mludwig 10 Geschrieben 12. Juli 2006 Melden Teilen Geschrieben 12. Juli 2006 Hallo Leute, ich habe folgendes Problem: Hinter meinem Cisco 831 sitzt ein Astaro Security Gateway (v.6.300). Auf dieser möchte ich ein ipsec-VPN freigeben. Alles soweit eingerichtet, doch ich komme nicht durch den Cisco durch. Was muss ich dafür einstellen, dass der Cisco die entsprechenden Pakete sowie Protokolle durchlässt? Zugelassen habe ich zur Zeit nur ICMP und TCP, auf der Dialer-List komplett "ip permit". Freue mich über jeden Tip und Hilfestellung! ;-) Michael Zitieren Link zu diesem Kommentar
mludwig 10 Geschrieben 12. Juli 2006 Autor Melden Teilen Geschrieben 12. Juli 2006 ... was ich vergessen habe zu schreiben, ist dass sowohl der Cisco-Router als auch das Astaro Security Gateway über öffentliche IPs verfügen. Ich muss also an keiner Stellen NATten, ich möchte einfach nur, dass der Cisco alle ipsec-betreffenden Pakete durchlässt... Was müsste ich dem Cisco dafür mit auf den Weg geben? Michael Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 13. Juli 2006 Melden Teilen Geschrieben 13. Juli 2006 Du solltest deine access-lists mal posten ;) Fuer IPSec brauchst du Port 500/UDP und Protokoll 50. Zitieren Link zu diesem Kommentar
mludwig 10 Geschrieben 13. Juli 2006 Autor Melden Teilen Geschrieben 13. Juli 2006 Hallo, Du solltest deine access-lists mal posten ;) Fuer IPSec brauchst du Port 500/UDP und Protokoll 50. folgende ACL habe ich: ============================================ access-list 100 permit icmp any host 82.139.196.198 access-list 100 permit icmp any host 82.139.201.73 access-list 100 permit icmp any host 82.139.201.74 access-list 100 permit icmp any host 212.60.137.241 access-list 100 permit icmp any host 212.60.137.242 access-list 100 permit icmp any host 212.60.137.243 access-list 100 permit icmp any host 212.60.137.244 access-list 100 permit icmp any host 212.60.137.245 access-list 100 permit icmp any host 212.60.137.246 access-list 100 permit icmp any host 212.60.137.247 access-list 100 permit icmp any host 212.60.137.248 access-list 100 permit icmp any host 212.60.137.249 access-list 100 permit icmp any host 212.60.137.250 access-list 100 permit icmp any host 212.60.137.251 access-list 100 permit icmp any host 212.60.137.252 access-list 100 permit icmp any host 212.60.137.253 access-list 100 permit icmp any host 212.60.137.254 access-list 100 permit udp any host 212.60.137.254 access-list 100 permit ahp any host 212.60.137.254 access-list 100 permit esp any host 212.60.137.254 access-list 100 permit gre any host 212.60.137.254 access-list 100 permit tcp any host 82.139.201.74 access-list 100 permit tcp any host 212.60.137.241 access-list 100 permit tcp any host 212.60.137.242 access-list 100 permit tcp any host 212.60.137.243 access-list 100 permit tcp any host 212.60.137.244 access-list 100 permit tcp any host 212.60.137.245 access-list 100 permit tcp any host 212.60.137.246 access-list 100 permit tcp any host 212.60.137.247 access-list 100 permit tcp any host 212.60.137.248 access-list 100 permit tcp any host 212.60.137.249 access-list 100 permit tcp any host 212.60.137.250 access-list 100 permit tcp any host 212.60.137.251 access-list 100 permit tcp any host 212.60.137.252 access-list 100 permit tcp any host 212.60.137.253 access-list 100 permit tcp any host 212.60.137.254 access-list 100 deny ip any any log access-list 199 deny ip any any log dialer-list 1 protocol ip permit ============================================ Die Pakete kommen scheinbar nicht durch den Cisco-Router durch, denn bei dem ASG kommt nichts an... Michael Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 13. Juli 2006 Melden Teilen Geschrieben 13. Juli 2006 Und wer hat welche IP und auf welchem Interface ist die ACL in oder out? Zitieren Link zu diesem Kommentar
