Seppe 10 Geschrieben 8. Mai 2011 Melden Teilen Geschrieben 8. Mai 2011 Hallo Bin gerade dabei mich in die Welt der CISCO Router zu wagen. Habe ein VPN IPSEC eingerichtet. Mit dem CISCO Client kann ich mich verbinden. Meine erste Frage: Mit den Windows 7 onBoard Netzwerkverbindungs-Manager klappt es irgendwie nicht. Hat da jemand Erfahrung? Meine zweite Frage geht ins Natting (denk ich mal). Das VPN kommt bei dem OUTSIDE Interface an. Nun möchte ich einen Dienst auf einen anderen PC (erstmal zum Testzweck) ansprechen. Aber ich kann nur das INSIDE Interface anpingen, wo der PC ansteckt. Den PC selbst leider nicht. Der PC kann aber das INSIDE Interface anpingen. Firewalls sind deaktiviert. Meine Vermutung liegt am NAT. Sehe ich das richtig oder ist liegt es an einem anderen Problem? DANKE für Hilfe Seppe Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 8. Mai 2011 Melden Teilen Geschrieben 8. Mai 2011 Hallo, für Cisco VPN brauchst du den Cisco Client - was verstehst du unter dem Netzwerkverbindungs Manager ? Den Windows eingebauten VPN Client ? Da müsstest du auf dem Router PPTP einrichten. Bzgl dem NAT - denke da hast du nicht die Traffik vom VPN Client "ausgenommen". Hier hilft uns aber nur eine Config - so ist das "Glaskugel" lesen :-) Zitieren Link zu diesem Kommentar
Seppe 10 Geschrieben 9. Mai 2011 Autor Melden Teilen Geschrieben 9. Mai 2011 OK. Hier meine Config. Ist aus der CISCO Doku. Am OUTSIDE ist der PC mit 10.1.1.2 dran. Am INSIDE Interface soll der PC mit 192.168.1.2 angepingt werden. Vll ein Routing Problem? Building configuration... Current configuration : 3329 bytes ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname Router ! boot-start-marker boot-end-marker ! ! aaa new-model ! ! aaa authentication login default local aaa authentication login sdm_vpn_xauth_ml_1 local aaa authorization exec default local aaa authorization network sdm_vpn_group_ml_1 local ! aaa session-id common ip cef ! ! ip auth-proxy max-nodata-conns 3 ip admission max-nodata-conns 3 ! ! ! ! crypto pki trustpoint TP-self-signed-779273140 enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-779273140 revocation-check none rsakeypair TP-self-signed-779273140 ! ! crypto pki certificate chain TP-self-signed-779273140 certificate self-signed 01 3082023C 308201A5 A0030201 02020101 300D0609 2A864886 F70D0101 04050030 30312E30 2C060355 04031325 494F532D 53656C66 2D536967 6E65642D 43657274 69666963 6174652D 37373932 37333134 30301E17 0D313130 35303931 36333732 315A170D 32303031 30313030 30303030 5A303031 2E302C06 03550403 1325494F 532D5365 6C662D53 69676E65 642D4365 72746966 69636174 652D3737 39323733 31343030 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818100 E450EB2E 25954E02 7BB8FDC7 EBB1C1D4 DC78F44C 716B460E 66F4F3E5 E63FEEFD 5BC40D26 E4BF034F E6D3BB9C 220D49F3 C6D929D4 5ED9E143 4709EAA4 044A9F8C 9C3996A6 04772409 88B670B3 B1BCBDDE 5E6C823B 5911E9FF 86E0FBA1 A95B033A 44C5DEBF EA97332A 9E124A72 9A158D64 E6561B1C 8CBEED56 06E8BD01 3CB25167 02030100 01A36630 64300F06 03551D13 0101FF04 05300301 01FF3011 0603551D 11040A30 08820652 6F757465 72301F06 03551D23 04183016 8014BA7C 4785CF69 1F8DB70E 76D12104 90B01D4B 65A4301D 0603551D 0E041604 14BA7C47 85CF691F 8DB70E76 D1210490 B01D4B65 A4300D06 092A8648 86F70D01 01040500 03818100 77AAA7E0 FDD68DEC ACFDDDEF