mels 10 Geschrieben 27. November 2007 Melden Teilen Geschrieben 27. November 2007 Hallo Leute! Ich habe eine Hauptfirmenniederlassung und eine Zweigniederlassung. Diese hängen über 2 Cisco Router über einen VPN-Tunnel miteinander zusammen. Auf den Router in der Hauptniederlassung ist ein Routing eingestellt alles was 10.130.0.x betrieft schicke an den die IP-Adresse 192.168.40.6 Hinter dieser IP-Adresse hängt noch ein Cisco Router der für eine weitere Standleitung im Netz hängt. In der Hauptniederlassung wird der IP-Adressen Bereich 192.168.40.xxx verwendet In der Zweigniederlasung 192.168.43.xxx Jetzt möchte ich von der Zweigniederlassung über die VPN-Verbindung alles was 10.130.0 betrifft auf den Router mit der IP: 192.168.40.6 weiterrouten? Geht das überhaupt? Und wie müßte da das Routing aussehen? Bin für jeden Tip dankbar! mfg Jörg Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 27. November 2007 Melden Teilen Geschrieben 27. November 2007 Du solltest schon von jedem Router jede IP auflisten und sagen was genau wo durchs VPN geht. Zitieren Link zu diesem Kommentar
mels 10 Geschrieben 27. November 2007 Autor Melden Teilen Geschrieben 27. November 2007 OK, entschuldigung, ich mach´s ausführlicher! Hautprouter 192.168.40.3 Nebenrouter 192.168.43.254 Router für Standleitung: 192.168.40.6 dieser Router geht ins Netz: 10.130.0.x das komplette Netz des Nebenrouter ist über einen VPN-Tunnel mit dem Hauptrouter verbunden Jetzt soll eben am Nebenrouter ein routing eingestellt werden das alles was 10.130.0.x ist auf den Hauptrouter geht und vom Hauptrouter auf den Router für die Standleitung. Und alles natürlich auch wieder retour. Ich hoffe ich hab mich jetzt verständlicher ausdgedrückt, wenn nicht bitte sagen! Zitieren Link zu diesem Kommentar
rob_67 10 Geschrieben 27. November 2007 Melden Teilen Geschrieben 27. November 2007 Hi, wie wärs mit einer kleinen Zeichnung?! Gruss rob Zitieren Link zu diesem Kommentar
mels 10 Geschrieben 27. November 2007 Autor Melden Teilen Geschrieben 27. November 2007 Hallo! Gerne, gibt es da vieleicht ein Tool womit man so was am besten machen kann? Vielen dank im Voraus! mfg jörg Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 27. November 2007 Melden Teilen Geschrieben 27. November 2007 Hi, das ist egal - notfalls reicht eine gescannte Handzeichnung. Zitieren Link zu diesem Kommentar
Userle 145 Geschrieben 27. November 2007 Melden Teilen Geschrieben 27. November 2007 hmmm, also wenn doch auf dem Hauptrouter eh alle Anfragen an das 10er Netz an den Standleitungsrouter gehen, dann sollte eigentlich alles was durch den Tunnel kommt auch dahin gehen. Notfalls eine 2. Route einrichten an dem Hauptrouter: 192.168.43.x -> 10.130.0.x zu 192.168.40.6 Wenn ich Deine Angaben richtig verstanden habe. Greetings Ralf Zitieren Link zu diesem Kommentar
mels 10 Geschrieben 27. November 2007 Autor Melden Teilen Geschrieben 27. November 2007 Hallo! Also hier mal eine Zeichnung ich hoffe das geht so! Zitieren Link zu diesem Kommentar
