the_doctor 10 Geschrieben 30. August 2005 Melden Teilen Geschrieben 30. August 2005 Hallo, ich habe folgendes Problem: Ich möchte ein WLAN per VPN absichern und habe dazu auf dem Ethernet-Interface in Richtung WLAN eine ACL erstellt. Ohne VPN-Verbindung funktioniert die ACL so, wie ich mir das vorstelle. Sobald ich die VPN-Verbindung gewählt habe, blockiert die ACL die VPN-Nutzdaten, obwol das VPN an einem anderen Interface terminiert wird (siehe Test und Config). Sobald ich die ACL entferne, funktioniert es einwandfrei... Tests: Nicht eingelogt: Client: (172.16.1.23)> ping 192.168.1.16 Client: Reply from 172.16.1.1: Destination net unavailabe Router: Aug 30 16:22:28: %SEC-6-IPACCESSLOGDP: list WLANin denied icmp 172.16.1.23 -> 192.168.1.16 (8/0), 1 packet Eingelogt: Client: (172.16.1.23/VPN zugewiesen 172.16.2.3)> ping 192.168.1.16 Client: Request timed out. (VPN client: 4 packets encrypted und decrypted) Router: Aug 30 16:24:51: %SEC-6-IPACCESSLOGDP: list WLANin denied icmp 172.16.2.3 -> 192.168.1.16 (8/0), 1 packet Ohne ACL (int eth0 no ip access-group WLANin in): Client: (172.16.1.23/172.16.2.3)> ping 192.168.1.16 Client: Reply from 192.168.1.16 ... (VPN client: 8 packets encrypted und decrypted) Gewollt ist folgendes: Die Daten werden als ESP-Pakete von der ACL durchgelassen, am Loopback-Interface entschlüsselt und dass über das ATM-Interface weitergeroutet. Warum bzw. wie wirkt die ACL hier ausserhalb des Ethernet-Interfaces? Was muss ich ändern, damit außerhalb des Tunnels nur DNS und IPSEC-Traffic weitergeleitet wird, während innerhalb des Tunnels keine (oder eventuell andere) Einschränkungen gelten? version 12.3 no service pad service timestamps debug datetime localtime service timestamps log datetime localtime service password-encryption ! hostname Router ! boot-start-marker boot system flash:1:/c1400-k8osy-mz.123-10d.bin boot-end-marker ! enable secret 5 ... ! username admin ... username vpnuser1 ... aaa new-model aaa authentication login clientauth local aaa authorization network isakmpauth local aaa session-id common ! ip subnet-zero no ip domain lookup ! ip inspect name WLANout http ip inspect name WLANout icmp ! partition flash 2 8 8 ! crypto isakmp policy 10 hash md5 authentication pre-share group 2 ! crypto isakmp client configuration group vpn-1 key ... pool ippool ! crypto isakmp profile VPNclient match identity group vpn-1 client authentication list clientauth isakmp authorization list isakmpauth client configuration address respond ! crypto ipsec transform-set myset esp-des esp-md5-hmac ! crypto dynamic-map dynmap 5 set transform-set myset set isakmp-profile VPNclient match address 101 ! crypto map mymap 10 ipsec-isakmp dynamic dynmap ! interface Loopback0 ip address 172.16.2.1 255.255.255.0 no keepalive crypto map mymap ! interface Ethernet0 ip address 172.16.1.1 255.255.255.0 ip access-group WLANin in ip inspect WLANout out no ip route-cache no ip mroute-cache no keepalive no cdp enable ! interface ATM0 no ip address no atm ilmi-keepalive ! interface ATM0.1 point-to-point ip address 192.168.20.211 255.255.255.0 pvc 1/32 encapsulation aal5snap ! ip local pool ippool 172.16.2.2 172.16.2.10 ip classless ip route 0.0.0.0 0.0.0.0 192.168.20.210 permanent no ip http server no ip http secure-server ! ip access-list extended WLANin permit udp any host 192.168.1.1 eq domain permit esp any any permit ahp any any permit udp any eq isakmp any eq isakmp deny ip any any log ! access-list 101 permit ip any any ! no cdp run ! line con 0 transport preferred all transport output all line vty 0 4 exec-timeout 0 0 password 7 ... transport preferred all transport input all transport output all ! end Ich bin für jeden Hinweis dankbar. -t_d Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.