BA274CAB 823B7427 E07E365C 8B9437A5 B172A2B5 A891CF2C BBA479C9 CD1F4D1E 6D2C7AAF A145FAD1 DF161AC1 0DC95490 70141754 69EB083B 1BED920C 1F16970D 2A076616 9A7EA4A4 1E53FD3C 60B810AC B3F879F7 638F393F 6DFF8453 F519DE7D EC1BE7CA 16309864 D5F4C4FA BB33026E E50EF79C quit username sdmsdm privilege 15 password 0 sdmsdm ! ! ! ! crypto isakmp policy 1 encr 3des authentication pre-share group 2 ! crypto isakmp client configuration group vpn key sdmsdm pool SDM_POOL_1 netmask 255.255.255.0 ! ! crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac ! crypto dynamic-map SDM_DYNMAP_1 1 set transform-set ESP-3DES-SHA reverse-route ! ! crypto map SDM_CMAP_1 client authentication list sdm_vpn_xauth_ml_1 crypto map SDM_CMAP_1 isakmp authorization list sdm_vpn_group_ml_1 crypto map SDM_CMAP_1 client configuration address respond crypto map SDM_CMAP_1 65535 ipsec-isakmp dynamic SDM_DYNMAP_1 ! ! ! interface FastEthernet0/0 ip address 10.1.1.1 255.255.255.0 speed auto half-duplex crypto map SDM_CMAP_1 ! interface FastEthernet0/1 ip address 192.168.1.1 255.255.255.0 duplex auto speed auto ! interface BRI0/0/0 no ip address encapsulation hdlc shutdown ! ip local pool SDM_POOL_1 192.168.2.1 192.168.2.5 ip forward-protocol nd ! ip http server ip http authentication local ip http secure-server ! route-map SDM_RMAP_1 permit 1 match ip address 100 ! ! ! control-plane ! ! line con 0 line aux 0 line vty 0 4 password sdmsdm ! scheduler allocate 20000 1000 end Zitieren Link zu diesem Kommentar
Seppe 10 Geschrieben 10. Mai 2011 Autor Melden Teilen Geschrieben 10. Mai 2011 Hier erstmal die Config Ist von der CISCO Seite eine Standard Konfig mit leichter Änderung Building configuration... Current configuration : 3329 bytes ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname Router ! boot-start-marker boot-end-marker ! ! aaa new-model ! ! aaa authentication login default local aaa authentication login sdm_vpn_xauth_ml_1 local aaa authorization exec default local aaa authorization network sdm_vpn_group_ml_1 local ! aaa session-id common ip cef ! ! ip auth-proxy max-nodata-conns 3 ip admission max-nodata-conns 3 ! ! ! ! ! ! ! crypto isakmp policy 1 encr 3des authentication pre-share group 2 ! crypto isakmp client configuration group vpn key sdmsdm pool SDM_POOL_1 netmask 255.255.255.0 ! ! crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac ! crypto dynamic-map SDM_DYNMAP_1 1 set transform-set ESP-3DES-SHA reverse-route ! ! crypto map SDM_CMAP_1 client authentication list sdm_vpn_xauth_ml_1 crypto map SDM_CMAP_1 isakmp authorization list sdm_vpn_group_ml_1 crypto map SDM_CMAP_1 client configuration address respond crypto map SDM_CMAP_1 65535 ipsec-isakmp dynamic SDM_DYNMAP_1 ! ! ! interface FastEthernet0/0 ip address 10.1.1.1 255.255.255.0 speed auto half-duplex crypto map SDM_CMAP_1 ! interface FastEthernet0/1 ip address 192.168.1.1 255.255.255.0 duplex auto speed auto ! interface BRI0/0/0 no ip address encapsulation hdlc shutdown ! ip local pool SDM_POOL_1 192.168.2.1 192.168.2.5 ip forward-protocol nd ! ip http server ip http authentication local ip http secure-server ! route-map SDM_RMAP_1 permit 1 match ip address 100 ! ! ! control-plane ! ! ! scheduler allocate 20000 1000 end Liegt es vll. am Routen? Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 10. Mai 2011 Melden Teilen Geschrieben 10. Mai 2011 Hi, das liegt an was anderem als am NAT - du hast einen "ganz" normalen Router gebaut - kein NAT - desweiteren verwendest du die Access Regel 100 (match ip address 100) - die es aber auch nicht gibt. Beschreibe mal wie es nachher sein soll - dann kann man es mal anpssen. Zitieren Link zu diesem Kommentar
