Thomas L. 10 Geschrieben 28. Juni 2008 Melden Teilen Geschrieben 28. Juni 2008 Hi Ich bin derzeit auf der Suche nach brauchbarer Dokumentation zum Einrichten eines Access VPNs. Sprich: Benutzer sollen sich von einem beliebigen Standort entweder mit dem Vista eigenen Client oder mit dem Cisco Client (Unterschiede müssen erst noch eruiert werden) verbinden und dann "im Firmeninternen Netz sein". Nun meine Frage: Gibt es dazu (v.a. auch was die Einrichtung dazu betrifft) irgendwo Literatur, die man sich ausdrucken kann? Das hier habe ich gefunden: Cisco IOS Security Configuration Guide, Release 12.4 [Cisco IOS Software Releases 12.4 Mainline] - Cisco Systems Schaut eigentlich recht gut aus, nur zum Ausdrucken und unterwegs lesen ists nicht geeignet. Gibt es sowas vielleicht auch in fix fertiger PDF Form? ODER Kennt sonst wer ein gutes Buch zu diesem Thema? Herzlichen Dank :) Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 28. Juni 2008 Melden Teilen Geschrieben 28. Juni 2008 Hallo, was hast du den für "Endgerät" auf der Firmenseite - Router mit IOS, ASA , PIX , Concentrator ??? Dementsprechend kann ich mal schauen ob ich da was habe. Zitieren Link zu diesem Kommentar
Thomas L. 10 Geschrieben 28. Juni 2008 Autor Melden Teilen Geschrieben 28. Juni 2008 Hi .. Endgerät wäre ein Cisco 1811 mit (glaub ich) IOS 12.4 (zumindest aber 12.3) Wär super wenn du das hättest - habe eine längere Zugfahrt vor mir uns wenns nichts wird, muss ich mir halt die Mühe machen und die ganze Seiten einzeln abspeichern :( ... Mit automatisierten Tools hab ichs leider nicht geschafft - das Redirect verwirrt die meisten :( Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 28. Juni 2008 Melden Teilen Geschrieben 28. Juni 2008 Hi, schau mal hier und lade dir die PDF´s : Configuring an IPsec Router Dynamic LAN-to-LAN Peer and VPN Clients - Cisco Systems Configuring IPSec Between a Cisco IOS Router and a Cisco VPN Client 4.x for Windows Using RADIUS for User Authentication - Cisco Systems Configuring Router to VPN Client, Mode-Config, Wild-Card Pre-Shared Key with NAT - Cisco Systems IOS IPSec NAT Transparency with VPN Client Configuration Example - Cisco Systems Zitieren Link zu diesem Kommentar
Thomas L. 10 Geschrieben 29. Juni 2008 Autor Melden Teilen Geschrieben 29. Juni 2008 Ah, danke - das schaut schonmal ganz gut aus :) Zitieren Link zu diesem Kommentar
lexus 10 Geschrieben 1. Juli 2008 Melden Teilen Geschrieben 1. Juli 2008 1.Beispiel: ###################################### Konfigurations-Template für Einwahl via Microsoft PPTP: ###################################### aaa new-model aaa authentication ppp VPDN_AUTH local vpdn enable vpdn-group PPTP ! Default PPTP VPDN group description VPDN-Gruppe fuer Microsoft PPTP-Clients accept-dialin protocol pptp virtual-template 1 interface Loopback1 description Loopback fuer PPTP-Pool ip address 192.168.2.1 255.255.255.0 interface Virtual-Template1 ip unnumbered Loopback1 peer default ip address pool PPTP_POOL ! ob der folgende Befehl wirklich benötigt wird, habe ich noch nicht getestet ppp encrypt mppe auto required ppp authentication ms-chap ms-chap-v2 VPDN_AUTH ip local pool PPTP_POOL 192.168.2.2 192.168.2.254 ! DNS und NetBIOS/WINS-Server (optional): async-bootp dns-server 192.168.1.1 async-bootp nbns-server 192.168.1.2 2.Beispiel: ########################################### Template für Einwahl via Microsoft L2TP-IPSec (mit PSK): ########################################### aaa new-model aaa authentication ppp VPDN_AUTH local vpdn enable vpdn-group L2TP ! Default L2TP VPDN group description VPDN-Gruppe fuer Microsoft L2TP-IPSec-Clients accept-dialin protocol l2tp virtual-template 2 no l2tp tunnel authentication crypto isakmp policy 10 encr 3des authentication pre-share group 2 crypto isakmp key keykeykey address 0.0.0.0 0.0.0.0 crypto ipsec transform-set MS_IPSEC esp-3des esp-md5-hmac mode transport crypto dynamic-map