tom12 10 Geschrieben 16. November 2005 Melden Teilen Geschrieben 16. November 2005 Hi, ich versuch mich auszudrücken: Ich mach ne VPN zw. zwei IOS Boxen. Auf dem Router ist PAT aktiv (für Internet) und eine VPN zur jeweiligen Gegenstelle. Zusätzlich CBAC. interface ethernet0 ip nat inside ip inspect FW in int dialer0 ip nat outside crypto map VPN_1 .... ... Es klappt ja alles wunderbar. Nur gibt es immer wieder Probleme mit den CBAC mit speziellen Applikationen (z.B. ICA-client) welche über den IPSec Tunnel gemacht werden. Wenn ich CBAC ausschalte, klappts.. Wie kann ich NUR CBAC für den Traffic Richtung Internet machen?? Und nicht für den Traffic über die VPN. Danke schonmal, Thomas Zitieren Link zu diesem Kommentar
mr._oiso 10 Geschrieben 21. November 2005 Melden Teilen Geschrieben 21. November 2005 Hi Thomas Ich hoffe nicht, dass ich schon zu spät bin. Aber wie ich sehe, gab es bisher noch keine Antwort auf Deine Frage. Hier habe ich erst mal einen Link welcher Dir weiter helfen dürfte. http://cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a0080094634.shtml Interessant wäre auf jeden Fall erst mal, um welche Hardware/Software handelt es sich hier bei Dir ? Hatte das gleiche Problem mit RDP durch den Tunnel und gleichzeitig mit static NAT für eine RDP Session über Internet. Eines von beiden lief nie, wenn ich nicht CABC abgeschaltet hatte. Versuche doch bitte verst, den Router auf mind. 12.3(8)T zu bringen. Denn dort besteht die Möglichkeit, den doppelten Check der "outside" ACL zu umgehen. Ab dieser Version kann man nämlich die "VPN" ACL auf die Crypto Map binden... Denn somit braucht man die Filter von privatem Netz zu privatem Netz nicht mehr in der "Outside" ACL definieren. Ich denke das sollte auch iin Deinem Fall helfen ! MfG Mr. Oiso Zitieren Link zu diesem Kommentar
tom12 10 Geschrieben 21. November 2005 Autor Melden Teilen Geschrieben 21. November 2005 Hi, danke für die Antwort. Wollte schon einen case beim TAC aufmachen... Habe 837er Router. Das mit der 12.3T(8) werde ich versuchen. Hatte das gleiche Problem mit RDP durch den Tunnel und gleichzeitig mit static NAT für eine RDP Session über Internet. Eines von beiden lief nie, wenn ich nicht CABC abgeschaltet hatte. ...ich hatte das Prob, wenn ich über den Tunnel RDP auf eine IP (192.168.0.1) UND am anderen Router (wo 192.168.0.1 angeschlossen ist) ein NAT von aussen für RDP auf den 192.168.0.1 mache, dass dann RDP über die VPN nicht mehr klappt...Mit verschiedenen IOS. Mit oder ohne CBAC. Nachdem man nicht nur zum Spass Cisco bezahlt, hat mir dann der TAC ein Workaroung geschickt... Wenns dich interessiert kann ich es dir mal posten.. Grüsse Thomas Zitieren Link zu diesem Kommentar
mr._oiso 10 Geschrieben 22. November 2005 Melden Teilen Geschrieben 22. November 2005 Hi Thomas Jo, das sieht schon fast so aus als hättest Du sogar die gleiche Hardware. Bei mir war es der 836er. Zwar auch nur mit ner 12.2 Version, bin aber genauso wie Du mehrfach mit unterschiedlichen IOS'n auf die Nase gefallen. Hier scheint es im Moment nur diesen Workaround zu geben. Immerhin ist es schon mitte des Jahres gewesen, wo mir dieses passiert ist. Den Link den ich Dir geschickt habe, ist auch ein Art Workaround. Drum würde mich Deiner auch brennend ineressieren. Werde Dir morgen aus dem Büro mal die resultierende Config hier Posten, weil in dem Workaround welchen ich Dir geschickt habe, ist so glaube ich ein kleiner Schönheitsfehler. MfG Mr. Oiso Zitieren Link zu diesem Kommentar
