SAPLogon durch Cisco1721 geht plötzlich nicht mehr

[Chris Duse 10]

Schwerwiegender Fehler, Produktion steht (3 Mitarbeiter ohne Arbeit, Montag Deadline!!

 

Da niemand der sich mit diesem Gerät auskennt zur Verfügung steht, muss ich das Problem lösen obwohl mir

 

einiges leider unklar ist. Ich bitte deshalb dringend um Hilfe.

 

Bestand:

- lokales LAN (LAN1) hinter Cisco 1721.

- lokales LAN (LAN2) hinter anderem Router (unbekannt).

- Freiberufler an verschiedenen Standpunkten greifen per VPN auf LAN 1 zu.

- Im LAN1 steht ein Software-Router (auf WinXP installiert) der eine VPN-Verbindung zu einem Kunden

 

(LAN3) aufbaut. Dabei tunntlt er durch die Cisco hindurch.

- LAN1, LAN2, LAN3 sind jeweils an das Internet angeschlossen, der gesamte Datenverkehr zwischen den

 

Netzen (LANs) erfolgt also durch VPN-Verbindungen.

 

Der Zugriff der Freiberufler auf die Dienste im LAN3 zugreifen wollen, erfolgt nach folgendem Vorgehen:

1) Der Freiberufler/Mitarbeiter im LAN2 greift über eine VPN-Verbindung mit der Cisco, auf LAN1 zu.

2) In LAN1 werden die Anfragen an LAN3 über den Software-VPN-Router an das LAN3 durchgetunnelt.

 

Problem:

--- Seit heute morgen ist kein Zugriff auf das LAN3 mehr möglich. -----

 

Ich hatte heute Nacht versucht eine zusätzliche VPN-Verbindung zu einem anderen Netzwerk (LAN4), welches

 

hinter einer Astaro Firewall liegt, aufzubauen.

Dabei wurde jedoch meine Fernwartung gekappt (UltraVNV s´SC auf Arbeitspechner in LAN1, wovon ich per

 

WebAdmin auf den Router zugreife) und ich weis nicht genau ob die Konfiguration richtig abgeschlossen

 

wurde.

Mittlerweile funktioniert die Fernsteuerung wieder und ich kann über den Arbeitsplatzrechner in LAN1 auf

 

die Cisco zugreifen.

 

Da ich nicht weis was eigentlich los ist und ich mich mit Cisco-Routern kaum auskenne, dachte ich es wäre

 

das einfachste die letzte funktionierende Konfiguratzion wieder zu aktivieren.

Ich hatte gestern abend, bevor ich irgendwelche Veränderungen gemacht habe, ein "Save runnig config to

 

PC" ausgeführt.

 

Nun meine Fragen:

Gibt es die Möglichkeit diese Textdatei in den Router zu importieren, so dass ich den funktionstüchtigen

 

Stand von gestern Abend erreichen kann?

Wie kann ich sonst noch vorgehen?

 

Ich kenne mich mit dem Cisco-Router kaum aus der logischen Aufbau des Netzwerkes ist mir auch nicht so

 

klar. Deshalb, auch wenn ich "dumme" Fragen stelle, bitte wenigstens einen Hinweis wo ich suchen sollte.

 

Vielen Dank

 

Chris

[Chris Duse 10]

Hier nun die Unterschiede in den beiden Konfigurationen:

-------------------------------------------------------------

 

Funktionstüchtige Konfig:

----------------------------

crypto map wft2sap client authentication list vpnclientwft

crypto map wft2sap isakmp authorization list vpnclientwft

crypto map wft2sap client configuration address respond

crypto map wft2sap 10 ipsec-isakmp dynamic dynmap

crypto map wft2sap 11 ipsec-isakmp

set peer 194.39.131.165

set transform-set WFT

match address 125

 

Fehlerhafte Konfig:

-------------------------

crypto map wft2sap client authentication list vpnclientwft

crypto map wft2sap isakmp authorization list vpnclientwft

crypto map wft2sap client configuration address respond

crypto map wft2sap 10 ipsec-isakmp dynamic dynmap

crypto map wft2sap 11 ipsec-isakmp

description Tunnel to 62.214.234.147

set peer 62.214.234.147

set transform-set WFT

match address 101

 

 

 

Fehlerhafte Konfig:

zusätzliche Einstellungen die so in der funktionstüchtigen nicht drinne waren:

-------------------------

....

access-list 100 remark SDM_ACL Category=17

access-list 100 permit ahp any host 217.5.161.37

....

 

...

access-list 101 remark SDM_ACL Category=4

access-list 101 remark IPSec Rule

access-list 101 permit ip 192.168.186.0 0.0.0.255 192.168.22.0 0.0.0.255

...

 

...

access-list 130 remark SDM_ACL Category=18

access-list 130 remark IPSec Rule

access-list 130 deny ip 192.168.186.0 0.0.0.255 192.168.22.0 0.0.0.255

....

