PPTP Passthrough - Nochmal ich weiss...

[pitt72 10]

Mache dieses Thema auf, weill ich Crisirius Thema nicht stören will, da es ja teilweise unterschiedliche Probleme sind:

 

Mein Problem:

 

Wir haben vor kurzem einen Cisco Router in der Firma, den ich konfiguriert habe. Davor, hatten wir einen Netgear Router und die Probleme die wir Jetzt haben hatten wir nicht.

 

Es geht um folgendes: Wir sind ein IT Firma und müssen oft bei unseren Kunden auf die Server. Das wird mittels VPN und Remotedesktop erledigt.

 

Bei den Kunden laufen Windows 2003 oder 2000 Server mit RAS und Routing. Gemacht wird PPTP. So... Jetzt aber mit dem Cisco, habe ich das Problem, dass wir auf manche Server nicht mehr drauf kommen und auf manche schon. Alle Server sind gleich aufgesetzt.

Bei Kunde A funktioniert die VPN Einwahl und bei Kunde B nicht. Bau ich aber von meinen Notebook eine VPN Verbindung zum Kunde A auf und dann noch zusätzlich eine zu Kunde B, funktioniert die Einwahl bei Kunde B. Bau ich aber vorher keine Verbindung zu Kunde A auf kann ich auch keine Verbindung zu Kunde B aufbauen. Er Bleibt bei der Username und Passwort Überprüfung hängen und endet nach ein paar Sekunden mit etwa "Gegenstelle antwortet nicht". Als ob das Protokoll GRE auf dem Router nicht aktiv währe, was aber nicht der Fall ist. Kunde A geht ohne Probleme.

 

Klemme ich aber wieder den Netgear Router dran, der kaum Konfigurationsmöglichkeiten hat aber VPN Pass Through unterstützt, kann ich mich wieder bei Kunde B einwählen ohne mich zuerst bei Kunden A einzuwählen. Ich bin mit meinem Latin am Ende.

 

Ich brauche Bestätigung das meine Conf in Ordnung ist, falls das der Fall ist.

 

Hier das wichtige aus meiner Config.

 

!

interface FastEthernet0

description connected to EthernetLAN

ip address 192.168.32.1 255.255.255.0

ip access-group 100 in

ip nat inside

ip tcp adjust-mss 1452

speed auto

full-duplex

!

interface Dialer1

description connected to Internet

ip address negotiated

ip access-group 101 in

ip mtu 1492

ip nat outside

encapsulation ppp

dialer pool 1

dialer-group 2

ppp authentication chap pap callin

ppp chap hostname [snip]

ppp chap password [snip]

ppp pap sent-username [snip] password [snip]

!

router rip

version 2

passive-interface Dialer1

network 192.168.32.0

no auto-summary

!

ip nat inside source route-map nonat interface Dialer1 overload

ip classless

ip route 0.0.0.0 0.0.0.0 Dialer1

no ip http server

!

!

!

access-list 100 permit ip any any

access-list 101 permit gre any any

access-list 101 permit esp any any

access-list 101 permit icmp any any echo-reply

access-list 101 permit icmp any any packet-too-big

access-list 101 permit icmp any any echo

access-list 101 permit icmp any any ttl-exceeded

access-list 101 permit udp any eq domain any

access-list 101 permit tcp any eq www any

access-list 101 permit tcp any eq smtp any

access-list 101 permit udp any eq isakmp any

access-list 101 permit udp any any eq isakmp

access-list 101 permit udp any eq non500-isakmp any

access-list 101 permit udp any any eq non500-isakmp

access-list 101 permit udp any eq 3000 any

access-list 101 permit tcp any any eq 1723

access-list 101 permit tcp any eq 1723 any

access-list 101 permit tcp any any eq telnet

access-list 101 permit tcp any eq telnet any

access-list 101 permit tcp any any eq 3389

access-list 101 permit tcp any eq 3389 any

access-list 101 permit tcp any any established

access-list 101 deny ip any any

access-list 133 permit ip 192.168.32.0 0.0.0.255 any

dialer-list 2 protocol ip permit

!

route-map nonat permit 10

match ip address 133

!

snmp-server community public RO

snmp-server enable traps tty

radius-server authorization permit missing Service-Type

!

line con 0

exec-timeout 0 0

password [snip]

line aux 0

line vty 0 4

exec-timeout 0 0

password [snip]

!

no scheduler allocate

ntp clock-period 17179871

ntp server 194.25.134.196

end

 

Habs auch schon mit access-list 101 permit ip any any versucht. Half nix.

