Jump to content

DSL Einwahl und VPN

xor

Von xor
in Cisco Forum — Allgemein

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

xor Proficient

xor   11

Geschrieben
Geschrieben

Guten Tag,

 

mein Wissen ist noch im CCNA Level Semester 3, wo leider noch nichts über DSL oder VPN drangekommen ist.

 

Ich möchte aber gerne eine Projekt starten. Dabei soll sich ein mobiler Nutzer per Cisco VPN Client von seinem Laptop in das Firmennetzwerk einwählen können und gleichzeitig normal im Internet surfen können.

 

Dazu habe ich folgende Hardware:

 

Cisco 831 Router (mit 4 x 10/100 BaseT FastEthernet Ports und 1 x 10 BaseT Ethernet Port)

Speedport Modem für die Einwahl in das Internet

 

Falls Lizenzen gebraucht werden, dann stellt mir das meine Firma zu Ausbildungszwecken zur Verfügung.

 

Nun habe ich schon vieles gelesen und vieles probiert und hoffe, dass ich nun mit Eurer Hilfe zum Erfolg kommen kann.

 

Ich schließe ja das Modem an den Ethernet 1 Port des Routers an. Dann muss der Router die Verbindungsdaten haben, um sich über das Modem mit dem Internet verbinden zu können (Provider: Telekom). Dazu habe ich mir folgendes gedacht:

 

 

interface Dialer0

description DSL

ip address negotiated

ip mtu 1492

ip nat outside

ip virtual-reassembly

encapsulation ppp

dialer pool 1

dialer-group 1

ppp authentication pap callin

ppp pap sent-username 0000000000000000000000000001@t-online.de password 0 0000000

 

 

interface Ethernet1

description DSL Port zum Modem

no ip address

ip nat inside

ip virtual-reassembly

ip tcp adjust-mss 1412

duplex auto

speed auto

 

 

ip route 0.0.0.0 0.0.0.0 Dialer0

 

ip nat inside source list 102 interface Dialer0 overload

 

access-list 102 permit ip 192.168.0.0 0.0.0.255 any

dialer-list 1 protocol ip permit

 

 

Da habe ich dann schon ein paar Fragen: Ich brauche ja noch ein Interface, wo ich meine internen Clients anstecken kann (Netz: 192.168.0.0/24). Ich habe ja aber das Ethernet1 schon für das DSL Modem genutzt. Dann habe ich nur noch den 4 Port Switch. Dort kann aber aber keinem Port eine IP Adresse geben (z.B. 192.168.0.1/24), weil es ja Layer 2 Ports sind.

 

Was kann ich da machen? Dann muss ich ja noch dem Ethernet1 Interface sagen, dass es die DSL Einwahl starten soll und bei einem abbruch oder Neustart dies wieder tut. Wie mache ich das?

 

Das dürfte ja dann alles bezüglich der DSL Geschichte gewesen sein.

 

Nun zum VPN:

 

Ich habe mir da folgendes gedacht:

 

aaa new-model

aaa authentication login userauthen local

aaa authorization network groupauthor local

aaa session-id common

 

resource policy

 

username user password 0 cisco

 

crypto isakmp policy 3

encr 3des

authentication pre-share

group 2

 

crypto isakmp client configuration group vpnclient

key cisco12345

dns 194.25.2.129

domain firma.com

pool ippool

 

crypto ipsec transform-set myset esp-3des esp-md5-hmac

 

crypto dynamic-map dynmap 10

set transform-set myset

reverse-route

 

crypto map clientmap client authentication list userauthen

crypto map clientmap isakmp authorization list groupauthor

crypto map clientmap client configuration address respond

crypto map clientmap 10 ipsec-isakmp dynamic dynmap

 

interface Loopback0

ip address 10.10.10.1 255.255.255.0

ip nat inside

ip virtual-reassembly

 

interface ??????

ip address 192.168.0.1

duplex auto

ip nat inside

 

interface Ethernet1

description DSL Port zum Modem

no ip address

==> wegen der DSL Einwahl: ip nat inside

ip nat outside

ip virtual-reassembly

ip tcp adjust-mss 1412

duplex auto

speed auto

ip policy route-map VPN-Client

crypto map clientmap

 

 

ip local pool ippool 192.168.0.100 192.168.0.110

 

ip nat inside source list 101 interface Ethernet1 overload

 

access-list 101 permit ip any any

 

access-list 144 permit ip host 192.168.0.0 0.0.0.255 any

 

route-map VPN-Client permit 10

match ip address 144

set interface Loopback0

 

Naja und dann der VPN Client auf dem mobilen PC, dazu habe ich keine Fragen. Ich hoffe dass mir jemand helfen will, da es ja doch sicher noch einiges zu bereden gibt.

 

Vielen Dank.

 

Mfg

Link zu diesem Kommentar
Servidge Fellow

Servidge   10

Geschrieben
Geschrieben

Im Prinzip sollte der Cisco831 je nach IOS Version folgende Interface haben.

