Whistleblower 45 Geschrieben 14. Dezember 2006 Autor Melden Teilen Geschrieben 14. Dezember 2006 Das Profil und den keyring brauche ich, um unterscheiden zu können, ob der Tunnelaufbau durch einen Client oder den Netgear (beides mal dynamische IP) erfolgt. Zumindest habe ich das jetzt so verstanden aus der Anleitung von Cisco: Configuring an IPSec Router Dynamic LAN-to-LAN Peer and VPN Clients [iPSec Negotiation/IKE Protocols] - Cisco Systems Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 14. Dezember 2006 Melden Teilen Geschrieben 14. Dezember 2006 Du machst ein NAT auf eine Route MAP die vom SDM als IPSec deklariert wurde??? Also ... entweder alles per Hand, oder alles SDM. Und post doch bitte dann die GANZE config. Von mir aus schicks mir wenns nicht jeder sehen soll. Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 14. Dezember 2006 Autor Melden Teilen Geschrieben 14. Dezember 2006 Ich mache NAT, das stimmt, aber die Routemap verweist auf ACL102, die wiederum denys für den Traffic zwischen den Netzen macht (z.B. deny ip 172.16.0.0 0.0.255.255 10.10.0.0 0.0.255.255). Also sage ich damit letztendlich, dass er den Traffic nicht natten soll, alles andere (ip permit 172.16.0.0 0.0.255.255 any) hingegen schon. So hab ich's bisher zumindest verstanden, und war auch ganz einleuchtend für mich... Und, ja entweder SDM oder alles per CLI, ich weiss... Aber alles geht leider auch nicht per SDM, und die Anfangskonfig habe ich "damals" mit dem SDM erstellt... Keine Frage, dass das ganze der Verständlichkeit wegen überarbeitet werden sollte... Werd Dir die Konfig nochmal schicken, muss mal sehen, ob ich die gerade vollständig hier habe, ist ja immer nur eine Testconfig... Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 14. Dezember 2006 Autor Melden Teilen Geschrieben 14. Dezember 2006 Achso, dann erlaube in Deinem Profil doch bitte mal, dass ich Dir ne eMail schicken kann... für eine priv. Nachricht ist die Konfig zu lang... Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 14. Dezember 2006 Melden Teilen Geschrieben 14. Dezember 2006 Ich mache NAT, das stimmt, aber die Routemap verweist auf ACL102, die wiederum denys für den Traffic zwischen den Netzen macht (z.B. deny ip 172.16.0.0 0.0.255.255 10.10.0.0 0.0.255.255). Also sage ich damit letztendlich, dass er den Traffic nicht natten soll, alles andere (ip permit 172.16.0.0 0.0.255.255 any) hingegen schon. So hab ich's bisher zumindest verstanden, und war auch ganz einleuchtend für mich...Und, ja entweder SDM oder alles per CLI, ich weiss... Aber alles geht leider auch nicht per SDM, und die Anfangskonfig habe ich "damals" mit dem SDM erstellt... Keine Frage, dass das ganze der Verständlichkeit wegen überarbeitet werden sollte... Werd Dir die Konfig nochmal schicken, muss mal sehen, ob ich die gerade vollständig hier habe, ist ja immer nur eine Testconfig... Stimmt, aber muessen dann die Netze von Netgear und vpnclientpool nicht auch da rein? Machst du den debug vom "Client"-Cisco? Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 14. Dezember 2006 Autor Melden Teilen Geschrieben 14. Dezember 2006 Hm, stimmt... Irgendwie stehen die da nicht drin... :o Aber das Problem muss noch irgendwo anders liegen, die ACLs greifen ja erst in Phase 2, und so wie ich das bis jetzt sehe, scheitert schon Phase 1... Die Debugs habe ich jeweils auf beiden Ciscos angeschmissen... Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 14. Dezember 2006 Melden Teilen Geschrieben 14. Dezember 2006 Hm ... gut, dann wuerd ich doch ein eigenes Profile und eigenen Keyring macht und ins Profile noch den PSK mit selbigen Peer wie dem match eintragen. Ansonsten siehts gut aus. Mach mal n debug auf isakmp, da muss doch dann der Fehler drinstehn. Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 14. Dezember 2006 Autor Melden Teilen Geschrieben 14. Dezember 2006 Werde ich heute abend nochmal machen... Und ich werde auch nochmal für die beiden dynamic-maps jeweils eine ACL erstellen und als match mit aufnehmen... Dann sollte es ja eigentlich klar sein, welcher Traffic worüber geht: So in der Art: crypto dynamic-map dynmap 5 description Mobile_VPN-Clients set transform-set ESP-3DES-SHA set isakmp-profile allusersprofile match address 105 crypto dynamic-map dynmap 65535 description Tunnel_zum_Netgear set transform-set ESP-3DES-SHA set isakmp-profile L2Lprofile match address 110 ! ! ! crypto map staticmap 1 ipsec-isakmp description Tunnel nach router2 set peer x.x.x.x set transform-set ESP-3DES-SHA match address 101 ... access-list 101 permit ip 172.16.0.0 0.0.255.255 10.10.0.0 0.0.255.255 access-list 105 permit ip 172.16.0.0 0.0.255.255 192.168.11.0 0.0.0.255 access-list 110 permit ip 172.16.0.0 0.0.255.255 192.168.15.0 0.0.0.255 und für NAT: access-list 102 deny ip 172.16.0.0 0.0.255.255 10.10.0.0 0.0.255.255 access-list 102 deny ip 172.16.0.0 0.0.255.255 192.168.11.0 0.255.255.255 access-list 102 deny ip 172.16.0.0 0.0.255.255 192.168.15.0 0.255.255.255 access-list 102 permit ip 172.16.0.0 0.0.255.255 any Und damit VPN-Clients vom Router2 auch über den Tunnel auf Router 1 kommen, müsste ich noch sowas einfügen, oder? (lokales Netz der Clients 192.168.10.10 - .20): access-list 101 permit ip 172.16.0.0 0.0.255.255 192.168.10.0 0.255.255.255 access-list 101 permit ip 192.168.10 0.255.255.255 172.16.0.0 0.0.255.255 access-list 102 deny ip 172.16.0.0 0.0.255.255 192.168.10.0 0.255.255.255 Und entsprechend auf der Gegenseite... Bei der Gelegenheit werde ich die ACLs auch mal BENENNEN... Steigt man ja sonst nicht mehr durch... Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 14. Dezember 2006 Melden Teilen Geschrieben 14. Dezember 2006 Du kannst fuer Clients keinen match machen weil das transport ist und nicht tunnel. Probier das heut abend mal mit den keyrings und dem profile. Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 14. Dezember 2006 Autor Melden Teilen Geschrieben 14. Dezember 2006 FUNZT !!! :D :D :D :D Mehr dazu morgen! Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 15. Dezember 2006 Autor Melden Teilen Geschrieben 15. Dezember 2006 So, wie versprochen, die entsprechenden Passagen der Konfig: aaa new-model ! ! aaa authentication login default local aaa authentication login remoteaccess local aaa authorization exec default local aaa authorization network allusers local ! aaa session-id common ! [...] username userxyz privilege 15 secret 5 ************* ! ! crypto keyring L2Lkeyring description PSK fuer L2L Peers mit dynamischen IPs pre-shared-key address 0.0.0.0 0.0.0.0 key ****** crypto keyring mainkeyring description PSK fuer Peer mit fester IP pre-shared-key address x.x.x.x key ****** ! crypto isakmp policy 1 encr 3des authentication pre-share group 2 ! crypto isakmp policy 10 encr 3des authentication pre-share group 2 crypto isakmp key ***** address x.x.x.x no-xauth ! crypto isakmp client configuration group allusers key ****** dns 10.10.1.3 wins 10.10.1.3 domain tec.wtg pool clientpool crypto isakmp profile mainprofile description Tunnel feste IPs keyring mainkeyring match identity address x.x.x.x 255.255.255.255 crypto isakmp profile allusersprofile description Remote access