Jump to content

cisco 1710 VP Easy Server

Elias2k

Von Elias2k
in Cisco Forum — Allgemein

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Elias2k Enthusiast

Elias2k   10

Geschrieben
  • Autor
Geschrieben

!

version 12.3

no service pad

service tcp-keepalives-in

service tcp-keepalives-out

service timestamps debug uptime

service timestamps log uptime

no service password-encryption

service sequence-numbers

!

hostname mosespa04

!

boot-start-marker

boot-end-marker

!

security authentication failure rate 3 log

security passwords min-length 6

logging buffered 51200 debugging

logging console critical

enable secret 5 *****************

!

username ******* privilege 15 password 7 ''''''''

username ******* password 0 *********

memory-size iomem 15

aaa new-model

!

!

aaa authentication login vtyline enable

aaa authentication login userauthen local

aaa authentication enable default none

aaa authorization network groupauthor local

aaa session-id common

ip subnet-zero

no ip source-route

!

!

ip tcp synwait-time 10

ip domain name domaine.de

ip name-server 192.168.1.198

ip name-server 192.168.1.199

!

no ip bootp server

ip cef

ip inspect name DEFAULT100 cuseeme

ip inspect name DEFAULT100 ftp

ip inspect name DEFAULT100 h323

ip inspect name DEFAULT100 netshow

ip inspect name DEFAULT100 rcmd

ip inspect name DEFAULT100 realaudio

ip inspect name DEFAULT100 rtsp

ip inspect name DEFAULT100 smtp

ip inspect name DEFAULT100 sqlnet

ip inspect name DEFAULT100 streamworks

ip inspect name DEFAULT100 tftp

ip inspect name DEFAULT100 tcp

ip inspect name DEFAULT100 udp

ip inspect name DEFAULT100 vdolive

ip inspect name DEFAULT100 icmp

ip audit po max-events 100

ip ssh time-out 60

ip ssh authentication-retries 2

no ftp-server write-enable

!

!

!

!

!

crypto isakmp policy 3

encr 3des

authentication pre-share

group 2

!

crypto isakmp client configuration group arbeitsgruppe

key *********

pool ippool

!

!

crypto ipsec transform-set myset esp-3des esp-sha-hmac

!

crypto dynamic-map dynmap 10

set transform-set abcd

!

!

crypto map clientmap client authentication list userauthen

crypto map clientmap isakmp authorization list groupauthor

crypto map clientmap client configuration address respond

crypto map clientmap 10 ipsec-isakmp dynamic dynmap

!

!

!

interface Ethernet0

description $FW_OUTSIDE$$ETH-WAN$

ip address feste ip 255.255.255.240

ip access-group 101 in

ip verify unicast reverse-path

no ip redirects

no ip unreachables

no ip proxy-arp

ip nat outside

ip inspect DEFAULT100 out

no ip route-cache cef

no ip route-cache

no ip mroute-cache

half-duplex

no cdp enable

crypto map clientmap

!

interface FastEthernet0

description $FW_INSIDE$$ETH-LAN$

ip address 192.168.1.253 255.255.255.0

ip access-group 100 in

no ip redirects

no ip unreachables

no ip proxy-arp

ip nat inside

no ip route-cache cef

no ip route-cache

no ip mroute-cache

speed auto

no cdp enable

!

ip local pool ippool 192.168.1.80 192.168.1.95

ip nat inside source list 1 interface Ethernet0 overload

ip nat inside source route-map nonat interface Ethernet0 overload

ip classless

no ip http server

ip http authentication local

ip http secure-server

!

!

