mmuelleh 10 Geschrieben 27. April 2005 Melden Teilen Geschrieben 27. April 2005 Hallo zusammen Ich habe ein LAN-to-LAN VPN mit zwei Cisco 836 hergestellt. Der Tunnel steht ich kann aber die Gegenstelle nicht ansprechen, ausser ich remove die ACL 102 vom dialer Interface dann funktionierts. Schön und gut ich möchte aber das dialer 0 Interface nicht einfach so dastehen lassen ohne ACL. Ich habe daher schon einige Versuche unternommen die ACL anzupassen. Ohne Erfolg. Kann jemand helfen ? thx version 12.3 no aaa new-model ip subnet-zero ! ! ! ! ip cef no ip domain lookup ip inspect name fw tcp ip inspect name fw udp ip inspect name fw icmp ip inspect name fw ftp ip inspect name fw http ip inspect name fw tftp ip ips po max-events 100 no ftp-server write-enable isdn switch-type basic-net3 ! crypto keyring test pre-shared-key address 0.0.0.0 0.0.0.0 key test01 ! crypto isakmp policy 10 encr 3des authentication pre-share group 2 crypto isakmp profile vpn-tunnel description Lan-to-Lan Tunnel keyring test match identity address 0.0.0.0 ! crypto ipsec transform-set strong esp-3des esp-sha-hmac ! crypto dynamic-map dynmap 10 set transform-set strong set isakmp-profile vpn-tunnel ! crypto map tunnel 20 ipsec-isakmp dynamic dynmap ! interface Ethernet0 ip address 172.20.28.9 255.255.255.0 ip access-group 101 in ip nat inside ip inspect fw in ip virtual-reassembly ip tcp adjust-mss 1452 no cdp enable ! ! interface Dialer0 ip address negotiated ip access-group 102 in ip mtu 1452 ip nat outside ip virtual-reassembly encapsulation ppp dialer pool 1 dialer-group 2 no cdp enable ppp authentication chap pap callin crypto map tunnel ! ip route 0.0.0.0 0.0.0.0 Dialer0 ! no ip http server ip http authentication local no ip http secure-server ! ip nat inside source list 103 interface Dialer0 overload ! access-list 101 permit tcp any any eq domain access-list 101 permit udp any any eq domain access-list 101 permit tcp any any eq www access-list 101 permit tcp any any eq telnet access-list 101 permit tcp any any eq smtp access-list 101 permit tcp any any eq pop3 access-list 101 permit tcp any any eq ftp access-list 101 permit tcp any any eq ftp-data access-list 101 permit tcp any any eq 443 access-list 101 permit udp any any eq 443 access-list 101 permit icmp any any echo access-list 101 permit eigrp any any access-list 101 permit icmp any any echo-reply access-list 101 permit ip any 10.233.223.0 0.0.0.255 access-list 101 permit ip any 10.236.0.0 0.0.255.255 access-list 101 permit ip any 10.237.0.0 0.0.255.255 access-list 101 permit ip any 193.5.119.0 0.0.0.255 access-list 101 permit ip 172.20.28.0 0.0.0.255 172.20.27.0 0.0.0.255 access-list 102 remark ACL Internet to LAN access-list 102 permit ip 172.20.27.0 0.0.0.255 any access-list 102 permit ip 172.20.28.0 0.0.0.255 172.20.27.0 0.0.0.255 access-list 102 permit icmp any any echo access-list 102 permit icmp any any echo-reply access-list 102 permit icmp any any time-exceeded access-list 102 permit icmp any any unreachable access-list 102 permit udp any any eq isakmp access-list 102 permit udp any any eq non500-isakmp access-list 102 deny ip 10.0.0.0 0.255.255.255 any access-list 102 deny ip 172.16.0.0 0.15.255.255 any access-list 102 deny ip 192.168.0.0 0.0.255.255 any access-list 102 deny ip 127.0.0.0 0.255.255.255 any access-list 102 deny ip host 255.255.255.255 any access-list 102 deny ip host 0.0.0.0 any access-list 102 deny ip any any log access-list 103 deny ip 172.20.28.0 0.0.0.255 172.20.27.0 0.0.0.255 access-list 103 deny gre 10.196.3.0 0.0.0.255 host 10.196.3.1 access-list 103 deny gre 10.196.3.0 0.0.0.255 host 10.196.3.2 access-list 103 permit ip any any access-list 105 permit gre host 10.196.3.7 host 10.196.3.1 access-list 106 permit gre host 10.196.3.7 host 10.196.3.2 dialer-list 1 protocol ip permit dialer-list 2 protocol ip permit dialer-list 10 protocol ip permit no cdp run ! Zitieren Link zu diesem Kommentar
mmuelleh 10 Geschrieben 28. April 2005 Autor Melden Teilen Geschrieben 28. April 2005 Ich habe in der Zwischenzeit selber die Antwort gefunden. In der ACL 102 muss noch esp geöffnet werden. Der Tunnel verbindet sich ohne esp aber die encryption findet nicht statt. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.