mr-windows 10 Geschrieben 18. Juni 2009 Melden Teilen Geschrieben 18. Juni 2009 Hallo zusammen, sitze seit zwei Tagen an einem kleinen, bösen Problem und komme nicht weiter. Folgende Situation: Ich baue vom CISCO VPN Client eine IPSEC-Verbindung zum Router auf (C876 - c870-adventerprisek9-mz.124-6.T6.bin, bei einer älteren IOS-Version besteht das Problem auch) Funktioniert soweit alles bestens. Ich kann vom VPN Client immer die Router-Interfaces anpingen - alles was im LAN hinter dem Router liegt jedoch nur sporadisch. Wenn der Ping dann doch mal durchgeht funktioniert er auch dauerhaft. Ich kann problemlos und performant von Clients im LAN auf den VPN-Client zugreifen. Andersherum (vom VPN-Client ins LAN) funktioniert es jedoch nicht. Access-Listen kann ich ausschließen, da ich sogar schon testweise mal alles auf "permit" gestellt habe. MTU usw. hab ich getestet (siehe ip tcp adjust-mss auf den Interfaces). Nichts desto trotz gibt´s hier die Config. Würde mich freuen, wenn jemand eine Idee hätte. Gruß Christian ! ! Last configuration change at 09:34:13 Berlin Thu Jun 18 2009 by ! NVRAM config last updated at 17:40:10 Berlin Wed Jun 17 2009 by ! version 12.4 service timestamps debug datetime msec localtime show-timezone service timestamps log datetime msec localtime show-timezone service password-encryption service sequence-numbers ! hostname xxxxxx ! boot-start-marker boot-end-marker ! security authentication failure rate 3 log security passwords min-length 6 no logging buffered enable secret 5 xxxxxxxxxxxxxxxxxxxxxxxxxx ! aaa new-model ! ! aaa authentication login rtr-remote local aaa authentication login local_auth local aaa authentication ppp default local aaa authorization network vpn local ! aaa session-id common ! resource policy ! clock timezone Berlin 1 clock summer-time Berlin date Mar 30 2003 2:00 Oct 26 2003 3:00 dot11 activity-timeout unknown default 1000 dot11 activity-timeout client default 28800 no ip source-route no ip gratuitous-arps ip cef ! ! ! ! ip domain name xxxxxxxxxxxxxxxxxxxxxx ip name-server 145.253.2.11 ip name-server 145.253.2.75 ip ssh time-out 60 ip ssh authentication-retries 1 ip ssh version 2 ip inspect name firewall_1 cuseeme ip inspect name firewall_1 dns ip inspect name firewall_1 esmtp ip inspect name firewall_1 ftp ip inspect name firewall_1 ftps ip inspect name firewall_1 h323 ip inspect name firewall_1 http ip inspect name firewall_1 https ip inspect name firewall_1 icmp ip inspect name firewall_1 imap ip inspect name firewall_1 imap3 ip inspect name firewall_1 imaps ip inspect name firewall_1 isakmp ip inspect name firewall_1 ntp ip inspect name firewall_1 pop3 ip inspect name firewall_1 pop3s ip inspect name firewall_1 realaudio ip inspect name firewall_1 snmp ip inspect name firewall_1 sqlnet ip inspect name firewall_1 syslog ip inspect name firewall_1 tcp ip inspect name firewall_1 time ip inspect name firewall_1 udp ip inspect name firewall_1 wins ip ips notify SDEE vpdn enable ! vpdn-group 1 ! Default PPTP VPDN group accept-dialin protocol pptp virtual-template 1 ! Zitieren Link zu diesem Kommentar
mr-windows 10 Geschrieben 18. Juni 2009 Autor Melden Teilen Geschrieben 18. Juni 2009 isdn switch-type basic-net3 ! ! username xxxxxxxxxxxx password xxxxxxxxxxxxx username xxxxxxxxxxxx password 7 xxxxxxxxxxxxxxxx username xxxxxxxxxxx privilege 15 password 7 xxxxxxxxxxxxxxxxxx ! ! ! crypto isakmp policy 10 hash md5 authentication pre-share group 2 crypto isakmp client configuration address-pool local vpnpool ! crypto isakmp client configuration group vpn key xxxxxxxxxxxxx domain xxxxxxxxxxxxxxx pool vpnpool include-local-lan split-dns dns netmask 255.255.255.0 ! crypto ipsec security-association lifetime seconds 86400 ! crypto ipsec transform-set ts1 esp-aes esp-md5-hmac ! crypto dynamic-map dynmap 10 set security-association idle-time 3600 set transform-set ts1 reverse-route ! ! crypto map mymap client authentication list local_auth crypto map mymap isakmp authorization list vpn crypto map mymap client configuration address respond crypto map mymap 1000 ipsec-isakmp dynamic dynmap ! crypto map static client authentication list local_auth crypto map static isakmp authorization list vpn crypto map static client configuration address initiate crypto map static client configuration address respond crypto map static 10 ipsec-isakmp dynamic dynmap ! bridge irb ! ! ! interface BRI0 no ip address encapsulation hdlc shutdown isdn switch-type basic-net3 isdn point-to-point-setup ! interface ATM0 no ip address shutdown no atm ilmi-keepalive dsl operating-mode auto ! interface FastEthernet0 switchport access vlan 2 speed 10 ! interface FastEthernet1 ! interface FastEthernet2 ! interface FastEthernet3 ! interface Virtual-Template1 ip unnumbered BVI1 ip access-group 100 in ip access-group 100 out ip verify unicast reverse-path no ip redirects no ip unreachables no ip proxy-arp ip nat inside ip virtual-reassembly ip route-cache flow peer default ip address pool VPN compress mppc ppp pfc local request ppp pfc remote apply ppp acfc local request ppp acfc remote apply ppp encrypt mppe auto required ppp authentication ms-chap ms-chap-v2 ppp ipcp dns 192.168.100.200 ! interface Dot11Radio0 no ip address no ip redirects no ip unreachables no ip proxy-arp no ip route-cache cef no ip route-cache shutdown ! broadcast-key change 300 membership-termination ! ! encryption mode ciphers tkip ! ssid xxxxxxxxxxxxxxxx max-associations 5 authentication open authentication key-management wpa wpa-psk ascii xxxxxxxxxxxxxxxxxxxxxxxx ! speed basic-6.0 9.0 12.0 18.0 24.0 36.0 48.0 54.0 rts threshold 2312 station-role root payload-encapsulation dot1h dot1x reauth-period server no cdp enable bridge-group 1 bridge-group 1 subscriber-loop-control bridge-group 1 spanning-disabled bridge-group 1 block-unknown-source no bridge-group 1 source-learning no bridge-group 1 unicast-flooding ! interface Vlan1 no ip address bridge-group 1 ! Zitieren Link zu diesem Kommentar
mr-windows 10 Geschrieben 18. Juni 2009 Autor Melden Teilen Geschrieben 18. Juni 2009 interface Vlan2 description Arcor IB 2000/192 static ip address xxxxxxxxxxx xxxxxxxxxxxxxxx ip access-group 100 in ip access-group 100 out ip nat outside ip virtual-reassembly ip tcp adjust-mss 1300 crypto map static ! interface BVI1 description LAN/WLAN Segment xxxxxxxxxxxxxxxxxxx ip address 192.168.100.200 255.255.255.0 ip access-group 100 in ip access-group 100 out no ip redirects no ip unreachables no ip proxy-arp ip nat inside ip inspect firewall_1 in ip virtual-reassembly ip route-cache flow ip tcp adjust-mss 1300 ! ip local pool IPSEC 10.0.5.1 10.0.5.10 ip local pool VPN 10.10.10.10 10.10.10.20 ip local pool vpnpool 10.10.12.1 10.10.12.5 ip local pool vpnpool 10.10.12.10 10.10.12.100 ip route 0.0.0.0 0.0.0.0 "WAN-Gateway" ! ip dns server ! no ip http server no ip http secure-server ip nat inside source route-map NAT_DSL interface Vlan2 overload ip nat inside source static tcp 192.168.100.10 1175 xxxxxxxxxxxxx 1175 extendable ! ip access-list extended IPSEC permit ip 10.0.5.0 0.0.0.255 any ! logging trap debugging logging xxxxxxxxxxxxxx access-list 1 permit 192.168.100.0 0.0.0.255 access-list 2 permit "WAN-Netz" xxxxxxxxxxxxx access-list 4 permit 10.10.12.0 0.0.0.255 access-list 5 permit 10.10.10.0 0.0.0.255 access-list 100 remark ACL General LAN / WAN access-list 100 permit ip any any access-list 100 permit tcp any any access-list 100 permit udp any any access-list 100 permit ip 10.10.12.0 0.0.0.255 any access-list 101 permit tcp any any eq domain access-list 101 permit udp any any eq domain access-list 101 permit tcp any any eq echo access-list 101 permit tcp any any eq ftp access-list 101 permit tcp any any eq ftp-data access-list 101 permit tcp any any eq pop3 access-list 