mister2x 10 Geschrieben 6. Mai 2004 Melden Teilen Geschrieben 6. Mai 2004 Hallo zusammen, nachdem ich jetzt dann nahe der Verzweiflung mit meinem ersten Ausflug in die "Cisco Welt" bin hoffe ich dass mir hier jemand helfen kann bei meinen Konfigurationsversuchen. Grundsätzlich versuche ich folgendes Szenario zu realisieren: Internet per Cablemodem (DHCP) | Cisco 1712 -- VLAN1 (192.168.10.x) | VLAN2 (192.168.20.x) Hinzu kommen noch Zugriff eines VPN Clients aus dem Internet mit dem Router als Endpunkt (IP Pool 192.168.30.x) VLAN2 ist unsicher und soll kein Routing zu VLAN1 haben, aber über den Router ins Internet kommen. Folgendes habe ich bereits erreicht: Internetzugang konfiguriert (IP wird per DHCP bezogen) NAT für VLAN1 + VLAN2 VPN Server als Endpunkt (Client meldet sich an und bekommt seine IP-Daten zugewiesen: IP-Adresse, Subnet, DNS-Server) Was mir noch fehlt: Das Routing zwischen dem VPN Client (192.168.30.x) und VLAN1. D.h. der VPN Client aus dem Internet soll die Möglichkeit haben mit Rechnern aus dem VLAN1 zu kommunizieren. Ich denke hier fehlen mir nur noch die entsprechenden ACL's, aber bisher konnte ich noch keine funktionieren Konfiguration zusammenstellen. Ausgabe von "show ver" isco Internetwork Operating System Software IOS C1700 Software (C1700-K9O3SY7-M), Version 12.2(15)ZL1, EARLY DEPLOYMENT RELEASE SOFTWARE (fc1) Synched to technology version 12.3(0.1) TAC Support: http://www.cisco.com/tac Copyright © 1986-2003 by cisco Systems, Inc. Compiled Mon 13-Oct-03 23:09 by ealyon Image text-base: 0x80008120, data-base: 0x811F8078 ROM: System Bootstrap, Version 12.2(7r)XM4, RELEASE SOFTWARE (fc1) ROM: C1700 Software (C1700-K9O3SY7-M), Version 12.2(15)ZL1, EARLY DEPLOYMENT REL EASE SOFTWARE (fc1) cigate uptime is 11 minutes System returned to ROM by reload at 01:26:26 mest Fri May 7 2004 System restarted at 01:31:00 mest Fri May 7 2004 System image file is "flash:c1700-k9o3sy7-mz.122-15.ZL1.bin" cisco 1712 (MPC862P) processor (revision 0x101) with 84167K/14137K bytes of memo ry. Processor board ID FOC081510UK (1471490208), with hardware revision 0000 MPC862P processor: part number 7, mask 0 Bridging software. X.25 software, Version 3.0.0. Basic Rate ISDN software, Version 1.1. 1 Ethernet/IEEE 802.3 interface(s) 5 FastEthernet/IEEE 802.3 interface(s) 1 ISDN Basic Rate interface(s) 1 Virtual Private Network (VPN) Module(s) 32K bytes of non-volatile configuration memory. Aktuelle Konfiguration: !version 12.2 service timestamps debug datetime msec service timestamps log datetime msec service password-encryption no ip finger ! hostname cigate ! logging queue-limit 100 logging buffered 51200 warnings ! username ciAdmin privilege 15 password 7 xxx username vpn1 password 7 xxx enable secret 5 xxx ip subnet-zero ! ! clock timezone MET 1 clock summer-time mest recurring last Sun Mar 2:00 last Sun Oct 3:00 ntp server 192.53.103.103 ntp server 129.132.2.21 ntp server 131.188.3.220 ! aaa new-model ! aaa authentication login userlist local aaa authorization network grouplist local aaa session-id common ! crypto isakmp policy 1 encr 3des authentication pre-share group 2 crypto isakmp identity hostname crypto isakmp xauth timeout 60 ! crypto isakmp client configuration group xxx key xxx dns 192.168.10.250 domain xxx pool dynpool acl 199 ! ! crypto ipsec transform-set dessha esp-3des esp-sha-hmac ! crypto dynamic-map mode 1 set transform-set dessha ! crypto map mode client authentication list userlist crypto map mode isakmp authorization list grouplist crypto map mode client configuration address respond crypto map mode 1 ipsec-isakmp dynamic mode ! ! interface BRI0 no ip address shutdown no cdp enable ! interface FastEthernet0 mac-address xxx ip address dhcp client-id FastEthernet0 ip nat outside duplex auto speed auto no cdp enable crypto map mode ! interface FastEthernet1 no ip address no shutdown no cdp enable ! interface FastEthernet2 no ip address no shutdown no cdp