Windows l2tp / ipsec VPN durch Cisco 836 veröffentlichen?

[thomasruta 10]

Hallo zusammen.

 

habe versucht ein VPN (Windows L2tp/Ipsec) durch einen Cisco zu veröffentlichen...

Klappt aber nicht zu recht.

 

Woran kann das liegen?

 

*Mar 1 05:17:02.354: %SYS-5-CONFIG_I: Configured from console by thorut on vty2

(89.53.118.67)

*Mar 1 05:17:38.566: %IPNAT-6-NAT_DELETED: Deleted udp 192.168.100.2:1067 84.16

8.5.7:1067 213.198.89.85:53 213.198.89.85:53

*Mar 1 05:17:38.694: %IPNAT-6-NAT_CREATED: Created udp 192.168.100.2:1067 84.16

8.5.7:1067 213.198.89.85:53 213.198.89.85:53

*Mar 1 05:18:16.482: %IPNAT-6-NAT_DELETED: Deleted tcp 192.168.100.2:17080 84.1

68.5.7:17080 63.210.62.190:80 63.210.62.190:80

*Mar 1 05:18:38.506: %IPNAT-6-NAT_CREATED: Created udp 192.168.100.2:1067 84.16

8.5.7:1067 192.43.172.30:53 192.43.172.30:53

*Mar 1 05:18:38.606: %IPNAT-6-NAT_CREATED: Created udp 192.168.100.2:1067 84.16

8.5.7:1067 66.180.174.61:53 66.180.174.61:53

*Mar 1 05:19:38.934: %IPNAT-6-NAT_DELETED: Deleted udp 192.168.100.2:1067 84.16

8.5.7:1067 192.43.172.30:53 192.43.172.30:53

 

Scheint nach der Initialisierung über udp 1701 und tcp 500 keine gre Pakete durchzulassen?

 

kann aber protokoll 47 oder so nicht in der static nat liste hinzufügen...

ip classless

ip route 0.0.0.0 0.0.0.0 Dialer1

ip http server

ip http authentication local

ip http secure-server

ip http timeout-policy idle 5 life 86400 requests 10000

ip dns server

ip nat log translations syslog

ip nat inside source list 11 interface Dialer1 overload

ip nat inside source static tcp 192.168.100.2 3389 interface Dialer1 3389

ip nat inside source static tcp 192.168.100.2 1723 interface Dialer1 1723

ip nat inside source static esp 192.168.100.2 interface Dialer1

ip nat inside source static tcp 192.168.100.2 500 interface Dialer1 500

ip nat inside source static udp 192.168.100.2 1701 interface Dialer1 1701

 

pptp geht auch nicht!

 

Hat jemand eine Ahnung?

 

Danke

 

Viele Grüße

 

Thomas Ruta

http://edited by grizzly999

[Wordo 11]

Schon mal am VPN Server geschaut welche Pakete dort ankommen? Also ich hab bei ner 831 mit 12.4(4)T1 auch nur Port 1723 defniert und GRE routet er dann von allein durch

[thomasruta 10]

Wenn ich den Cisco davor hänge geht es nichtmehr so richtig.

Für den VPN Sevrer benötige ich 1701 udp für L2tp und 500 TCP für den IKE.

1723 ist pptp wäre aber vorab auch OK weil dann liegt es nicht an GRE.

 

Aber es kommt nix im ISA an! Bzw. eine Initialisierung aber kein GRE Paket!

Was gibt es da zu tun?

 

Habe es mal mit

ip nat inside source static esp 192.168.100.2 interface Dialer1

+

access-list 100 permit ipinip any any

access-list 100 permit ip any any

 

geht aber nicht

?

[Wordo 11]

Mach doch statt "static" -> "list" und dann schalt dort (in der ACL) GRE frei

[thomasruta 10]

Cisco 836 und MS-ISA 2004 als VPN Server L2TP/IPSec

 

ce-got-mz-01#sh run

Building configuration...

 

Current configuration : 3297 bytes

!

version 12.3

no service pad

service timestamps debug datetime msec

service timestamps log datetime msec

no service password-encryption

!

hostname ce-got-mz-01

!

boot-start-marker

boot-end-marker

!

logging buffered 51200 warnings

!

clock timezone cet 0

no aaa new-model

ip subnet-zero

!

!

ip ips po max-events 100

no ftp-server write-enable

isdn switch-type basic-net3

!

!

username thorut privilege 15 secret 5 xx

username petgot privilege 15 secret 5 xx

!

!

!

!

!

interface Ethernet0

description Gottron-wi-lan

ip address 192.168.100.1 255.255.255.248

no ip redirects

no ip unreachables

no ip proxy-arp

ip nat inside

ip virtual-reassembly

ip tcp adjust-mss 1452

no cdp enable

!

interface BRI0

description Backup ISDN Interface

no ip address

no ip redirects

no ip unreachables

encapsulation ppp

shutdown

dialer pool-member 1

isdn switch-type basic-net3

no cdp enable

!

interface ATM0

no ip address

no ip redirects

no ip unreachables

no ip proxy-arp

snmp ifindex persist

no atm ilmi-keepalive

dsl operating-mode annexb-ur2

pvc 1/32

pppoe-client dial-pool-number 2

!

!

interface FastEthernet1

no ip address

duplex auto

speed auto

!

interface FastEthernet2

no ip address

duplex auto

speed auto

!

interface FastEthernet3

no ip address

duplex auto

speed auto

!

interface FastEthernet4

no ip address

duplex auto

speed auto

!

interface Dialer1

ip address negotiated

ip mtu 1492

ip nat outside

ip virtual-reassembly

encapsulation ppp

ip tcp adjust-mss 1452

no ip mroute-cache

dialer pool 2

dialer-group 2

no cdp enable

ppp authentication chap callin

ppp chap hostname xx

ppp chap password 0 xx

ppp pap sent-username xx password 0 xx

!

ip classless

ip route 0.0.0.0 0.0.0.0 Dialer1

ip http server

ip http authentication local

ip http secure-server

ip http timeout-policy idle 5 life 86400 requests 10000

ip dns server

ip nat inside source list 11 interface Dialer1 overload

ip nat inside source static tcp 192.168.100.2 1723 interface Dialer1 1723

!

!

access-list 11 permit 192.168.100.2

access-list 11 permit 192.168.250.210

access-list 100 permit esp any host 192.168.100.2

access-list 100 permit gre any host 192.168.100.2

access-list 100 permit udp any host 192.168.100.2 eq isakmp

access-list 100 permit udp any host 192.168.100.2 eq 1701

access-list 100 permit tcp any host 192.168.100.2 eq 500

access-list 100 permit tcp any host 192.168.100.2 eq 1723

dialer-list 2 protocol ip permit

no cdp run

!

control-plane

!

banner login ^C

-----------------------------------------------------------------------

++++++++++++++++++++++++

+ R&P IT Consulting +

+ Cisco 836 +

+ Support +

+ http://support.thomasruta.de +

++++++++++++++++++++++++

-----------------------------------------------------------------------

^C

!

line con 0

login local

no modem enable

line aux 0

line vty 0 4

privilege level 15

login local

transport input telnet ssh

!

scheduler max-task-time 5000

no rcapi server

!

!

end

 

Vielen Dank für die Hilfestellung ;-)

 

Thomas Ruta