Administrator Startseite
Nickname vergessen?
Passwort vergessen?

  • Datum 10.03.2012 - 18:20 Uhr

  • Aufrufe 2651 Kommentare 40 ID 181736

  • Autor SPAGHETTI Level 1

Heiß diskutierte Inhalte
05/2013 Systemmanagement
Cover IT-Administrator
Im Wonnemonat Mai dreht sich im IT-Administrator Magazin alles rund um den Schwerpunkt “Systemmanagement”. So lesen Sie in der Ausgabe, wie Sie Ihre IT-Umgebung mit dem Microsoft System Center Operations Manager 2012 sowie mit der Open Source-Software Pandora FMS im Auge behalten. Außerdem zeigt Ihnen die Redaktion die besten Tricks für das Active Directory. In den Produkttest müssen unter anderem Aruba Networks ClearPass und Brainware ... mehr
Mitglied: SPAGHETTI
Diese Frage heraufstufen
40
Diese Frage heraufstufen
-1
Diese Frage herunterstufen

Kein Internet nach IPSEC VPN Tunnel Einwahl mit cisco IOS 12.4

Hoi

Meine Herausforderung:
Der VPN Client hat nach dem Einwählen kein Internet mehr(Die Webseite kann nicht gefunden werden). Der DNS Server kann aufgelöst werden
Nach der Einwahl Daten vom VPN Client mit dem eingewählten Netzwerk austauschen, funktioniert auch wunderbar.
Anbei meine Konfigurationen Daten.

eb9f519d3f3e4ef163e4e0b5c8e5253c.jpg
Was mich bei dieser Grafik stutzig macht ist die Netzwerkkonfiguration des Cisco System VPN Adapter. Zum Beispiel die Subnetzmaske oder der Gateway...

d3e6140991a8a47ad45083aca4fa639f.jpg
Sieht das in Ordnung aus?



Configuration register is 0x2102


------------------ show running-config ------------------
Quelltext | Drucken
01.
 