enable ! interface FastEthernet3 switchport access vlan 2 no ip address no shutdown no cdp enable ! interface FastEthernet4 switchport access vlan 2 no ip address no shutdown no cdp enable ! ip local pool dynpool 192.168.30.5 192.168.30.9 ! interface Vlan1 ip address 192.168.10.254 255.255.255.0 ip nat inside ip tcp adjust-mss 1452 ! interface Vlan2 ip address 192.168.20.254 255.255.255.0 ip nat inside ip tcp adjust-mss 1452 ! ip dhcp pool vlan1_intern import all network 192.168.10.0 255.255.255.0 default-router 192.168.10.254 domain-name xxxxxxx lease infinite ! ip dhcp excluded-address 192.168.10.1 192.168.10.9 ip dhcp excluded-address 192.168.10.100 192.168.10.254 ! ip dhcp pool vlan2_wlan import all network 192.168.20.0 255.255.255.0 default-router 192.168.20.254 domain-name xxxxxxx lease infinite ! ip dhcp excluded-address 192.168.20.1 192.168.20.9 ip dhcp excluded-address 192.168.20.100 192.168.20.254 ! ip nat inside source route-map MAP_intern interface FastEthernet0 overload ip nat inside source route-map MAP_wlan interface FastEthernet0 overload ! ip classless no ip http server ip http authentication local ip http secure-server ! ip access-list extended NAT_VLAN1 deny ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255 permit ip 192.168.10.0 0.0.0.255 any ! ip access-list extended NAT_VLAN2 deny ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255 permit ip 192.168.20.0 0.0.0.255 any ! access-list 199 permit ip 192.168.30.0 0.0.0.255 any ! route-map MAP_intern permit 1 match ip address NAT_VLAN1 ! route-map MAP_wlan permit 1 match ip address NAT_VLAN2 ! no cdp run ! banner login ^CBanner ... ----------------------------------------------------------------------- nothing here ----------------------------------------------------------------------- ^C ! line con 0 line vty 0 4 privilege level 15 transport input none line vty 5 15 ! ! end Die Konfiguration ist natürlich noch sehr unsicher (Firewall etc.), aber ich möchte erstmals die Kernsachen funktionsfähig bekommen. Ich bin für jede Hilfe wirklich sehr dankbar. Danke im Voraus Zitieren Link zu diesem Kommentar
mister2x 10 Geschrieben 7. Mai 2004 Autor Melden Teilen Geschrieben 7. Mai 2004 Keiner eine Idee? Zitieren Link zu diesem Kommentar
Blacky_24 10 Geschrieben 7. Mai 2004 Melden Teilen Geschrieben 7. Mai 2004 Grübel ... Warum hat Du auf FE3 und FE4 das VLAN2 gebunden? Kann das sein dass Du das VLAN1 nirgendwo angehängt hast? Gruss Markus Zitieren Link zu diesem Kommentar
mister2x 10 Geschrieben 7. Mai 2004 Autor Melden Teilen Geschrieben 7. Mai 2004 FE1+2 sind VLAN1 (nimmt er automatisch an), FE3+4 sind VLAN2 - getestet und funktioniert, auch die DHCP-Zuweisung zu den verschiedenen VLANs etc - soweit sollte es in Ordnung sein. Grund dafür ist dass an FE1+2 Rechner aus dem internen Netz hängen, an FE3+4 Rechner aus einem anderen Netz welches vom internen unabhängig ist (und auch nicht verbunden werden soll). An VLAN1 hängt jener PC mit welchem ich gerade surfe - also das funktioniert. Der PC an VLAN1 bekommt die Adresse 192.168.10.10 zugewiesen und geht mittels NAT über das Gateway (den Router) ins externe Netz. Nun verbinde ich mich mit einem VPN Client auf den Router, der Client bekommt 192.168.30.5 zugewiesen nach der Authentifizierung. Mein Problem ist das Routing zwischen 192.168.10.10 und 192.168.30.5 - hier funkt mir (so glaube ich zumindest) das NAT dazwischen. Pingen etc geht überhaupt nicht - no response. Danke bisweil fürs anschauen. :) Zitieren Link zu diesem Kommentar
mister2x 10 Geschrieben 8. Mai 2004 Autor Melden Teilen Geschrieben 8. Mai 2004 blubb .. morgens halb drei in Österreich: Fehler gefunden. access-list 199 permit ip 192.168.30.0 0.0.0.255 any getauscht mit access-list 199 permit ip 192.168.10.0 0.0.0.255 any und VPN Clients sowie lokale Clients kommunizieren reibungslos. @Blacky_24 - Danke auf jedenfall für deine Mühen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.