 20 retry 3 ! ! crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac ! ! crypto dynamic-map dynmap 5 set transform-set ESP-3DES-SHA set isakmp-profile allusersprofile crypto dynamic-map dynmap 10 set transform-set ESP-3DES-SHA set isakmp-profile L2Lprofile ! ! ! crypto map staticmap 10 ipsec-isakmp description Tunnel nach router2 set peer x.x.x.x set transform-set ESP-3DES-SHA match address 101 crypto map staticmap 10 ipsec-isakmp dynamic dynmap ! ! interface FastEthernet4 description $ES_WAN$$FW_OUTSIDE$ [...] crypto map staticmap ! interface Vlan1 description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$ ip address 172.16.1.1 255.255.0.0 ip access-group 100 in no ip proxy-arp ip nat inside no ip virtual-reassembly ip route-cache flow ip tcp adjust-mss 1452 ! ip local pool clientpool 192.168.11.240 192.168.11.254 ! ip nat inside source route-map SDM_RMAP_1 interface FastEthernet4 overload ! [...] access-list 100 remark auto generated by Cisco SDM Express firewall configuration access-list 100 remark SDM_ACL Category=1 access-list 100 permit ip any any access-list 100 permit udp any any access-list 100 permit tcp any any access-list 101 remark SDM_ACL Category=4 access-list 101 remark IPSec Rule access-list 101 permit ip 172.16.0.0 0.0.255.255 10.10.0.0 0.0.255.255 access-list 102 remark SDM_ACL Category=2 access-list 102 remark IPSec Rule access-list 102 deny ip 172.16.0.0 0.0.255.255 10.10.0.0 0.0.255.255 access-list 102 permit ip 172.16.0.0 0.0.255.255 any ! ! route-map SDM_RMAP_1 permit 1 match ip address 102 ! ! Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 14. Dezember 2006 Autor Melden Teilen Geschrieben 14. Dezember 2006 So, habe gestern nochmal einiges getestet... Hab erstmal alle crypto-Einträge rausgeschmissen, und dann wieder den Eintrag für den Tunnel zw. den beiden Ciscos hinzugefügt. crypto isamkmp policy 1 encr 3des authentication pre-share group 2 crypto isakmp key xxxxxxxxx address x.x.x.x no-xauth crypto map staticmap 1 ipsec-isakmp descr Tunnel to router2 set peer x.x.x.x set transform-set ESP-3DES-SHA match address 101 Tunnel steht sofort. Dann habe ich die Einträge für den dyn. Endpunkt und die Clients hinzugefügt, mit dem Ergebnis, dass der erste Tunnel nicht mehr läuft (hab die crypto map vorher vom Interface Fast4 rausgenommen). Dann habe ich mal einzelne Konfigteile wieder rausgelöscht, und festgestellt, dass sich das ganze am isakmp-Profile aufhängt: crypto isakmp profile L2Lprofile descr All L2L peers keyring L2Lkeyring match identity address 0.0.0.0 keepalive 20 re 3 exit Das Profil wiederum ist in der dynamic-map eingebunden: crypto dynamic-map dynmap 65535 set transform-set ESP-3DES-SHA set isakmp-profile L2Lprofile exit crypto map staticmap 65535 ipsec-isakmp dynamic dynmap Irgendwie scheint er also den Tunnel über dieses Profil abwickeln zu wollen, Bedingung address=0.0.0.0 ist ja auch erfüllt. Trotzdem sollte er es doch erst über den anderen Crypto map Eintrag versuchen, oder? Hilft es evtl. weiter, einen weiteren keyring und ein weiteres isakmp-Profil zu erstellen? Ich hatte das gestern auch schon versucht, hat aber leider auch nicht zu Erfolg geführt... :-( Any ideas? Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 14. Dezember 2006 Melden Teilen Geschrieben 14. Dezember 2006 Wozu ueberhaupt das Profil und den Keyring? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.