Lamorte 10 Geschrieben 18. Oktober 2005 Melden Teilen Geschrieben 18. Oktober 2005 Hallo ! Ich habe leider immer noch folgendes Problem: Wenn ich mit dem Cisco VPN Client auf meinen Cisco 836 ADSL Router verbinde wird zwar der Tunnel aufgebaut ich kann jedoch keine Pakete durchschicken, bzw. finden die Pakete nicht mehr in den Tunnel zurück. Meine aktuelle Konfig: ADSL#sh run Building configuration... Current configuration : 4360 bytes ! ! Last configuration change at 10:39:54 MEST Tue Oct 18 2005 ! NVRAM config last updated at 10:39:56 MEST Tue Oct 18 2005 ! version 12.3 no service pad service timestamps debug datetime localtime service timestamps log datetime localtime service password-encryption service sequence-numbers ! hostname ADSL ! boot-start-marker boot-end-marker ! memory-size iomem 5 logging buffered 100000 debugging enable secret ***** ! username klaus password ***** clock timezone MEZ 1 clock summer-time MEST recurring last Sun Mar 2:00 last Sun Oct 3:00 aaa new-model ! aaa authentication login default line aaa authentication login VPN-Client local aaa authorization network VPN-Client local aaa session-id common ip subnet-zero ! ip dhcp pool clients network 192.168.1.0 255.255.255.0 default-router 192.168.1.254 dns-server 172.27.2.10 172.27.1.1 ! ip telnet source-interface Ethernet0 no ip domain lookup ip name-server 172.27.2.10 ip name-server 172.27.1.1 ip cef ip ips po max-events 100 ip reflexive-list timeout 180 no ftp-server write-enable isdn switch-type basic-net3 ! crypto isakmp policy 10 encr 3des authentication pre-share group 2 ! crypto isakmp client configuration group ***** key ***** dns 172.27.2.10 172.27.1.1 pool vpn ! crypto ipsec transform-set Strong esp-3des esp-sha-hmac ! crypto dynamic-map VPN-Client 10 set transform-set Strong ! crypto map VPN client authentication list VPN-Client crypto map VPN isakmp authorization list VPN-Client crypto map VPN client configuration address respond crypto map VPN 500 ipsec-isakmp dynamic VPN-Client ! interface Ethernet0 ip address 192.168.1.254 255.255.255.0 ip accounting output-packets ip nat inside ip virtual-reassembly crypto map VPN hold-queue 100 out ! interface ATM0 no ip address load-interval 30 no atm ilmi-keepalive dsl operating-mode auto pvc 0/16 ilmi ! ! interface ATM0.1 point-to-point pvc 8/48 encapsulation aal5mux ppp dialer dialer pool-member 1 ! ! interface Virtual-PPP1 no ip address ! ---> Fortsetzung Zitieren Link zu diesem Kommentar
Lamorte 10 Geschrieben 18. Oktober 2005 Autor Melden Teilen Geschrieben 18. Oktober 2005 ---> Fortsetzung interface Dialer1 ip address negotiated ip access-group untrust in ip access-group trust out ip accounting output-packets ip nat outside ip virtual-reassembly encapsulation ppp dialer pool 1 dialer-group 1 no cdp enable ppp authentication chap callin ppp chap hostname ***** ppp chap password ***** crypto map VPN ! ip local pool vpn 192.168.2.1 192.168.2.254 ip classless ip route 0.0.0.0 0.0.0.0 Dialer1 no ip http server no ip http secure-server ip nat inside source list 111 interface Dialer1 overload ! ip access-list extended trust permit tcp any any reflect TCP-Traffic permit udp any any reflect UDP-Traffic permit icmp any any echo permit icmp any any echo-reply permit icmp any any unreachable permit icmp any any time-exceeded deny tcp any any log deny udp any any log deny ip any any ip access-list extended untrust evaluate TCP-Traffic evaluate UDP-Traffic permit icmp any any echo permit icmp any any echo-reply permit icmp any any unreachable permit icmp any any time-exceeded permit udp any any eq ntp permit tcp any eq ftp-data any permit tcp any any eq telnet permit udp any host 10.221.199.16 eq isakmp permit esp any host 10.221.199.16 permit udp any host 10.221.199.16 eq non500-isakmp access-list 101 remark *** Used for Split Tunnel *** access-list 101 permit ip 192.168.1.0 0.0.0.255 any access-list 102 permit ip any 192.168.2.0 0.0.0.255 access-list 111 remark *** NAT *** access-list 111 deny ip 192.168.2.0 0.0.0.255 any access-list 111 permit ip 192.168.1.0 0.0.0.255 any snmp-server community csty RO snmp-server enable traps tty ! control-plane ! line con 0 password ***** no modem enable line aux 0 line vty 0 4 password ***** ! scheduler max-task-time 5000 no rcapi server ! sntp server 131.130.1.11 end ADSL# Bitte um Hilfe Zitieren Link zu diesem Kommentar
tom12 10 Geschrieben 18. Oktober 2005 Melden Teilen Geschrieben 18. Oktober 2005 Hi, ..auf den ersten Blick...keine Ahnung! Vielleicht etwas mit dem Routing? Mach mal ein "show ip route" und ein "show user" am Router sobald der client verbunden ist. Am PC (win) ein "route print" und "ipconfig" Gruss Thomas Zitieren Link zu diesem Kommentar
anykey 10 Geschrieben 18. Oktober 2005 Melden Teilen Geschrieben 18. Oktober 2005 Heya, so eine ähnliche Herrausforderung hatte ich vor ca. 6 Wochen auch mal. mach mal ein ipconfig /all (start - ausführen - cmd). Wenn du hier feststellst, dass kein defaultgateway für das virtuelle Netz eingetragen ist, dann musst du die config des VPN-Users, bzw. dessen Gruppe noch mal neu machen. Frag mich aber bitte nicht, was da genau einzustellen ist. Ich kann mich nur noch wage dran erinnern, dass eingestellt sein muss, dass der Tunnel als default connection am Client eingetragen werden soll. Dies macht dann der Cisco-VPN-client für dich. Sprich schau dir deine Client Seite einmal genau an. Du kannst auch mal auf dem router selbst die packets debuggen. Wenn Sie auf dem Router ankommen, dann funktioniert das schon mal. Bekommst du denn lokal am Rechner eine IP aus der DHCP-Range zugewiesen? Bisl mehr Input zum troubleshooting wäre hilfreich :). cheers, any Zitieren Link zu diesem Kommentar
Klettermaxx 10 Geschrieben 2. November 2005 Melden Teilen Geschrieben 2. November 2005 Das Problem liegt definitiv in der Access-List. Ich kann Dir heute abend oder morgen früh ggf. eine Lösung geben, da ich momentan auf der Arbeit zuviel zu tun habe. Ich müsste mal in meine Config schauen. Ich hatte das selbe Problem. Gruß Florian Zitieren Link zu diesem Kommentar
Klettermaxx 10 Geschrieben 2. November 2005 Melden Teilen Geschrieben 2. November 2005 So ich habe die Lösung. In deiner Accessliste für NAT musst Du den Traffic vom internen LAN ins LAN des Cleints verbieten, da der Router sonst versucht, den VPN Traffic zu naten. Falls Du nicht weiterkommen solltest, kurze E-Mail an f.figula@gmx.de Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.