02.
Building configuration... 
03.
 
04.
Current configuration : 7417 bytes 
05.
06.
version 12.4 
07.
no service pad 
08.
service timestamps debug datetime msec 
09.
service timestamps log datetime localtime 
10.
no service password-encryption 
11.
12.
hostname BU-R-001 
13.
14.
boot-start-marker 
15.
boot-end-marker 
16.
17.
logging message-counter syslog 
18.
enable secret 5 <removed> 
19.
enable password <removed> 
20.
21.
aaa new-model 
22.
23.
24.
aaa authentication login default local 
25.
aaa authentication login Foxtrot_sdm_easyvpn_xauth_ml_1 local 
26.
aaa authorization exec default local  
27.
aaa authorization network Foxtrot_sdm_easyvpn_group_ml_1 local  
28.
29.
30.
aaa session-id common 
31.
clock timezone cet 1 
32.
clock summer-time cest recurring last Sun Mar 2:00 last Sun Oct 3:00 
33.
34.
crypto pki trustpoint TP-self-signed-1933032799 
35.
 enrollment selfsigned 
36.
 subject-name cn=IOS-Self-Signed-Certificate-1933032799 
37.
 revocation-check none 
38.
 rsakeypair TP-self-signed-1933032799 
39.
40.
41.
crypto pki certificate chain TP-self-signed-1933032799 
42.
 certificate self-signed 01 
43.
  3082024F 308201B8 A0030201 02020101 300D0609 2A864886 F70D0101 04050030  
44.
  31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274  
45.
  69666963 6174652D 31393333 30333237 3939301E 170D3131 30363139 31343430  
46.
  35385A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649  
47.
  4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 39333330  
48.
  33323739 3930819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281  
49.
  8100BD20 CCE4FCFE AC876364 02B045D0 25DC7B2E B3A19A6D 5C224BAD 239F1830  
50.
  152A6535 A1596B85 6D57D577 83B3F80C AAEBF74B FECD654F 39E04E4F 2098A6A1  
51.
  82388E29 987B8D65 B0F1E47E 0FEF8A6F E9A1A2AE 485DF8F6 47F03534 B298884C  
52.
  FE1D51E1 C4669AFD AF23C15C 671DE350 5BBC1218 9315A131 BF743458 0A55B2A9  
53.
  D62F0203 010001A3 77307530 0F060355 1D130101 FF040530 030101FF 30220603  
54.
  551D1104 1B301982 1742552D 522D3030 312E6275 63686C69 69742E6C 6F6B616C  
55.
  301F0603 551D2304 18301680 141B87AC 515FD960 0144B98B 9C7E0562 CC2873E4  
56.
  B0301D06 03551D0E 04160414 1B87AC51 5FD96001 44B98B9C 7E0562CC 2873E4B0  
57.
  300D0609 2A864886 F70D0101 04050003 81810081 938722F2 B8F8A2CF 012FDF35  
58.
  93BCCF75 7DEB863C 7E5DDABF 0468E792 25279283 46BB3817 42F00216 68241451  
59.
  BCB37CB7 105B139D 333A3BDC 5EFCE0DA 9249BC64 DFEF07AE AC6B7D6E 6ADEA7C5  
60.
  E08D8F91 419CFCA2 C8F5CC8F C31E5904 926EFF78 7252608C 64F95D9D 8D0E58DF  
61.
  EFAFE8BA 85E98BEF E6A79224 66D33DC0 DD21F3 
62.
  	quit 
63.
dot11 syslog 
64.
no ip source-route 
65.
no ip gratuitous-arps 
66.
67.
68.
ip dhcp excluded-address 10.0.100.1 10.0.100.10 
69.
ip dhcp excluded-address 10.0.100.100 10.0.100.254 
70.
ip dhcp excluded-address 10.0.200.1 10.0.200.10 
71.
ip dhcp excluded-address 10.0.200.100 10.0.200.254 
72.
ip dhcp excluded-address 10.0.150.1 10.0.150.10 
73.
74.
ip dhcp pool DHCP_VLAN100 
75.
   network 10.0.100.0 255.255.255.0 
76.
   dns-server 10.0.100.220 10.0.100.101 10.0.100.1  
77.
   default-router 10.0.100.1  
78.
   domain-name buchliit.lokal 
79.
   lease 10 10 10 
80.
81.
ip dhcp pool DHCP_VPN 
82.
   network 10.0.150.0 255.255.255.0 
83.
   default-router 10.0.150.1  
84.
   dns-server 10.0.100.220 10.0.100.101 10.0.150.1  
85.
   lease 10 10 10 
86.
87.
88.
ip cef 
89.
ip domain name buchliit.lokal 
90.
ip name-server 10.0.100.220 
91.
ip name-server 195.186.1.162 
92.
ip name-server 195.186.4.162 
93.
ip inspect name firewall tcp 
94.
ip inspect name firewall udp 
95.
ip inspect name firewall icmp 
96.
ip ddns update method buchliitweb.dyndns.org 
97.
 HTTP 
98.
  add http://<removed>dyndns.org/nic/update?system=dyndns&hostname=<h>&myip=<a> 
99.
  remove http://<removed>.dyndns.org/nic/update?system=dyndns&hostname=<h>&myip=<a> 
100.
 interval maximum 28 0 0 0 
101.
102.
103.
no ipv6 cef 
104.
multilink bundle-name authenticated 
105.
106.
107.
username cisco privilege 15 password 0 <removed> 
108.
!  
109.
110.
crypto isakmp policy 1 
111.
 encr 3des 
112.
 authentication pre-share 
113.
 group 2 
114.
115.
crypto isakmp client configuration group EZVPN_GROUP_1 
116.
 key <removed> 
117.
 dns 10.0.100.220 195.186.1.162 
118.
 pool SDM_POOL_1 
119.
 save-password 
120.
 max-users 10 
121.
crypto isakmp profile sdm-ike-profile-1 
122.
   match identity group EZVPN_GROUP_1 
123.
   client authentication list Foxtrot_sdm_easyvpn_xauth_ml_1 
124.
   isakmp authorization list Foxtrot_sdm_easyvpn_group_ml_1 
125.
   client configuration address respond 
126.
   virtual-template 1 
127.
128.
129.
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac  
130.
131.
crypto ipsec profile SDM_Profile1 
132.
 set transform-set ESP-3DES-SHA  
133.
 set isakmp-profile sdm-ike-profile-1 
134.
135.
136.
archive 
137.
 log config 
138.
  hidekeys 
139.
140.
141.
142.
143.
144.
interface FastEthernet0 
145.
 shutdown 
146.
147.
interface FastEthernet1 
148.
 switchport access vlan 100 
149.
150.
interface FastEthernet2 
151.
 switchport access vlan 200 
152.
153.
interface FastEthernet3 
154.
 switchport access vlan 100 
155.
156.
interface FastEthernet4 
157.
 description Internet Zugang ohne PPOE sonder DHCP 
158.
 ip ddns update hostname <removed>.dyndns.org 
159.
 ip ddns update <removed>.dyndns.org host members.dyndns.org 
160.
 ip address dhcp 
161.
 ip access-group 111 in 
162.
 no ip redirects 
163.
 no ip unreachables 
164.
 no ip proxy-arp 
165.
 ip nat outside 
166.
 ip inspect firewall out 
167.
 ip virtual-reassembly 
168.
 duplex auto 
169.
 speed auto 
170.
 no cdp enable 
171.
172.
interface Virtual-Template1 type tunnel 
173.
 ip unnumbered Vlan150 
174.
 tunnel source FastEthernet4 
175.
 tunnel mode ipsec ipv4 
176.
 tunnel protection ipsec profile SDM_Profile1 
177.
178.
interface Vlan1 
179.
 no ip address 
180.
181.
interface Vlan100 
182.
 description Lokales LAN, LVAN 100 auf Port FastEth 1 
183.
 ip address 10.0.100.1 255.255.255.0 
184.
 ip access-group 101 in 
185.
 no ip redirects 
186.
 no ip unreachables 
187.
 no ip proxy-arp 
188.
 ip nat inside 
189.
 ip virtual-reassembly 
190.
191.
interface Vlan150 
192.
 ip address 10.0.150.1 255.255.255.0 
193.
 ip access-group 150 in 
194.
 ip nat inside 
195.
 ip virtual-reassembly 
196.
197.
interface Vlan200 
198.
 description DMZ, VLAN auf Port FastEth2 
199.
 ip address 10.0.200.1 255.255.255.0 
200.
 ip access-group 102 in 
201.
 no ip redirects 
202.
 no ip unreachables 
203.
 no ip proxy-arp 
204.
 ip nat inside 
205.
 ip virtual-reassembly 
206.
207.
ip local pool SDM_POOL_1 10.0.150.2 10.0.150.254 
208.
ip forward-protocol nd 
209.
ip route 0.0.0.0 0.0.0.0 FastEthernet4 dhcp 
210.
211.
no ip http server 
212.
ip http access-class 23 
213.
ip http authentication local 
214.
ip http secure-server 
215.
ip dns server 
216.
ip nat source static tcp 10.0.100.200 36936 interface FastEthernet4 36936 
217.
ip nat inside source list 101 interface FastEthernet4 overload 
218.
ip nat inside source list 102 interface FastEthernet4 overload 
219.
ip nat inside source static tcp 10.0.100.240 36936 interface FastEthernet4 36936 
220.
ip nat inside source static tcp 10.0.200.200 443 interface FastEthernet4 443 
221.
222.
access-list 23 permit 10.0.100.0 0.0.0.255 
223.
access-list 101 permit udp any any eq bootps 
224.
access-list 101 permit ip 10.0.100.0 0.0.0.255 any 
225.
access-list 101 deny   ip any any log 
226.
access-list 102 permit icmp 10.0.200.0 0.0.0.255 10.0.100.0 0.0.0.255 echo-reply 
227.
access-list 102 permit tcp 10.0.200.0 0.0.0.255 10.0.100.0 0.0.0.255 ack 
228.
access-list 102 permit tcp 10.0.200.0 0.0.0.255 10.0.100.0 0.0.0.255 eq 443 
229.
access-list 102 deny   ip 10.0.200.0 0.0.0.255 10.0.100.0 0.0.0.255 
230.
access-list 102 permit ip 10.0.200.0 0.0.0.255 any 
231.
access-list 102 deny   ip any any log 
232.
access-list 111 permit udp any any eq non500-isakmp 
233.
access-list 111 permit udp any any eq isakmp log 
234.
access-list 111 permit tcp any any eq 36936 
235.
access-list 111 permit udp any any eq bootpc 
236.
access-list 111 permit udp any eq domain any 
237.
access-list 111 permit tcp host 204.13.248.112 eq www any log 
238.
access-list 111 permit tcp any any eq 3389 
239.
access-list 111 permit tcp any any eq 443 
240.
access-list 111 deny   ip any any log 
241.
access-list 150 permit ip 10.0.150.0 0.0.0.255 any log 
242.
access-list 150 deny   ip any any log 
243.
244.
245.
246.
247.
248.
control-plane 
249.
250.
251.
line con 0 
252.
 no modem enable 
253.
line aux 0 
254.
line vty 0 4 
255.
 password <removed> 
256.
257.
scheduler max-task-time 5000 
258.
end
Verstehe etwa 50% vom oben genannten Code. Wo ich derzeit Mühe habe ist die VPN Konfigurationszusammenhänge zu verstehen. Brauche ich zum Beispiel den DHCP Pool den ich extra für den VPN eingerichtet habe und wieso gibt das VPN VLAN 10.0.150.1 mit pingen keine Antwort?

Danke an alle
40 Kommentare Diskussionsverlauf
Mitglied: Dani
Diesen Kommentar heraufstufen
0
Diesen Kommentar herunterstufen
Dani am 10.03.2012 um 18:34 Uhr
Moin,
Verstehe etwa 50% vom oben genannten Code.
Aha... wie hast du dann die Kiste konfiguriert? Try und Error?

Brauche ich zum Beispiel den DHCP Pool den ich extra für den VPN eingerichtet habe
Ja brauchst du.

Hier findest du den Grund warum der Client nichts ins Internet kommt und wie die Lösung aussieht.


Grüße,
Dani
Mitglied: aqui
Diesen Kommentar heraufstufen
0
Diesen Kommentar herunterstufen
aqui am 10.03.2012 um 18:43 Uhr
Gääähn... Das ist ein immer wiederkehrender Klassiker hier face-sad und immer ist es eine Client Fehlkonfiguration wenn dieser Haken nicht gesetzt ist !