101 permit tcp any any eq smtp access-list 101 permit tcp any any eq cmd access-list 101 permit tcp any any eq whois access-list 101 permit tcp any any eq www access-list 101 permit tcp any any eq 443 access-list 101 permit udp any any eq 443 access-list 101 permit tcp any any eq 22 access-list 101 permit udp any any eq non500-isakmp access-list 101 permit udp any any eq isakmp access-list 101 permit icmp any any access-list 101 permit udp any any eq bootps access-list 101 permit tcp any any eq 3389 access-list 101 permit udp any any eq ntp access-list 101 permit tcp any any eq 1723 access-list 101 permit gre any any access-list 101 permit tcp any any eq 3306 access-list 101 permit tcp any any eq 6789 access-list 101 permit tcp any any eq 1099 access-list 101 permit udp any any eq 4288 access-list 101 permit tcp any any eq 3128 access-list 101 permit esp any any access-list 101 permit tcp any any eq 3544 access-list 101 permit udp any any eq 3544 access-list 101 remark xxxxxxxxxxxxxxxxxxxxxxx access-list 101 permit tcp any any eq 1175 access-list 101 permit udp any any eq 1175 access-list 101 permit udp any any eq syslog access-list 110 permit ip 192.168.100.0 0.0.0.255 any access-list 110 permit ip 10.10.10.0 0.0.0.255 any access-list 110 permit ip 10.10.12.0 0.0.0.255 any ! ! ! route-map NAT_DSL permit 10 match ip address 110 match interface Vlan2 ! ! control-plane ! bridge 1 protocol ieee bridge 1 route ip Zitieren Link zu diesem Kommentar
mr-windows 10 Geschrieben 19. Juni 2009 Autor Melden Teilen Geschrieben 19. Juni 2009 Hallo, konnte das Problem nach etlichen Test´s beheben. Wen´s interessiert: Es lag am NAT. In der Config ist das "externe" Interface auf dem auch der Tunnel terminiert auf "ip nat outside" gestellt. Dadurch wurden die Anfrage aus dem Tunnel bzw. die Antworten falsch übersetzt. Nach Entfernung des Befehl´s ging es dann einwandfrei. So ein dummer Fehler... Wenigstens habe ich mich mal drei Tage intensivst mit Cisco VPN beschäftigt :D Gruß Christian Zitieren Link zu diesem Kommentar
Franz2 10 Geschrieben 19. Juni 2009 Melden Teilen Geschrieben 19. Juni 2009 Ich denke mal jetzt funktioniert dein Internet Zugriff für die Clients nicht mehr. Du mußt in der nat ACL den VPN Traffic verbieten (deny). Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 19. Juni 2009 Melden Teilen Geschrieben 19. Juni 2009 Hi, ich denke was anderes - den du "NATes" auch deine IP´s aus dem vpnpool - die solltest du aber da rausnehmen. Ich bin mir nicht sicher - ob das so geht - mit der Routemap - den die Access Liste 110 beinhaltet die ja. Ich würde mir das nochmal genauer ansehen. Zitieren Link zu diesem Kommentar
Franz2 10 Geschrieben 19. Juni 2009 Melden Teilen Geschrieben 19. Juni 2009 Wir reden eh vom selben. Wenn du in der ACL 110 vor access-list 110 permit ip 192.168.100.0 0.0.0.255 any access-list 110 permit ip 10.10.10.0 0.0.0.255 any access-list 110 permit ip 10.10.12.0 0.0.0.255 any deny ip Client Netze -> VPN Netz konfigurierst, wird dieser Traffic nicht genattet. Du kannst es aber auch über die Route-map machen Eine ACL erstellen zb 199 permit ip Client Netze -> VPN Netz route-map NAT_DSL deny 5 match ip address 199 lg franz Zitieren Link zu diesem Kommentar
mr-windows 10 Geschrieben 21. Juni 2009 Autor Melden Teilen Geschrieben 21. Juni 2009 Hallo, vielen Dank blackbox und Franz2 für eure Antworten. Das NAT für das VPN-Netz habe ich dann noch verboten - konnte den "ip nat outside" erstmal ohne Probleme rausnehmen (läuft in einer Testumgebung). Mir stellt sich jetzt noch folgendes Problem: Wenn ich vom VPN Client ins Internet möchte bekomme ich keine Verbindung (Internetzugang soll explizit über den VPN-Router laufen). Der Router "NATtet" die Pakete vom VPN-Netz zum Outside-Interface nicht, weil er nicht weis, dass er sie natten soll. Ich kann ja z. B. im VLAN 1-Interface (LAN) per "ip nat