Ciscler 10 Geschrieben 7. Mai 2006 Melden Geschrieben 7. Mai 2006 Hallo, habe ein Router to VPN ´Client VPN. Klappt auch alles. Wenn ich mich einwähle kann ich den Cisco Router anpingen nur alles was dahinter ist ist nicht erreichbar woran kann das liegen? Anbei meine Config: version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname Router ! boot-start-marker boot-end-marker ! enable secret 5 $1$PUN1$HBgGDWxf6jbV6kGzW7IX40 ! aaa new-model ! ! aaa authentication login userauthen local aaa authorization network groupauthor local ! aaa session-id common ! resource policy ! mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ip subnet-zero ip cef ! ! no ip dhcp use vrf connected ! ! no ip ips deny-action ips-interface vpdn enable vpdn ip udp ignore checksum ! vpdn-group pppoe request-dialin protocol pppoe ip mtu adjust ! ! no ftp-server write-enable ! ! ! username cisco password 0 cisco1234 ! ! ! crypto isakmp policy 3 encr 3des authentication pre-share group 2 no crypto isakmp ccm ! crypto isakmp client configuration group 3000client key xxxxxxxxx pool ippool ! ! crypto ipsec transform-set myset esp-3des esp-sha-hmac ! crypto dynamic-map dynmap 10 set transform-set myset ! ! crypto map clientmap client authentication list userauthen crypto map clientmap isakmp authorization list groupauthor crypto map clientmap client configuration address respond crypto map clientmap 10 ipsec-isakmp dynamic dynmap ! ! ! interface FastEthernet0/0 description T-dsl no ip address no ip proxy-arp ip route-cache flow duplex auto speed auto pppoe enable pppoe-client dial-pool-number 1 fair-queue crypto map clientmap ! interface FastEthernet0/1 description LAN ip address 192.168.0.253 255.255.255.0 ip nat inside ip virtual-reassembly duplex auto speed auto ! interface FastEthernet0/0/0 ! interface FastEthernet0/0/1 ! interface FastEthernet0/0/2 ! interface FastEthernet0/0/3 ! interface Vlan1 no ip address ! interface Dialer1 description WAN bandwidth 2048 ip address negotiated ip access-group 101 in no ip redirects no ip unreachables no ip proxy-arp ip mtu 1492 ip nat outside ip virtual-reassembly encapsulation ppp ip route-cache flow ip tcp adjust-mss 1452 no ip mroute-cache dialer pool 1 dialer idle-timeout 0 dialer persistent dialer-group 1 fair-queue no cdp enable ppp authentication chap callin ppp chap hostname xxxxxxxxxxxxxxxxxxxxxxxxxx@t-online.de ppp chap password xxxxxxxxxxxxxxx ppp ipcp dns request crypto map clientmap ! ip local pool ippool 14.1.1.100 14.1.1.200 ip classless ip route 0.0.0.0 0.0.0.0 Dialer1 ! ip http server no ip http secure-server ip nat inside source list 1 interface Dialer1 overload ip nat inside source list 2 interface Dialer1 overload ip nat inside source list 3 interface Dialer1 overload ip nat inside source list 101 interface Dialer1 overload ip nat inside source static tcp 192.168.0.1 21 interface Dialer1 21 ip nat inside source static tcp 192.168.0.1 20 interface Dialer1 20 ip nat inside source static udp 192.168.0.1 20 interface Dialer1 20 ip nat inside source static udp 192.168.0.1 21 interface Dialer1 21 ip dns server ! access-list 1 permit 192.168.1.0 0.0.0.255 access-list 1 permit 192.168.0.0 0.0.0.255 access-list 2 permit 192.168.0.0 0.0.0.255 access-list 3 permit 0.0.0.0 255.255.255.0 dialer-list 1 protocol ip permit snmp-server community public RO snmp-server enable traps tty ! ! control-plane ! ! line con 0 line aux 0 line vty 0 4 ! end Zitieren