47defe7b60b7c78a9ba1fdf11052a8b4.jpg

Per Default ist der sinnvollerweise aus und dann blockt der Client bei aktivem VPN sinnigerweise den lokalen Ethernet Port.
(Ist übrigens bei anderen VPN Protokollen auch so wie du hier am Beispiel von PPTP nachlesen kannst.)
Wenn du allerdings einen pfiffigen und fachkundigen VPN Netzwerk Admin hast, dann hat der in der ASA oder Router Konfig das Setzen verboten !
Meist ist das bei Firmen VPNs ja auch gewollt um nicht so durch die Hintertür ein Wurmloch ins Internet zu schaffen oder Viren und Trojaner verseuchte Mitarbeiter Heimnetze mit dem Firmennetz zu verbinden !
Mitglied: SPAGHETTI
Diesen Kommentar heraufstufen
0
Diesen Kommentar herunterstufen
SPAGHETTI am 10.03.2012 um 19:28 Uhr
wow, schon zwei Antworten.

Vielen Dank für eure schnellen Antworten.

Habe das mit dem Allow Local LAN Access probiert. Geht aber trotzdem nicht. bin jetzt gerade dran dem interface fastethernet 2 das vlan 150 zuzuweisen um zu testen ob das internet grundlegen vom vlan 150 aus funktionieren würde.

grüsse
Mitglied: Dani
Diesen Kommentar heraufstufen
0
Diesen Kommentar herunterstufen
Dani am 10.03.2012 um 19:30 Uhr
Zitat von SPAGHETTI:
Habe das mit dem Allow Local LAN Access probiert. Geht aber trotzdem nicht. bin jetzt gerade dran dem interface fastethernet 2 das vlan 150 zuzuweisen um zu testen ob das internet grundlegen vom vlan 150 aus funktionieren würde.
Hast du meinen Link gelesen? Dann würdest wissen, dass deine Idee nicht die Lösung ist!
Mitglied: SPAGHETTI
Diesen Kommentar heraufstufen
0
Diesen Kommentar herunterstufen
SPAGHETTI am 10.03.2012 um 23:05 Uhr
hab anhand deinem link probiert. wird jedoch immer schlimmer. ich gebs glaub besser auf....
Mitglied: aqui
Diesen Kommentar heraufstufen
0
Diesen Kommentar herunterstufen
aqui am 11.03.2012 um 00:12 Uhr
Dani, erlöse uns mit der Lösung face-smile
Mitglied: Dani
Diesen Kommentar heraufstufen
0
Diesen Kommentar herunterstufen
Dani am 11.03.2012 um 00:22 Uhr
Scherzkecks, die Lösung ist die Beispielkonfiguration meines geposteten Links. face-smile Allerdings muss man verstehen wie ein Ciscogerät bzw. das IOS tickt. Es ist aber alles im Link beschrieben oder soll ich ihm die Config fertig basteln?! face-smile
Ich befürchte fast, er konfiguiert über SDM und versucht nun manuell über SSH den Rest zu erledigen.
Mitglied: SPAGHETTI
Diesen Kommentar heraufstufen
0
Diesen Kommentar herunterstufen
SPAGHETTI am 11.03.2012 um 00:42 Uhr
lol... bevor du dir die mühe machst.. habe jetzt tatsächlich ein teil erfolg erzielt. Sobald ich mehr weiss gebe ich bescheid....
Mitglied: SPAGHETTI
Diesen Kommentar heraufstufen
0
Diesen Kommentar herunterstufen
SPAGHETTI am 11.03.2012 um 03:04 Uhr
okeee...Ich bin jetzt ca. 16 Stunden an diesem Fall dran und es könnten mindestens nochmal 16 werden...

habe jetzt meine config ziemlich auf den kopf gestellt damit ich langsam den durchblick erhalte. nun sieht es wie folgt aus:
ich komm vom vpn problemlos zu meinen vlans wenn es den Eintrag ip nat inside source list 110 interface FastEthernet4 overload NICHT gibt.

Sobald ich ip nat inside source list 110 interface FastEthernet4 overload hinzufüge komme ich vom vpn Client aus in kein VLAN mehr... Dafür ins internet. Ziel wäre es dass ich vom vpn client in alle vlans komme aber trotzdem noch die möglichkeit besteht, die vpn client --> vlan verbindung einzuschränken. Hier meine aktuelle konfig

------------------ show running-config ------------------
Quelltext | Drucken
01.
Building configuration... 
02.
 
