hompen 10 Geschrieben 7. März 2007 Melden Teilen Geschrieben 7. März 2007 Hi, gleich zu meinen Problem(en): Ich hab vor kurzem ein Site 2 Site VPN Netzwerk zwischen 2 876 Routern erstellt. Funktioniert auch gut, aber 1. Es gibt User die wollen auch von zu Hause aus in das Netzwerk. Richte ich aber auf einem der Router einen Easy VPN Server ein, ist danach sofort die Site 2 Site Verbindung weg. Lösche ich den Server wieder baut sich danach wieder ohne Problem der Site 2 Site Tunnel auf. Kann man beides überhaupt auf einem Router betreiben? 2. Hab ich einen Laptop auf dem schon der neue Terminal Session Client 6 von Microsoft installiert ist. Über diesen kann ich keine Verbindung zu meinem Terminal Server (W2k3 SP1) aufbauen. Netzwerk usw. funktioniert aber ohne Probleme. Nehm ich einen Laptop wo noch der alte mstsc läuft klappt die Verbindung gleich. Terminal Session läuft über oben genannte Site 2 Site Verbindung. (Im normalen Netzwerk klappt die Verbindung zum Server mit dem neuen mstsc) Danke schon mal im voraus! Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 7. März 2007 Melden Teilen Geschrieben 7. März 2007 Ich glaub du hast den Easy VPN Server falsch konfiguriert. Wie stellen denn die Clients von daheim das VPN her? Mit Cisco Router oder VPN Clients? Zitieren Link zu diesem Kommentar
hompen 10 Geschrieben 7. März 2007 Autor Melden Teilen Geschrieben 7. März 2007 Der Easy VPN Server ist einfach nach standart eingestellt (über Wizard). Die User von daheim sollen dann über den Cisco VPN Client die Verbdindung herstellen. Paralell soll aber die Site 2 Site Verbdindung weiterlaufen können. Wenn ich den Tunnel testen tu, bringt er zum Schluss die Meldung, dass die Gegenseite zwar da ist aber wahrscheinlich die IKE Policies falsch seien. Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 7. März 2007 Melden Teilen Geschrieben 7. März 2007 Poste mal die Konfiguration bitte .. Zitieren Link zu diesem Kommentar
hompen 10 Geschrieben 7. März 2007 Autor Melden Teilen Geschrieben 7. März 2007 Nachfolgend mal die Konfig. Und zu dem anderen Problem mit der Terminal Session über VPN: Mit dem alten mstsc funktioniert es doch nicht mehr?!? Ich vermute, dass die Firewall eventuell etwas blockt. Hat vielleicht jemand Erfahrung damit? version 12.4 no service pad service tcp-keepalives-in service tcp-keepalives-out service timestamps debug datetime msec localtime show-timezone service timestamps log datetime msec localtime show-timezone service password-encryption service sequence-numbers ! hostname CiscoRH ! boot-start-marker boot-end-marker ! logging buffered 51200 debugging logging console critical enable secret 5 ********* ! aaa new-model ! ! aaa authentication login default local aaa authentication login sdm_vpn_xauth_ml_1 local aaa authentication login sdm_vpn_xauth_ml_2 local aaa authentication login sdm_vpn_xauth_ml_3 local aaa authorization exec default local aaa authorization network sdm_vpn_group_ml_1 local aaa authorization network sdm_vpn_group_ml_2 local aaa authorization network sdm_vpn_group_ml_3 local ! aaa session-id common ! resource policy ! clock timezone PCTime 1 clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00 ip subnet-zero no ip source-route ip cef ! ! ip inspect name DEFAULT100 cuseeme ip inspect name DEFAULT100 ftp ip inspect name DEFAULT100 h323 ip inspect name DEFAULT100 icmp ip inspect name DEFAULT100 netshow ip inspect name DEFAULT100 rcmd ip inspect name DEFAULT100 realaudio ip inspect name DEFAULT100 rtsp ip inspect name DEFAULT100 esmtp ip inspect name DEFAULT100 sqlnet ip inspect name DEFAULT100 streamworks ip inspect name DEFAULT100 tftp ip inspect name DEFAULT100 tcp ip inspect name DEFAULT100 udp ip inspect name DEFAULT100 vdolive ip tcp synwait-time 10 no ip bootp server ip domain name bvw.local ip name-server 217.237.151.161 ip name-server 192.168.100.10 ip ssh time-out 60 ip ssh authentication-retries 2 ! ! crypto pki trustpoint TP-self-signed-3893090004 enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-3893090004 revocation-check none rsakeypair TP-self-signed-3893090004 ! ! crypto pki certificate chain TP-self-signed-3893090004 certificate self-signed 