mels 10 Geschrieben 1. Januar 2008 Autor Melden Teilen Geschrieben 1. Januar 2008 Hallo! Und wenn ich ein tracert aufrufen aus dem Netz des Nebenrouters auf die ip adresse 10.130.1.5 kommt folgendes: http://www.mels.at/hp/bilder/tracert_verleinix.gif Zitieren Link zu diesem Kommentar
mels 10 Geschrieben 2. Januar 2008 Autor Melden Teilen Geschrieben 2. Januar 2008 Hallo! Wenn ich aus dem Hauptnetz ein Tracert aufrufe, dann schaut das so aus: C:\>tracert 10.130.1.5 Routenverfolgung zu VERLEIHNIX [10.130.1.5] über maxima 1 2 ms 2 ms 2 ms 192.168.40.3 2 1 ms 1 ms 1 ms 192.168.40.6 3 88 ms 27 ms 10 ms 172.28.128.21 4 21 ms 20 ms 21 ms 172.28.128.13 5 20 ms 20 ms 20 ms 172.28.128.14 6 22 ms 21 ms 24 ms VERLEIHNIX [10.130.1.5] aber aus dem Nebennetz geht er nicht mal auf den Hauptrouter sondern irgenwo hin! C:\>tracert 10.130.1.5 Routenverfolgung zu verleinix [10.130.1.5] ber maximal 30 Abschnitte: 1 1 ms <1 ms <1 ms 192.168.43.254 2 68 ms 70 ms 66 ms 217.5.98.7 3 217.237.155.90 meldet: Zielhost nicht erreichbar. Was mach ich da falsch Bin für jeden Tip dankbar Vielen dank im Voraus! Zitieren Link zu diesem Kommentar
rob_67 10 Geschrieben 2. Januar 2008 Melden Teilen Geschrieben 2. Januar 2008 Hi, dein Routing scheint nicht übers VPN zu laufen sondern direkt ins Internet... --->Config Nebenrouter! Schau mal, ob du matches auf deinen VPN ACLs hast... Wo ist das 10er Netz : ip access-list extended EcoVPN permit ip 192.168.43.0 0.0.0.255 192.168.40.0 0.0.0.255 Versuch mal, ob du ins 192.168.40.0 er Netz kommst! Gruss rob Zitieren Link zu diesem Kommentar
mels 10 Geschrieben 2. Januar 2008 Autor Melden Teilen Geschrieben 2. Januar 2008 Hallo! Danke für deine Hilfe! Aber was muß ich machen damit es über denn Tunnel läuft? Muß ich da beim Routing was anderes angeben? Wie kann ich angeben das er über den Tunnel gehen muß? ip route 0.0.0.0 0.0.0.0 Dialer0 ip route 10.130.0.0 255.255.0.0 192.168.40.3 muß ich da auch auf den Dailer0 gehen ip route 0.0.0.0 0.0.0.0 Dialer0 ip route 10.130.0.0 255.255.0.0 Dialer0 Vielen dank im Voraus! mfg jörg Zitieren Link zu diesem Kommentar
rob_67 10 Geschrieben 2. Januar 2008 Melden Teilen Geschrieben 2. Januar 2008 Hi, wie gesagt, ich würde an der Stelle ACL fürs VPN ansetzen und schauen, daß die auch fürs 10er Netz funzt. (ich habe den vorigen Beitrag noch editiert) Gruss rob Zitieren Link zu diesem Kommentar
mels 10 Geschrieben 2. Januar 2008 Autor Melden Teilen Geschrieben 2. Januar 2008 Hallo! Ja, habs leider erst jetzt gesehen, also ins 192.168.40.2 komme ich zB. C:\>tracert 192.168.40.2 Routenverfolgung zu atserver1 [192.168.40.2] ber maximal 30 Abschnitte: 1 1 ms <1 ms <1 ms 192.168.43.254 2 * * * Zeitberschreitung der Anforderung. 3 101 ms 105 ms 123 ms atprogass1 [192.168.40.2] wo und wie sehe ich am besten ob ich matches auf der ACL habe? Tut mir leid, ich stehe leider ein bischen daneben. Vielen dank im Voraus! mfg jörg Zitieren Link zu diesem Kommentar