03.
Current configuration : 6262 bytes 
04.
05.
version 12.4 
06.
no service pad 
07.
service timestamps debug datetime msec 
08.
service timestamps log datetime localtime 
09.
no service password-encryption 
10.
11.
hostname BU-R-001 
12.
13.
boot-start-marker 
14.
boot-end-marker 
15.
16.
logging message-counter syslog 
17.
enable secret 5 <removed> 
18.
enable password <removed> 
19.
20.
aaa new-model 
21.
22.
23.
aaa authentication login default local 
24.
aaa authentication login userauthen local 
25.
aaa authorization exec default local  
26.
aaa authorization network groupauthor local  
27.
28.
29.
aaa session-id common 
30.
clock timezone cet 1 
31.
clock summer-time cest recurring last Sun Mar 2:00 last Sun Oct 3:00 
32.
33.
crypto pki trustpoint TP-self-signed-1933032799 
34.
 enrollment selfsigned 
35.
 subject-name cn=IOS-Self-Signed-Certificate-1933032799 
36.
 revocation-check none 
37.
 rsakeypair TP-self-signed-1933032799 
38.
39.
40.
crypto pki certificate chain TP-self-signed-1933032799 
41.
 certificate self-signed 01 
42.
  3082024F 308201B8 A0030201 02020101 300D0609 2A864886 F70D0101 04050030  
43.
  31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274  
44.
  69666963 6174652D 31393333 30333237 3939301E 170D3131 30363139 31343430  
45.
  35385A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649  
46.
  4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 39333330  
47.
  33323739 3930819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281  
48.
  8100BD20 CCE4FCFE AC876364 02B045D0 25DC7B2E B3A19A6D 5C224BAD 239F1830  
49.
  152A6535 A1596B85 6D57D577 83B3F80C AAEBF74B FECD654F 39E04E4F 2098A6A1  
50.
  82388E29 987B8D65 B0F1E47E 0FEF8A6F E9A1A2AE 485DF8F6 47F03534 B298884C  
51.
  FE1D51E1 C4669AFD AF23C15C 671DE350 5BBC1218 9315A131 BF743458 0A55B2A9  
52.
  D62F0203 010001A3 77307530 0F060355 1D130101 FF040530 030101FF 30220603  
53.
  551D1104 1B301982 1742552D 522D3030 312E6275 63686C69 69742E6C 6F6B616C  
54.
  301F0603 551D2304 18301680 141B87AC 515FD960 0144B98B 9C7E0562 CC2873E4  
55.
  B0301D06 03551D0E 04160414 1B87AC51 5FD96001 44B98B9C 7E0562CC 2873E4B0  
56.
  300D0609 2A864886 F70D0101 04050003 81810081 938722F2 B8F8A2CF 012FDF35  
57.
  93BCCF75 7DEB863C 7E5DDABF 0468E792 25279283 46BB3817 42F00216 68241451  
58.
  BCB37CB7 105B139D 333A3BDC 5EFCE0DA 9249BC64 DFEF07AE AC6B7D6E 6ADEA7C5  
59.
  E08D8F91 419CFCA2 C8F5CC8F C31E5904 926EFF78 7252608C 64F95D9D 8D0E58DF  
60.
  EFAFE8BA 85E98BEF E6A79224 66D33DC0 DD21F3 
61.
  	quit 
62.
dot11 syslog 
63.
no ip source-route 
64.
no ip gratuitous-arps 
65.
66.
67.
ip dhcp excluded-address 10.0.100.1 10.0.100.10 
68.
ip dhcp excluded-address 10.0.100.100 10.0.100.254 
69.
70.
ip dhcp pool DHCP_VLAN100 
71.
   network 10.0.100.0 255.255.255.0 
72.
   dns-server 10.0.100.220 10.0.100.101 10.0.100.1  
73.
   default-router 10.0.100.1  
74.
   domain-name buchliit.lokal 
75.
   lease 10 10 10 
76.
77.
78.
ip cef 
79.
ip domain name buchliit.lokal 
80.
ip name-server 10.0.100.220 
81.
ip name-server 195.186.1.162 
82.
ip name-server 195.186.4.162 
83.
ip inspect name firewall tcp 
84.
ip inspect name firewall udp 
85.
ip inspect name firewall icmp 
86.
ip ddns update method <removed>.dyndns.org 
87.
 HTTP 
88.
  add http://<removed>:<removed>@members.dyndns.org/nic/update?system=dyndns&hostname=<h>&myip=<a> 
89.
  remove http://<removed>:<removed>@members.dyndns.org/nic/update?system=dyndns&hostname=<h>&myip=<a> 
90.
 interval maximum 28 0 0 0 
91.
92.
93.
no ipv6 cef 
94.
multilink bundle-name authenticated 
95.
96.
97.
username cisco privilege 15 password 0 <removed> 
98.
username user password 0 <removed> 
99.
!  
100.
101.
crypto isakmp policy 3 
102.
 encr 3des 
103.
 authentication pre-share 
104.
 group 2 
105.
106.
crypto isakmp client configuration group vpnclient 
107.
 key <removed> 
108.
 dns 10.0.100.220 
109.
 domain buchliit.lokal 
110.
 pool ippool 
111.
112.
113.
crypto ipsec transform-set myset esp-3des esp-md5-hmac  
114.
115.
crypto dynamic-map dynmap 10 
116.
 set transform-set myset  
117.
 reverse-route 
118.
119.
120.
crypto map clientmap client authentication list userauthen 
121.
crypto map clientmap isakmp authorization list groupauthor 
122.
crypto map clientmap client configuration address respond 
123.
crypto map clientmap 10 ipsec-isakmp dynamic dynmap  
124.
125.
archive 
126.
 log config 
127.
  hidekeys 
128.
129.
130.
131.
132.
133.
interface Loopback0 
134.
 ip address 10.11.0.1 255.255.255.0 
135.
 ip nat inside 
136.
 ip virtual-reassembly 
137.
138.
interface FastEthernet0 
139.
 shutdown 
140.
141.
interface FastEthernet1 
142.
 switchport access vlan 100 
143.
144.
interface FastEthernet2 
145.
 switchport access vlan 200 
146.
147.
interface FastEthernet3 
148.
 switchport access vlan 100 
149.
150.
interface FastEthernet4 
151.
 description Internet Zugang ohne PPOE sonder DHCP 
152.
 ip ddns update hostname <removed>.dyndns.org 
153.
 ip ddns update <removed>.dyndns.org host members.dyndns.org 
154.
 ip address dhcp 
155.
 ip access-group 111 in 
156.
 no ip redirects 
157.
 no ip unreachables 
158.
 no ip proxy-arp 
159.
 ip nat outside 
160.
 ip inspect firewall out 
161.
 ip virtual-reassembly 
162.
 ip policy route-map VPN-Client 
163.
 duplex auto 
164.
 speed auto 
165.
 no cdp enable 
166.
 crypto map clientmap 
167.
168.
interface Vlan1 
169.
 no ip address 
170.
171.
interface Vlan20 
172.
 no ip address 
173.
174.
interface Vlan100 
175.
 description Lokales LAN, LVAN 100 auf Port FastEth 1 
176.
 ip address 10.0.100.1 255.255.255.0 
177.
 no ip redirects 
178.
 no ip unreachables 
179.
 no ip proxy-arp 
180.
 ip nat inside 
181.
 ip virtual-reassembly 
182.
183.
interface Vlan200 
184.
 description DMZ, VLAN auf Port FastEth2 
185.
 ip address 10.0.200.1 255.255.255.0 
186.
 no ip redirects 
187.
 no ip unreachables 
188.
 no ip proxy-arp 
189.
 ip nat inside 
190.
 ip virtual-reassembly 
191.
192.
ip local pool ippool 192.168.150.20 192.168.150.30 
193.
ip forward-protocol nd 
194.
ip route 0.0.0.0 0.0.0.0 FastEthernet4 dhcp 
195.
196.
no ip http server 
197.
ip http access-class 23 
198.
ip http authentication local 
199.
ip http secure-server 
200.
ip dns server 
201.
ip nat inside source static tcp 10.0.100.240 36936 interface FastEthernet4 36936 
202.
ip nat inside source static tcp 10.0.200.200 443 interface FastEthernet4 443 
203.
ip nat inside source list 101 interface FastEthernet4 overload 
204.
205.
access-list 23 permit 10.0.100.0 0.0.0.255 
206.
access-list 101 permit ip any any 
207.
access-list 111 permit udp any any eq non500-isakmp 
208.
access-list 111 permit udp any any eq isakmp log 
209.
access-list 111 permit tcp any any eq 36936 
210.
access-list 111 permit udp any any eq bootpc 
211.
access-list 111 permit udp any eq domain any 
212.
access-list 111 permit tcp host 204.13.248.112 eq www any log 
213.
access-list 111 permit tcp any any eq 443 
214.
access-list 111 deny   ip any any log 
215.
access-list 144 permit ip 192.168.150.0 0.0.0.255 any 
216.
217.
218.
219.
220.
route-map VPN-Client permit 10 
221.
 match ip address 144 
222.
 set ip next-hop 10.11.0.2 
223.
224.
225.
control-plane 
226.
227.
228.
line con 0 
229.
 no modem enable 
230.
line aux 0 
231.
line vty 0 4 
232.
 password <removed> 
233.
234.
scheduler max-task-time 5000 
235.
end

Die Funktion vom route-map und looback verstehe ich etwa zu 15%

Danke
Mitglied: SPAGHETTI
Diesen Kommentar heraufstufen
0
Diesen Kommentar herunterstufen
SPAGHETTI am 11.03.2012 um 13:49 Uhr
Habe jetzt beim crypto isakmp client configuration group vpnclient eine acl mit den gesicherten routen erstellt. somit komme ich beim client ins internet. Auf die VLANs kann ich derzeit nur zugreiffen, wenn ich entweder ip nat inside von den VLAN wegnehme oder oder den ip nat inside source list 101 interface FastEthernet4 overload
lösche...
Mitglied: SPAGHETTI
Diesen Kommentar heraufstufen
0
Diesen Kommentar herunterstufen
SPAGHETTI am 11.03.2012 um 15:09 Uhr
Ein Ping vom VPN Netz in das VLAN, wandelt mir die VPN IP Adresse um. Als antwort erhält man die öffentliche vdsl adresse. ich hätte aber gerne die lokale vlan adresse als antwort. Wenn ich auf dem vlan 100 no ip nat inside ausführe, krieg ich die lokale vlan 100 adresse als antwort. Dafür komm ich vom vlan 100 nicht mehr ins internet.
f96978a9a7388be5f8e138276d8f46c1.jpg
der vpn client sendet offenbar alle anfragen an den broadcast. liegt dort eventuell das problem?