mludwig 10 Geschrieben 13. Juli 2006 Autor Melden Teilen Geschrieben 13. Juli 2006 Hi, Und wer hat welche IP und auf welchem Interface ist die ACL in oder out? Oh ja, uups, glatt vergessen... ;-) Also, Cisco-Router hat 82.139.201.73, dahinter sitzt das Astaro Security Gateway mit der IP 212.60.137.254. =================================== interface Ethernet1 description ADSL INET Interface no ip address ip access-group 100 in duplex auto pppoe enable pppoe-client dial-pool-number 1 =================================== =================================== interface Dialer1 no ip address ip access-group 100 in =================================== Braucht Ihr noch mehr? Dann reiche ich das selbstverständlich nach!!! ;-) Michael Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 13. Juli 2006 Melden Teilen Geschrieben 13. Juli 2006 Du brauchst das nicht doppelt machen mit den ACL's. Bin mir jetzt nicht sicher obs an denen liegt. Wenn du access-group aus beiden rausnimmst, gehts dann? Zitieren Link zu diesem Kommentar
mludwig 10 Geschrieben 13. Juli 2006 Autor Melden Teilen Geschrieben 13. Juli 2006 Hi Wordo, Du brauchst das nicht doppelt machen mit den ACL's. Bin mir jetzt nicht sicher obs an denen liegt. Wenn du access-group aus beiden rausnimmst, gehts dann? Nein, leider nicht. :-( deswegen frage ich auch - ich bin *leicht* ratlos... :-// Oder muss ich nachdem ich "no ip access-group 100 in" eingegeben habe und mit exit/exit raus bin noch alles mit wr speichern??? Das habe ich nämlich nicht getan... Michael Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 13. Juli 2006 Melden Teilen Geschrieben 13. Juli 2006 Ne musste nicht, vielleicht ist beim Astaro noch der IPSec-Traffic geblockt .. Zitieren Link zu diesem Kommentar
mludwig 10 Geschrieben 13. Juli 2006 Autor Melden Teilen Geschrieben 13. Juli 2006 Hi, Ne musste nicht, vielleicht ist beim Astaro noch der IPSec-Traffic geblockt .. na das ist ja das Problem! Der traffic kommt ja nicht bei der Astaro an... :-( deswegen denke ich lässt der Cisco irgendwas nicht durch... Wenn ich die ACL von int e1 und ind d 1 rausnehme, ist es denn dann so, dass der Cisco alle Protokolle komplett durchlässt, die für ipsec notwendig sind? Ist das dann der Passthrough, den ich prinzipiell benötige? Michael Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 13. Juli 2006 Melden Teilen Geschrieben 13. Juli 2006 Ja, das "pass-through" wird meisstens nur in der Verbindung mit NAT genannt, aber das trifft bei dir nicht zu, also kein Problem. Versuch doch mal ne Verbindung VON der Astaro aus aufzubauen und schau wie weit du kommst ... Zitieren Link zu diesem Kommentar
mludwig 10 Geschrieben 13. Juli 2006 Autor Melden Teilen Geschrieben 13. Juli 2006 Hi, Ja, das "pass-through" wird meisstens nur in der Verbindung mit NAT genannt, aber das trifft bei dir nicht zu, also kein Problem. Versuch doch mal ne Verbindung VON der Astaro aus aufzubauen und schau wie weit du kommst ... das geht alles ohne Probleme. Habe nun zwar keine ipsec-Verbindung getestet aber raus geht grundsätzlich alles... Michael Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 13. Juli 2006 Melden Teilen Geschrieben 13. Juli 2006 Dann liegts zu 99% an der anderen Seite ;) Zitieren Link zu diesem Kommentar
mludwig 10 Geschrieben 13. Juli 2006 Autor Melden Teilen Geschrieben 13. Juli 2006 Hi, Dann liegts zu 99% an der anderen Seite ;) habe den Fehler nun auch gefunden, warum nix an dem Cisco-Router ankam... hatte eine falsche Zahl in der IP (213. anstatt 212.) - sowas ****es... sorry dafür! [edit: wieso läuft hier denn ein Wortfilter auf "b l ö d " ???? sollte heissen: sowas b l ö d e s ... ;-) ] Der Cisco lässt alle Pakete schööön brav mit obiger ACL passieren - kein Cisco-Problem also bis hierher... Vielleicht melde ich mich nochmal, wenn ich wieder denke, dass es irgendwann am Cisco hakt... Vielen Dank für die nette Hilfe! ;-) Michael Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.