Elias2k 10 Geschrieben 8. April 2004 Melden Teilen Geschrieben 8. April 2004 hallo zusammen, ich verusche gerade für unsere Arbeitsgruppe einen VPN Server mit dem Cisco 1710 zu konfigurieren. Ich bin absoluter Neuling in Sachen Cisco, habe mich auf der Webseite umgesehen, aber nichts gefunden, was mir weiterhilft. Wir versuchen dem Router, der eine feste WAN IP hat, per Cisco VPN Clients zu erreichen. Leider gibt die SDM Konfiguration keinerlei ZUgriff auf den Easy VPN Server. Ich habe mich auc noch nicht wirklich getraut an den Configurationsdatein rum zu hacken. Vielleicht gibt es ein paar Hilfen, die Ihr empfehlen könntet. MFG ELuas Zitieren Link zu diesem Kommentar
n@ppo 10 Geschrieben 8. April 2004 Melden Teilen Geschrieben 8. April 2004 hi, das kannst du z.b. mit xauth erledigen. eine beispielkonfig findest du meiner hp. http://rulax.dnsalias.com/public/cisco/konfig/ipsec.html oder dort http://www.cisco.com/en/US/netsol/ns340/ns394/ns171/ns27/networking_solutions_white_paper09186a00801890e4.shtml Zitieren Link zu diesem Kommentar
Elias2k 10 Geschrieben 13. April 2004 Autor Melden Teilen Geschrieben 13. April 2004 ich habe ssh conn aufgebaut und habe direkt mit linux commands losgelegt, leider ohne erfolg hehe... da der ios software angeblich falsche befehle verscuht aufzulösen zumindestens stehen die dns server nach und nach da.. editieren im terminal geht das ?? Zitieren Link zu diesem Kommentar
n@ppo 10 Geschrieben 13. April 2004 Melden Teilen Geschrieben 13. April 2004 ich habe ssh conn aufgebaut und habe direkt mit linux commands losgelegt, leider ohne erfolg hehe... da der ios software angeblich falsche befehle verscuht aufzulösen zumindestens stehen die dns server nach und nach da.. das ios versucht nicht den befehl aufzulösen, sondern den interpretiert den nicht existierenden befehl als host-adresse und macht daraufhin einen name-lookup ob es diesen host gibt. das ganze funktioniert im übrigen auch nur im exec-mode bzw. im user-mode. im configuration-mode macht er das nicht. es gibt aber die möglichkeit der hilfe funktion. das ist ein "?" nach einem befehl. da bekommst du angezeigt welche weiteren befehle danach noch möglich sind. außerdem vervollständigt das ios seit version 10.x die befehle nach drücken der tabulator-taste. z.b. aus "sh" + "tabulator" wird dann "show" editieren im terminal geht das ?? ja das geht. du kannst die konfiguration in einem editor bearbeiten und danach via copy-and-paste über eine terminalsession einspielen. bei einer session via telnet oder ssh ist zu bedenken dass die änderungen in der konfiguration umgehend aktiv sind (zumindest der größte teil davon). somit kann es je nach änderung sein das du dir den ast absägst auf dem du sitzt. Zitieren Link zu diesem Kommentar
Elias2k 10 Geschrieben 14. April 2004 Autor Melden Teilen Geschrieben 14. April 2004 erstmal vielen dank für die hilfe ich habe nun mal eine konfigurations datei erstellt, und habe sie versucht im terminal per copy und paste einzufügen allerdings ist mir eine sache unklar, wie öffne ich die datei um da rein zu pasten oder muss ich irgendwie ein execvor die zeilen knallen, um das auszuführen, gibt es ein tool um ein conf datei auf funktionalität zu prüfen, es sei denn der reset der kiste wäre einfach.. mfg elias Zitieren Link zu diesem Kommentar
n@ppo 10 Geschrieben 14. April 2004 Melden Teilen Geschrieben 14. April 2004 erstmal vielen dank für die hilfe biddeschön ich habe nun mal eine konfigurations datei erstellt, und habe sie versucht im terminal per copy und paste einzufügen allerdingsist mir eine sache unklar, wie öffne ich die datei um da rein zu pasten oder muss ich irgendwie ein execvor die zeilen knallen, um das auszuführen, du kannst die konfiguration in einem editor öffnen und ändern. wenn du die konfiguration einspielen möchtest mußt du im configuration-mode sein. welcher mode für was gut ist siehst steht hier. http://www.mcseboard.de/showthread.php?s=&postid=182524#post182524 die laufende konfiguration des routers kannst abspeichern indem du einen log-file innerhalb des terminals mitlaufen lässt und sho running-config im enable-mode eingibst oder aber du speicherst die konfiguration auf einen tftp-server. ein passendes tool gibt es