!

ip access-list extended UNKNOWN

ip access-list extended tunnel-password

logging trap debugging

access-list 1 remark INSIDE_IF=FastEthernet0

access-list 1 remark SDM_ACL Category=2

access-list 1 permit 192.168.1.0 0.0.0.255

access-list 100 remark auto generated by SDM firewall configuration

access-list 100 remark SDM_ACL Category=1

access-list 100 deny ip feste ip any

access-list 100 deny ip host 255.255.255.255 any

access-list 100 deny ip 127.0.0.0 0.255.255.255 any

access-list 100 permit ip any any

access-list 101 remark auto generated by SDM firewall configuration

access-list 101 remark SDM_ACL Category=3

access-list 101 deny ip 192.168.1.0 0.0.0.255 any

access-list 101 permit icmp any host feste ip echo-reply

access-list 101 permit icmp any host feste ip time-exceeded

access-list 101 permit icmp any host feste ip unreachable

access-list 101 remark VPN

access-list 101 permit udp any host gr

access-list 101 deny ip 10.0.0.0 0.255.255.255 any

access-list 101 deny ip 172.16.0.0 0.15.255.255 any

access-list 101 deny ip 192.168.0.0 0.0.255.255 any

access-list 101 deny ip 127.0.0.0 0.255.255.255 any

access-list 101 deny ip host 255.255.255.255 any

access-list 101 deny ip host 0.0.0.0 any

access-list 101 deny ip any any

access-list 101 permit ip 192.168.1.0 0.0.0.255 any

no cdp run

!

route-map nonat permit 10

match ip address 101

!

banner login ^CAuthorized access only!

Disconnect IMMEDIATELY if you are not an authorized user!^C

!

line con 0

transport output telnet

line aux 0

transport output telnet

line vty 0 4

privilege level 15

transport input telnet ssh

line vty 5 15

privilege level 15

transport input telnet ssh

!

scheduler allocate 4000 1000

scheduler interval 500

!

end

Link zu diesem Kommentar
Elias2k Enthusiast

Elias2k   10

Geschrieben
  • Autor
Geschrieben

sodele, mit der konfiguration funktioniert ist, allerdings geht dann auch nichts mehr, ich kann mich verbinden, sehe aber allerdings keinen server im lan hinter dem router im speziellen den sql server und ich kann auch nicht mehr im inet surfen oder andere dinge wir pop3 smtp etc tätigen, das sollte ja das tunnel splitting machen, wenn ich das richtig verstehe !!! wie man es konf weiss ich aber auch nicht,

 

das probleme stellt allerdings der mysql server im lan da, ich habe keine chance den zu pingen ,

 

im cisco vpn client steht unter tunnel nichts, auch keine routen ausser 0.00.0.0!!

 

MFG ELias

Link zu diesem Kommentar
MrBraum Contributor

MrBraum   10

Geschrieben
Geschrieben

Hy Admin´s

 

Ich habe mal nachgeschaut was ich darüber habe....und was als Anhang geschickt . Das müsste dir weiterhelfen.

 

PS: Hier ist eine recht gut auskommentierte conf ...muss nur angepasst werden.

Wichtig!!!! Achte darauf dass in deiner conf die NAMEN Korrekt sind.

 

! VPN-Gatewaykonfiguration .

! EZ-VPN Server akzeptiert IPSec Verbindungen

! von allen moeglichen IP Adressen und fuehrt

! mode-config und xauth durch.

!

! VPN-Remote konnektieren entweder mit einem IOS Router

! oder mit einem cisco VPN-Client 4.x

!

! Fuer beide Faelle ist auf dem Gateway eine EZ-VPN Gruppe

! eingerichtet.

!

! Der Gruppe der IOS-Router wird erlaubt

! xauth mit auf den EZ-VPN-Remote _gespeicherten_ Usern

! Dadurch kann xauth und mode-config ohne weitere EIngabe des

! Users durchgefuehrt werden.

!

! Der Gruppe der Cisco-VPN-Clients wird nicht gestattet mit

! gespeicherten Usernamen/Passwoertern zur Authentifizierung

! zu arbeiten. User muessen beim manuellen Verbindungsaufbau

! Ihr Passwort eingeben.

!

! Die Userauthentifizierung wird gegen IAS Radius Server auf

! dem Infrastrukturserver durchgefuehrt, der ins Active Directory

! ist. Dadurch kann das Recht zur Einwahl im Active Directory

! erteilt werden und der User muss sich kein Passwort merken.

!