mels 10 Geschrieben 28. November 2007 Autor Melden Teilen Geschrieben 28. November 2007 Hallo! Und was muß ich tun damit man sich das Bild auch ansehen kann? Wer muß das Bild freigeben? Oder hab ich was falsch gemacht? mfg jörg Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 28. November 2007 Melden Teilen Geschrieben 28. November 2007 Also, in der IPSEC Policy von der Zweigstelle und Peer muss auch das Netz 10.130 definiert seit. Peer muss die Route zu 10.130 kennen, VPN Standleitungsrouter und 10.130 muss ebenfalls in der Policy das Netz von Zweigstelle drin haben und Standleitungsrouter muss route in Zweigniederleitungsnetz kennen. Zitieren Link zu diesem Kommentar
hforster 10 Geschrieben 28. November 2007 Melden Teilen Geschrieben 28. November 2007 Hi Router Neben-192.168.43.254 + route 10.130.0.0 zu Haupt-192.168.40.3 Router Haupt-192.168.40.3 kennt route zu 10.130.0.0 und Neben-192.168.43.254 Router Standleitungsrouter-192.168.40.6 kennt route zu 10.130.0.0 + route Neben-192.168.43.254 zu Haupt-192.168.40.3 Router 10.130.0.0 + route Neben-192.168.43.254 zu Standleitungsrouter-192.168.40.6 IPSEC Policy nicht vergessen have a nice day Zitieren Link zu diesem Kommentar
mels 10 Geschrieben 1. Januar 2008 Autor Melden Teilen Geschrieben 1. Januar 2008 Hallo! Ich hab leider immer noch ein großes problem mit diesem Routing: Ich poste mal die Konfig vom Hauptrouter und vom Nebenrouter Hauptrouter: This is the running config of the router: 192.168.40.3 interface Null0 no ip unreachables interface Ethernet0 description $ETH-SW-LAUNCH$$ETH-LAN$$FW_INSIDE$ LAN ip address 192.168.40.3 255.255.255.0 ip access-group LAN_in in no ip redirects no ip unreachables no ip proxy-arp ip nat inside ip virtual-reassembly ip route-cache flow no cdp enable interface Ethernet1 description $FW_OUTSIDE$$ETH-WAN$WAN to xDSL ip address xx.120.xx.xx 255.255.255.240 ip access-group WAN_in in ip verify unicast reverse-path no ip redirects no ip unreachables no ip proxy-arp ip nat outside ip inspect MyFW out ip virtual-reassembly no ip route-cache cef no ip route-cache no ip mroute-cache duplex auto no cdp enable crypto map SDM_CMAP_1 interface FastEthernet1 no ip address duplex auto speed auto interface FastEthernet2 no ip address duplex auto speed auto interface FastEthernet3 no ip address duplex auto speed auto interface FastEthernet4 no ip address duplex auto speed auto ip local pool SDM_POOL_1 192.168.41.1 ip local pool SDM_POOL_2 192.168.41.2 192.168.41.254 ip classless ip route 0.0.0.0 0.0.0.0 80.120.35.25 ip route 10.130.0.0 255.255.0.0 192.168.40.6 ip http server ip http access-class 1 ip http authentication local ip http secure-server ip nat inside source static tcp 192.168.40.2 25 interface Ethernet1 25 ip nat inside source route-map NAT-RMAP interface Ethernet1 overload ip access-list extended CFG_vty remark SDM_ACL Category=1 permit ip 192.168.40.0 0.0.0.255 any ip access-list extended LAN_in remark Verbindung LAN remark SDM_ACL Category=1 deny ip xx.xx.35.xx 0.0.0.3 any deny ip host 255.255.255.255 any deny ip 127.0.0.0 0.255.255.255 any permit tcp host 192.168.40.2 any permit udp host 192.168.40.2 any eq domain permit udp host 192.168.40.2 any eq ntp permit tcp host 192.168.40.4 any permit udp host 192.168.40.4 any eq domain permit udp host 192.168.40.4 any eq ntp permit tcp host 192.168.40.5 any permit udp host 192.168.40.5 any eq domain permit udp host 192.168.40.5 any eq ntp permit tcp host 192.168.40.108 any permit tcp host 192.168.40.104 any permit tcp host 192.168.40.101 any permit tcp