 

 

 

Funktionstüchtige Konfig:

----------------------------

ntp clock-period 17180059

 

 

Fehlerhafte Konfig:

-------------------------

ntp clock-period 17180058

 

 

 

Kann mir bitte jemand sagen wie ich die Einstellungen auf den richtigen Werte zurücksetze, bzw. wie ich das automatisch machen lassen kann.

 

Ist wirklich dringend. Danke

 

Chris

[Blacky_24 10]

Mit den Konfig-Fragmenten kann man relativ wenig anfangen.

 

Eine Skizze von dem ganzen Elend wäre auch hilfreich.

 

Ansonsten kannst Du auf einem PC einen TFTP-Server aufsetzen und von da aus die "gute" Konfig zurück auf den Router kopieren (copy tftp: startup-config) und den Router durchbooten (nicht nach "running-config" kopieren da sonst ein Merge gemacht wird).

 

Alternativ mit der Hand am Arm die einzelnen Zeilen abgleichen.

 

Solange Du an der running-config operierst ggf. vorher ein "reload in 30" (für 30 Minuten) absetzen, dann startet der Router nach 30 Minuten neu - nur für den Fall dass Du Dich aussperrst. Wenn Du in den 30 Minuten die Konfig wegspeicherst startet der natürlich mit der letzten gespeicherten Konfig neu.

 

Gruss

Markus

[Chris Duse 10]

Mit den Konfig-Fragmenten kann man relativ wenig anfangen.

 

Eine Skizze von dem ganzen Elend wäre auch hilfreich.

 

Ansonsten kannst Du auf einem PC einen TFTP-Server aufsetzen und von da aus die "gute" Konfig zurück auf den Router kopieren (copy tftp: startup-config) und den Router durchbooten (nicht nach "running-config" kopieren da sonst ein Merge gemacht wird).

 

Das ist das was ich suche. Wie geht das? Könntest du mir bitte helfen?

 

Alternativ mit der Hand am Arm die einzelnen Zeilen abgleichen.

Das würde mich am meisten interesieren, da ich dann wenigstens was über das Maschinchen lerne. Da das aber länger dauert, möchte ich doch lieber das Erste probieren.

 

Solange Du an der running-config operierst ggf. vorher ein "reload in 30" (für 30 Minuten) absetzen, dann startet der Router nach 30 Minuten neu - nur für den Fall dass Du Dich aussperrst. Wenn Du in den 30 Minuten die Konfig wegspeicherst startet der natürlich mit der letzten gespeicherten Konfig neu.

Ebenso, bitte etwas genauer.

 

Ich hab das Gefühl du könntest mir sehr helfen. :-)

 

Ich steh hier ziemlich unter Druck und suche gerade eine Seite um mich in die Handhabung der Roters einzulesen. Aber das dauert :-(

 

Vielen Dank

 

Chris

 

 

 

Gruss

Markus

[Chris Duse 10]

Ich nehme an der Fehler liegt hier:

 

Funktionstüchtige Konfig:

----------------------------

set peer 194.39.131.165

set transform-set WFT

match address 125

 

Fehlerhafte Konfig:

-------------------------

description Tunnel to 62.214.234.147

set peer 62.214.234.147

set transform-set WFT

match address 101

 

 

Es wird keine Verbindung zu 194.39.131.165 aufgebaut da das in der fehlerhaften Konfig fehlt. Oder? Wie andere ich das?

 

Der Tunnel nach 62.214.234.147 wollte ich eigentlich zusätzlich definieren und nicht den vorher bestehenden dabei rausschmeissen :-(

Der Tunnel nach 62.214.234.147 kann ruhig weg.

[Blacky_24 10]

Wie gesagt, hier zeilenwiese die Bruchstücke von verschiedenen Konfigs zu posten hilft kaum weiter.

 

Du kannst theoretisch beliebig viele Tunnel auf der Box definieren - vorher waren doch - wenn ich das richtig verstanden habe - 2 oder 3 Tunnel definiert.

 

Einen TFTP-Server findest Du z.B. hier http://kin.klever.net/pumpkin/

 

Gruss

Markus

[Chris Duse 10]

Und wie spiele ich die Konfiguration auf. Könntest du mich schnell mal bei der Hand führen?

Einen TFTP-Server bin ich grad am installieren. Wie gehts dann weiter?

 

 

Danke

[Blacky_24 10]

TFTP-Soft installieren, in der Soft wird ein Verzeichnis angegeben welches per TFTP freigegeben wird, zusehen dass die Soft auch aktiv ist. Ev. vorhandene Firewall entsprechend anpassen oder temporär ausschalten.

 

Die Datei mit der gesicherten Konfig in den TFTP-Pfad kopieren - da sollte nur die Konfig drinstehen, nicht noch irgendwelcher anderer Schamott. Der Router nimmt was Du ihm gibts, im Zweifelsfall auch die Zeitung von gestern - und dann hast Du beim Starten ein Problem.