vom vlan in das vpn netz pingen, geht wunderbar. die vpn ip adresse gibt antwort
f3fd10a0e0428777f8d2dc664c3f97cf.jpg

wie kann ich das vpn und die vlan netze untereinander ohne nat einrichten?
Mitglied: Dani
Diesen Kommentar heraufstufen
0
Diesen Kommentar herunterstufen
Dani am 11.03.2012 um 15:25 Uhr
Eins nachdem anderen! Deine Konfiguration ist fehlerhaft. Beispiele:

Bisher:
Quelltext | Drucken
01.
crypto isakmp client configuration group vpnclient 
02.
key <removed> 
03.
dns 10.0.100.220 
04.
domain buchliit.lokal 
05.
pool ippool

Neu:
Quelltext | Drucken
01.
crypto isakmp client configuration group mitarbeiter 
02.
 key <removed> 
03.
 dns 10.0.100.220 
04.
 domain buchliit.lokal 
05.
 pool vpn1
Bisher:
Quelltext | Drucken
01.
crypto dynamic-map dynmap 10 
02.
set transform-set myset 
03.
reverse-route

Neu:
Quelltext | Drucken
01.
crypto dynamic-map dynmap 5 
02.
 set transform-set myset 
03.
 set isakmp-profile VPNclient 
04.
 reverse-route 
05.
 
06.
crypto isakmp profile VPNclient 
07.
   description VPN clients profile 
08.
   match identity group mitarbeiter 
09.
   client authentication list clientauth 
10.
   isakmp authorization list groupauthor 
11.
   client configuration address respond
Bisher:
Quelltext | Drucken
01.
interface Loopback0 
02.
ip address 10.11.0.1 255.255.255.0 
03.
ip nat inside 
04.
ip virtual-reassembly

Neu:
Quelltext | Drucken
01.
interface Loopback0 
02.
ip address 192.168.90.1 255.255.255.255 
03.
ip nat inside 
04.
ip virtual-reassembly
Die IP-adresse darf aus keinen bestehenden und benutzenden Subnetz sein!!
Bisher:
Quelltext | Drucken
01.
nterface FastEthernet4 
02.
crypto map clientmap

Neu:
Quelltext | Drucken
01.
nterface FastEthernet4 
02.
crypto map mymap
---
Bisher:
Quelltext | Drucken
01.
ip local pool ippool 192.168.150.20 192.168.150.30

Neu:
Quelltext | Drucken
01.
ip local pool vpn1 192.168.150.20 192.168.150.30
---
Bisher:
Quelltext | Drucken
01.
route-map VPN-Client permit 10 
02.
match ip address 144 
03.
set ip next-hop 10.11.0.2

Neu:
Quelltext | Drucken
01.
route-map VPN-Client permit 10 
02.
match ip address 144 
03.
set interface Loopback0
Neu:
Quelltext | Drucken
01.
ip route 192.168.150.0 255.255.255.0 FastEthernet4

Das habe ich so in der Kürze alles gefunden. Was sagst dazu? irgendwie ist cisco nicht dein Ding. face-wink

wie kann ich das vpn und die vlan netze untereinander ohne nat einrichten?
Äh... die VLAN's kennen sich automatisch. NAT brauchst du mehr oder weniger... daran kommst du nicht vorbei. Wo warst du im Netzwerkunterricht? face-smile

Die Funktion vom route-map und looback verstehe ich etwa zu 15%
Ich würde behaupt nicht mal 10%. Das hat etwas mit der NAT-Geschichte zu tun. face-smile


Grüße,
Dani
Mitglied: SPAGHETTI
Diesen Kommentar heraufstufen
0
Diesen Kommentar herunterstufen
SPAGHETTI am 11.03.2012 um 18:12 Uhr
Vielen Dank Dani für deine Unterstützung. Das crypto map mymap kann ich dem interface fastethernet 4 nicht zuweisen, da es gar nicht besteht. Soll ich diese clientmap durch mymap ersetzen?

crypto map clientmap client authentication list userauthen

crypto map clientmap isakmp authorization list groupauthor

crypto map clientmap client configuration address respond

crypto map clientmap 10 ipsec-isakmp dynamic dynmap

Zitat von Dani:
Bisher:
Quelltext | Drucken
01.
> nterface FastEthernet4 
02.
> crypto map clientmap 
03.
>

Neu:
Quelltext | Drucken
01.
> nterface FastEthernet4 
02.
> crypto map mymap 
03.
>
---

Grüsse
Mitglied: Dani
Diesen Kommentar heraufstufen
0
Diesen Kommentar herunterstufen
Dani am 11.03.2012 um 18:16 Uhr
crypto map clientmap client authentication list userauthen
crypto map clientmap isakmp authorization list groupauthor
crypto map clientmap client configuration address respond
crypto map clientmap 10 ipsec-isakmp dynamic dynmap
Für was brauchst du die anderen 4 Maps überhaupt?!
Blöde Frage: Um welches Ciscomodell handelt es sich? ASA?
Mitglied: SPAGHETTI
Diesen Kommentar heraufstufen
0
Diesen Kommentar herunterstufen
SPAGHETTI am 11.03.2012 um 18:33 Uhr
Keine Ahnung für was ich die genau brauche. Habe sie eingetragen weil sie in der Website, die du mir empfohlen hast, eintragen sind.

Es handelt sich um ein SR520-FE-K9 Modell
Mitglied: Dani
Diesen Kommentar heraufstufen
0
Diesen Kommentar herunterstufen
Dani am 11.03.2012 um 18:39 Uhr
Das crypto map mymap kann ich dem interface fastethernet 4 nicht zuweisen, da es gar nicht besteht. Soll ich diese clientmap durch mymap ersetzen?
Mach mal bitte...
Mitglied: SPAGHETTI
Diesen Kommentar heraufstufen
0
Diesen Kommentar herunterstufen
SPAGHETTI am 11.03.2012 um 21:48 Uhr
Hat nichts gebracht.
Trotzdem danke für eure Hilfe.....
Mitglied: Dani
Diesen Kommentar heraufstufen
0
Diesen Kommentar herunterstufen
Dani am 11.03.2012 um 21:50 Uhr
Hmm.. wie sieht denn nun das Fehlerbild aus nach der Nachbearbeitung?
Post nochmal die ganze Configfile.


Grüße,
Dani
Mitglied: SPAGHETTI
Diesen Kommentar heraufstufen
0
Diesen Kommentar herunterstufen
SPAGHETTI am 11.03.2012 um 22:38 Uhr
Hoi

Fehlerverhalten ist immernoch daselbe. Sobald ich den Wert ip nat inside source list 101 interface FastEthernet4 overload lösche, kann ich wieder in die VLANs zugreifen.Wenn dieser Wert nicht gelöscht wird und ich eine VLAN IP pinge, bekomme ich die öffentliche IP Adresse des interface 4 als Antwort. Das gleiche Verhalten tritt auf wenn ich beim interface 4, das ip nat outside lösche oder beim vlan 100 das ip nat inside.

Auf dem Router sieht das so aus. Wieso will dieser unbedingt den VPN Verkehr naten?
f11edba22c45e10a9f6325ca1ff56ea0.jpg

------------------ show running-config ------------------


Building configuration...