inside" festlegen, dass dies ein internes Interface ist. Folglich weis der Router, dass dieser Traffic überhaupt für NAT interessant ist. Da der IPSEC-Tunnel ja aber nicht auf ein spezifisches Interface terminiert (so wie z. B. ein PPP-Tunnel auf ein VirtualTemplate) kann ich kein "ip nat inside" setzen. Wie sage ich dem Router also, dass der Traffic aus 10.10.12.0 (als quasi internes Netz) für NAT interessant ist (die Router-Config ist bis auf die Änderungen von franz2 gleich geblieben)? Schönen Sonntag noch :) Danke & Gruß Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 22. Juni 2009 Melden Teilen Geschrieben 22. Juni 2009 Hi, du hast doch selbst "ip nat" rausgenommen - dann kann es nicht gehen. Wenn du das wie vorher mit IP Nat Inside (internes) und Outside (externes) hast - und den Rest über eine ACL machst - dann wird es gehen. Dann weiss er ja welche "IPs" Inside sind. Zitieren Link zu diesem Kommentar
mr-windows 10 Geschrieben 22. Juni 2009 Autor Melden Teilen Geschrieben 22. Juni 2009 Guten Morgen, nur noch mal zum besseren Verständnis hier die aktuelle Config: externes Interface (hier terminiert der IPSEC-Tunnel): interface Vlan2 description Arcor IB 2000/192 static ip address xxx.xxx.xxx.194 255.255.255.248 ip access-group 100 in ip access-group 100 out ip nat outside ip virtual-reassembly ip tcp adjust-mss 1272 crypto map static internes Interface: interface BVI1 description LAN/WLAN Segment xxxxxxx ip address 192.168.100.200 255.255.255.0 ip access-group 100 in ip access-group 100 out no ip redirects no ip unreachables no ip proxy-arp ip nat inside ip inspect firewall_1 in ip virtual-reassembly ip route-cache flow ip tcp adjust-mss 1300 NAT: ip nat inside source route-map NAT_DSL interface Vlan2 overload access-list 110 deny ip 192.168.100.0 0.0.0.255 10.10.12.0 0.0.0.255 access-list 110 permit ip 192.168.100.0 0.0.0.255 any access-list 110 permit ip 10.10.10.0 0.0.0.255 any access-list 110 permit ip 10.10.12.0 0.0.0.255 any ! route-map NAT_DSL permit 10 match ip address 110 match interface Vlan2 Der Zugriff vom Client ins LAN und umgekehrt funktioniert einwandfrei. Nur ins Internet geht´s eben nicht. Nach meinem dafürhalten deshalb, weil ich dem Router nicht sagen kann, dass der Traffic aus 10.10.12.0 (sofern er ins Internet geht) für NAT interessant ist. Ich müsste dem Router ja irgendwie sagen können, dass 10.10.12.0 ein "internes Interface für NAT" ist (wie bei VLAN 1 auch). Nur kann ich ja für die 10.10.12.0 (quasi das VPN-Interface) nirgendwo "ip nat inside" setzen, da ich kein (virtuelles) Interface für den VPN-Tunnel habe (oder sehe ich das vollkommen falsch?). Bei einem PPTP-VPN das auf dem gleichen Router funktioniert das einwandfrei, da ich hier die Möglichkeit habe im Virtual-Template "ip nat inside" zu setzen: interface Virtual-Template1 ip unnumbered BVI1 ip access-group 100 in ip access-group 100 out ip verify unicast reverse-path no ip redirects no ip unreachables no ip proxy-arp ip nat inside ip virtual-reassembly ip route-cache flow peer default ip address pool VPN compress mppc ppp pfc local request ppp pfc remote apply ppp acfc local request ppp acfc remote apply ppp encrypt mppe auto required ppp authentication ms-chap ms-chap-v2 ppp ipcp dns 192.168.100.200 Bitte korrigiert mich wenn ich da was falsch sehe. Danke & Gruß Zitieren Link zu diesem Kommentar
mr-windows 10 Geschrieben 24. Juni 2009 Autor Melden Teilen Geschrieben 24. Juni 2009 Hallo, konnte das Problem jetzt lösen. Speziell für solche Anwendungsfälle gibt es bei Cisco ein Feature das sich "hairpin routing" nennt. Router and VPN Client for Public Internet on a Stick Configuration Example - Cisco Systems Hier wird der Internet-Traffic per "ip policy" über ein loopback-Interface umgeleitet in dem man dann "ip nat inside" setzen kann. Funktioniert wunderbar. Gruß & Danke Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.