 

Dann einfach auf den Router gehen, enable, copy tftp: startup - der Router fragt dann die Parameter ab - IP vom TFTP, Filename u.s.w.

 

Ich bin mir jetzt nicht sicher ob die Passwörter für den Tunnel in der Konfig drinstehen, bitte vorher prüfen!!!

 

Ausserdem in der TFTP-Konfig vor dem Kopieren in alle Interfaces ein "no shutdown" reinschreiben.

 

Gruss

Markus

[Chris Duse 10]

TFTP-Soft installieren, in der Soft wird ein Verzeichnis angegeben welches per TFTP freigegeben wird, zusehen dass die Soft auch aktiv ist. Ev. vorhandene Firewall entsprechend anpassen oder temporär ausschalten.

 

Die Datei mit der gesicherten Konfig in den TFTP-Pfad kopieren - da sollte nur die Konfig drinstehen, nicht noch irgendwelcher anderer Schamott. Der Router nimmt was Du ihm gibts, im Zweifelsfall auch die Zeitung von gestern - und dann hast Du beim Starten ein Problem.

 

Dann einfach auf den Router gehen, enable, copy tftp: startup - der Router fragt dann die Parameter ab - IP vom TFTP, Filename u.s.w.

O.K. ich probier das mal.

 

Ich bin mir jetzt nicht sicher ob die Passwörter für den Tunnel in der Konfig drinstehen, bitte vorher prüfen!!!

Was bedeutet das? Ich kenne die Passwörter der Tunnel nicht und kann keine weiteren konfigurationen vornehmen. Ich dachte das Einsppielen der Konfig stellt den früheren Zustand des Routers vollständig wieder her. Ist das so nicht der Fall?

[Blacky_24 10]

Jein.

 

Ich bin mir nicht sicher - weil ich kaum mit VPN auf Router arbeite - ob die Preshared Keys für die Tunnel in der auslesbaren Konfig in brauchbarem Format drinstehen.

 

Die normalen Passwörter stehen - gecryptet - in der Konfig drin (die Verschlüsselung ist allerdings nicht wirklich toll) und können so auch eingespielt werden, bei den VPN-Keys bin ich mir nicht sicher ob die - wenn überheupt - gecryptet drinstehen oder nur als ****** - dann hast Du ein Problem weil die anderen Tunnelenden das überhaupt nicht verstehen werden.

 

Ist denn der Admin der ganzen Geschichte nicht irgendwo aufzutreiben?

 

Du kannst mir zur Not mal die Konfig mailen - m.schwarzätqitcon.de - dann müsst Ihr aber schnellstmöglichst alle Passwörter ändern.

 

Gruss

Markus

[Chris Duse 10]

Ich glaub die Passwörter sind drinne.

 

z.B.:

username agnusdei password 7 03974357294792D435949

username amatulli password 7 07540B490F09473E5B

 

(hab die Codes geändert)

 

Dann sollte es klappen, oder?

Dann würde ich jetzt erstmal die onfig einspielen. Soll ich ??

 

Ich schicke dir nacher noch die Config (oder poste sie hierher), es wäre nett wenn du mir dann vielleicht erklären kannst was da genau gemacht wird.

 

Vielen, vilen Dank

 

Chris

[Blacky_24 10]

Murmel.

 

Das sind irgendwelche User-Logins, nicht die Tunnel-Keys.

 

Steht da irgendwas mit "crypto isakmp key"?

 

Komplette Konfigs mit Passwörtern NIENIENIE öffentlich posten - erst recht nicht wenn der Router dazu auch noch übers Internet erreichbar ist!!!

 

Gruss

Markus

 

Gruss

Markus

[Chris Duse 10]

Ich hab auch ne Anleitung gefunden zum Backup/Restore:

http://www.cisco.com/en/US/products/sw/iosswrel/ps1835/products_tech_note09186a008020260d.shtml#backup

 

danach scheint das zu gehen. Das einzige was mich stört ist das ich die Config nicht per FTP-Server o.ä. gezogen habe, sondern per Menüpunkt. Aber wird wohl die gleiche Datei sein.

 

Können wir nacher noch die Config zusammen durchgehen. Wäre mir unglaublich hilfreich wenn ich wüsste was da genau abgeht.

 

Danke

 

Chris

[Chris Duse 10]

Du meisnt sowas:

crypto isakmp key W6FhdKDFVTG72lkGHDJvLF18 address 144.23.143.17 no-xauth

crypto isakmp key jdgJGeskG6 address 162.202.101.112

 

Ist schon klar, ich verändere alle Keys und Adressen. Und der Router ist auch nicht öffentlich zugänglich (die Konfiadresse), ich sitze sozusagen (per VNC) an einem LAN-Client.

[Blacky_24 10]

Das sieht brauchbar aus.

 

Gruss

Markus