MS_DYN_MAP 1 ! mit dem naechsten Befehl wird lt. Cisco L2TP-IPSec "aktiviert" set nat demux set transform-set MS_IPSEC crypto map IPSEC_ISAPMP_MAP 6000 ipsec-isakmp dynamic MS_DYN_MAP interface Loopback2 description Loopback fuer IPSEC-Pool ip address 192.168.3.1 255.255.255.255 interface xxx description Interface mit öffentlich erreichbarer IP ip address <IP> <Netzmaske> crypto map IPSEC_ISAPMP_MAP interface Virtual-Template2 ip unnumbered Loopback2 peer default ip address pool IPSEC_POOL ! ob der folgende Befehl wirklich benötigt wird, habe ich noch nicht getestet ppp encrypt mppe 128 required ppp authentication ms-chap-v2 VPDN_AUTH ip local pool IPSEC_POOL 192.168.3.2 192.168.3.254 ! DNS und NetBIOS/WINS-Server (optional): async-bootp dns-server 192.168.1.1 async-bootp nbns-server 192.168.1.2 Zitieren Link zu diesem Kommentar
Thomas L. 10 Geschrieben 2. Juli 2008 Autor Melden Teilen Geschrieben 2. Juli 2008 Hallo lexus Erstmal herzlichen Dank für die gepostete Konfig. Bin gerade von der Arbeit gekommen und hab sie gleich mal ausprobieren müssen. Eine Verbindung mit dem Windows XP VPN Client (L2TP / IPSec) war sofort erfolgreich (gut, nachdem ich einen entsprechenden User angelegt hatte :D). Nun bekommt der Client jedoch zwar eine IP aus dem definierten Pool, jedoch eine 255.255.255.255 Netzwerkmaske. Über Google konnte ich nicht viel finden, außer dass jemand anderer dasselbe Problem hatte. Darf ich dich fragen wozu du das Loopbackinterface in deinem Beispiel verwendest? Hat das was damit zu tun? Was ich versuche zu erreichen ist: Ein User der sich erfolgreich eingeloggt hat, befindet sich im selben Netz wie die lokalen Clients (bei mir 192.168.2.0 / 24) und hat natürlich auch Zugriff auf all die Rechner aus diesem Netz. Kannst du dazu irgendwas sagen? Ansonsten ist die Lösung wirklich ausgezeichnet. Ich habe es auch schon geschafft mich mit einer anderen VPN Config mittels des Cisco Clients auf den Router zu verbinden. Da habe ich dann eine korrekt IP bzw. korrekte Netmask bekommen. EDITH: Achja - Ich habe auch schon versucht dem Virtual-Template2 folgendes zuzuweisen: peer default ip address dhcp-pool PoolVlan2 Hat aber nichts geholfen. Jetzt bekomme ich zwar eine andere IP als mit dem eigenständigen Pool (beide mit korrekter IP Adresse aber mit der 255.255.255.255 Netmask). Zitieren Link zu diesem Kommentar
lexus 10 Geschrieben 2. Juli 2008 Melden Teilen Geschrieben 2. Juli 2008 Hallo Thomas, die Loopback-Adresse ist bei mir haupsächlich fürs dyn. Routingprotokoll wichtig. Die hätte ich in dem geposteten Template auch weglassen können. Dann muesstest du aber auch eine andere Adresse im Virtual-Template 2 verwenden. Zum Thema Subnetzmaske: Ich glaube nicht, das man dem MS L2TP-IPSec Client eine andere Subnetzmaske "aufdrücken" kann. Meines Erachtens ist die Subnetzmaske hier eh nebensächlich, da es sich um eine Point-to-Point Verbindung handelt. (Man möge mich gerne korrigieren, wenn ich falsch liege). Wieso möchtest du denn unbedingt eine IP aus dem internen LAN. Mit dem geposteten Beispiel ist eine uneingeschränkte Kommunikation zw. den internen Clients und dem Remote-PC möglich (sofern das Routing bei den Clients passt. Das eigene Subnetz für die Clients hat ja auch noch den Charme, das du dir einfache ACLs stricken kannst um den Zugriff zu reglementieren. Mfg Lexus Zitieren Link zu diesem Kommentar