Seppe 10 Geschrieben 11. Mai 2011 Autor Melden Teilen Geschrieben 11. Mai 2011 Für Testzwekce soll es erstmal so funktionieren: Ein externer Mitarbeiter (10.1.1.2) soll sich per VPN ein wählen am OUTSIDE Interface (10.1.1.1). Er soll dann auf einen PC (192.168.1.2) zugreifen im INTRANET über das INSIDE Interface (192.168.1.2). Was sagt die ccess Regel 100 aus? Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 11. Mai 2011 Melden Teilen Geschrieben 11. Mai 2011 Hi, ich weiß nicht was sie aussagen soll - weil sie ja nicht da ist - nur darauf verwiesen wird. Die Route Map SDM_RMAP_1 wird auch nicht verwendet. Ich denke aber - es soll sicher ein NAT in deiner Config vorkommen ? Oder soll von "aussen" 10.1.1.x einfach so nach "innen" geroutet werden können ? Da brauchst du ja kein VPN :-) Zitieren Link zu diesem Kommentar
Seppe 10 Geschrieben 12. Mai 2011 Autor Melden Teilen Geschrieben 12. Mai 2011 Es soll erst ein VPN Über das OUTSIDE aufgebaut werden vom PC 10.1.1.2. Und dieser PC soll dann Zugang zum "Intranet" haben, wenn er verbunden ist. Intranet ist in dem Fall dann nur der PC 192.168.1.2. Zum Testzweck ist zwischen OUTSIDE PC unt Outside Interface ein direktes Kabel. Später soll das Internet dazwischen sein Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 12. Mai 2011 Melden Teilen Geschrieben 12. Mai 2011 OK - dann schaue ich mal - das ich dir ne Config baue Zitieren Link zu diesem Kommentar
Seppe 10 Geschrieben 12. Mai 2011 Autor Melden Teilen Geschrieben 12. Mai 2011 Also die Grund Config ist von hier: Cisco Router as a Remote VPN Server using SDM Configuration Example - Cisco Systems Allerdings geht bei mir das VPN SDM nicht, weil die Java Version anscheind nicht unterstützt wird Zitieren Link zu diesem Kommentar
thematrix 10 Geschrieben 19. Mai 2011 Melden Teilen Geschrieben 19. Mai 2011 Hi, ich kann gar kein routen sehen. Eine defaultroute wäre nicht so schlecht. ip route 0.0.0.0 0.0.0.0 <GatewayIP-Nach-Aussen> Ausserdem musste noch einen lokalen user anlegen mit dem Du dich einlogst: username testuser password testusercisco dann solltest Du wie schon erwähnt ein NAT/PAT mit einem No-NAT für den VPN-traffic einrichten. Zudem würde ich noch ein Split tunneling einrichten. Ich persönlich halte nichts von der Configuration über SDM, aber das ist jedem seine Sache. Hier sind sehr gute Configs von Cisco: Cisco IOS Security Configuration Guide: Secure Connectivity, Release 12.4T* [Cisco IOS Software Releases 12.4 T] - Cisco Systems Schau unter EasyVPN ... da findest genug zum konfigurieren :) Viel spass, thematrix PS: Wie meine Vorschreiber schon erwähnten .... den Cisco VPN Client benutzen :) Zitieren Link zu diesem Kommentar
Seppe 10 Geschrieben 22. Mai 2011 Autor Melden Teilen Geschrieben 22. Mai 2011 Danke für den Link :) Hattes soweit mitlerwile hinbekommen. Lese mit trotzdem nochmal den Link durch. Den USER hatte ich rausgenommen zum posten. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.