xcooldj 10 Geschrieben 21. September 2004 Melden Teilen Geschrieben 21. September 2004 Hallo liebes Forum, habe ein Problem bei der Config der eingehenden VPN Verbindungen bei einem 836 Cisco. Leider bin ich zu doof um dies zu verstehen. Gibt es wo deutschsprachige "Anleitungen" oder Beispielconfigurationen? *grübel* Am liebsten währe es wenn mir einer zur hand gehen würde *grins* Gruß Sturmchen Zitieren Link zu diesem Kommentar
tom12 10 Geschrieben 27. September 2004 Melden Teilen Geschrieben 27. September 2004 Hi, so ca. sollte deine config aussehen: crypto isakmp policy 100 encr 3des hash md5 authentication pre-share group 2 lifetime 3600 crypto isakmp key 0 xxxDEIN_PRESHARED_KEYxxx address <IP VOM REMOTE VPN PEER> ! crypto ipsec security-association lifetime seconds 28800 ! crypto ipsec transform-set DEIN_SET esp-3des esp-md5-hmac ! crypto map DEINE_MAP100 ipsec-isakmp set peer <IP VOM REMOTE VPN PEER> set transform-set DEIN_SET set pfs group2 match address 150 ! ! interface Ethernet0 ip address 192.168.1.150 255.255.255.0 ip nat inside no ip route-cache no ip mroute-cache no cdp enable hold-queue 100 out ! ! An deine OUTGOING Interface musst die die Map binden: ! crypto map DEINE_MAP ! ! ip nat inside source list 140 interface Dialer0 overload ! !******192.168.1.0/24 und 192.168.0.0/24 sind deine Encryption Domains. Dafür darfst du kein NAT machen (ACL 140); für die VPN muss der traffic definiert werden (ACL 150); am WAN-Interface muss dies alles erlaubt werden (ACL 110). ACL 110 am WAN-Interface binden: "ip access-group 110 in" ! ! access-list 110 permit esp host <IP VON DEINEM REMOTE PEER> host any access-list 110 permit udp host <IP VON DEINEM REMOTE PEER> host any eq isakmp access-list 110 permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255 access-list 110 deny ip any any log access-list 140 deny ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255 access-list 140 permit ip 192.168.1.0 0.0.0.255 any access-list 150 permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255 access-list 150 permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255 Am Routing brauchst du nichts ändern. Grüsse Thomas Zitieren Link zu diesem Kommentar
xcooldj 10 Geschrieben 27. September 2004 Autor Melden Teilen Geschrieben 27. September 2004 Danke für die Hilfe Tom, kannst du mir bitte mal erklären das was ist?! Original geschrieben von tom12 Hi, so ca. sollte deine config aussehen: crypto isakmp policy 100 encr 3des hash md5 authentication pre-share group 2 lifetime 3600 >xxxDEIN_PRESHARED_KEYxxx crypto isakmp key 0 xxxDEIN_PRESHARED_KEYxxx address <IP VOM REMOTE VPN PEER> ! > was genau ist mit remote vpn peer gemeint? crypto ipsec security-association lifetime seconds 28800 ! crypto ipsec transform-set DEIN_SET esp-3des esp-md5-hmac ! > MAP100 ?????? crypto map DEINE_MAP100 ipsec-isakmp set peer <IP VOM REMOTE VPN PEER> >SET??? set transform-set DEIN_SET set pfs group2 match address 150 ! ! interface Ethernet0 ip address 192.168.1.150 255.255.255.0 ip nat inside no ip route-cache no ip mroute-cache no cdp enable hold-queue 100 out ! ! An deine OUTGOING Interface musst die die Map binden: ! crypto map DEINE_MAP ! ! ip nat inside source list 140 interface Dialer0 overload ! !******192.168.1.0/24 und 192.168.0.0/24 sind deine Encryption Domains. Dafür darfst du kein NAT machen (ACL 140); für die VPN muss der traffic definiert werden (ACL 150); am WAN-Interface muss dies alles erlaubt werden (ACL 110). ACL 110 am WAN-Interface binden: "ip access-group 110 in" ! ! access-list 110 permit esp host <IP VON DEINEM REMOTE PEER> host any access-list 110 permit udp host <IP VON DEINEM REMOTE PEER> host any eq isakmp access-list 110 permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255 access-list 110 deny ip any any log access-list 140 deny ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255 access-list 140 permit ip 192.168.1.0 0.0.0.255 any access-list 150 permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255 access-list 150 permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255 Am Routing brauchst du nichts ändern. Grüsse Thomas bist du so freundlich und gibst mir mal deine Adresse durch? tino.sturm@gmx.de Danke Zitieren Link zu diesem Kommentar
xcooldj 10 Geschrieben 29. September 2004 Autor Melden Teilen Geschrieben 29. September 2004 Hallo, vielen dank für die klasse Hilfe! Wenn es dann jetzt bald fusioniert werde ich mich noch mal melden. Gruß Tino Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.