host 192.168.40.110 any permit udp host 192.168.40.108 any eq domain permit udp host 192.168.40.104 any eq domain permit udp host 192.168.40.110 any eq domain permit udp host 192.168.40.104 any eq ntp permit udp host 192.168.40.108 any eq ntp permit udp host 192.168.40.110 any eq ntp permit ip 192.168.40.0 0.0.0.255 192.168.41.0 0.0.0.255 permit ip 192.168.40.0 0.0.0.255 192.168.43.0 0.0.0.255 permit ip 192.168.40.0 0.0.0.255 192.168.42.0 0.0.0.255 permit ip 192.168.40.0 0.0.0.255 host 8x.xxx.xx permit ip 192.168.40.0 0.0.0.255 10.130.0.0 0.0.255.255 permit ip 192.168.43.0 0.0.0.255 10.130.0.0 0.0.255.255 permit ip 192.168.40.0 0.0.0.255 192.168.1.0 0.0.0.255 permit tcp 192.168.40.0 0.0.0.255 host 192.168.40.3 eq telnet permit tcp 192.168.40.0 0.0.0.255 host 192.168.40.3 eq 22 permit tcp 192.168.40.0 0.0.0.255 host 192.168.40.3 eq www permit tcp 192.168.40.0 0.0.0.255 host 192.168.40.3 eq 443 deny ip any any log ip access-list extended NO-NAT1 remark SDM_ACL Category=2 deny ip 192.168.40.0 0.0.0.255 192.168.43.0 0.0.0.255 deny ip 192.168.40.0 0.0.0.255 xx.120.xx.xx 0.0.0.3 deny ip 192.168.40.0 0.0.0.255 host xx.223.xx.xx deny ip 192.168.40.0 0.0.0.255 192.168.41.0 0.0.0.255 deny ip 192.168.40.0 0.0.0.255 192.168.42.0 0.0.0.255 deny ip 192.168.40.0 0.0.0.255 192.168.1.0 0.0.0.255 permit ip 192.168.40.0 0.0.0.255 any ip access-list extended VPN remark SDM_ACL Category=4 permit ip 192.168.40.0 0.0.0.255 192.168.42.0 0.0.0.255 ip access-list extended VPN Zitieren Link zu diesem Kommentar
mels 10 Geschrieben 1. Januar 2008 Autor Melden Teilen Geschrieben 1. Januar 2008 zweiter Teil Hauptrouter: remark SDM_ACL Category=4 permit ip 192.168.40.0 0.0.0.255 host xx.xxx.xx.x ip access-list extended VPN- remark SDM_ACL Category=4 permit ip 192.168.40.0 0.0.0.255 192.168.43.0 0.0.0.255 ip access-list extended VPN- remark VPN zu remark SDM_ACL Category=4 permit ip 192.168.40.0 0.0.0.255 192.168.1.0 0.0.0.255 ip access-list extended WAN_in remark Verbindung vom remark SDM_ACL Category=1 permit ahp host 8x.xxx.xx host 8x.xxx.xx permit esp host 8x.xxx.xx host 8x.xxx.xx permit udp host 8x.xxx.xx host 8x.xxx.xx eq isakmp permit udp host 8x.xxx.xx host 8x.xxx.xx eq non500-isakmp permit ip host 8x.xxx.xx 192.168.40.0 0.0.0.255 permit ip 10.130.0.0 0.0.255.255 192.168.40.0 0.0.0.255 permit ip 10.130.0.0 0.0.255.255 192.168.43.0 0.0.0.255 permit ahp host 2x.xxx.xx host 8x.xxx.xx permit esp host 2x.xxx.xx host 8x.xxx.xx permit udp host 2x.xxx.xx host 8x.xxx.xx eq isakmp permit udp host 2x.xxx.xx host 8x.xxx.xx eq non500-isakmp permit ip 192.168.1.0 0.0.0.255 192.168.40.0 0.0.0.255 permit udp any host 8x.xxx.xx eq non500-isakmp permit udp any host 8x.xxx.xx eq isakmp permit esp any host 8x.xxx.xx permit ahp any host 8x.xxx.xx permit udp host 192.5.41.41 eq ntp host 8x.xxx.xx eq ntp permit udp host 192.5.41.209 eq ntp host 8x.xxx.xx eq ntp permit ahp host 2x.xxx.xx host 8x.xxx.xx permit esp host 2x.xxx.xx host 8x.xxx.xx permit udp host 2x.xxx.xx host 8x.xxx.xx eq isakmp permit udp host 2x.xxx.xx host 8x.xxx.xx eq non500-isakmp permit icmp any host 8x.xxx.xx echo-reply permit icmp any host 8x.xxx.xx time-exceeded permit icmp any host 8x.xxx.xx unreachable permit tcp any host 8x.xxx.xx eq smtp remark Lotus permit tcp any gt 1400 host 8x.xxx.xx