Wordo 11 Geschrieben 8. Mai 2006 Melden Geschrieben 8. Mai 2006 Ich glaub das liegt an den NATs, die sehn ja aus wie Kraut und Rueben :) Und wenn du wo weiter kommst, kannst du das bitte in alten Post weiterfuehren? Ich bin sicher, dass ich nicht der einzige bin der am Montag alle Posts von unten nach oben abarbeitet und sich dann b***d vorkommt fuer geloeste Probleme Antworten zu suchen :suspect: Zitieren
Ciscler 10 Geschrieben 8. Mai 2006 Autor Melden Geschrieben 8. Mai 2006 Ok alles klar. Aber wieso liegt das an den NAT's was ist daran denn flasch? Zitieren
Wordo 11 Geschrieben 8. Mai 2006 Melden Geschrieben 8. Mai 2006 interface Dialer1 ip access-group 101 in ip nat inside source list 1 interface Dialer1 overload ip nat inside source list 2 interface Dialer1 overload ip nat inside source list 3 interface Dialer1 overload ip nat inside source list 101 interface Dialer1 overload access-list 1 permit 192.168.1.0 0.0.0.255 access-list 1 permit 192.168.0.0 0.0.0.255 access-list 2 permit 192.168.0.0 0.0.0.255 access-list 3 permit 0.0.0.0 255.255.255.0 101 existiert nicht, 2 und 1 ist dasselbe und 3 dann auch wieder n Witz. Also nimm erst mal die 101 aus dem Dialer, dann die 101 NAT Regel raus, am besten die anderen 3 auch weg. Dann machste access-list 100 deny ip 192.168.0.0 0.0.0.255 14.1.1.0 0.0.0.255 access-list 100 deny ip 192.168.1.0 0.0.0.255 14.1.1.0 0.0.0.255 access-list 100 permit ip 192.168.0.0 0.0.0.255 any access-list 100 permit ip 192.168.1.0 0.0.0.255 any ip nat inside source list 100 interface Dialer1 overload So in etwa sollte das aussehn. Zitieren
Ciscler 10 Geschrieben 8. Mai 2006 Autor Melden Geschrieben 8. Mai 2006 Hallo danke erstmal! Habe meine access-list mal aufgeräumt. Und jetzt müsste auch alles andere was hinter dem Router liegt über den VPN tunnel erreichbar sein? Habe leider im moment keinen der sich einwählen könnte... Meine Config sieht jetzt so aus: Current configuration : 3192 bytes ! version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname Router ! boot-start-marker boot-end-marker ! enable secret 5 $1$TccG$wyS7OKZtudIYJ45n8SQVC0 ! aaa new-model ! ! aaa authentication login userauthen local aaa authorization network groupauthor local ! aaa session-id common ! resource policy ! mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ip subnet-zero ip cef ! ! no ip dhcp use vrf connected ! ! no ip ips deny-action ips-interface ! no ftp-server write-enable ! ! ! username cisco password 0 cisco1234 ! ! ! crypto isakmp policy 3 encr 3des authentication pre-share group 2 no crypto isakmp ccm ! crypto isakmp client configuration group 3000client key cisco123 pool ippool ! ! crypto ipsec transform-set myset esp-3des esp-sha-hmac ! crypto dynamic-map dynmap 10 set transform-set myset ! ! crypto map clientmap client authentication list userauthen crypto map clientmap isakmp authorization list groupauthor crypto map clientmap client configuration address respond crypto map clientmap 10 ipsec-isakmp dynamic dynmap ! ! ! interface FastEthernet0/0 description T-dsl no ip address no ip proxy-arp ip route-cache flow duplex auto speed auto pppoe enable pppoe-client dial-pool-number 1 fair-queue ! interface FastEthernet0/1 description LAN ip address 192.168.0.253 255.255.255.0 ip nat inside ip virtual-reassembly duplex auto speed auto ! interface FastEthernet0/0/0 ! interface FastEthernet0/0/1 ! interface FastEthernet0/0/2 ! interface FastEthernet0/0/3 ! interface Vlan1 no ip address ! interface Dialer1 description WAN bandwidth 2048 ip ddns update hostname cobradirk.no-ip.info ip address negotiated no ip redirects no ip unreachables no ip proxy-arp ip mtu 1492 ip nat outside ip virtual-reassembly encapsulation ppp ip route-cache flow ip tcp adjust-mss 1452 no ip mroute-cache