kleines VPN Problem mit 831 u. SDSL

[maho 10]

Hallo,

 

habe den VPN-Tunnel soweit am Laufen. Nur habe ich das Problem, dass ich vom Router aus Richtung zentrale die IPSec-Session vom Loopback-Interface aus nicht aufbauen kann, aber umgekehrt, Ping von Zenrale auf Loopback-Interface, dann wird die IPSec-Session aufgebaut. Hat jemand eine Idee? Mich stört es ausserdem, dass ich mit der ACL "internet_in" nicht den Traffic ins LAN beeinflussen kann. Das einzige was ich beeinflussen kann, sind öffetnliche IP-Adressen. Kann man das anders lösen?

Verbesserungsvorschläge jeglicher Art an der Konfig. sind mir willkommen.

 

Danke schon mal im Voraus!

 

Grüße, Maho

 

Hier die Konfig:

 

version 12.4

no service pad

service timestamps debug datetime localtime

service timestamps log datetime localtime

service password-encryption

!

hostname xxx

!

boot-start-marker

boot-end-marker

!

logging buffered 8000 debugging

enable secret xxx

!

no aaa new-model

!

resource policy

!

clock timezone MEZ 1

clock summer-time MESZ recurring last Sun Mar 1:00 last Sun Oct 2:00

no ip source-route

!

!

!

!

ip cef

ip tftp source-interface Loopback0

no ip domain lookup

ip host tftp xxx

vpdn enable

!

!

!

!

!

!

!

!

!

crypto isakmp policy 1

encr 3des

hash md5

authentication pre-share

group 2

crypto isakmp key xxx address xxx

crypto isakmp keepalive 30 5

!

crypto ipsec security-association lifetime seconds 28800

!

crypto ipsec transform-set to_vpn esp-3des esp-md5-hmac

!

crypto map to_vpn 10 ipsec-isakmp

set peer xxx

set transform-set to_vpn

match address 100

!

!

!

interface Loopback0

description ueberwachung festverbindung

ip address 10.232.12.1 255.255.255.252

!

interface Ethernet0

description lan intern

ip address 192.168.4.2 255.255.255.0

ip helper-address 10.88.99.20

ip tcp adjust-mss 1416

no cdp enable

standby ip 192.168.4.1

standby priority 130

standby preempt

standby track Ethernet1

standby track Dialer1

!

interface Ethernet1

description sdsl

no ip address

ip access-group internet_in in

duplex auto

pppoe enable

pppoe-client dial-pool-number 1

no cdp enable

crypto map to_vpn

!

interface Ethernet2

no ip address

shutdown

!

interface FastEthernet1

duplex auto

speed auto

!

interface FastEthernet2

duplex auto

speed auto

!

interface FastEthernet3

duplex auto

speed auto

!

interface FastEthernet4

duplex auto

speed auto

!

interface Dialer1

ip address negotiated

ip access-group internet_in in

ip mtu 1456

encapsulation ppp

ip tcp adjust-mss 1416

dialer pool 1

dialer idle-timeout 0

dialer-group 1

no cdp enable

ppp authentication chap pap callin

ppp chap hostname feste-ip/xxx@t-online-com.de

ppp chap password xxx

ppp pap sent-username feste-ip/xxx@t-online-com.de password xxx

crypto map to_vpn

!

router eigrp 188

redistribute static

network 10.0.0.0

network 192.168.4.0 0.0.0.255

no auto-summary

no eigrp log-neighbor-changes

!

ip route 10.88.99.0 255.255.255.255 Dialer1

ip route x.x.x.x 255.255.255.255 Dialer1

!

no ip http server

no ip http secure-server

!

!

!

ip access-list extended internet_in

permit ip 10.88.99.0 0.0.0.255 any

permit icmp any any administratively-prohibited

permit icmp any any echo

permit icmp any any echo-reply

permit icmp any any packet-too-big

permit icmp any any time-exceeded

permit icmp any any traceroute

permit icmp any any unreachable

permit esp host x.x.x.x any

permit udp host x.x.x.x any eq isakmp

deny ip any any

logging trap debugging

access-list 100 permit ip 192.168.4.0 0.0.0.255 10.88.99.0 0.0.0.255

access-list 100 permit ip 10.232.12.0 0.0.0.255 10.88.99.0 0.0.0.255

no cdp run

!

!

control-plane

!

!

line con 0

password xxx

no modem enable

line aux 0

password xxx

login

line vty 0 4

exec-timeout 300 0

password xxx

login

!

scheduler max-task-time 5000

end

[rob_67 10]

Hi,

 

 

möglicherweise liegts an der fehlenden dialer list, ist mir als erstes mal aufgefallen,

 

z.b. dialer-list 1 protocol ip permit

 

Gruss

 

rob

[mr._oiso 10]

Hi maho

 

Wie Rob schon gesehen hat !

Somit kannst du sicher nicht mal von Ethernet den Tunnel triggern, oder ?

Und warum triggerst Du den Tunnel überhaupt über das Loopback ?

Wozu möchtest Du das Loopback nutzen ?

Internet läuft über diesen Router doch auch nicht, oder ?

 

Und warum möchtest Du den Tunnel-Traffic wieder wie früher über die

Internet_In ACL konfigurieren ?

Du kannst Dir eine ACL direkt auf die Crypto-map binden mit der neuen 12.4 IOS.

Genau das ist doch der Traffic, welchen Du filtern möchtest, oder ?

 

Mache einfach eine neue Access-List und binde sie mit :

 

Sieht dann etwa so auss !

 

crypto map to_vpn 10 ipsec-isakmp

set peer xxx

set transform-set to_vpn

set ip access-group xxx in (oder) out

match address 100

 

Greetings

 

Mr. Oiso

[maho 10]

Hi,

 

für die Überwachung des VPN-Tunels nutze ich das Loopb. Interface, damit wir bei einer Störung Ethernetproblem von VPNproblem erkennen können.

Ich triggere den Tunnel nicht von L0 aus aus, das war nur eine Test, der dann auch gleich in die Hose ging...

 

@rob_67: Werde morgen den dialer-list 1 gleich nachtragen. Danke für den Tip!

 

@mr._oiso: Genau nach so eine ACL Anwendung habe ich gesucht, super! Danke! Muss ich den Dialer1, weil dieser ja im Internet steht, trotzdem mit einer ACL schützen?

 

Maho

[mr._oiso 10]

Hi maho

 

Aber natürlich !

Du könntest, wen du kein Internet laufen haben willst den Traffic komplett "zu" machen

mit einer ACL welche nur noch IPSec sprich:

 

permit esp host x.x.x.x any

permit udp host x.x.x.x any eq isakmp

 

zulässt.

In jedem Fall musst Du die ACL am dialer unabhängig von der Crypto-Map sehen.

Die ACL an der Crypto-Map ist nur für den VPN, und die andere nur....für den Rest !

 

Greez

 

Mr. Oiso