mr._oiso 10 Geschrieben 25. November 2005 Melden Teilen Geschrieben 25. November 2005 Hi Thomas Nachdem ich von Dir nichts mehr gehört habe scheint Dir ja etwas eingefallen zu sein. Oder gab es ein paar Probleme ? Nur noch mal zum Verständnis dieses einen Workaround von Cisco. Der Hintergrund dieser wirren Konfiguration ist der, dass es Probleme gibt die Inspected Firewall Role speziell am externen Interface (dialer) richtig zu definieren. Dadurch, dass in der ACL (inbound) am externen Interface normalerweise jeglicher zugelassener Traffic und VPN Traffic gemeinsam definiert werden muss um hier eine Ausnahme für die Firewall darzustellen, gibt es innerhalb von NAT ein paar Probleme. Normal sollte hier kein Traffic matchen (zugelassen werden), welcher zuvor weder am Trusted noch am External Interface inspected wird. Dieses ist jedoch bezogen auf den Tunnel Traffic nicht so einfach. Dieser, darf weder Inspected werden, noch gilt für ihn eine NAT Role. Darum ist man dazu übergegangen, (siehe Beispiel Konfiguration ACL 101) den Tunnel Traffic am External Interface für IP Inspect auch definitiv zu verbieten. Gleichzeitig jedoch wird eine neue ACL (i.B. ACL 112) definiert, welche den Tunnel Traffic umfasst und speziell am der Crypto-Map wieder erlaubt. Um nun zusätzlich auch noch sauber das NAT/PAT Problem zu umkurven, wurde speziell für den Tunnel, welcher eine Art Trusted Traffic darstellt, eine Routing Policy erstellt. Diese soll darfür sorgen, dass der Traffic erst garnicht mit NAT in Berührung kommt. (ip nat inside) Grundlage dazu: Routing Policy geht vor NAT, und NAT vor IPSec. Deshalb wurde nun eine Policy erstellt, ( ip access-list extended keinNAT) welche dafür sorgt, dass der Tunnel Traffic geroutet statt genattet wird. Im Beispiel wird der Traffic von Trusted ins Loopback geroutet. Von dort aus ist es dem definierten Traffic erlaubt, via default routing, ohne NAT Role (weder ip nat in- noch outside am loopback interface) den VPN Tunnel zu benutzen. :D Und schon sind wir alle sorgen los. Speziell bei meiner Konfiguration kam es vorher dazu, dass entweder RDP im Tunnel nicht mehr funktionierte, oder die static NAT (RDP) den Geist aufgeben hatte. Anfänglich hatte ich mir damit geholfen, TCP nicht mehr zu inspecten. Nur ist das ein grobes Faule zum Thema Sicherheit ! :mad: MfG M. Oiso Zitieren Link zu diesem Kommentar
mr._oiso 10 Geschrieben 25. November 2005 Melden Teilen Geschrieben 25. November 2005 Hi Thomas Hier die Konfiguration: Test-Router#sh run Building configuration... Current configuration : 7973 bytes ! version 12.3 no service pad service timestamps debug uptime service timestamps log uptime service password-encryption ! hostname Test-Router ! boot-start-marker boot-end-marker ! no logging buffered no logging console enable secret 5 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx ! username XXXXXXXXX privilege 15 password 7 xxxxxxxxxxxxxx no aaa new-model ip subnet-zero no ip source-route ! ! ip domain name Test-LAN.local ip name-server 10.10.10.10 ip name-server 10.10.10.11 no ip bootp server ip inspect udp idle-time 1800 ip inspect name myfw-in cuseeme timeout 3600 ip inspect name myfw-in ftp timeout 3600 ip inspect name myfw-in rcmd timeout 3600 ip inspect name myfw-in realaudio timeout 3600 ip inspect name myfw-in smtp timeout 3600 ip inspect name myfw-in tftp timeout 30 ip inspect name myfw-in udp timeout 15 ip inspect name myfw-in h323 timeout 3600 ip inspect name myfw-in tcp timeout 3600 ip inspect name myfw-out cuseeme ip inspect name myfw-out ftp ip inspect name myfw-out h323 ip inspect name myfw-out icmp ip inspect name myfw-out netshow ip inspect name myfw-out rcmd ip inspect name myfw-out realaudio ip