Sternenkind 11 Geschrieben 4. Januar 2006 Melden Teilen Geschrieben 4. Januar 2006 So, da ich nicht alle doofen Fragen stellen wollte, sondern nur die, bei denen ich nicht weiter komme hier mal was neues :) Ich habe eine dynamische IP in Kiel und eine feste in Lübeck und will dazwischen einen Tunnel... Keine Ahnung wie, also viel gelesen und NHRP gefunden -> Router Lübeck: interface Tunnel0 ip address 192.168.4.1 (die darf ich mir doch ausdenken!?) ip nhrp network-id 1 (die darf ich mir doch ausdenken!?) ip nhrp authentication dasposteichabernicht ip nhrp map multicast dynamic tunnel source Dialer1 (der macht die DSL Verbindung) tunnel mode gre multipoint tunnel key dasposteichabernicht Router Kiel (der noch auf meinem Schreibtisch steht und mit ISDN Online geht um Kiel zu simulieren): interface Tunnel0 ip address 192.168.4.2 (die darf ich mir doch ausdenken!?) ip nhrp network-id 1 (die darf ich mir doch ausdenken!?) ip nhrp authentication dasposteichabernicht ip nhrp map 192.168.4.1 <feste Lübecker IP> ip nhrp map multicast <feste Lübecker IP> ip nhrp nhs 192.168.4.1 tunnel source Bri0 tunnel mode gre multipoint tunnel key dasposteichabernicht Ich dachte, dann würd das klappen, das ich von Kiel aus die Lübecker Tunnel IP pingen kann und zurück, aber falsch gedacht :( Zitieren Link zu diesem Kommentar
Klettermaxx 10 Geschrieben 4. Januar 2006 Melden Teilen Geschrieben 4. Januar 2006 Mahlzeit, so einfach ist das nicht. Du müsstest ein Dynamisches VPN aufbauen, um von einem internen in das andere interne Netz zu gelangen. http://www.cisco.com/en/US/partner/tech/tk827/tk369/technologies_configuration_example09186a00800946b8.shtml Gruß Florian Zitieren Link zu diesem Kommentar
Klettermaxx 10 Geschrieben 4. Januar 2006 Melden Teilen Geschrieben 4. Januar 2006 Oder hier http://www.cisco.com/en/US/partner/tech/tk583/tk372/technologies_configuration_example09186a00800949ef.shtml Zitieren Link zu diesem Kommentar
Klettermaxx 10 Geschrieben 4. Januar 2006 Melden Teilen Geschrieben 4. Januar 2006 Ich hoffe Du hast einen Cisco Account, denn sonst kommst Du nicht auf die Sites. Zitieren Link zu diesem Kommentar
Sternenkind 11 Geschrieben 4. Januar 2006 Autor Melden Teilen Geschrieben 4. Januar 2006 Mit Account wär vieles leichter, einfach registrieren reicht jedenfalls nicht, dass ich da raus darf :( Kost auch irgendwie Geld, oder? Ich bin armer Azubi und bring mir das zu Hause selber bei und hab niemanden, ders kann ;) Trotzdem danke! Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 4. Januar 2006 Melden Teilen Geschrieben 4. Januar 2006 kannst ja ma hier probieren .. http://search.experts-exchange.com/search.jsp?query=cisco+dynamic+vpn&searchType=all&x=0&y=0 google soll auch recht guenstig sein :D hab mit dynamischen VPNs noch nix gemacht .. kann auch nich viel weiter helfen Zitieren Link zu diesem Kommentar