01 ********* ********* ********* ********* ********* ********* ********* ********* ********* ********* ********* ********* quit username admin privilege 15 secret 5 ********* username idremote view SDM_EasyVPN_Remote secret 5 ********* ! ! ! crypto isakmp policy 1 encr 3des authentication pre-share group 2 ! crypto isakmp policy 2 encr 3des group 2 crypto isakmp key ********* address 0.0.0.0 0.0.0.0 ! crypto isakmp client configuration group BVW key ********* dns 192.168.100.10 wins 192.168.100.10 domain bvw.local pool SDM_POOL_1 save-password netmask 255.255.255.0 ! ! crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto ipsec transform-set ESP-3DES-SHA1 esp-3des esp-sha-hmac crypto ipsec transform-set ESP-3DES-SHA2 esp-3des esp-sha-hmac crypto ipsec transform-set ESP-3DES-SHA3 esp-3des esp-sha-hmac crypto ipsec transform-set ESP-3DES-SHA4 esp-3des esp-sha-hmac crypto ipsec transform-set ESP-3DES-SHA5 esp-3des esp-sha-hmac ! crypto dynamic-map SDM_DYNMAP_1 1 set transform-set ESP-3DES-SHA4 match address 105 crypto dynamic-map SDM_DYNMAP_1 2 set transform-set ESP-3DES-SHA5 reverse-route ! ! crypto map SDM_CMAP_1 client authentication list sdm_vpn_xauth_ml_3 crypto map SDM_CMAP_1 isakmp authorization list sdm_vpn_group_ml_3 crypto map SDM_CMAP_1 client configuration address respond crypto map SDM_CMAP_1 65535 ipsec-isakmp dynamic SDM_DYNMAP_1 ! ! Zitieren Link zu diesem Kommentar
hompen 10 Geschrieben 7. März 2007 Autor Melden Teilen Geschrieben 7. März 2007 ! interface BRI0 no ip address no ip redirects no ip unreachables no ip proxy-arp encapsulation hdlc ip route-cache flow shutdown ! interface ATM0 no ip address no ip redirects no ip unreachables no ip proxy-arp ip route-cache flow no atm ilmi-keepalive dsl operating-mode auto ! interface ATM0.1 point-to-point description $ES_WAN$$FW_OUTSIDE$ pvc 1/32 pppoe-client dial-pool-number 1 ! ! interface FastEthernet0 ! interface FastEthernet1 ! interface FastEthernet2 ! interface FastEthernet3 ! interface Vlan1 description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$ ip address 192.168.100.200 255.255.255.0 ip access-group 100 in no ip redirects no ip unreachables no ip proxy-arp ip nat inside ip virtual-reassembly ip route-cache flow ip tcp adjust-mss 1412 ! interface Dialer0 description $FW_OUTSIDE$ ip address 217.91.44.105 255.255.255.0 ip access-group 101 in no ip redirects no ip unreachables no ip proxy-arp ip mtu 1452 ip inspect DEFAULT100 out ip nat outside ip virtual-reassembly encapsulation ppp ip route-cache flow dialer pool 1 dialer-group 1 no cdp enable ppp authentication chap pap callin ppp chap hostname ********* ppp chap password 7 ********* ppp pap sent-username ********* password 7 ********* crypto map SDM_CMAP_1 ! ip local pool SDM_POOL_1 192.168.200.215 192.168.200.235 ip classless ip route 0.0.0.0 0.0.0.0 Dialer0 ip route 192.168.1.0 255.255.255.0 Dialer0 permanent ! ip http server ip http authentication local ip http secure-server ip http timeout-policy idle 5 life 86400 requests 10000 ip nat inside source route-map SDM_RMAP_1 interface Dialer0 overload ! logging trap debugging access-list 1 remark INSIDE_IF=Vlan1 access-list 1 remark SDM_ACL Category=2 access-list 1 permit 192.168.100.0 0.0.0.255 access-list 100 remark auto generated by Cisco SDM Express firewall configuration access-list 100 remark SDM_ACL Category=1 access-list 100 permit udp host 192.168.100.10 eq domain any access-list 100 deny ip 217.91.44.0 0.0.0.255 any access-list 100 deny ip host 255.255.255.255 any access-list 100 deny ip 127.0.0.0 0.255.255.255 any access-list 100 permit ip any any access-list 101 remark auto generated by Cisco SDM Express firewall configuration access-list 101 remark SDM_ACL Category=1 access-list 101 remark Auto generated by SDM for NTP (123) 1.de.pool.ntp.org access-list 101 permit udp host 84.16.227.163 eq ntp host 217.91.44.105 eq ntp access-list 101 remark Auto generated by SDM for NTP (123) 0.de.pool.ntp.org access-list 101 permit udp host 85.214.46.68 eq ntp host 217.91.44.105 eq ntp access-list 101 permit udp host 217.237.151.161 eq domain any access-list 101 remark TrendMicro Update access-list 101 permit tcp 192.168.1.0 0.0.0.255 eq 34962 192.168.100.0 0.0.0.255 eq 34962 access-list 101 remark Terminal Session access-list 101 permit tcp 192.168.1.0 0.0.0.255 eq 3389 192.168.100.0 0.0.0.255 eq 3389 access-list 101 remark IPSec Rule access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.100.0 0.0.0.255 Zitieren Link zu diesem Kommentar