dialer pool 1 dialer idle-timeout 0 dialer persistent dialer-group 1 fair-queue no cdp enable ppp authentication chap callin ppp chap hostname 0004906756665200356675920001@t-online.de ppp chap password 0 03216705 ppp ipcp dns request crypto map clientmap ! ip local pool ippool 14.1.1.100 14.1.1.200 ip classless ip route 0.0.0.0 0.0.0.0 Dialer1 ip route 14.1.1.0 255.255.255.0 FastEthernet0/0 ! ip http server no ip http secure-server ip nat inside source list 1 interface Dialer1 overload ip nat inside source list 100 interface Dialer1 overload ip nat inside source static udp 192.168.0.1 21 interface Dialer1 21 ip nat inside source static udp 192.168.0.1 20 interface Dialer1 20 ip nat inside source static tcp 192.168.0.1 20 interface Dialer1 20 ip nat inside source static tcp 192.168.0.1 21 interface Dialer1 21 ip dns server ! access-list 100 deny ip 192.168.0.0 0.0.0.255 14.1.1.0 0.0.0.255 access-list 100 deny ip 192.168.1.0 0.0.0.255 14.1.1.0 0.0.0.255 access-list 100 permit ip 192.168.0.0 0.0.0.255 any access-list 100 permit ip 192.168.1.0 0.0.0.255 any dialer-list 1 protocol ip permit snmp-server community public RO snmp-server enable traps tty ! ! control-plane ! ! line con 0 line aux 0 line vty 0 4 ! end Zitieren
Wordo 11 Geschrieben 8. Mai 2006 Melden Geschrieben 8. Mai 2006 ip route 14.1.1.0 255.255.255.0 FastEthernet0/0 Das da gehoert eigentlich raus, das weiss die Cisco schon selbst. Wenns nicht geht, probier mal die crypto map noch aufs interne IF zu haengen. Bin mir da nie ganz sicher ... Zitieren
Ciscler 10 Geschrieben 8. Mai 2006 Autor Melden Geschrieben 8. Mai 2006 Er brauch doch die Route für den Rückweg oder nicht? Die kennt er doch nicht von selber oder? Zitieren
Wordo 11 Geschrieben 8. Mai 2006 Melden Geschrieben 8. Mai 2006 Na wenn du auf der Cisco den IPPool selbst konfigurierst wird er doch wissen wo der ist. Schliesslich vergibt der Router ja die IP's ;) Zitieren
Ciscler 10 Geschrieben 8. Mai 2006 Autor Melden Geschrieben 8. Mai 2006 Ok ... Aber auf der Seite wo ich mich mit den VPN client einwähle existiert ein 192.168.1.0 Netz wie kann ich das dann von meinen Cisco aus erreichen wie sehe die Route aus? 192.168.1.0 255.255.255.0 fastethernet 0/0 <--- so? Zitieren
Wordo 11 Geschrieben 8. Mai 2006 Melden Geschrieben 8. Mai 2006 Der Dialer wird an FA0/0 gebunden, du brauchst also keine Route, IP hin oder her :) Zitieren
Ciscler 10 Geschrieben 8. Mai 2006 Autor Melden Geschrieben 8. Mai 2006 Aber als ich mich gestern von der Firma aus per Cisco VPN Client eingewählt habe konnte ich nur von der Firma aus den Cisco erreichen also die 192.168.0.253. Vom Cisco aus Konnte ich nichts aus dem Firmennetz erreichen oder lag das alles wirklich an meinen zich NAT listen ;) ? Zitieren
Wordo 11 Geschrieben 8. Mai 2006 Melden Geschrieben 8. Mai 2006 Was ist denn dein Firmennetz? Ich dachte das waere 192.168.0.0/24? Zitieren
Ciscler 10 Geschrieben 8. Mai 2006 Autor Melden Geschrieben 8. Mai 2006 Cisco ist im 192.168.0.0 Netz habe mich dann von woanders wo ein 192.168.1.0 Netz existiert eingewählt. Konnte von dem 1.0 Netz dann nur den Cisco erreichen vom Cisco jedoch konnte ich keinen Rechner aus dem 1.0 Netz pingen. Zitieren
Wordo 11 Geschrieben 8. Mai 2006 Melden Geschrieben 8. Mai 2006 Das liegt an deinem IPPool, so wie du das schilderst brauchtest du ein anderes VPN, nicht den Client. Zitieren
Ciscler 10 Geschrieben 8. Mai 2006 Autor Melden Geschrieben 8. Mai 2006 Wie ein anderes VPN. Der VPN Client reicht doch völlig aus oder nicht? Versteh ich nicht was du damit meinst Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.