Klettermaxx 10 Geschrieben 4. Januar 2006 Melden Teilen Geschrieben 4. Januar 2006 Beispiel-IPSec-Konfiguration für Router mit Static IP: crypto isakmp policy 10 encryption 3des authentication pre-share group 2 crypto isakmp key xxx address 0.0.0.0 0.0.0.0 crypto ipsec transform-set Strong esp-3des esp-sha-hmac crypto dynamic-map DynVPN 10 set transform-set Strong match address <Access-List Number> crypto map VPN 10 ipsec-isakmp dynamic DynVPN Auf das WAN-Interface musst Du dann noch den Befehl "crypto map VPN" ausführen. Erstelle weiterhin eine Access-List in der Du den IP-Traffic vom einen LAN ins andere LAN freigibst. Dann ändere die Access-List für das NAT. Du musst den IP-Traffic vom einen LAN ins andere LAN verbieten, damit dieser Verkehr nicht über NAT läuft. Beispiel-IPSec-Konfiguration für Router mit Dynamic IP: crypto isakmp policy 10 encryption 3des authentication pre-share group 2 crypto isakmp key xxx address <static IP> crypto ipsec transform-set Strong esp-3des esp-sha-hmac crypto map VPN 10 ipsec-isakmp set peer <static IP> set transform-set Strong match address <Access-List> Mit den Access-Lists und dem NAT sowie der crypto map VPN das selbe nur mit den passenden Adressen des Routers. Versuch einfach mal Dein Glück! Zitieren Link zu diesem Kommentar
maho 10 Geschrieben 5. Januar 2006 Melden Teilen Geschrieben 5. Januar 2006 Hi, hier eine aktuelle, funktionierende Konfig. von einem C836 mit dyn. IP. Die Gegenstelle ist zwar ein Concentrator, dürfte aber kein Unterschied machen. Vielleicht hilft Dir das weiter. Habe nur den Teil Interneteinwahl und VPN rauskopiert. ACL/CBAC solltest Du konfigurieren. crypto ipsec client ezvpn vpn1 connect auto group ezvpn_user1 key xxxx mode network-extension peer 1.1.1.1 username user1 password xxxx interface Ethernet0 ip address 192.168.1.1 255.255.255.0 no cdp enable crypto ipsec client ezvpn vpn1 inside interface ATM0 no ip address no atm ilmi-keepalive dsl operating-mode auto hold-queue 224 in pvc 1/32 pppoe-client dial-pool-number 1 interface Dialer1 mtu 1492 ip address negotiated encapsulation ppp dialer pool 1 dialer idle-timeout 0 dialer-group 1 ppp authentication pap callin ppp pap sent-username 12345#0001@t-online.de password xxxx ppp ipcp dns request crypto ipsec client ezvpn vpn1 ip route 0.0.0.0 0.0.0.0 Dialer1 maho Zitieren Link zu diesem Kommentar
Klettermaxx 10 Geschrieben 6. Januar 2006 Melden Teilen Geschrieben 6. Januar 2006 Schreib mal, wenn Du die Config ausprobiert hast. Müsste gehen. Die GRE-Tunnel mit NHRP, welche Du konfiguriert hast, gehen auch nur mit IPSec. GRE-Tunnel brauchst Du aber nur, sofern Du Multicast Protokolle wie zum Beispiel Routingprotokolle (OSPF, EIGRP) übermitteln willst. Zitieren Link zu diesem Kommentar
Sternenkind 11 Geschrieben 6. Januar 2006 Autor Melden Teilen Geschrieben 6. Januar 2006 Sorry, bin gerade absolut testunfähig, hab ne super gemeine Allergie gegen weiß nicht was bekommen und die Allergieblocker machen, dass ich mich fühle wie 30 Stunden wach egal wie lange ich gerade geschlafen hab, kann mich nicht konzentrieren und vergess schon den Anfang des Befehls in der Mitte; wenn ich mich erholt habe teste ich es aber ;) Zitieren Link zu diesem Kommentar
Klettermaxx 10 Geschrieben 6. Januar 2006 Melden Teilen Geschrieben 6. Januar 2006 Na dann gute Besserung! Bald ist auch hier Feierabend! Zitieren Link zu diesem Kommentar
Sternenkind 11 Geschrieben 13. Januar 2006 Autor Melden Teilen Geschrieben 13. Januar 2006 match address <Access-List Number> Ich kapiere nicht ganz, was hier rein muss... @maho Hab schon irgendwo gelesen, dass 836 nicht als Ezvpnserver arbeiten kann!? Wenn ich mich irre kann ich das mal testen Zitieren Link zu diesem Kommentar