eq 1352 permit ip 192.168.41.0 0.0.0.255 192.168.40.0 0.0.0.255 permit ip 192.168.43.0 0.0.0.255 192.168.40.0 0.0.0.255 permit ip 192.168.42.0 0.0.0.255 192.168.40.0 0.0.0.255 deny ip 192.168.40.0 0.0.0.255 any deny ip 10.0.0.0 0.255.255.255 any deny ip 172.16.0.0 0.15.255.255 any deny ip 192.168.0.0 0.0.255.255 any deny ip 127.0.0.0 0.255.255.255 any deny ip host 255.255.255.255 any deny ip host 0.0.0.0 any deny ip any any log access-list 1 remark SDM_ACL Category=1 access-list 1 remark HTTP Access-class list access-list 1 permit 192.168.40.0 0.0.0.255 access-list 1 deny any no cdp run route-map NAT-RMAP permit 10 match ip address NO-NAT1 Zitieren Link zu diesem Kommentar
mels 10 Geschrieben 1. Januar 2008 Autor Melden Teilen Geschrieben 1. Januar 2008 Und der Nebenrouter: This is the running config of the router: 192.168.43.254 crypto map SDM_CMAP_1 local-address Dialer0 crypto map SDM_CMAP_1 2 ipsec-isakmp description Tunnel VPN-Eco-Sbg set peer 8x.xxx.xx set transform-set c-3des-sha match address EcoVPN crypto map SDM_CMAP_1 5 ipsec-isakmp description VPN-Mels set peer 8x.xxx.xx set transform-set c-3des-sha match address EcoVPN interface BRI0 no ip address no ip redirects no ip unreachables no ip proxy-arp encapsulation hdlc ip route-cache flow shutdown interface ATM0 no ip address no ip redirects no ip unreachables no ip proxy-arp ip route-cache flow no atm ilmi-keepalive dsl operating-mode auto interface ATM0.1 point-to-point description $ES_WAN$$FW_OUTSIDE$ pvc 1/32 pppoe-client dial-pool-number 1 interface FastEthernet0 interface FastEthernet1 interface FastEthernet2 interface FastEthernet3 interface Dot11Radio0 no ip address no ip redirects no ip unreachables no ip proxy-arp ip route-cache flow shutdown speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0 station-role root interface Vlan1 description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$ ip address 192.168.43.254 255.255.255.0 ip access-group 100 in no ip redirects no ip unreachables no ip proxy-arp ip nat inside ip virtual-reassembly ip route-cache flow ip tcp adjust-mss 1412 interface Dialer0 description $FW_OUTSIDE$ ip ddns update sdm_ddns1 ip address negotiated ip access-group 101 in no ip redirects no ip unreachables no ip proxy-arp ip mtu 1452 ip inspect DEFAULT100 out ip nat outside ip virtual-reassembly encapsulation ppp ip route-cache flow dialer pool 1 dialer-group 1 no cdp enable ppp authentication chap pap callin ppp chap hostname feste-ip4/@t-online-com.de ppp chap password 7 ppp pap sent-username feste-ip4/J@t-online-com.de password 7 crypto map SDM_CMAP_1 ip local pool SDM_POOL_1 192.168.44.2 192.168.44.254 ip classless ip route 0.0.0.0 0.0.0.0 Dialer0 ip route 10.130.0.0 255.255.0.0 192.168.40.3 ip http server ip http authentication local ip http secure-server ip http timeout-policy idle 60 life 86400 requests 10000 ip nat inside source route-map SDM_RMAP_1 interface Dialer0 overload ip access-list extended EcoVPN permit ip 192.168.43.0 0.0.0.255 192.168.40.0 0.0.0.255 ip access-list extended NO-NAT remark SDM_ACL Category=2 deny ip 192.168.43.0 0.0.0.255 host 8x.xxx.xx deny ip 192.168.43.0 0.0.0.255 192.168.40.0 0.0.0.255 deny ip 192.168.43.0 0.0.0.255 192.168.44.0 0.0.0.255 Zitieren Link zu diesem Kommentar