hier. http://support.3com.com/software/utilities_for_windows_32_bit.htm nachdem du die konfiguration auf dem tftp-server abgelegt hast kannst du diese wiederum mit jedem editor öffnen und bearbeiten. gibt es ein tool um ein conf datei auf funktionalität zu prüfen, es sei denn der reset der kiste wäre einfach.. so ein tool gibt es meines wissens nach nicht zumindest nicht für alle ios-versionen. es macht auch wenig sinn so etwas zu programmieren, weil der entwickler der software permanent damit beschäftigt wäre neue features aus den releasständen einzupflegen. mal ganz abgesehen davon das cisco es nicht wirklich gerne sehen würde. wenn du wissen möchtest was ein befehl bewirkt empfehle ich dir die release-notes der ios-versionen bzw. das command-summary. ein reset des routers ist durchaus einfach. solltest du einmal einen befehl eingespielt haben der eine fehlfunktion hevorruft oder nicht das was du dir so darunter erhoft hast kannst du ihn mit einem vorangestellten "no" wieder löschen. oder du schaltest alternativ den router aus. wenn die konfiguration nicht in den nvram geschrieben wurde mit "write mem" bzw "copy running-config startup-config" kommt der router mit den alten einstellungen wieder nach einem reload. Zitieren Link zu diesem Kommentar
Elias2k 10 Geschrieben 21. April 2004 Autor Melden Teilen Geschrieben 21. April 2004 danke für die hilfe stellungen, es klappt leider noch immer nicht, ich habe verschiedene konfigs im terminal eingefügt und ausgeführt, nach eingabe von config t. wenn ich dann unter sdm mir meine vpn policy s anschauen sind alle regeln rot makiert, ich kann zwar einige editieren aber es fkt nicht. Geschweige denn eine KOnnektierung auf die Kiste ist möglich über VPN Noch eine Frage muss ich einzelne Ports ins LAN per NAT konfigurieren, so dass Z.B. eine SMB Server erreichbar ist. Zitieren Link zu diesem Kommentar
n@ppo 10 Geschrieben 21. April 2004 Melden Teilen Geschrieben 21. April 2004 hi, das mit der nat kann ich dir so nicht beantworten. die nat läuft unabhängig vom ipsec. wenn du mit lokalen dhcp-pools arbeitest für ipsec mußt du diese ip-adressen von der nat auschliesen sonst wird das ganze zwei mal durch den nat prozess gejagt. am besten mal die konfig posten dann sehen wir weiter. Zitieren Link zu diesem Kommentar
Elias2k 10 Geschrieben 22. April 2004 Autor Melden Teilen Geschrieben 22. April 2004 also eine meiner running configs : no service pad service tcp-keepalives-in service tcp-keepalives-out service timestamps debug uptime service timestamps log uptime no service password-encryption service sequence-numbers ! hostname mosespa04 ! boot-start-marker boot-end-marker ! security authentication failure rate 3 log security passwords min-length 6 logging buffered 51200 debugging logging console critical enable secret ************************* ! username *********** privilege 15 password 7 ********** username ********* password 0 ********* memory-size iomem 15 clock summer-time Europe/Berlin date Mar 30 2003 2:00 Oct 26 2003 3:00 aaa new-model ! ! aaa authentication login vtyline enable aaa authentication login userauthen local aaa authentication enable default none aaa authorization network groupauthor local aaa session-id common ip subnet-zero no ip source-route ! ! ip tcp synwait-time 10 ip domain name *********** ip name-server 192.168.1.198 ip name-server 192.168.1.199 ! no ip bootp server ip cef ip inspect name DEFAULT100 cuseeme ip inspect name DEFAULT100 ftp ip inspect name DEFAULT100 h323 ip inspect name DEFAULT100 netshow ip inspect name DEFAULT100 rcmd ip inspect name DEFAULT100 realaudio ip inspect name DEFAULT100 rtsp ip inspect name DEFAULT100 smtp ip inspect name DEFAULT100 sqlnet ip inspect name DEFAULT100 streamworks ip inspect name DEFAULT100 tftp ip inspect name DEFAULT100 tcp ip inspect name DEFAULT100 udp ip inspect name DEFAULT100 vdolive ip inspect name DEFAULT100 icmp ip audit po max-events 100 ip ssh time-out 60 ip ssh authentication-retries 2 no ftp-server write-enable ! ! ! ! ! crypto isakmp policy 3 encr 3des authentication pre-share group 2 ! crypto isakmp client configuration group auskommentiert key superauskommentiert pool ippool ! ! crypto ipsec transform-set myset esp-3des esp-sha-hmac ! crypto dynamic-map dynmap 10 set transform-set myset ! ! crypto