DocZenith 12 Geschrieben 26. April 2010 Melden Teilen Geschrieben 26. April 2010 Hallo, ich hab eine Verständnisfrage. Ich möchte mit einem 871 Cisco Router, der im internen LAN platziert ist, eine IPSec Verbindung zu einem anderen Standort aufbauen. Das das möglich ist, daran hab ich keine Zweifel, nur weiß ich nicht genau, ob das etwas anders konfiguriert werden muss als wenn der Router selbst das Gateway bzw. die Firewall ist. In dem LAN ist das Gateway ein simpler Netgear Router. Hier habe ich einmal IPSec Passthrough (Port 500) sowie eine statische mit dem zu tunnelnden Netz mit Ziel auf den Cisco Router eingerichtet. Der Cisco macht derzeit leider noch gar keine Reaktion, wenn ich das Zielnetz von einem Host anpinge. Gruß. Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 26. April 2010 Melden Teilen Geschrieben 26. April 2010 sollte problemlos möglich sein, was sagts logging/debug ? Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 26. April 2010 Melden Teilen Geschrieben 26. April 2010 Auf dem Netgear brauchst du keine statische Route, da er nur Taffic von Cisco zu Peer sieht. Ansonsten wie Otaku schon schreibt, debug her :) Zitieren Link zu diesem Kommentar
DocZenith 12 Geschrieben 26. April 2010 Autor Melden Teilen Geschrieben 26. April 2010 ich hab ein debug ip packet detail mit acl eingestellt, so sehe ich dass ip pakete, die für die spätere cryptomap bestimmt sind, am router ankommen, nur macht der keine anstanden, die vpn aufzubauen. Ein tracert auf das zielnetz am testpc zeigt, dass die route auf den vpn router geht, als nächstes zum gateway, danach ins internet. Das macht mich etwas nachdenklich. mir kommt es so vor als ob der router das ziel nicht definieren kann und schickt es ans default gateway :-( Hier mal ein Auszug aus meiner Config vom Cisco Router: no ip cef! ! multilink bundle-name authenticated ! ! username administrator privilege 15 secret 5 xxxxxxxxxxxxxxx ! crypto keyring keyring1 pre-shared-key address 1.2.3.4 key hPRe0QytVxxxxxxx ! crypto isakmp policy 10 encr 3des hash md5 authentication pre-share group 2 lifetime 28800 ! crypto isakmp invalid-spi-recovery crypto isakmp keepalive 10 crypto isakmp nat keepalive 20 crypto isakmp profile crypto_profil keyring keyring1 match identity address 1.2.3.4 255.255.255.255 ! crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac ! crypto map MAP local-address FastEthernet4 crypto map MAP 10 ipsec-isakmp set peer 1.2.3.4 set transform-set ESP-3DES-MD5 set isakmp-profile crypto_profil match address CRYPTOLIST qos pre-classify ! interface FastEthernet0 ! interface FastEthernet1 ! interface FastEthernet2 ! interface FastEthernet3 ! interface FastEthernet4 description LAN INTERFACE ip address 192.168.0.100 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp duplex auto speed auto ! interface Vlan1 no ip address no ip redirects no ip unreachables no ip proxy-arp ! ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 192.168.0.1 ! ip access-list extended CRYPTOLIST permit ip 192.168.0.0 0.0.0.255 194.31.221.0 0.0.0.255 Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 26. April 2010 Melden Teilen Geschrieben 26. April 2010 Wieso machst du kein Debug auf crypto? Zitieren Link zu diesem Kommentar
DocZenith 12 Geschrieben 26. April 2010 Autor Melden Teilen Geschrieben 26. April 2010 weil nichts angezeigt wird :-( debug crypto isakmp debug crypto ipsec Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 26. April 2010 Melden Teilen Geschrieben 26. April 2010 Auf FA4 fehlt noch ein "crypto map MAP" ;) Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 26. April 2010 Melden Teilen Geschrieben 26. April 2010 Bindung fehlt : interface FastEthernet4 crypto map MAP Zitieren Link zu diesem Kommentar
DocZenith 12 Geschrieben 26. April 2010 Autor Melden Teilen Geschrieben 26. April 2010 Oh Gott wie peinlich :-P Danke Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.