 

Danke

[rob_67 10]

Hi Pitt, die config sieht auf den ersten blick nicht sooo schlecht aus, sie funktioniert ja auch, kannst du erstmal die ip erreichbarkeit von b prüfen? (wenn a nicht aufgebaut ist). was genau ist das für ein cisco, mit welcher ios version? nutzen die systeme wirklich cisco's GRE tunneling? schau mal auf matches von deinen access-listen

 

Grüße

 

Rob

[tom12 10]

Hi,

 

hatte ein ähnliches Prob. .

 

Mach mal folgendes:

 

MAch am Router ein "clear ip nat translation *"

 

Versuch dich dann NUR zu Kunde B zu verbinden..

 

Grüsse

[pitt72 10]

Cisco1721#sh ver

Cisco IOS Software, C1700 Software (C1700-K9O3SY7-M), Version 12.3(7)T4, RELEASE SOFTWARE (fc2)

Technical Support: http://www.cisco.com/techsupport

Copyright © 1986-2004 by Cisco Systems, Inc.

Compiled Wed 22-Sep-04 12:35 by cmong

 

ROM: System Bootstrap, Version 12.2(7r)XM2, RELEASE SOFTWARE (fc1)

 

Cisco1721 uptime is 2 hours, 47 minutes

System returned to ROM by reload at 22:58:12 CEST Sat Jun 18 2005

System restarted at 14:46:48 CEST Sun Jun 19 2005

System image file is "flash:c1700-k9o3sy7-mz.123-7.t4.bin"

 

 

This product contains cryptographic features and is subject to United

States and local country laws governing import, export, transfer and

use. Delivery of Cisco cryptographic products does not imply

third-party authority to import, export, distribute or use encryption.

Importers, exporters, distributors and users are responsible for

compliance with U.S. and local country laws. By using this product you

agree to comply with applicable laws and regulations. If you are unable

to comply with U.S. and local laws, return this product immediately.

 

A summary of U.S. laws governing Cisco cryptographic products may be found at:

http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

 

If you require further assistance please contact us by sending email to

export@cisco.com.

 

Cisco 1721 (MPC860P) processor (revision 0x300) with 59279K/6257K bytes of memory.

Processor board ID FOC0808010F (2844072093), with hardware revision 0000

MPC860P processor: part number 5, mask 2

1 Ethernet interface

1 FastEthernet interface

1 Serial(sync/async) interface

32K bytes of NVRAM.

32768K bytes of processor board System flash (Read/Write)

 

Configuration register is 0x2102

 

Kunde B ist erreichbar. Ping geht und über einen anderen Router oder direkte DSL Einwahl kann man sich problemlos einwählen.

 

Wie schau ich mir die matches meiner accesslisten den an? Mit sh access-lits ?

 

Könnte ich was an meiner conf ändern, damit sie nicht mehr soooo schlecht aussieht?

 

Danke

Pitt

[rob_67 10]

die config schaut schon in ordnung aus, könnte wirklich ein nat problem sein, hast du den verschlag von tom mal ausprobiert? die matches siehst du bei show access-list (je nach ios version)

[pitt72 10]

clear ip nat translations * hat auch nichts gebracht.

 

Ich spiele schon mit dem Gedanken, dass das Problem auf dem Netgear Router ist der beim Kunde B im einsatz ist.

 

Pitt

[tom12 10]

Hi,

 

versuch ein anderes IOS. Eine 12.2 oder so....

 

Hatte nämlich mit 12.3ern IOS schon Bugs mit NAT, CBAC.

 

Vorher hätte ich das auch nie gedacht...allerdings haben IOS öfters Bugs als man vermutet!

 

 

Grüsse

Thomas

[pitt72 10]

Cool. Werde ich mal ausprobieren.

 

Pitt

[rob_67 10]

...selbst ein GD release ist vor Bugs nicht gefeit...

[pitt72 10]

ein GD Release ?

[daking 10]

http://www.cisco.com/en/US/products/sw/iosswrel/ps1828/products_white_paper09186a008018305e.shtml