rob_67 10 Geschrieben 2. Januar 2008 Melden Teilen Geschrieben 2. Januar 2008 Hi, mach ein show access-list. Die Zahl in der Klammer zeigt die matches. sh access-l 2 Standard IP access list 2 10 permit 172.20.10.38 20 permit 172.20.0.106 (10 matches) Ergänze in deiner VPN ACL das 10 er Netz auf beiden Seiten. Dann sollten die Pakete übers VPN laufen. ip access-list extended EcoVPN permit ip 192.168.43.0 0.0.0.255 192.168.40.0 0.0.0.255 permit ip 192.168.43.0 0.0.0.255 10.130.0.0 0.0.255.255 Die zweite Zeile sollte dann auch matches haben! gruss rob Zitieren Link zu diesem Kommentar
mels 10 Geschrieben 3. Januar 2008 Autor Melden Teilen Geschrieben 3. Januar 2008 Hallo! hier die Liste: und wenn ich jetzt ein tracert mache schaut es so aus: C:\>tracert 10.130.1.5 Routenverfolgung zu verleinix [10.130.1.5] ber maximal 30 Abschnitte 1 1 ms 1 ms <1 ms 192.168.43.254 2 * * * Zeitberschreitung der Anforderung. 3 105 ms 105 ms 106 ms 192.168.40.6 4 * * * Zeitberschreitung der Anforderung. 5 * * * Zeitberschreitung der Anforderung. 6 * * * Zeitberschreitung der Anforderung. Nur es kommt nichts mehr zurück! Heist das, das am 192.168.40.6 Router irgendwas falsch eingestellt ist oder? Standard IP access list 1 10 permit 192.168.43.0, wildcard bits 0.0.0.255 Extended IP access list 100 10 permit udp host 192.168.43.254 eq domain any 20 permit ip 192.168.43.0 0.0.0.255 10.130.0.0 0.0.0.255 30 permit ip 192.168.43.0 0.0.0.255 192.168.40.0 0.0.0.255 (9296 matches) 40 deny ip host 255.255.255.255 any 50 deny ip 127.0.0.0 0.255.255.255 any 60 permit ip any any (7195 matches) Extended IP access list 101 10 permit udp host xx.xxx.35.xx any eq non500-isakmp 20 permit udp host xx.xxx.35.xx any eq isakmp (5859 matches) 30 permit esp host xx.xxx.35.xx any (365948 matches) 40 permit ahp host xx.xxx.35.xx any 50 permit udp host 217.237.150.205 eq domain any (63 matches) 60 permit udp host 217.237.149.142 eq domain any (51 matches) 70 permit udp host 192.5.41.209 eq ntp any eq ntp (31560 matches) 80 permit udp host 192.5.41.41 eq ntp any eq ntp (28296 matches) 90 permit ip 192.168.40.0 0.0.0.255 192.168.43.0 0.0.0.255 100 permit ip 10.130.0.0 0.0.255.255 192.168.43.0 0.0.0.255 110 permit udp host xx.xxx.35.xx 192.168.43.0 0.0.0.255 eq non500-isakmp 120 permit udp host xx.xxx.35.xx 192.168.43.0 0.0.0.255 eq isakmp 130 permit esp host xx.xxx.35.xx 192.168.43.0 0.0.0.255 140 permit ahp host xx.xxx.35.xx 192.168.43.0 0.0.0.255 150 permit ip host xx.xxx.83.xx 192.168.43.0 0.0.0.255 160 permit udp host xx.xxx.83.xx any eq non500-isakmp 170 permit udp host xx.xxx.83.xx any eq isakmp (18 matches) 180 permit esp host xx.xxx.83.xx any 190 permit ahp host xx.xxx.83.xx any 200 deny ip 192.168.43.0 0.0.0.255 any 210 permit icmp any any echo-reply 220 permit icmp any any time-exceeded 230 permit icmp any any unreachable (24 matches) 240 permit tcp any eq 1023 any eq www 250 permit tcp any eq 1023 any eq 443 260 deny ip 10.0.0.0 0.255.255.255 any (12 matches) 270 deny ip 172.16.0.0 0.15.255.255 any (12 matches) 280 deny ip 192.168.0.0 0.0.255.255 any (12 matches) 290 deny ip 127.0.0.0 0.255.255.255 any 300 deny ip host 255.255.255.255 any 310 deny ip host 0.0.0.0 any 320 deny ip any any (30349 matches) Extended IP access list 102 10 permit