Current configuration : 6345 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime localtime
no service password-encryption
!
hostname BU-R-001
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
enable secret 5 <removed>
enable password <removed>
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication login userauthen local
aaa authorization exec default local
aaa authorization network groupauthor local
!
!
aaa session-id common
clock timezone cet 1
clock summer-time cest recurring last Sun Mar 2:00 last Sun Oct 3:00
!
crypto pki trustpoint TP-self-signed-1933032799
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1933032799
revocation-check none
rsakeypair TP-self-signed-1933032799
!
!
crypto pki certificate chain TP-self-signed-1933032799
certificate self-signed 01
3082024F 308201B8 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 31393333 30333237 3939301E 170D3131 30363139 31343430
35385A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 39333330
33323739 3930819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100BD20 CCE4FCFE AC876364 02B045D0 25DC7B2E B3A19A6D 5C224BAD 239F1830
152A6535 A1596B85 6D57D577 83B3F80C AAEBF74B FECD654F 39E04E4F 2098A6A1
82388E29 987B8D65 B0F1E47E 0FEF8A6F E9A1A2AE 485DF8F6 47F03534 B298884C
FE1D51E1 C4669AFD AF23C15C 671DE350 5BBC1218 9315A131 BF743458 0A55B2A9
D62F0203 010001A3 77307530 0F060355 1D130101 FF040530 030101FF 30220603
551D1104 1B301982 1742552D 522D3030 312E6275 63686C69 69742E6C 6F6B616C
301F0603 551D2304 18301680 141B87AC 515FD960 0144B98B 9C7E0562 CC2873E4
B0301D06 03551D0E 04160414 1B87AC51 5FD96001 44B98B9C 7E0562CC 2873E4B0
300D0609 2A864886 F70D0101 04050003 81810081 938722F2 B8F8A2CF 012FDF35
93BCCF75 7DEB863C 7E5DDABF 0468E792 25279283 46BB3817 42F00216 68241451
BCB37CB7 105B139D 333A3BDC 5EFCE0DA 9249BC64 DFEF07AE AC6B7D6E 6ADEA7C5
E08D8F91 419CFCA2 C8F5CC8F C31E5904 926EFF78 7252608C 64F95D9D 8D0E58DF
EFAFE8BA 85E98BEF E6A79224 66D33DC0 DD21F3
quit
dot11 syslog
no ip source-route
no ip gratuitous-arps
!
!
ip dhcp excluded-address 10.0.100.1 10.0.100.10
ip dhcp excluded-address 10.0.100.100 10.0.100.254
!
ip dhcp pool DHCP_VLAN100
network 10.0.100.0 255.255.255.0
dns-server 10.0.100.220 10.0.100.101 10.0.100.1
default-router 10.0.100.1
domain-name buchliit.lokal
lease 10 10 10
!
!
ip cef
ip domain name buchliit.lokal
ip name-server 10.0.100.220
ip name-server 195.186.1.162
ip name-server 195.186.4.162
ip inspect name firewall tcp
ip inspect name firewall udp
ip inspect name firewall icmp
ip ddns update method .dyndns.org
HTTP
add http://@members.dyndns.org/nic/update?system=dyndns&hostname=<h>&myip=<a>
remove http://@members.dyndns.org/nic/update?system=dyndns&hostname=<h>&myip=<a>
interval maximum 28 0 0 0
!
!
no ipv6 cef
multilink bundle-name authenticated
!
!
username cisco privilege 15 password 0 <removed>
username user password 0 <removed>
!
!
crypto isakmp policy 3
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group mitarbeiter
key ggt
dns 10.0.100.220
domain buchliit.lokal
pool vpn1
crypto isakmp profile VPNclient
description VPN clients profile
match identity group mitarbeiter
client authentication list clientauth
isakmp authorization list groupauthor
client configuration address respond
!
!
crypto ipsec transform-set myset esp-3des esp-md5-hmac
!
crypto dynamic-map dynmap 5
set transform-set myset
set isakmp-profile VPNclient
reverse-route
!
!
crypto map clientmap client authentication list userauthen
crypto map clientmap isakmp authorization list groupauthor
crypto map clientmap client configuration address respond
crypto map clientmap 10 ipsec-isakmp dynamic dynmap
!
archive
log config
hidekeys
!
!
!
!
!
interface Loopback0
ip address 192.168.90.1 255.255.255.255
ip nat inside
ip virtual-reassembly
!
interface FastEthernet0
shutdown
!
interface FastEthernet1
switchport access vlan 100
!
interface FastEthernet2
switchport access vlan 200
!
interface FastEthernet3
switchport access vlan 100
!
interface FastEthernet4
description Internet Zugang ohne PPOE sonder DHCP
ip ddns update hostname .dyndns.org
ip ddns update .dyndns.org host members.dyndns.org
ip address dhcp
ip access-group 111 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip inspect firewall out
ip virtual-reassembly
ip policy route-map VPN-Client
duplex auto
speed auto
no cdp enable
crypto map clientmap
!
interface Vlan1
no ip address
!
interface Vlan20
no ip address
!
interface Vlan100
description Lokales LAN, LVAN 100 auf Port FastEth 1
ip address 10.0.100.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
!
interface Vlan200
description DMZ, VLAN auf Port FastEth2
ip address 10.0.200.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
!
ip local pool vpn1 192.168.150.20 192.168.150.30
ip forward-protocol nd
ip route 192.168.150.0 255.255.255.0 FastEthernet4
ip route 0.0.0.0 0.0.0.0 FastEthernet4 dhcp
!
no ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip dns server
ip nat inside source list 101 interface FastEthernet4 overload
!
access-list 23 permit 10.0.100.0 0.0.0.255
access-list 101 permit ip any any
access-list 111 permit udp any any eq non500-isakmp
access-list 111 permit udp any any eq isakmp log
access-list 111 permit udp any any eq bootpc
access-list 111 permit udp any eq domain any
access-list 111 permit tcp host 204.13.248.112 eq www any log
access-list 111 permit tcp any any eq 443
access-list 111 deny ip any any log
access-list 144 permit ip 192.168.90.0 0.0.0.255 any log
!
!
!
!
route-map VPN-Client permit 10
match ip address 144
set interface Loopback0
!
!
control-plane
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
password <removed>
!
scheduler max-task-time 5000
end
Mitglied: Dani
Diesen Kommentar heraufstufen
0
Diesen Kommentar herunterstufen
Dani am 11.03.2012 um 22:56 Uhr
Hmm... nimm mal auf FaEth4 die Zeile
Quelltext | Drucken
01.
ip access-group 111 in
raus, wenn möglich. Sollte zwar eigentlich nichts ausmachen aber sicher ist sicher.
Hast du jedes Mal getestet ob du ins VLAN bzw. Internet kommst?!

Meine Beispielconfig bezieht sich auf einen DSL-Anschluss mit PPP.
Mitglied: SPAGHETTI
Diesen Kommentar heraufstufen
0
Diesen Kommentar herunterstufen
SPAGHETTI am 11.03.2012 um 23:19 Uhr
oke, test ich gleich.