Ethernet0, LAN-LAN Interface

Ethernet1, WAN

Ethernet2 - DMZ Interface - existiert je nach IOS Verson und wenn es no shut ist, ist das fa4 als DMZ Interface herausgeführt.

FastEthernet[1-4] über Ethernet0 verbunden

 

So ganz verstehe ich deinen Konfigurationsansatz nicht. Versuchst du einen Router on a Stick zu konfigurieren?

Link zu diesem Kommentar
  • 2 Wochen später...
xor Proficient

xor   11

Geschrieben
  • Autor
Geschrieben

Hallo,

 

so ich habe mich nochmal hingesetzt. Habe jetzt das DSL zum Laufen gebracht und somit auch mein Verständnisproblem mit den Interfaces gelöst. Nun werde ich mich nochmal mit der VPN Sache beschäftigen.

 

@ Servidge

 

Mein Ziel ist es, dass sich ein mobiler Benutzer über das Internet (z.B. über UMTS Stick im Laptop) per Cisco VPN Client auf den Router einwählen kann und dann Zugriff zum internen LAN hat. Das Surfen im Internet soll aber für diesen mobilen Benutzer weiter möglich sein.

 

Hier mal die DSL Konfiguration... Könnte man da noch etwas verbessern, also vllt. etwas, was zu viel ist, wieder entfernen?

 

Vielen Dank für Eure Hilfe.

 

Mfg

 

VPN-DSL-Router#sh running-config
Building configuration...

Current configuration : 2059 bytes
!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname VPN-DSL-Router
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$12Mc$F573Ji12Tb0w.b1270o12/
!
no aaa new-model
ip subnet-zero
!
!
ip dhcp excluded-address 192.168.2.1 192.168.2.10
!
ip dhcp pool LAN
  network 192.168.2.0 255.255.255.0
  default-router 192.168.2.1
  dns-server 194.25.2.129
!
!
ip ips po max-events 100
vpdn enable
!
vpdn-group 1
request-dialin
 protocol pppoe
!
no ftp-server write-enable
!
!
username CRWS_Santhosh privilege 15 password 7 074B700812581F2453125A03370F3B25796B6274125E41125402
!
!
no crypto isakmp ccm
!
!
!
interface Ethernet0
description LAN-Schnittstelle
ip address 192.168.2.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface Ethernet1
description WAN-Schnittstelle
no ip address
ip virtual-reassembly
duplex auto
pppoe enable
pppoe-client dial-pool-number 1
no keepalive
!
interface FastEthernet1
duplex auto
speed auto
!
interface FastEthernet2
duplex auto
speed auto
!
interface FastEthernet3
duplex auto
speed auto
!
interface FastEthernet4
duplex auto
speed auto
!
interface Dialer0
description Internet
ip address negotiated
ip mtu 1492
ip nat outside
ip virtual-reassembly
encapsulation ppp
ip tcp adjust-mss 1452
dialer pool 1
dialer-group 1
ppp authentication pap callin
ppp pap sent-username 1212121212121212121212121212@t-online.de password 7 121212121212121212
ppp ipcp dns request accept
ppp ipcp route default
ppp ipcp address accept
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
!
ip http server
no ip http secure-server
!
ip nat inside source list 1 interface Dialer0 overload
!
access-list 1 permit 192.168.2.0 0.0.0.255
dialer-list 1 protocol ip permit
!
!
control-plane
!
!
line con 0
password 7 0508012C2243
login
no modem enable
line aux 0
password 7 0508012C2243
login
line vty 0 4
exec-timeout 120 0
password 7 0508012C2243
login local
length 0
!
scheduler max-task-time 5000
end

VPN-DSL-Router#

Link zu diesem Kommentar
xor Proficient

xor   11

Geschrieben
  • Autor
Geschrieben

Hallo,

 

ich habe DSL und VPN erfolgreich konfiguriert. Die Einwahl des mobilen Mitarbeiters mit Cisco VPN Client per DynDNS auf den 831 Router funktioniert. Wenn ich auf dem mobilen Laptop auf Wie ist meine IP-Adresse? gehe, erscheint auch die IP vom 831 Router, so wie es sein soll.

 

Ich kann nur leider nicht von dem mobilen Laptop auf den internen Webserver (192.168.2.2) zugreifen. Ein Ping funktioniert leider auch nicht.