! Auf dem IAS ist fuer die IOS-Clients ein User "SITEUSER"

! mit dem Passwort "SITEPASSWORT" angelegt. Alle EZ-VPN-Remote IOS Router

! werden mit diesem gespeicherten User/Passwort gegen den IAS authentifiziert.

!

! Aus Sicherheitsgruenden werden alle Passwoerter auf dem EZ-VPN-Server und

! den EZ-VPN-Remote Routern mit AES verschluesselt.

!

!

version 12.3

service timestamps debug datetime msec

service timestamps log datetime msec

no service password-encryption

!

hostname VPN-Gateway

username ****** password 0 *******

username ****** password *******

!

!

enable secret ******

!

aaa new-model

!

aaa authentication login VPN-XAUTH-LIST group radius local

aaa authorization network VPN-RAS-GROUP local

aaa authorization network VPN-SITE-GROUP local

!

password encryption aes

!

! Die globale ISAKMP Policy mit 3des Verschluesselung und pre-shared key

crypto isakmp policy 1

encr 3des

authentication pre-share

group 2

!

!

! Mode-config mit dem lokalen Adresspool "VPN-RAS-POOL"

!

crypto isakmp client configuration address-pool local VPN-RAS-POOL

crypto isakmp xauth timeout 90

!

! Die Gruppe fuer die cisco-VPN-Clients

! mit dem Namen VPN-RAS-GROUP mit dem

! Gruppenpasswort: "VPN-RAS-PASSWORT"

! Ausserdem werden den virtuellen Adaptern

! IP Adressen aus dem Pool "VPN-RAS-POOL"

! 192.168.1.1 - 192.168.1.254 zugewiesen

! sowie DNS & WINS Server.

!

crypto isakmp client configuration group VPN-RAS-GROUP

key *****

!(VPN-RAS-PASSWORT)

!

dns 192.168.2.1

wins 192.168.2.1

domain test.int

pool VPN-RAS-POOL

!

!

! Die Gruppe fuer die EZ-VPN-Remote IOS Router

! "VPN-SITE-GROUP" und dem Gruppenpasswort

! "VPN-SITE-PASSWORT". Mitglieder dieser Gruppe

! duerfen mit gespeicherten Passwoertern xauth

! durchfuehren.

!

crypto isakmp client configuration group VPN-SITE-GROUP

key VPN-SITE-PASSWORT

domain test.de

save-password

!

!

! Das Transform Set

crypto ipsec transform-set VPN-TRANSFORM esp-3des esp-sha-hmac

!

! Mit reverse-Route fuer die VPN-Clients

crypto dynamic-map DYN-MAP 1

set transform-set VPN-TRANSFORM

reverse-route

!

! Fuer die EZ-VPN-Remote IOS Clients (also ohne reverse Route)

crypto dynamic-map DYN-MAP 2

set transform-set VPN-TRANSFORM

!

! Hier wir die Crypto-MAP "VPN-MAP" konfiguriert:

! mit Authentifizierung ueber die Liste VPN-XAUTH-LIST

! basierend auf dem dynamischen Template "DYN-MAP"

!

crypto map VPN-MAP client authentication list VPN-XAUTH-LIST

crypto map VPN-MAP isakmp authorization list VPN-SITE-GROUP

crypto map VPN-MAP client configuration address respond

crypto map VPN-MAP 1 ipsec-isakmp dynamic DYN-MAP

!

!

!

! Auf dem Interface wird die crypto-map angewendet:

interface FastEthernet0/0

ip address PUBLIC1

duplex auto

speed auto

crypto map VPN-MAP

!

!

! Der lokale Pool mit den IP-Adressen fuer die VPN-Clients

ip local pool VPN-RAS-POOL 192.168.1.1 192.168.1.254

!

no ip http server

no ip http secure-server

ip classless

!

! Es gibt nur eine default-route: Richtung Bastion-Host!

ip route 0.0.0.0 0.0.0.0 1.2.3.4

!

!

