Jump to content

Radius über VPN-Tunnel

Andreas_Z

Von Andreas_Z
in Cisco Forum — Allgemein

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Andreas_Z Contributor

Andreas_Z   10

Geschrieben
Geschrieben

Hallo Leute!

 

Ich habe hier ein Problem, welches ich trotz suche im Forum und mehreren Anläufen bei der Konfiguration nicht den Griff bekommen habe. Meine Situation ist die folgende:

 

Ich habe bis vor kurzem erfolgreich und stabil zwecks Remote-Zugriff auf einen Server einen Cisco VPN-Concentrator 3020 betrieben. Dieser unterhielt einen VPN-Tunnel (Lan to Lan) zu einer Firewall, hinter der dann letzlich (direkt angebunden) der Server stand. Meine User konnten sich mittels VPN-Client von Cisco mit dem Concentrator verbinden. Für die Benutzerauthentifikation am VPN-C hatte ich einen Windows2003-Radius Server direkt mit dem VPN-C verbunden (Cross-Over am privaten Interface). Diese Plattform mußte ich nun umbauen, um sie etwas flexibler zu machen. Jetzt befindet sich hinter der Firewall ein Switch mit mehreren VLANs. In jedem VLAN hängt ein anderer Server, welcher über den VPN-C erreichbar sein soll. Aus verschiedenen Gründen ist auch der Radius-Server in eines dieser VLANs gekommen und damit nicht mehr direkt mit dem VPN-C verbunden. Um weiterhin eine Benutzerathentifikation per Radius vornehmen zu können, muß der VPN-C nun seine Radius-Anfragen über den bestehenden VPN-Tunnel hinter die Firewall in das richtige VLAN senden. Aber genau das bekomme ich nicht hin. Was könnte ich alles vergessen haben? Gibt es irgenwo eine Anleitung für eine solche Konfig?

 

Was habe ich alles herausgefunden:

Die Radius-Pakete kommen nicht bei der Firewall an. Der Radius-Server ist seltsamer Weise nicht Pingbar, abwohl der Tunnel steht. Ich würde ja auf fehlende Routen tippen, aber die hatte ich vorher auch nicht und dennoch wurde das Netz hinter dem tunnel gefunden. Um entsprechende Interface-Regeln bauen zu können, brächte ich ein virtu. Interface für den Tunnelanfang, dem ich eine IP-Adresse geben kann. Aber das gibt es nicht. :confused:

 

Ich bin für jeden Hinweis dankbar.

Vielen Dank

 

Gruß Andreas

Link zu diesem Kommentar
Andreas_Z Contributor

Andreas_Z   10

Geschrieben
  • Autor
Geschrieben

Hallo Wordo!

 

Um die VLANs mache ich mir auch keine Gedanken. Die habe ich nur der Vollständigkeit halber erwähnt. ;)

 

Check die Konfiguration vom VPN-C ob die IP von Radius die richtige ist, und das Netz in der VPN-Tunnel Konfiguration steckt.

Genau hier sind wir am wunden Punkt. Wo muß ich denn da jetzt genau gucken? Die IP von Radius stimmt auf jeden fall. In der Sektion Configuration - Tunneling and Security - IPSec - LAN-to-LAN gibt es einen Eintrag. Der enthält eigentlich das Netz hinter dem Tunnel. Das Netz vor dem Tunnel ist der IP-Adress-Pool für die User. Ich würde ja meinen, daß hier auch noch die Adresse des VPN-C rein müßte. Aber welche. Er hat dch kein virtuelles Interface mit einer passenden IP-Adresse (siehe oben)?

 

Gruß Andreas

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...