Sternenkind 11 Geschrieben 13. Januar 2006 Autor Melden Teilen Geschrieben 13. Januar 2006 Hmm... Ich habe jetzt das Tunnelinterface raus geworfen, als access-list 104 permit ip 192.168.1.0 255.255.255.0 192.168.3.0 255.255.255.0 eingetragen, daraus hat er aber in der Config 0.0.0.0 255.255.255.0 0.0.0.0 255.255.255.0 gemacht Jetzt frage ich mich allerdings so spontan, wie das ohne Tunnel interface funktionieren soll... Tut es auch nicht :P Zitieren Link zu diesem Kommentar
Klettermaxx 10 Geschrieben 13. Januar 2006 Melden Teilen Geschrieben 13. Januar 2006 Das Tunnelinterface ist nur für GRE-Kapselung zuständig und hat nichts mit IP-Sec zutun. Zu der Frage mit der Access-list. Du musst dort eine Wildcard setzen, wie beschrieben. Du hast eine Subnetmaske eingeben. Beispiel. Netz 192.168.1.0 255.255.255.0 Wenn der Router mit einer Access-List einen Netzbereich prüfen soll benötigt er eine Wildcard. Die Wildcard 0.0.0.255 waäre zum Beispiel angebracht. Das heist alles was 255 ist wird ignoriert und alles was 0 ist wird geprüft. Poste mal eine komplette Config, aber nehm die Passwörter raus und ich schaue sie mir dann an. Zitieren Link zu diesem Kommentar
Sternenkind 11 Geschrieben 14. Januar 2006 Autor Melden Teilen Geschrieben 14. Januar 2006 ! version 12.3 no service pad service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname shandy ! boot-start-marker boot-end-marker ! memory-size iomem 5 no logging buffered enable secret 5 $1$y37t$w/t96KqJrfXW8pwKoEjtw1 ! no aaa new-model ip subnet-zero ! ! ip dhcp excluded-address 192.168.1.1 ! ! ip domain name IT-Blankensee.de ip inspect name myfw cuseeme timeout 3600 ip inspect name myfw ftp timeout 3600 ip inspect name myfw rcmd timeout 3600 ip inspect name myfw realaudio timeout 3600 ip inspect name myfw smtp timeout 3600 ip inspect name myfw tftp timeout 30 ip inspect name myfw udp timeout 15 ip inspect name myfw tcp timeout 3600 ip inspect name myfw h323 timeout 3600 ip ips po max-events 100 ip ssh version 2 vpdn enable ! vpdn-group 2 ! Default PPTP VPDN group accept-dialin protocol pptp virtual-template 2 ! no ftp-server write-enable isdn switch-type basic-net3 ! ! username x privilege 15 password xxx username xx password xxx username xxx password xxx ! ! ! crypto isakmp policy 10 encr 3des authentication pre-share group 2 crypto isakmp key xxxxxxxx address 0.0.0.0 0.0.0.0 no crypto isakmp ccm ! ! crypto ipsec transform-set strong esp-3des esp-sha-hmac ! crypto dynamic-map dynvpn 10 set transform-set strong match address 104 ! ! crypto map vpn 10 ipsec-isakmp dynamic dynvpn ! ! ! interface Ethernet0 description CRWS Generated text. Please do not delete this:192.168.1.1-255.255.255.0 ip address 192.168.1.1 255.255.255.0 ip mtu 1456 ip nat inside ip virtual-reassembly ip tcp adjust-mss 1452 ! interface BRI0 description connected to T-Online ip address negotiated ip access-group 111 in ip mtu 1492 ip nat outside ip inspect myfw in ip virtual-reassembly encapsulation ppp dialer string 0191011 dialer hold-queue 10 dialer-group 2 isdn switch-type basic-net3 isdn answer1 4982860 no cdp enable ppp authentication pap callin ppp pap sent-username xxxxxx password xxxxxx ppp ipcp dns request ppp ipcp wins request ! interface ATM0 no ip address load-interval 30 atm vc-per-vp 64 no atm ilmi-keepalive dsl operating-mode auto pvc 1/32 encapsulation aal5snap pppoe-client dial-pool-number 1 ! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.