inspect name myfw-out rtsp ip inspect name myfw-out esmtp ip inspect name myfw-out sqlnet ip inspect name myfw-out streamworks ip inspect name myfw-out tftp ip inspect name myfw-out tcp ip inspect name myfw-out udp ip inspect name myfw-out vdolive ip ips po max-events 100 ip ssh port 2001 rotary 1 ip ssh source-interface Dialer1 no ftp-server write-enable ! ! ! ! ! crypto isakmp policy 10 hash md5 authentication pre-share ! crypto isakmp policy 20 encr 3des authentication pre-share group 2 crypto isakmp key xxxxxxxxx address 10.10.10.100 no crypto isakmp ccm crypto isakmp client configuration address-pool local dynvpn ! crypto isakmp client configuration group MobileVPN-UK key xxxxxxxxxx dns 192.168.7.1 domain Test-LAN.local pool dynvpn ! ! crypto ipsec transform-set sharks esp-3des esp-sha-hmac crypto ipsec transform-set transform-1 esp-3des esp-sha-hmac ! crypto dynamic-map dynmap 1 set transform-set transform-1 reverse-route ! ! crypto map OSNL isakmp authorization list MobileVPN-UK crypto map OSNL client configuration address respond crypto map OSNL 1 ipsec-isakmp dynamic dynmap crypto map OSNL 10 ipsec-isakmp set peer 10.10.10.100 set ip access-group 112 in set transform-set sharks match address 160 ! ! ! interface Loopback0 ip address 192.168.37.254 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp ! interface Ethernet0 description Trusted $FW_INSIDE$ ip address 192.168.7.254 255.255.255.0 ip access-group 100 in no ip redirects no ip unreachables no ip proxy-arp ip nat inside ip inspect myfw-in in ip virtual-reassembly ip route-cache policy ip policy route-map before-nat no ip mroute-cache hold-queue 100 out ! interface ATM0 description $ES_WAN$ no ip address no ip redirects no ip unreachables no ip proxy-arp no ip mroute-cache atm vc-per-vp 64 no atm ilmi-keepalive dsl operating-mode auto pvc 0/38 encapsulation aal5mux ppp dialer dialer pool-member 1 ! ! interface FastEthernet1 duplex auto speed auto ! interface FastEthernet2 duplex auto speed auto ! interface FastEthernet3 duplex auto speed auto ! interface FastEthernet4 duplex auto speed auto Zitieren Link zu diesem Kommentar
mr._oiso 10 Geschrieben 25. November 2005 Melden Teilen Geschrieben 25. November 2005 ! interface Dialer1 description External $FW_OUTSIDE$ ip address negotiated ip access-group 101 in no ip redirects no ip unreachables no ip proxy-arp ip nat outside ip inspect myfw-out out ip virtual-reassembly encapsulation ppp dialer pool 1 dialer-group 1 ppp authentication chap pap callin ppp chap hostname Test.testuser.com ppp chap password 7 xxxxxxxxxxxxxxxxxxxxxxx ppp pap sent-username Test.testuser.com password 7 xxxxxxxxxxxxxxxxxxxxxxxx ppp ipcp dns request ppp ipcp wins request crypto map OSNL hold-queue 224 in ! ip local pool dynvpn 192.168.37.1 192.168.37.100 ip classless ip route 0.0.0.0 0.0.0.0 Dialer1 ip route 10.1.16.0 255.255.255.0 192.168.7.1 ip route 172.16.0.0 255.255.0.0 10.10.10.100 ip route 192.168.6.0 255.255.255.0 192.168.7.1 ip http server ip http authentication local ip http secure-server ! ip nat inside source list 140 interface Dialer1 overload ip nat inside source static tcp 192.168.7.1 3389 interface Dialer1 3389 ! ! ip access-list extended UNKNOWN ip access-list extended addr-pool ip access-list extended dns-servers ip access-list extended keinNAT permit ip host 192.168.7.1 172.16.0.0 0.0.255.255 permit ip host 192.168.7.1 192.168.37.0 0.0.0.255 ip access-list extended key-exchange ip access-list extended tunnel-password ip access-list extended wins-servers access-list 100 remark Cisco Express firewall configuration Trusted access-list 