mels 10 Geschrieben 1. Januar 2008 Autor Melden Teilen Geschrieben 1. Januar 2008 permit ip 192.168.43.0 0.0.0.255 any logging trap debugging access-list 1 remark INSIDE_IF=Vlan1 access-list 1 remark SDM_ACL Category=2 access-list 1 permit 192.168.43.0 0.0.0.255 access-list 100 remark auto generated by Cisco SDM Express firewall configuration access-list 100 remark SDM_ACL Category=1 access-list 100 permit udp host 192.168.43.254 eq domain any access-list 100 permit ip 192.168.43.0 0.0.0.255 10.130.0.0 0.0.0.255 access-list 100 permit ip 192.168.43.0 0.0.0.255 192.168.40.0 0.0.0.255 access-list 100 deny ip host 255.255.255.255 any access-list 100 deny ip 127.0.0.0 0.255.255.255 any access-list 100 permit ip any any access-list 101 remark auto generated by Cisco SDM Express firewall configuration access-list 101 remark SDM_ACL Category=1 access-list 101 permit udp host 8x.xxx.xx any eq non500-isakmp access-list 101 permit udp host 8x.xxx.xx any eq isakmp access-list 101 permit esp host 8x.xxx.xx any access-list 101 permit ahp host 8x.xxx.xx any access-list 101 remark VPN access-list 101 permit ip 192.168.40.0 0.0.0.255 192.168.43.0 0.0.0.255 access-list 101 remark VPN access-list 101 permit ip 10.130.0.0 0.0.255.255 192.168.43.0 0.0.0.255 access-list 101 permit udp host 8x.xxx.xx 192.168.43.0 0.0.0.255 eq non500-isakmp access-list 101 permit udp host 8x.xxx.xx 192.168.43.0 0.0.0.255 eq isakmp access-list 101 permit esp host 8x.xxx.xx 192.168.43.0 0.0.0.255 access-list 101 permit ahp host 8x.xxx.xx 192.168.43.0 0.0.0.255 access-list 101 remark IPSec Rule access-list 101 permit ip host 8x.xxx.xx 192.168.43.0 0.0.0.255 access-list 101 permit udp host 8x.xxx.xx any eq non500-isakmp access-list 101 permit udp host 8x.xxx.xx any eq isakmp access-list 101 permit esp host 8x.xxx.xx any access-list 101 permit ahp host 8x.xxx.xx any access-list 101 deny ip 192.168.43.0 0.0.0.255 any access-list 101 permit icmp any any echo-reply access-list 101 permit icmp any any time-exceeded access-list 101 permit icmp any any unreachable access-list 101 remark http access-list 101 permit tcp any eq 1023 any eq www access-list 101 remark https access-list 101 permit tcp any eq 1023 any eq 443 access-list 101 deny ip 10.0.0.0 0.255.255.255 any access-list 101 deny ip 172.16.0.0 0.15.255.255 any access-list 101 deny ip 192.168.0.0 0.0.255.255 any access-list 101 deny ip 127.0.0.0 0.255.255.255 any access-list 101 deny ip host 255.255.255.255 any access-list 101 deny ip host 0.0.0.0 any access-list 101 deny ip any any access-list 102 remark SDM_ACL Category=4 access-list 102 remark IPSec Rule access-list 102 permit ip 192.168.43.0 0.0.0.255 192.168.40.0 0.0.0.255 access-list 103 remark SDM_ACL Category=2 access-list 103 deny ip 192.168.43.0 0.0.0.255 192.168.40.0 0.0.0.255 access-list 103 permit ip 192.168.43.0 0.0.0.255 any access-list 104 remark SDM_ACL Category=4 access-list 104 remark IPSec Rule access-list 104 permit ip 192.168.43.0 0.0.0.255 xx.xx.xx.0 0.0.0.7 access-list 105 remark SDM_ACL Category=4 access-list 105 remark IPSec Rule access-list 105 permit ip 192.168.43.0 0.0.0.255 192.168.40.0 0.0.0.255 dialer-list 1 protocol ip permit no cdp run route-map SDM_RMAP_1 permit 1 match ip address 103 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.