ip 192.168.43.0 0.0.0.255 192.168.40.0 0.0.0.255 Extended IP access list 103 10 deny ip 192.168.43.0 0.0.0.255 10.130.0.0 0.0.255.255 (544 matches) 20 deny ip 192.168.43.0 0.0.0.255 192.168.40.0 0.0.0.255 (35452 matches) 30 permit ip 192.168.43.0 0.0.0.255 any (1333 matches) Extended IP access list 104 10 permit ip 192.168.43.0 0.0.0.255 81.223.83.0 0.0.0.7 Extended IP access list 105 10 permit ip 192.168.43.0 0.0.0.255 192.168.40.0 0.0.0.255 Extended IP access list EcoVPN 10 permit ip 192.168.43.0 0.0.0.255 192.168.40.0 0.0.0.255 (1449163 matches) 20 permit ip 192.168.43.0 0.0.0.255 10.130.0.0 0.0.255.255 (544 matches) Extended IP access list NO-NAT 10 deny ip 192.168.43.0 0.0.0.255 host xx.xxx.83.xx 20 deny ip 192.168.43.0 0.0.0.255 192.168.40.0 0.0.0.255 30 deny ip 192.168.43.0 0.0.0.255 192.168.44.0 0.0.0.255 40 permit ip 192.168.43.0 0.0.0.255 any Zitieren Link zu diesem Kommentar
rob_67 10 Geschrieben 3. Januar 2008 Melden Teilen Geschrieben 3. Januar 2008 Hi, denke mal das das beim zweiten VPN das gleiche ist?! beim richtigen Router kommst du an, d.h. du müsstest prüfen, ob dort die Route bekannt ist und ob die Pakete ins VPN gehen, wenn ja, das gleiche auf der Gegenseite für die Rückpakete prüfen! Und nochmal schauen, ob da vielleicht irgendwo NAT im Spiel ist, möglicherweise wird nicht die original source verwendet? Gruss rob Zitieren Link zu diesem Kommentar
mels 10 Geschrieben 3. Januar 2008 Autor Melden Teilen Geschrieben 3. Januar 2008 Hallo! Also jetzt schaut es so aus: Router Nebenstelle: Sh Access-list: Extended IP access list EcoVPN 10 permit ip 192.168.43.0 0.0.0.255 192.168.40.0 0.0.0.255 (725 matches) 20 permit ip 192.168.43.0 0.0.0.255 10.130.0.0 0.0.255.255 (82 matches) ip classless ip route 0.0.0.0 0.0.0.0 Dialer0 ip route 10.130.0.0 255.255.0.0 ATM0.1 ip access-list extended EcoVPN permit ip 192.168.43.0 0.0.0.255 192.168.40.0 0.0.0.255 permit ip 192.168.43.0 0.0.0.255 10.130.0.0 0.0.255.255 Hauptrouter Sh Access-list: Extended IP access list VPN-Neben 10 permit ip 192.168.40.0 0.0.0.255 192.168.43.0 0.0.0.255 (98 matches) 20 permit ip 192.168.40.0 0.0.0.255 10.130.0.0 0.0.255.255 ip access-list extended VPN-Neben remark SDM_ACL Category=4 permit ip 192.168.40.0 0.0.0.255 192.168.43.0 0.0.0.255 permit ip 192.168.40.0 0.0.0.255 10.130.0.0 0.0.255.255 Also irgendwie kommt beim Hauptrouter nichts mehr zurück. Was kann ich da am Hautprouter noch prüfen ob alles über den Tunnel läuft? Danke für Deine Hilfe! Zitieren Link zu diesem Kommentar
rob_67 10 Geschrieben 3. Januar 2008 Melden Teilen Geschrieben 3. Januar 2008 Hi, nochmal, die matches stehen in der Klammer! keine Klammer, keine matches... änder mal die zweite Zeile der ACL auf dem Hauptrouter um: 20 permit ip 192.168.40.0 0.0.0.255 10.130.0.0 0.0.255.255 sollte sein permit ip 10.130.0.0 0.0.255.255 192.168.43.0 0.0.0.255 ACL löschen und komplett neu schreiben! Dann testen und nach matches schauen. Mit traces siehst du ziemlich gut, ob die Tunnel benutzt werden oder obs normal ins Internet geroutet wird. Gruss rob Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.