map clientmap client authentication list userauthen crypto map clientmap isakmp authorization list groupauthor crypto map clientmap client configuration address respond crypto map clientmap 10 ipsec-isakmp dynamic dynmap ! ! ! interface Ethernet0 description $FW_OUTSIDE$$ETH-WAN$ ip address "feste inet ip" ip access-group 101 in ip verify unicast reverse-path no ip redirects no ip unreachables no ip proxy-arp ip nat outside ip inspect DEFAULT100 out no ip route-cache cef no ip route-cache no ip mroute-cache half-duplex no cdp enable crypto map clientmap ! interface FastEthernet0 description $FW_INSIDE$$ETH-LAN$ ip address 192.168.1.253 255.255.255.0 ip access-group 100 in no ip redirects no ip unreachables no ip proxy-arp ip nat inside no ip route-cache cef no ip route-cache no ip mroute-cache speed auto no cdp enable ! ip local pool ippool 192.168.1.80 192.168.1.95 ip nat inside source list 1 interface Ethernet0 overload ip nat inside source route-map nonat interface Ethernet0 overload ip classless no ip http server ip http authentication local ip http secure-server ! ! ! ip access-list extended UNKNOWN ip access-list extended tunnel-password logging trap debugging access-list 1 remark INSIDE_IF=FastEthernet0 access-list 1 remark SDM_ACL Category=2 access-list 1 permit 10.10.10.0 0.0.0.7 access-list 100 remark auto generated by SDM firewall configuration access-list 100 remark SDM_ACL Category=1 access-list 100 deny ip "feste inet ip" 0.0.0.15 any access-list 100 deny ip host 255.255.255.255 any access-list 100 deny ip 127.0.0.0 0.255.255.255 any access-list 100 permit ip any any access-list 101 remark auto generated by SDM firewall configuration access-list 101 remark SDM_ACL Category=1 access-list 101 deny ip 192.168.1.0 0.0.0.255 any access-list 101 permit icmp any host "feste inet ip" echo-reply access-list 101 permit icmp any host "feste inet ip" time-exceeded access-list 101 permit icmp any host "feste inet ip"unreachable access-list 101 deny ip 10.0.0.0 0.255.255.255 any access-list 101 deny ip 172.16.0.0 0.15.255.255 any access-list 101 deny ip 192.168.0.0 0.0.255.255 any access-list 101 deny ip 127.0.0.0 0.255.255.255 any access-list 101 deny ip host 255.255.255.255 any access-list 101 deny ip host 0.0.0.0 any access-list 101 deny ip any any access-list 101 permit ip 192.168.1.0 0.0.0.255 any no cdp run ! route-map nonat permit 10 match ip address 101 ! banner login ^CAuthorized access only! Disconnect IMMEDIATELY if you are not an authorized user!^C ! Zitieren Link zu diesem Kommentar
Elias2k 10 Geschrieben 22. April 2004 Autor Melden Teilen Geschrieben 22. April 2004 line con 0 transport output telnet line aux 0 transport output telnet line vty 0 4 exec-timeout 120 0 privilege level 15 login authentication vtyline transport input telnet ssh line vty 5 15 privilege level 15 transport input telnet ssh ! scheduler allocate 4000 1000 scheduler interval 500 ! end Zitieren Link zu diesem Kommentar
Elias2k 10 Geschrieben 22. April 2004 Autor Melden Teilen Geschrieben 22. April 2004 ich habe die firewall geöffnet die war nämöich zu!!! allerdings habe ich noch eine frage, ich will nur bestimmte dienste aus dem lan wie zb den mysql server durch naten... wie kann ich das am besten machen?? Zitieren Link zu diesem Kommentar
n@ppo 10 Geschrieben 22. April 2004 Melden Teilen Geschrieben 22. April 2004 hi, ich habe das ganze ein wenig umgebaut und ergänzt. # no service pad service tcp-keepalives-in service tcp-keepalives-out service timestamps debug uptime service timestamps log uptime no service password-encryption service sequence-numbers ! hostname mosespa04 ! boot-start-marker boot-end-marker ! security authentication failure rate 3 log security passwords min-length 6 logging buffered 51200 debugging logging console critical enable secret ************************* ! username *********** privilege 15 password 7 ********** username ********* password 0 ********* memory-size iomem 15 clock summer-time Europe/Berlin date Mar 30 2003 2:00 Oct 26 2003 3:00 aaa new-model ! ! aaa authentication login vtyline enable aaa authentication login userauthen local aaa authentication enable default none aaa authorization network groupauthor local aaa session-id common ip subnet-zero no ip source-route ! ! ip tcp synwait-time 10 ip domain name *********** ip name-server 192.168.1.198 ip name-server 192.168.1.199 ! no ip bootp server ip cef ip inspect name DEFAULT100 cuseeme ip inspect name DEFAULT100 ftp ip inspect name DEFAULT100 h323 ip inspect name DEFAULT100 netshow ip inspect name DEFAULT100 rcmd ip inspect name DEFAULT100 realaudio ip inspect name DEFAULT100 rtsp ip inspect name DEFAULT100 sqlnet ip inspect name DEFAULT100 streamworks ip inspect name DEFAULT100 tftp ip inspect name DEFAULT100 tcp ip inspect name DEFAULT100 udp ip inspect name DEFAULT100 vdolive ip inspect name DEFAULT100 icmp ip audit po max-events 100 ip ssh time-out 60 ip ssh authentication-retries 2 no ftp-server write-enable ! crypto isakmp policy 1 hash md5 authentication pre-share group 2 crypto isakmp keepalive 10 ! crypto isakmp client configuration group groupauthor key superauskommentiert pool ippool ! ! crypto ipsec transform-set myset esp-3des esp-md5-hmac crypto ipsec df-bit clear ! crypto dynamic-map dynmap 10 set transform-set myset ! ! crypto map clientmap client authentication list groupauthor crypto map clientmap isakmp authorization list groupauthor crypto map clientmap client configuration address respond crypto map clientmap 10 ipsec-isakmp dynamic dynmap ! ! ! interface Loopback0 description nonat-out-interface fuer ipsec ip address 1.1.1.1 255.255.255.0 ! interface Ethernet0 description $FW_OUTSIDE$$ETH-WAN$ ip address "feste inet ip" ip access-group 101 in no ip redirects no ip unreachables no ip proxy-arp ip nat outside ip inspect DEFAULT100 out half-duplex no cdp enable crypto map clientmap ! interface FastEthernet0 description $FW_INSIDE$$ETH-LAN$ ip address 192.168.1.253 255.255.255.0 ip access-group 100 in no ip redirects no ip unreachables no ip proxy-arp ip nat inside ip route-cache policy ip policy route-map nonat speed auto no cdp enable ! ip local pool ippool 192.168.10.1 192.168.10.16 ip nat inside source route-map nat interface Ethernet0 overload ip classless no ip http server ip http authentication local ip http secure-server ! logging trap debugging access-list 100 remark *** for nat translation and inbound on inside interface *** access-list 100 permit ip 192.168.1.0 0.0.0.255 any access-list 101 remark *** inbound inet-list only few services allowed *** access-list 101 permit icmp any host "feste inet ip" echo-reply access-list 101 permit icmp any host "feste inet ip" time-exceeded access-list 101 permit icmp any host "feste inet ip"unreachable access-list 101 permit udp any eq isakmp any access-list 101 permit udp any any eq isakmp access-list 101 permit udp any any eq non500-isakmp access-list 101 permit esp any any access-list 101 permit ip 192.168.10.0 0.0.0.15 any access-list 111 remark *** for nonating the destination ipsec-clients-ip *** access-list 111 permit ip any 192.168.10.0 0.0.0.15 no cdp run ! route-map nonat permit 10 match ip address 111 set ip next-hop 1.1.1.2 ! route-map nat permit 10 match ip address 100 ! banner login ^CAuthorized access only! Disconnect IMMEDIATELY if you are not an authorized user!^C ! transport output telnet line aux 0 transport output telnet line vty 0 4 exec-timeout 120 0 privilege level 15 login authentication vtyline transport input telnet ssh line vty 5 15 privilege level 15 transport input telnet ssh ! scheduler allocate 4000 1000 scheduler interval 500 ! end # Zitieren Link zu diesem Kommentar
Elias2k 10 Geschrieben 22. April 2004 Autor Melden Teilen Geschrieben 22. April 2004 muss die ip die man bei der vpn verb an den client vergibt nicht im gleichen ip bereiche liegen also lan ist 192.168.1.0 und der ippool ist 192.168.10.2 ???????? Zitieren Link zu diesem Kommentar
n@ppo 10 Geschrieben 22. April 2004 Melden Teilen Geschrieben 22. April 2004 nein muß sie nicht Zitieren Link zu diesem Kommentar
Elias2k 10 Geschrieben 23. April 2004 Autor Melden Teilen Geschrieben 23. April 2004 konnekteirung geht, allerdings ist es nicht möglich webseiten zu öfnen oder den linux server zu pingen, wobei ich jetzt ned sicher bin, wie ich die mysql verbindung herstellen kann über den tunnel... ping geht nicht auf die kiste... haber allerdings mehrere nat rules mal hinzugefügt ohne erfolg Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.