! Die Liste "VPN-XAUTH-LIST" definiert als erste Methode radius. Hier

! wird der zu benutzende RADIUS Server angegeben und der benutzte PSK

!

radius-server host 192.168.2.1 auth-port 1645 acct-port 1646

radius-server retransmit 5

radius-server timeout 10

radius-server key *****

!

!

end

 

Schau mal hier: http://www.cisco.com/pcgi-bin/search/search.pl?searchPhrase=VPN+conf&nv=Search+All+cisco.com%23%23cisco.com&nv=Technical+Support+%26+documentation%23%23cisco.com%23TSD&language=en&country=US&accessLevel=Guest&siteToSearch=cisco.com

 

Gruß

 

MrBraum

Link zu diesem Kommentar
n@ppo Fellow

n@ppo   10

Geschrieben
Geschrieben
Original geschrieben von Elias2k

sodele, mit der konfiguration funktioniert ist, allerdings geht dann auch nichts mehr, ich kann mich verbinden, sehe aber allerdings keinen server im lan hinter dem router im speziellen den sql server und ich kann auch nicht mehr im inet surfen oder andere dinge wir pop3 smtp etc tätigen, das sollte ja das tunnel splitting machen, wenn ich das richtig verstehe !!! wie man es konf weiss ich aber auch nicht,

 

das probleme stellt allerdings der mysql server im lan da, ich habe keine chance den zu pingen ,

 

im cisco vpn client steht unter tunnel nichts, auch keine routen ausser 0.00.0.0!!

 

MFG ELias

 

hi,

 

die routen für splitt-tunneling konfigurierst du so.

 

 

#

crypto isakmp client configuration group groupauthor

key superauskommentiert

pool ippool

acl 122

!

access-list 122 permit 192.168.1.0 0.0.0.255 any

#

 

auch wenn es nervig ist, schick danach noch mal die running-config.

wenn sich dein client verbinden kann und du auf dem router mit "sho crypto ipsec sa" den client siehst sollte zumindest vom ipsec her alles ok sein.

ich denke das problem sind die acl´s auf dem outside-interface und das policy-routing auf dem inside-interface.

da policy-routing ist zwingend nötig für die funktion.

hier der auszug aus der konfig um den es geht

 

#

!

interface Loopback0

description nonat-out-interface fuer ipsec

ip address 1.1.1.1 255.255.255.0

!

interface FastEthernet0

description $FW_INSIDE$$ETH-LAN$

.........

ip route-cache policy (local policy routing)

ip policy route-map nonat (route-map die, die bedingungen für policy routing definiert)

!

route-map nonat permit 10 (name der route-map ink. sequence-nummer)

match ip address 111 (acl die für die bedingung)

set ip next-hop 1.1.1.2 (regel nachdem die bedingnng erfüllt wurde)

!

access-list 111 remark *** for nonating the destination ipsec-clients-ip ***

access-list 111 permit ip any 192.168.10.0 0.0.0.15

 

#

 

den next-top in der route-map gibt es nicht auf dem router. es ist auch nicht zwingend nötig. es geht nur darum pakete die für das ziel 192.168.1.0 - 192.168.1.16 sind nicht durch den nat-process zu schicken, sondern auf ein interface des routers das sich nicht in der nat-konfiguration wiederfindet. dieses interface ist das loopback. wenn das paket dort angekommen ist hat der router denoch einen verwendung dafür, da er selbst den pool für dieses netz verwaltet und eine bindung dafür hat. also schickt er es durch den ipsec-tunnel.

Link zu diesem Kommentar
Elias2k Enthusiast

Elias2k   10

Geschrieben
  • Autor
Geschrieben

username ******privilege 15 password 7 **********

username ***********************

memory-size iomem 15

aaa new-model

!

!

aaa authentication login vtyline enable

aaa authentication login userauthen local

aaa authentication enable default none

aaa authorization network groupauthor local

aaa session-id common

ip subnet-zero

no ip source-route

!