hompen 10 Geschrieben 7. März 2007 Autor Melden Teilen Geschrieben 7. März 2007 access-list 101 permit udp any host 217.91.44.105 eq non500-isakmp access-list 101 permit udp any host 217.91.44.105 eq isakmp access-list 101 permit esp any host 217.91.44.105 access-list 101 permit ahp any host 217.91.44.105 access-list 101 permit udp host 217.237.151.161 eq domain host 217.91.44.105 access-list 101 permit udp host 192.168.100.10 eq domain host 217.91.44.105 access-list 101 deny ip 192.168.100.0 0.0.0.255 any access-list 101 permit icmp any host 217.91.44.105 echo-reply access-list 101 permit icmp any host 217.91.44.105 time-exceeded access-list 101 permit icmp any host 217.91.44.105 unreachable access-list 101 deny ip 10.0.0.0 0.255.255.255 any access-list 101 deny ip 172.16.0.0 0.15.255.255 any access-list 101 deny ip 192.168.0.0 0.0.255.255 any access-list 101 deny ip 127.0.0.0 0.255.255.255 any access-list 101 deny ip host 255.255.255.255 any access-list 101 deny ip host 0.0.0.0 any access-list 101 deny ip any any access-list 101 remark IPSec Rule access-list 102 remark SDM_ACL Category=2 access-list 102 remark IPSec Rule access-list 102 deny ip 192.168.100.0 0.0.0.255 192.168.1.0 0.0.0.255 access-list 102 remark IPSec Rule access-list 102 remark IPSec Rule access-list 102 deny ip any host 192.168.200.215 access-list 102 deny ip any host 192.168.200.216 access-list 102 deny ip any host 192.168.200.217 access-list 102 deny ip any host 192.168.200.218 access-list 102 deny ip any host 192.168.200.219 access-list 102 deny ip any host 192.168.200.220 access-list 102 deny ip any host 192.168.200.221 access-list 102 deny ip any host 192.168.200.222 access-list 102 deny ip any host 192.168.200.223 access-list 102 deny ip any host 192.168.200.224 access-list 102 deny ip any host 192.168.200.225 access-list 102 deny ip any host 192.168.200.226 access-list 102 deny ip any host 192.168.200.227 access-list 102 deny ip any host 192.168.200.228 access-list 102 deny ip any host 192.168.200.229 access-list 102 deny ip any host 192.168.200.230 access-list 102 deny ip any host 192.168.200.231 access-list 102 deny ip any host 192.168.200.232 access-list 102 deny ip any host 192.168.200.233 access-list 102 deny ip any host 192.168.200.234 access-list 102 deny ip any host 192.168.200.235 access-list 102 permit ip 192.168.100.0 0.0.0.255 any access-list 103 remark SDM_ACL Category=4 access-list 103 remark IPSec Rule access-list 103 permit ip 192.168.100.0 0.0.0.255 192.168.1.0 0.0.0.255 access-list 104 remark SDM_ACL Category=4 access-list 104 remark IPSec Rule access-list 104 permit ip 192.168.100.0 0.0.0.255 192.168.1.0 0.0.0.255 access-list 105 remark SDM_ACL Category=4 access-list 105 remark IPSec Rule access-list 105 permit ip 192.168.100.0 0.0.0.255 192.168.1.0 0.0.0.255 dialer-list 1 protocol ip permit no cdp run route-map SDM_RMAP_1 permit 1 match ip address 102 ! Nachfolgend würden noch Konsolen- und ntpeinstellungen kommen. Dies dürfte aber glaub ich relativ Banane sein? Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 7. März 2007 Melden Teilen Geschrieben 7. März 2007 <quote zu faul> ! crypto dynamic-map SDM_DYNMAP_1 1 set transform-set ESP-3DES-SHA4 match address 105 crypto dynamic-map SDM_DYNMAP_1 2 set transform-set ESP-3DES-SHA5 reverse-route ! ! crypto map SDM_CMAP_1 client authentication list sdm_vpn_xauth_ml_3 crypto map SDM_CMAP_1 isakmp authorization list sdm_vpn_group_ml_3 crypto map SDM_CMAP_1 client configuration address respond crypto map SDM_CMAP_1 65535 ipsec-isakmp dynamic SDM_DYNMAP_1 ! ! </quote zu faul> Die 105er is keine dynamic .. crypto map SDM_CMAP_1 10 ipsec-isakmp set transform-set ... set pfs group2 match address 105 crypto map SDM_CMAP_1 20 ipsec-isakmp dynamic SDM_DYNMAP_1 So circa sollte das aussehen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.