IPSec-Tunnel (Site-To-Site) mit Cisco 876

[MaikUnger 10]

Hallo liebe Mitglieder,

 

Ich versuche seit Tagen einen Site-To-Site Tunnel mit IPSec aufzubauen. Ich habe 2 Netzwerke:

 

10.10.10.0/28 WLAN-Netz

192.168.254.0/28 LAN-Netz

 

Diese beiden Netzwerke sollen auf das entfernte Netz (172.17.11.80/28) zugreifen über IPSec-Tunnel. Das Netz 172.17.11.80/28 wird mit einer festen IP-Adresse angesprochen, die andere Seite ist dynamisch.

 

Der Zugriff aus dem 192.168.254.0/28 Netz in das 172.17.11.80/28 Netz funktioniert ohne Probleme. Aber aus dem WLAN-Netz baut sich kein IPSec-Tunnel auf. :-((

 

 

Wer hat eine Idee, woran das liegen könnte?

 

Viele Grüße,

 

Maik Unger

[Wordo 11]

Config? Logs?

[rob_67 10]

Hi,

 

 

deine crypto list ? bei den iossen die ich z.b. auf 7500 er routern getestet habe, zieht nur der erste eintrag in der list . (bug?)

 

 

gruss

 

rob

[MaikUnger 10]

Hier die Config (auszugsweise):

 

interface Dot11Radio0.1

encapsulation dot1Q 1 native

ip address 10.10.10.1 255.255.255.240

ip access-group sdm_dot11radio0.1_in_100 in

ip access-group sdm_dot11radio0.1_out_100 out

ip nat inside

ip virtual-reassembly

no snmp trap link-status

no cdp enable

!

interface Vlan1

description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$

ip address 192.168.254.1 255.255.255.240

ip access-group 100 in

ip access-group sdm_vlan1_out out

ip nat inside

ip virtual-reassembly

ip tcp adjust-mss 1412

!

 

crypto map SDM_CMAP_1 1 ipsec-isakmp

description Tunnel to0.0.0.0

set peer 0.0.0.0

set security-association lifetime seconds 600

set transform-set Firma-ASU

set pfs group2

match address 105

reverse-route

crypto map SDM_CMAP_1 65535 ipsec-isakmp dynamic SDM_DYNMAP_1

 

access-list 105 remark SDM_ACL Category=4

access-list 105 remark Home Verl WLAN

access-list 105 permit ip 0.0.0.0 255.255.255.240 0.0.0.0 255.255.255.240

access-list 105 remark Home Verl LAN

[Wordo 11]

Wenn das entfernte Netz eine statische IP hat, wieso konfigurierst du sie dann nicht fest rein?

[MaikUnger 10]

Habe ich gemacht, die IP wurde hier nur ausgeblendet ;-) (0.0.0.0)

[Wordo 11]

Aber wenn du die ACLs vernullst kann man auch schlecht einen Fehler erkennen ;)

[MaikUnger 10]

10.10.10.0/28 WLAN-Netz

192.168.254.0/28 LAN-Netz

 

access-list 105 permit ip 192.168.254.0 255.255.255.240 172.17.11.80 255.255.255.240

access-list 105 permit ip 10.10.10.0 255.255.255.240 172.17.11.80 255.255.255.240

[Wordo 11]

access-list immer mit !wildmask! (0.0.0.15)

[MaikUnger 10]

so wäre es dann wohl richtig?

 

access-list 105 permit ip 0.0.0.15 255.255.255.240 0.0.0.15 255.255.255.240

[Wordo 11]

nein, so:

 

access-list 105 permit ip 192.168.254.0 0.0.0.15 172.17.11.80 0.0.0.15

access-list 105 permit ip 10.10.10.0 0.0.0.15 172.17.11.80 0.0.0.15

[MaikUnger 10]

und auf der gegenseite dasselbe spiel nur spiegelverkehrt?

[Wordo 11]

Jop ..

[MaikUnger 10]

wäre es im allgemeinen besser alles auf dem terminal zu bearbeiten als mit sdm?

[Wordo 11]

Prinzipiell ja, geht schneller und is uebersichtlicher (wenn mans gewohnt ist). Ausserdem wirste hier nich viel Support fuer SDM bekommen. ;)