users profile match identity group allusers client authentication list remoteaccess isakmp authorization list allusers client configuration address respond crypto isakmp profile L2Lprofile description All L2L peers keyring L2Lkeyring match identity address 0.0.0.0 ! ! crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac ! ! crypto dynamic-map dynmap 5 set transform-set ESP-3DES-SHA set isakmp-profile allusersprofile crypto dynamic-map dynmap 65535 set transform-set ESP-3DES-SHA set isakmp-profile L2Lprofile match address 110 ! ! ! crypto map staticmap 1 ipsec-isakmp description Tunnel to router2 set peer x.x.x.x set transform-set ESP-3DES-SHA set isakmp-profile mainprofile match address 101 crypto map staticmap 65535 ipsec-isakmp dynamic dynmap ! [...] ! interface FastEthernet4 description $ES_WAN$$FW_OUTSIDE$ ip address x.x.x.x 255.255.255.248 no ip redirects no ip unreachables no ip proxy-arp ip nat outside no ip virtual-reassembly ip route-cache flow speed 100 full-duplex crypto map staticmap ! interface Vlan1 description Inside ip address 172.16.1.1 255.255.0.0 ip access-group 100 in no ip proxy-arp ip nat inside no ip virtual-reassembly ip route-cache flow ip tcp adjust-mss 1452 ! ip local pool clientpool 192.168.11.240 192.168.11.254 ip route 0.0.0.0 0.0.0.0 x.x.x.x ! no ip http server ip nat inside source route-map SDM_RMAP_1 interface FastEthernet4 overload ! access-list 100 remark auto generated by Cisco SDM Express firewall configuration access-list 100 remark SDM_ACL Category=1 access-list 100 permit ip any any access-list 100 permit udp any any access-list 100 permit tcp any any access-list 101 remark SDM_ACL Category=4 access-list 101 remark IPSec Rule access-list 101 permit ip 172.16.0.0 0.0.255.255 10.10.0.0 0.0.255.255 access-list 101 permit ip 172.16.0.0 0.0.255.255 192.168.10.0 0.0.0.255 access-list 101 permit ip 192.168.11.0 0.0.0.255 10.10.0.0 0.0.255.255 access-list 101 permit ip 192.168.15.0 0.0.0.255 10.10.0.0 0.0.255.255 access-list 102 remark IPSec Rule access-list 102 deny ip 172.16.0.0 0.0.255.255 10.10.0.0 0.0.255.255 access-list 102 deny ip 172.16.0.0 0.0.255.255 192.168.10.0 0.0.0.255 access-list 102 deny ip 172.16.0.0 0.0.255.255 192.168.11.0 0.0.0.255 access-list 102 deny ip 172.16.0.0 0.0.255.255 192.168.15.0 0.0.0.255 access-list 102 permit ip 172.16.0.0 0.0.255.255 any access-list 110 permit ip 172.16.0.0 0.0.255.255 192.168.15.0 0.0.0.255 no cdp run ! ! route-map SDM_RMAP_1 permit 1 match ip address 102 ! ! [...] Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 15. Dezember 2006 Autor Melden Teilen Geschrieben 15. Dezember 2006 Die Sachen hier können bestimmt noch raus: crypto isakmp policy 1 evtl. auch: crypto isakmp key ***** address x.x.x.x no-xauth (steht ja alles auch im profile bzw. keyring) Habe in dem Zuge auch gleich den Traffic von den mobilen Clients über den festen Tunnel zur anderen Niederlassung ermöglicht. Die Probleme lagen einerseits in der ACL 101 (zu verschlüsselnder Traffic) andererseits in ACL 102 (Ausnahmen vom NAT). Jetzt hab ich nur noch so ein minimales Problem, und zwar wie ich dem Router selbst sage, dass er Pakete, die von ihm ausgehen (z.B. ein ping) in den entsprechenden Tunnel schickt. Wenn ich also z.B. auf dem Router "ping 10.10.1.1" eingebe, erhalte ich keine Antwort, sondern nur wenn ich als source vlan 1 angebe. Beim ping mag das ja noch okay sein, aber bei einem copy xyz tftp kann ich das vlan nicht als Source angeben... Ist doch bestimmt nur ein Einzeiler, der mir da fehlt, oder? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.