Thomas L. 10 Geschrieben 3. Juli 2008 Autor Melden Teilen Geschrieben 3. Juli 2008 Hallo lexus :) Das loopback habe ich eh mal weggelassen - habe mir schon sowas ähnliches gedacht. Dass es sich bei einem VPN um eine P2P Verbindung handelt ist klar, da macht auch die NW Mask Sinn. Mein Problem besteht eigentlich darin, dass eben KEINE Kommunikation mit den Clients möglich war - mit keinem einzigen, weder in die eine noch in die andere Richtung. Hätte ich dem VPN Client vielleicht eine IP Adresse in einem anderen Netz geben sollen? Liegt da vielleicht der Fehler (könnt ich mir schon vorstellen). Ich umreisse kurz was ich habe: * Int FastEthernet0 hängt an der eigentlichen Inet Verbindung * Diese wird mittels pat auf etwa 5 Clients aufgeteilt, wobei diese in 2 VLANs gesplittet sind. Jedes VLAN hat Zugriff aufs Inet, nicht jedoch auf das andere VLAN. Soweit sogut. * Nun wollte ich eben erreichen, dass ein VPN Client sich wenn er verbunden ist als Mitglied eines dieser VLANs sieht (z.B. VLAN2). Und genau hier fangen die Probleme an. Wie kann ich sagen, dass er Mitglied von VLAN2 sein soll. Hier arbeitet man ja wieder auf unterschiedlichen ebenen. Einmal Layer 3 (IP) und VLANs wieder auf Layer2 ... dazu noch ein P2P ebenfalls auf L2 ... ich bin verwirrt :D Zitieren Link zu diesem Kommentar
lexus 10 Geschrieben 3. Juli 2008 Melden Teilen Geschrieben 3. Juli 2008 Hallo Thomas, meiner Meinung nach ist es nicht möglich, den Remote-User ins interne LAN zu "integrieren", denn ein IP-Subnetz kann ja nur auf einem Interface des Routers. Sonst würde Routing in der bekannten Form ja auch nicht funktionieren. Hätte ich dem VPN Client vielleicht eine IP Adresse in einem anderen Netz geben sollen? Ja. Diese wird mittels pat auf etwa 5 Clients aufgeteilt, wobei diese in 2 VLANs gesplittet sind. Jedes VLAN hat Zugriff aufs Inet, nicht jedoch auf das andere VLAN. Soweit sogut. Diese Aussage lässt mich vermuten, das du ja anscheinend ACLs auf deinem Router konfiguriert hast. Die müssten natürlich überprüft und ggf. um den neuen Dial-IN-Pool erweitert werden. Mfg Zitieren Link zu diesem Kommentar
Thomas L. 10 Geschrieben 3. Juli 2008 Autor Melden Teilen Geschrieben 3. Juli 2008 hallo lexus Herzlichen Dank für die schnelle Antwort :D In dem Fall heissts für mich wieder um 05:00 morgen auf und in die Firma fahren den Router konfigurieren (solange noch niemand da ist, machts nichts wenn ich mal vertue :D). Die ACLs sind natürlich konfiguriert und da ich ja einen bereits vorhandenen (aber ungenutzten) Bereich für die IPs angegeben habe hätten die schon korrekt sein müssen. Denke dennoch für den Hinweis, wenn es sich ausgeht schau ich mir das gleich morgen in der Früh an :) Zitieren Link zu diesem Kommentar
Thomas L. 10 Geschrieben 6. Juli 2008 Autor Melden Teilen Geschrieben 6. Juli 2008 Hallo lexus, ich bins wieder :) Habe heute endlich die Zeit gefunden das Ganze mal zu testen. Da ich derzeit woanders bin habe ich auch gleich die Zeit genutzt eine komplett neue Konfiguration hineinzuhacken. Kurzum: Ein VLAN (Fa2, Fa3, Fa4), ein Outside Interface (Fa0), PAT ist konfiguriert und auch ein DHCP Server (192.168.0.0/24). Das funktioniert soweit. Ich habe dann deine Konfiguration (L2TP/IPSec) hinzugefügt und habe dann gesehen, dass die Einwahl tatsächlich wieder funktioniert hat. Ich bekomme auch wieder eine IP Adresse aus dem 192.168.2.x Range zugewiesen. Das Problem jedoch: Ich kann nach wie vor weder die IP Adresse des Outside Interfaces pingen, noch sonst einen Rechner erreichen (auch nicht das Loopback Interface mit der .1 oder sonstwas). Die Frage ist nun: Muss ich ein Routingprotokoll aktivieren? (z.B. Ripv2) und die beiden Netzwerke 192.168.0.x und 192.168.2.x eintragen damit die Rechner aufeinander zugreifen können? Oder habe ich sonst etwas vergessen. ACLs sind derweil noch kein konfiguriert, bzw. nur eine fürs NAT. Herzlichen Dank fr die Hilfe bisher und für die Hilfe die noch kommen mag :) – So Ich bin soeben auf etwas draufgekommen: Ich kann auf einen FTP Server der im 192.168.0.x Netz sitzt zugreifen. Also eigentlich genau das was ich will. Die Frage ist nun: Warum gehen keine Pings durch? Angenommen ich würde mich später mal gerne im Firmennetzwerk übers VPN an der Domäne anmelden. Funktioniert das dann oder muss ich hierfür einen anderen Weg wählen. Ich kann es leider derzeit noch nicht testen, unsere neuen Server kommen erst nächste Woche. lg Thomas Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.