Dani2008 10 Geschrieben 31. Juli 2008 Melden Teilen Geschrieben 31. Juli 2008 Hallo, ich bin kein Fachmann was Cisco Router angeht,aber ich versuche momentan eine VPNTunnel zwischen 2 Routern aufzubauen. Der Standort A ist über ein DynDns-Domain zu erreichen und Standort B besitzt eine feste IP. Mithilfe von IPSec soll eine sichere Verbindung aufgebaut werden. Nun hab ich auf der Cisco Seite eine Konfigurationsmöglichkeit gefunden und diese in die bestehende eingefügt. Ein traceroute -p 500 141.51.154.20 aus dem privaten netz des Routers funktioniert tadellos und ich kann an dem Zielhost die udp-Pakete "tcpdumpen". Vom Router selbst kommt gar nichts. Der einzige unterschied bei den Konfiguration der Router ist, dass beim Standort B kein peer eingetragen wurde weil die Standort A ein DSL mit dynamischer IP besitzt. Liegt der Fehler daran? Wenn ja wie würde die Konfiguration des Routers im Standort B aussehen? hoffe ihr könnt mir weiterhelfen. Konfiguration Router Standort A: -------------------------------------------------------------- version 12.4 no service pad service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname x ! boot-start-marker boot-end-marker ! logging buffered 51200 warnings ! no aaa new-model ! resource policy ! clock timezone Berlin 1 clock summer-time Berlin date Mar 30 2003 2:00 Oct 26 2003 3:00 ip subnet-zero ip cef ! ! ip ddns update method dyndns HTTP add http://x:x@members.dyndns.org/nic/update?system=dyndns&hostname=<h>&myip=<a> interval maximum 1 0 0 0 ! ! ! ! username x privilege 15 secret x x ! ! ! crypto isakmp policy 1 encr 3des hash md5 authentication pre-share group 2 lifetime 3600 crypto isakmp key x address IP-Internet-Standort-B crypto isakmp invalid-spi-recovery ! ! crypto ipsec transform-set freeswan esp-3des esp-md5-hmac ! crypto map freeswan 10 ipsec-isakmp set peer IP-Internet-Standort-B set transform-set freeswan set pfs group2 match address 103 ! ! ! interface BRI0 no ip address encapsulation hdlc shutdown ! interface ATM0 no ip address ip nat outside ip virtual-reassembly no atm ilmi-keepalive dsl operating-mode auto ! interface ATM0.1 point-to-point pvc 1/32 pppoe-client dial-pool-number 1 ! ! interface FastEthernet0 ! interface FastEthernet1 ! interface FastEthernet2 ! interface FastEthernet3 ! interface Vlan1 description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$ ip address IP-Router-Intern-Standort-A ip access-group sdm_vlan1_in in ip nat inside ip virtual-reassembly ip tcp adjust-mss 1412 ! interface Dialer0 ip ddns update hostname DynDNs-Domain ip ddns update dyndns ip address negotiated ip mtu 1452 ip nat outside ip virtual-reassembly encapsulation ppp dialer pool 1 dialer-group 1 no cdp enable ppp authentication chap callin ppp chap hostname x ppp chap password x x ppp pap sent-username x password x x ppp ipcp dns request ppp ipcp wins request crypto map freeswan ! ip classless ip route 0.0.0.0 0.0.0.0 Dialer0 ! ip http server ip nat inside source list 102 interface Dialer0 overload ip nat inside source static tcp x.x.x.x 1723 interface Dialer0 1723 ip dns server ! ip access-list extended sdm_vlan1_in permit tcp any any permit ip any any permit udp any any permit icmp any any permit igmp any any permit ipinip any any permit ahp any any permit tcp any any eq www established permit tcp any any eq 1723 ip access-list extended sdm_vlan_in ! access-list 102 permit ip IP-Netz-Intern-Standort-A any access-list 103 permit ip IP-Netz-Intern-Standort-A IP-Netz-Standort-B dialer-list 1 protocol ip permit no cdp run ! control-plane ! ! line con 0 login local no modem enable line aux 0 line vty 0 4 privilege level 15 no login transport input none ! scheduler max-task-time 5000 no scheduler allocate end Zitieren Link zu diesem Kommentar
-= Brummbär =- 10 Geschrieben 6. August 2008 Melden Teilen Geschrieben 6. August 2008 Du musst auf dem Router mit der festen IP Adresse eine dynamische crypto-map definieren. Vielleicht ist es auch besser, wenn du den Router mit der dynamischen IP wie einen VPN-Client konfigurierst und auf dem Router mit der festen IP eine VPN-Client Einwahl konfigurierst. Auf jeden fall kann immer nur der Router mit der dynamischen IP die Einwahl durchführen. Was meinst du mit: Vom Router selbst kommt gar nichts. Morgen am Arbeitsplatz kann ich dir vielleicht das eine oder andere Konfigbeispiel raussuchen. Meld dich bei Bedarf einfach noch mal. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.