!

ip tcp synwait-time 10

ip domain name testvpn

ip name-server ****+

ip name-server ********

!

no ip bootp server

ip cef

ip inspect name DEFAULT100 cuseeme

ip inspect name DEFAULT100 ftp

ip inspect name DEFAULT100 h323

ip inspect name DEFAULT100 netshow

ip inspect name DEFAULT100 rcmd

ip inspect name DEFAULT100 realaudio

ip inspect name DEFAULT100 rtsp

ip inspect name DEFAULT100 sqlnet

ip inspect name DEFAULT100 streamworks

ip inspect name DEFAULT100 tftp

ip inspect name DEFAULT100 tcp

ip inspect name DEFAULT100 udp

ip inspect name DEFAULT100 vdolive

ip inspect name DEFAULT100 icmp

ip audit po max-events 100

ip ssh time-out 60

ip ssh authentication-retries 2

no ftp-server write-enable

!

!

!

!

!

crypto isakmp policy 1

hash md5

authentication pre-share

group 2

crypto isakmp keepalive 10

!

crypto isakmp client configuration group groupauthor

key ******

pool ippool

!

!

crypto ipsec transform-set myset esp-3des esp-md5-hmac

crypto ipsec df-bit clear

!

crypto dynamic-map dynmap 10

set transform-set myset

!

!

crypto map clientmap client authentication list groupauthor

crypto map clientmap isakmp authorization list groupauthor

crypto map clientmap client configuration address respond

crypto map clientmap 10 ipsec-isakmp dynamic dynmap

!

!

!

interface Loopback0

description nonat-out-interface fuer ipsec

ip address 1.1.1.1 255.255.255.0

!

interface Ethernet0

description $FW_OUTSIDE$$ETH-WAN$

ip address 213.x.y.z 255.255.255.240

ip access-group 101 in

no ip redirects

no ip unreachables

no ip proxy-arp

ip nat outside

ip inspect DEFAULT100 out

ip route-cache flow

half-duplex

no cdp enable

crypto map clientmap

!

interface FastEthernet0

description $FW_INSIDE$$ETH-LAN$

ip address 192.168.1.230 255.255.255.0

ip access-group 100 in

no ip redirects

no ip unreachables

no ip proxy-arp

ip nat inside

ip route-cache policy

ip route-cache flow

ip policy route-map nonat

speed auto

no cdp enable

!

ip local pool ippool 192.168.10.1 192.168.10.16

ip nat inside source list 1 interface Ethernet0 overload

ip nat inside source route-map nat interface Ethernet0 overload

ip classless

ip route 0.0.0.0 0.0.0.0 ********router

no ip http server

ip http authentication local

ip http secure-server

!

!

logging trap debugging

access-list 1 remark INSIDE_IF=FastEthernet0

access-list 1 remark SDM_ACL Category=2

access-list 1 permit 10.10.10.0 0.0.0.7

access-list 100 remark *** for nat translation and inbound on inside interface ***

access-list 100 permit ip 192.168.1.0 0.0.0.255 any

access-list 101 remark *** inbound inet-list only few services allowed ***

access-list 101 permit icmp any host ************** echo-reply

access-list 101 permit icmp any host ************** time-exceeded

access-list 101 permit icmp any host *************unreachable

access-list 101 permit udp any eq isakmp any

access-list 101 permit udp any any eq isakmp

access-list 101 permit udp any any eq non500-isakmp

access-list 101 permit esp any any

access-list 101 permit ip 192.168.10.0 0.0.0.15 any

access-list 111 remark *** for nonating the destination ipsec-clients-ip ***

access-list 111 permit ip any 192.168.10.0 0.0.0.15

no cdp run

!

route-map nonat permit 10

match ip address 111

set ip next-hop 1.1.1.2

!

route-map nat permit 10

match ip address 100

!

banner login ^CCAuthorized access only!

Disconnect IMMEDIATELY if you are not an authorized user!^C

!

line con 0

transport output telnet

line aux 0

transport output telnet

line vty 0 4

exec-timeout 120 0

privilege level 15

login authentication vtyline

transport input telnet ssh

line vty 5 15

privilege level 15

transport input telnet ssh

!

scheduler allocate 4000 1000

scheduler interval 500

!

end

Link zu diesem Kommentar
  • 4 Wochen später...
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...