100 deny ip host 255.255.255.255 any access-list 100 deny ip 127.0.0.0 0.255.255.255 any access-list 100 permit ip any any access-list 101 remark Cisco Express firewall configuration External access-list 101 permit tcp any any eq 3389 access-list 101 permit esp any any access-list 101 permit udp any any eq isakmp access-list 101 permit udp any any eq non500-isakmp access-list 101 deny ip 192.168.7.0 0.0.0.255 any access-list 101 permit tcp any any eq 2001 access-list 101 permit icmp any any echo-reply access-list 101 permit icmp any any time-exceeded access-list 101 permit icmp any any unreachable access-list 101 deny ip 10.0.0.0 0.255.255.255 any access-list 101 deny ip 172.16.0.0 0.15.255.255 any access-list 101 deny ip 192.168.0.0 0.0.255.255 any access-list 101 deny ip 127.0.0.0 0.255.255.255 any access-list 101 deny ip host 255.255.255.255 any access-list 101 deny ip host 0.0.0.0 any access-list 101 deny ip any any access-list 112 remark ACL-to-Crypto-Map access-list 112 permit ip 172.16.0.0 0.0.255.255 192.168.7.0 0.0.0.255 access-list 112 permit ip 172.16.0.0 0.0.255.255 192.168.6.0 0.0.0.255 access-list 112 permit ip 192.168.37.0 0.0.0.255 192.168.7.0 0.0.0.255 access-list 112 permit ip 192.168.37.0 0.0.0.255 192.168.6.0 0.0.0.255 access-list 112 deny ip any any access-list 140 remark Kein-NAT access-list 140 deny ip 192.168.7.0 0.0.0.255 172.16.0.0 0.0.255.255 access-list 140 deny ip 192.168.7.0 0.0.0.255 192.168.37.0 0.0.0.255 access-list 140 deny tcp 192.168.7.0 0.0.0.255 eq 3389 any access-list 140 deny tcp 192.168.7.0 0.0.0.255 any eq 3389 access-list 140 permit ip 192.168.7.0 0.0.0.255 any access-list 140 remark VPN-Traffic access-list 160 permit ip 192.168.7.0 0.0.0.255 172.16.0.0 0.0.255.255 access-list 160 permit ip 192.168.6.0 0.0.0.255 172.16.0.0 0.0.255.255 access-list 160 permit ip 10.1.16.0 0.0.0.255 172.16.0.0 0.0.255.255 dialer-list 1 protocol ip permit no cdp run route-map nonat permit 10 match ip address 140 ! route-map before-nat permit 10 match ip address keinNAT set ip next-hop 192.168.37.253 ! ! control-plane ! ! line con 0 exec-timeout 120 0 no modem enable stopbits 1 line aux 0 line vty 0 4 exec-timeout 120 0 login local length 0 transport input telnet ssh ! scheduler max-task-time 5000 end Test-Router# MfG Mr. Oiso Zitieren Link zu diesem Kommentar
tom12 10 Geschrieben 26. November 2005 Autor Melden Teilen Geschrieben 26. November 2005 HI, ..ich hatte leider noch nie die Zeit gefunden die Konfig auszuprobieren... Danke für deine postings inzwischen. Gruss Zitieren Link zu diesem Kommentar
tom12 10 Geschrieben 12. Dezember 2005 Autor Melden Teilen Geschrieben 12. Dezember 2005 @Mr Osio Hi, hab nun im Lab ein paar Tests gemacht. Mit deinem Rat hat es auch nicht geklappt... Der Router macht auf den Traffic über die VPN immer noch CBAC. Also hab ich beim TAC einen case geöffnet Die Antwort von Cisco dazu: There is no way to exclude VPN traffic from inspection. We need to find out why the inspection is affecting so much the traffic going across the tunnel to the point where it is causing interruption. I am going over the information you sent me. Noch eine Frage zu deiner Config: route-map before-nat permit 10 match ip address keinNAT set ip next-hop 192.168.37.253 für was ist das gut (set ip next-hop 192.168.37.253)? Ist die die Loopback der Gegenstelle? Was soll dies bewirken? Der Router sollte ja das 192.168.37.0/24 er Netz über die lokale Loopback 0 sehen? mit einem "show ip inspect session", was siehst du da bei deiner Config ? Grüsse Thomas Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.