Ich habe jeweils ein dauer ping auf 8.8.8.8 (Internet) und in das vlan 100 und 200 am laufen gehabt. Dabei immer wieder im cisco clear ip nat translation force durchgeführt.
Sobald ich dann den overload rausgenomme habe, gaben mir die interne VLANs sofort wieder korrekte antwort. Getestet habe das ganze von einem W7 Notebook und UMTS Stick.
Mitglied: SPAGHETTI
Diesen Kommentar heraufstufen
0
Diesen Kommentar herunterstufen
SPAGHETTI am 11.03.2012 um 23:38 Uhr
Hoi

hab ihn vom FaEth 4 rausgenommen und anschliessend eine VPN Verbindung hergestellt. Beim pingen in das vlan gab mir dann die öffentliche IP Adresse vom FaEth 4 antwort und nicht wie gewünscht die vlan ip.
Mitglied: Dani
Diesen Kommentar heraufstufen
0
Diesen Kommentar herunterstufen
Dani am 11.03.2012 um 23:40 Uhr
Ja okay... kommst aber auch ins Internet mit der Overload Regel?!
Mitglied: SPAGHETTI
Diesen Kommentar heraufstufen
0
Diesen Kommentar herunterstufen
SPAGHETTI am 11.03.2012 um 23:46 Uhr
Wenn Overload gesetzt ist komm ich von den VLANs problemlos ins Internet. Vom VPN konnte ich bis anhin die 8.8.8.8 immer pingen. Seit der kürzlichen Änderung aber funktioniert das nicht mehr. Vielleicht müsste ich die Access list 101 im Loopback 0 hinzufügen oder das overload mit der Access List 144 machen?!
Ich geh jetzt schlafen. Gut Nacht und ich weiss deine Hilfe zu schätzen
Mitglied: Dani
Diesen Kommentar heraufstufen
0
Diesen Kommentar herunterstufen
Dani am 11.03.2012 um 23:51 Uhr
Vom VPN konnte ich bis anhin die 8.8.8.8 immer pingen. Seit der kürzlichen Änderung aber funktioniert das nicht mehr.
Welche Änderung meinst du?

Vielleicht müsste ich die Access list 101 im Loopback 0 hinzufügen oder das overload mit der Access List 144 machen?!
Nene...

Was mir aus dem Kopf heraus einfällt, pass die ACL "access-list 101 permit ip any any" an:
Quelltext | Drucken
01.
access-list 101 deny ip any 192.168.150.0 0.0.0.255 
02.
access-list 101 permit ip any any
Des Weiteren sehe ich gerade, das due ACL 144 auch nicht stimmt:
Quelltext | Drucken
01.
access-list 144 permit ip 192.168.150.0 0.0.0.255 any log
Schlaf gut... ich schau morgen nochmal unsere Konfiguration an.
Mitglied: SPAGHETTI
Diesen Kommentar heraufstufen
0
Diesen Kommentar herunterstufen
SPAGHETTI am 12.03.2012 um 07:10 Uhr
Hoi
Super! Jetzt sieht es schon besser. sobald ich die deny ip any 192.168.150.0 0.0.0.255 eingetragen habe, bekomme ich vom ping vom vpn --> vlan immernoch korrekte antwort obwhol noch das overload eingetragen ist.
Jetzt stellt sich noch die frage, wieso das pingen ins Internet vom vpn client aus nicht geht...
Die access-list 144 permit ip 192.168.150.0 0.0.0.255 any log habe ich eingetragen.
Kann am Abend wieder schreiben
Schönen Tag
Mitglied: Dani
Diesen Kommentar heraufstufen
0
Diesen Kommentar herunterstufen
Dani am 12.03.2012 um 07:19 Uhr
Guten Morgen,
Jetzt stellt sich noch die frage, wieso das pingen ins Internet vom vpn client aus nicht geht... Die access-list 144 permit ip 192.168.150.0 0.0.0.255 any log habe ich eingetragen.
Die Access-List 144 dient nur dazu, die VPN Bereiche über die Route-Map zu identifizieren.

Poste bitte noch die Routingtabelle mit dem Befehl show ip route.

Danach mach folgendes: Setze die ACL Counter mit clear ip access-list zurück und baue die VPN-Verbindung wieder auf. Danach starte einen Dauerping vom VPN-Client aus und schau mit sh ip access-list nach wo die Pakete hängen bleiben.


Grüße,
Dani
Mitglied: SPAGHETTI
Diesen Kommentar heraufstufen
0
Diesen Kommentar herunterstufen
SPAGHETTI am 12.03.2012 um 20:50 Uhr
Sali



interface Vlan100
description Lokales LAN, LVAN 100 auf Port FastEth 1
ip address 10.0.100.1 255.255.255.0
ip access-group 101 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
!
interface Vlan200
description DMZ, VLAN auf Port FastEth2
ip address 10.0.200.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly

ip local pool vpn1 192.168.150.20 192.168.150.30
ip forward-protocol nd
ip route 192.168.150.0 255.255.255.0 FastEthernet4
ip route 0.0.0.0 0.0.0.0 FastEthernet4 dhcp
!
no ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip dns server
ip nat inside source list 101 interface FastEthernet4 overload
!
access-list 23 permit 10.0.100.0 0.0.0.255
access-list 101 deny ip any 192.168.150.0 0.0.0.255
access-list 101 permit ip any any log
access-list 111 permit udp any any eq non500-isakmp
access-list 111 permit udp any any eq isakmp log
access-list 111 permit udp any any eq bootpc
access-list 111 permit udp any eq domain any
access-list 111 permit tcp host 204.13.248.112 eq www any log
access-list 111 permit tcp any any eq 443
access-list 111 deny ip any any log
access-list 144 permit ip 192.168.150.0 0.0.0.255 any log
!
!
!
!
route-map VPN-Client permit 10
match ip address 144
set interface Loopback0


Hast du eine Idee wieso ich plötzlich dem interface vlan 100 die access-list 101 in setzen muss, damit ich von diesem vlan wieder ins Internet komme?

Wenigstens scheint nun etwas geklärt zu sein. Ich kapier meine konfig weniger als einem Prozent. Falls du keine lust oder zeit hast, können wir diesen Forum Beitrag auch löschen und ich lass es bleiben......(würde zwar schon gerne weitergehen)
Mitglied: Dani
Diesen Kommentar heraufstufen
0
Diesen Kommentar herunterstufen
Dani am 12.03.2012 um 21:06 Uhr
Moin,
nimm bitte in Zukunft die CODE-Tags für die Konfig. Ich such mir jedes Mal einen Wolf wenn ich was vergleichen möchte.
Ich habe eine Vermutung... mach bitte folgendes:
Quelltext | Drucken
01.
no access-list 101 
02.
access-list 101 remark +-------------------------------------------------- 
03.
access-list 101 remark +              Zugang Internet   
04.
access-list 101 remark +-------------------------------------------------- 
05.
access-list 101 deny ip any 192.168.150.0 0.0.0.255 
06.
access-list 101 permit ip any any
Somit weist du in Zunkunft was die ACL macht.
Dann lege folgende für das VLAN an:
Quelltext | Drucken
01.
no access-list 102 
02.
access-list 102 remark +-------------------------------------------------- 
03.
access-list 102 remark +              Zugang VLAN100 
04.
access-list 102 remark +-------------------------------------------------- 
05.
access-list 102 permit ip 192.168.150.0 0.0.0.255 10.0.100.1 0.0.0.255 
06.
access-list 102 permit ip 10.0.100.1 0.0.0.255 192.168.150.0 0.0.0.255 
07.
access-list 102 permit ip 10.0.100.1 0.0.0.255 any
Somit erlaubst du den VPN-Clients den Zugriff ins VLAN und alle Clients aus dem VLAN heraus.
Die ACL 102 bitte auf das VLAN 100 binden. Dann sollte es wieder gehen für das VLAN100. Das gleiche machst du für die restlichen VLANs, wenn wir das VPNClient Problem im Griff haben!