 

Ich habe hier mal die Übersicht über das Netz:

 

Netz76f18.jpg

 

 

Ich habe hier mal meine aktuelle Konfiguration:

 

!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname VPN-DSL-Router
!
boot-start-marker
boot-end-marker
!
enable secret 5 XXXXXXXXXXXXXXXXXXXXXXXXX
!
aaa new-model
!
!
aaa authentication login userauthen local
aaa authorization network groupauthor local 
!
aaa session-id common
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.2.1 192.168.2.10
!
ip dhcp pool LAN
  network 192.168.2.0 255.255.255.0
  default-router 192.168.2.1 
  dns-server 194.25.2.129 
!
!
ip cef
ip ddns update method DynDNS
HTTP
 add http://xxx:xxx@members.dyndns.org/nic/update?system=dyndns&hostname=<h>&myip=<a>
interval maximum 0 1 0 0
!
vpdn enable
!
!
!
!
username CRWS_Santhosh privilege 15 password 7 XXXXXXXXXXXXXXXXXXXXXXXXXX
username user password 7 XXXXXXXXXXXXXXXXXXXXXXXX
!
! 
!
crypto isakmp policy 3
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group vpnclient
key XXXXXXXXXXXXXXXXXXXX
dns 194.25.2.129
pool ippool
!
!
crypto ipsec transform-set myset esp-3des esp-md5-hmac 
!
crypto dynamic-map dynmap 10
set transform-set myset 
reverse-route
!
!
crypto map clientmap client authentication list userauthen
crypto map clientmap isakmp authorization list groupauthor
crypto map clientmap client configuration address respond
crypto map clientmap 10 ipsec-isakmp dynamic dynmap 
!
!
!
interface Loopback0
ip address 10.11.0.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface Ethernet0
description LAN-Schnittstelle
ip address 192.168.2.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface Ethernet1
description WAN-Schnittstelle
no ip address
ip virtual-reassembly
duplex auto
pppoe enable group global
pppoe-client dial-pool-number 1
no keepalive
!
interface Ethernet2
no ip address
shutdown
!
interface FastEthernet1
duplex auto
speed auto
!
interface FastEthernet2
duplex auto
speed auto
!
interface FastEthernet3
duplex auto
speed auto
!
interface FastEthernet4
duplex auto
speed auto
!
interface Dialer0
description Internet
ip ddns update hostname XXXXXXXXXXXXXXXX
ip ddns update DynDNS
ip address negotiated
ip mtu 1492
ip nat outside
ip virtual-reassembly
encapsulation ppp
ip tcp adjust-mss 1452
ip policy route-map VPN-Client
dialer pool 1
dialer-group 1
ppp authentication pap callin
ppp pap sent-username XXXXXXXXXXXXXXXXXXXXXXX@t-online.de password 7 XXXXXXXXXXXXXXXXXXX
ppp ipcp dns request accept
ppp ipcp route default
ppp ipcp address accept
crypto map clientmap
!
ip local pool ippool 192.168.2.150 192.168.2.170
ip route 0.0.0.0 0.0.0.0 Dialer0
ip http server
no ip http secure-server
!
ip nat inside source list 101 interface Dialer0 overload
!
access-list 101 permit ip any any
access-list 144 permit ip 192.168.2.0 0.0.0.255 any
dialer-list 1 protocol ip permit
route-map VPN-Client permit 10
match ip address 144
set interface Loopback0
!
!
control-plane
!
!
line con 0
password 7 05080F1C2243
no modem enable
line aux 0
password 7 05080F1C2243
line vty 0 4
exec-timeout 120 0
password 7 05080F1C2243
length 0
!
scheduler max-task-time 5000
end

 

 

Vielen Dank für Eure Hilfe.

 

Mfg

Link zu diesem Kommentar
xor Proficient

xor   11

Geschrieben
  • Autor
Geschrieben

Hallo,

 

ich hatte den ippool für die VPN Clients mit dem gleichen Netz ausgestattet, wie die internen LAN PCs. Das ist natürlich falsch. Das habe ich geändert und dann die ACL 144 dementsprechend angepasst.

 

Was nur sehr komisch ist:

 

Manchmal kann ich von dem mobilen Laptop, der sich per VPN eingewählt hat, meinen Webserver (192.168.2.2) pingen. Wenn das geht, dann kann ich aber die Gateway nicht mehr pingen (192.168.2.1). Da bekomme ich die Zeitüberschreitung. Dann ein paar Minuten später, kann ich von dem mobilen Laptop nicht mehr den Webserver anpingen (Zeitüberschreitung), aber dafür dann die Gateway (192.168.2.1).

 

Wenn ich den Webserver pingen kann, kann ich aber dennnoch nicht per HTTP darauf zugreifen.

 

Da ist irgendwo der Wurm drin. Ich hatte auch mal den dynpool geändert, ohnd die ACL 144 angepasst zu haben. Und siehe da, ich konnte immernoch ab und zu den Webserver bzw, die Gateway pingen. Obwohl das ja gar nicht funktionieren dürfte.

 

Also habe ich heute mal einen CISCO 1721 genommen und dort gleich mal das SDM 2.5 installiert. Dann wollte ich dort per Wizard ein Easy VPN Server installieren, aber wenn ich auf den Button von dem Wizard klicke, dann öffnet sich nichts. :(

 

Bin gerade mit meinem wenigen Cisco Latein am Ende...

 

http://www.cisco.com/en/US/products/sw/secursw/ps2308/products_configuration_example09186a008073b06b.shtml#diag

 

Das hier war mein Leitfaden, den ich halt auf die DSL Einwahl anpassen musste.

 

Mfg

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...