Danach mach folgendes: Setze die ACL Counter mit clear ip access-list zurück und baue die VPN-Verbindung wieder auf. > Danach starte einen Dauerping vom VPN-Client aus und schau mit sh ip access-list nach wo die Pakete hängen bleiben.
Hast du das schon gemacht?
Mitglied: SPAGHETTI
Diesen Kommentar heraufstufen
0
Diesen Kommentar herunterstufen
SPAGHETTI am 12.03.2012 um 21:49 Uhr
Cool.. Internet im VLAN 100 funktioniert nun einwandfrei. Der Verkehr vom vpn netz ins vlan 100 funktioniert auch reibungslos. Das ist mal ein Fortschritt nach ca. 28 Stunden....heheheheheh

Jetzt stellt sich noch die Frage wie man für das VPN Netz den Zugang ins Internet machen soll... Hier erstmal meine Ergebnisse vom Dauerping auf 8.8.8.8 von VPN Netz aus.

Mitglied: Dani
Diesen Kommentar heraufstufen
0
Diesen Kommentar herunterstufen
Dani am 12.03.2012 um 21:58 Uhr
Okay... sehr schön! Es ist eben etwas schwerer wenn man nicht selber davor sitzt. face-smile
Mach bitte noch einen Traceroute vom dem Notebook bei bestehender VPN-Verbindung. Am Besten auf google.de (tracert www.google.de) und poste das Ergebnis.
Mitglied: SPAGHETTI
Diesen Kommentar heraufstufen
0
Diesen Kommentar herunterstufen
SPAGHETTI am 12.03.2012 um 22:08 Uhr
Das heisst bis jetzt können wir zusammenfassen das meine gravierendsen fehler vorallem der fehlende Eintrag deny ip any 192.168.150.0 0.0.0.255 und wohl die fehlende route ip route 192.168.150.0 255.255.255.0 FastEthernet4 war, nebst der natürlich grundlegend falsch Aufgebauten VPN Verschlüsselungscommands.

Routing Tabelle
f14b2a070e78d2a552d00b2a6e65ec0b.jpg

Access Lists
bb545e3481093f85cc0817076ffc7673.jpg

Tracert LAN
321779b621e47c4525ffaa8c3337a540.png


Hier der Traceroute. offenbar weiss das int fas eth nichts damit anzufangen..
e84f6d685633916401db15898ee20d06.png

Wenn ich ein Split Tunnel aufbauen würde, so könnte der VPN lokal Surfen. Dies ist aber aus sicherheitgründen nicht empfohlen, wäre aber eine lösung... oder was meinst du?
Ich brauche den VPN Tunnel haupsächlich um von extern, über ein VPN Client beim heruntefahren, ein paar Daten zu sichern. Somit wird beim herunterfahren eine VPN Verbindung hergestellt anschliessend ein Netzlaufwerk vom hauptstandort gemappt und wieder anschliessend mit Robcopy ca. max. 100MB inkrementell gesicht. tönt doch gut. oder?
Mitglied: Dani
Diesen Kommentar heraufstufen
0
Diesen Kommentar herunterstufen
Dani am 12.03.2012 um 22:20 Uhr
Äh... wo sind die Screenshots von der Routingtabelle und sh ip access-list hingekommen? Seh beide nicht mehr.
Mach bitte noch einen Screenshot bei einem Tracert zu einem LAN Gerät (Bitte nicht eine Router IP-Adresse nehmen.
Mitglied: SPAGHETTI
Diesen Kommentar heraufstufen
0
Diesen Kommentar herunterstufen
SPAGHETTI am 12.03.2012 um 22:46 Uhr
Hab sie zufällig gelöscht. Sind nun wieder im oberen Post gepostet worden.
DANKE
Mitglied: SPAGHETTI
Diesen Kommentar heraufstufen
0
Diesen Kommentar herunterstufen
SPAGHETTI am 12.03.2012 um 23:31 Uhr
Jetzt verstehe ich langsam was mich ca. 15 Stunden lang beschäftigt hat.
Ich (Trottel) habe dieselbe Access-List für das Overloading und das VLAN 100 gebraucht. Dadurch gab es ein riesen durcheinander beim Router Natting was wahrscheinlich auch die richtige Konfiguration anschliessend beinflusst hat.
Mitglied: SPAGHETTI
Diesen Kommentar heraufstufen
0
Diesen Kommentar herunterstufen
SPAGHETTI am 13.03.2012 um 09:25 Uhr
Oke
Wenn ich bei jener Access-list, die mit dem Overloading verbunden ist, die ACLs Einträge mit am schluss log mache(permit ip any any LOG), dann funktioniert das Internet nicht. Ich dachte immer der log paramter dient dazu, dass man beim terminal monitor sieht, welchen Traffic mit dieser Access-list passiert.

Gruess
Mitglied: Dani
Diesen Kommentar heraufstufen
0
Diesen Kommentar herunterstufen
Dani am 13.03.2012 um 17:03 Uhr
Moin,
Ich (Trottel) habe dieselbe Access-List für das Overloading und das VLAN 100 gebraucht. Dadurch gab es ein riesen durcheinander beim Router Natting was wahrscheinlich auch die richtige Konfiguration anschliessend beinflusst hat.
Hat mit Routing / NAT nichts zu tun. Die ACL hat eben den Zugriff verwehrt, da du jeweils eine IN ACL benutzt.

Wenn ich bei jener Access-list, die mit dem Overloading verbunden ist, die ACLs Einträge mit am schluss log mache(permit ip any any LOG), dann funktioniert das Internet nicht.
Bitte lass bei allen ACLs das "log" weg und poste nochmal die Config.

Es riecht nach einem NAT Problem... face-smile
Mitglied: SPAGHETTI
Diesen Kommentar heraufstufen
0
Diesen Kommentar herunterstufen
SPAGHETTI am 13.03.2012 um 21:17 Uhr
Der Wahnsinn Pure!
Jetzt klappt.
VPN--> LAN
VPN --> DMZ
VPN --> Internet
Keine komische NAT Adresse oder sonst etwas. Es klappt wirklich...

Der Fehler......
Sobald ich das LOG in der Access-list, welche auf das Loopback 0 greift lösche, dann klappt das Internet vom VPN ins Internet. also die Access-list 144 ohne LOG Option....
Kannst das wirklich das Problem gewesen sein? Ich informier mich mal was die log Option bedeutet....
Auf jeden Fall bedanke ich mich bei dir, dass du mit mir das durchgestanden hast...
Alles Gute und viel Erfolg!
Mitglied: Dani
Diesen Kommentar heraufstufen
0
Diesen Kommentar herunterstufen
Dani am 13.03.2012 um 21:22 Uhr
Kann ich mir so auch nicht erklären, allerdings habe ich noch nie log benutzt. face-smile
Freut mich...
Mitglied: SPAGHETTI
Diesen Kommentar heraufstufen
0
Diesen Kommentar herunterstufen
SPAGHETTI am 14.03.2012 um 19:10 Uhr
Beschreibung LOG Option:

Logging-enabled access control lists (ACLs) provide insight into traffic as it traverses the network or is dropped by network devices. Unfortunately, ACL logging can be CPU intensive and can negatively affect other functions of the network device. There are two primary factors that contribute to the CPU load increase from ACL logging: process switching of packets that match log-enabled access control entries (ACEs) and the generation and transmission of log messages. Using the configuration commands detailed in this document, administrators can strike a balance between traffic visibility and the corresponding impact on device CPU load.

http://www.cisco.com/web/about/security/intelligence/acl-logging.html
mehr ...Ähnliche Inhalte
81001 Mitglieder 434 OnlineRelease: 3.7 (20130517-01) Load: 0.0945© 2013 Administrator Technology