VPN auf einem Cisco Router einrichten... Immer noch kein Erfolg

VPN Tunnel und RDP Zugang mit Cisco 876-SEC-I-K9

Hallo,
ich bin beauftragt worden ein Cisco 876 bei einer Firma zu installieren.
Mein Problem ist - ich bin kein Administrator und habe nur soviel Ahnung von der Materia, die ich im Inet finden konnte.
Ich habe zwar, mehrere Anleitungen auf der Cisco Seite gefunden, kann aber nicht abschätzen, was ich von alldem wirklich brauche.

Die Situation:

1. Ein Netzwerk mit w2k8 Server(DC, DNS, DHCP)
2. Alle Rechner haben eine feste IP Adresse (Software Voraussetzung)
3. Internet Zugang über Cisco Router 876-SEC-I-K9
4. Firma hat keine feste öffentliche IP. es wurde ein dyndns Account eingerichtet - funktioniert (ping)

Aufgabe:
1. RDP Zugang auf den Server und auf einen anderen Rechner im LAN zu ermöglichen
2. VPN Tunnel aufzubauen, damit die Mitarbeiter sich von Zuhause aus in Netz einlogen können.

Bis jetzt habe ich geschaft die Internetverbindung einzurichten.
Es wurden keine weitere Einstellungen vorgenommen.
Da wir keinen Smart-net Vertrag haben, weigert sich Cisco uns i.welchen technischen Support zu gewähren.
Das Gerät wurde mit SDM 2.4 ausgeliefert.

Auf der Cisco Seite habe ich folgende Dokumente gefunden:

Zu Aufgabe 1: http://www.cisco.com/en/US/products/sw/secursw/ps5318/products_configur ...

Zu Aufgabe 2: http://www.cisco.com/en/US/products/sw/secursw/ps5318/products_configur ...

Reicht es um die o.g. Probleme zu lösen, oder muss ich zusätzlich oder was danz anderes machen?
Da ich wie gesagt keine Erfahrung mit Cisco habe, würde ich nur ungern iwas in der Konsole programmieren, sondern am liebsten einfach nach diesen Screenshots step by step die Oberfläche einstellen.
Leider gehen diese Anleitungen nicht auf das Model ein, das wir haben.
Darüber hinaus habe ich nicht gefunden, wie ich mit der dynamischen IP Adresse(von dyndns umgehen soll)

Ein weiteres Problem ist, das ich keine Möglichkeit habe den Cisco VPN Cleient herunterzuladen.
Würde an dieser Stelle standard Windows Lösung bzw. iwelche Freeware Software funktionieren?

Über jede Hilfe würde ich mich sehr freuen und
bedanke mich im Voraus

Spatz75

Please also mark the comments that contributed to the solution of the article

Content-Key: 97189

Url: https://administrator.de/contentid/97189

Printed on: April 25, 2024 at 11:04 o'clock

7 Comments

Latest comment

Das wichtigste hast du leider nicht geschrieben nämlich WELCHES der zahlreichen VPN Protokolle du denn auf dem Cisco betreiben willst

Hier findest du eine laufende Konfig:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV

Nun artet das hier leider mal wieder in wilde Raterei aus...

Raten wir für einen ersten Schrotschuss mal das du ggf. das PPTP Protokoll für dein VPN benutzen willst, was Windows, Mac-OSX, Linux und diverse PDAs von sich aus mit an Bord haben und wo du keine zusätzliche VPN Client SW benötigst.

Dann sähe eine Konfiguration auf deinem Router so aus:

vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
 accept-dialin
  protocol pptp
  virtual-template 1
!
username VPNuser password GeHeim
!
interface Ethernet0
 description Lokales Ethernet
 ip address 172.16.1.254 255.255.255.0
!
interface Virtual-Template1
 description PPTP Dialin Interface fuer VPN Zugang
 ip unnumbered Ethernet0
 no keepalive
 peer default ip address pool pptp_dialin
 ppp encrypt mppe auto
 ppp authentication pap chap ms-chap
!
ip local pool pptp_dialin 172.16.1.200 172.16.1.210

Du solltest dringend darauf achten, das der PPTP IP Adresspool den die VPN Clients bekommen bei der Einwahl (172.16.1.200 bis 172.16.1.210) nicht mit einem lokalen DHCP Server oder anderen statisch vergebenen IP Adressen kollidieren im IP Netz an Eth0 !!!

Ansonsten kannst du das Beispiel so abtippen, musst aber ggf. auf deine eigene IP Adressen achten und das ggf. anpassen.

Den VPN Client richtest du unter XP analog so ein wie hier im Abschnitt "Einrichtung des Clients" beschrieben:
http://www.wintotal.de/Artikel/vpnxp/vpnxp.php

Unter MacOSX bzw. Linux geht das analog so...
http://www.vpn.fh-trier.de/howto/index.phtml?BACK=&RFTLOOK=&BOO ...

Damit der Cisco DynDNS fähig wird fügst du folgendes Konfig Kommando hinzu:

!
ip ddns update method dyndns
 HTTP
 add http://<username>:<pw>:@members.dyndns.org/nic/update?system=dyndns&hostname=<h>&myip=<a>
 interval maximum 1 0 0 0
!

Username und Password musst du mit dem deines DynDNS Accounts natürlich ersetzen

Erstmal vielen Dank.

1. da die Art des VPN Tunnels nicht definiert wurde, werde ich wohl dieses PPTP Protokoll nutzen.
2. Ich habe ein Buch hier liegen, indem ich hoffentlich finde, wo und wie ich diese Codezeilen eintragen kann. Bis jetzt habe ich wie gesagt nur mit CDM gearbeitet.
3. Spielt es eine Rolle an welcher Stelle des Skriptes der neue Code eingetragen wird?
4. was ist mit Remotezugriff, kann ich die NAT Konfiguartion so machen wie unter 1. Link steht.

Noch mal Danke

Spatz75

Mmmhhh, wenn das nicht definiert wurde kann das aber auch noch IPsec(ESP) oder z.B. L2TP sein... ?? Woher willst du denn wissen was du machen sollst ??? Ziemlich blauäugiger Ansatz... aber egal. Da solltest du besser mal nachfragen damit du nicht völlig umsonst konfigurierst, denn eine PPTP Konfig ist natürlich logischerweise für IPsec völlig unbrauchbar.
Der Cisco supportet alle VPN Protokolle mit entsprechender Konfig !

Den Router konfigurierst du so:

Den Router telnetten mit PUTTY oder TERATERM oder dem Winblows eigenen telnet, dann
ena
conf t

..und dann fröhlich die Zeilen eintippen. Mit ctrl z kommst du aus dem Konfig Modus wieder raus und show run zeigt dir die aktuelle Konfig an. (Kannst du so auch sichern !)
Ein ? hilft dir immer weiter bei der Syntax und ein <TAB> komplettiert die Kommandos automatisch.
Am Schluss wr nicht vergessen um die Konfig zu sichern !!!

Eine NAT Konfig mit einem DSL Beispiel sieht so aus:

interface Ethernet1
 description DSL Modem Anschluss
 no ip address
 duplex auto
 pppoe enable group global
 pppoe-client dial-pool-number 1
 no cdp enable
!
interface Dialer0
 description DSL Einwahl mit DynDNS 
 ip ddns update hostname <dyndns hostname>
 ip ddns update dyndns
 ip address negotiated
 ip mtu 1492
 ip nat outside
 encapsulation ppp
 dialer pool 1
 dialer idle-timeout 0
 dialer persistent
 no fair-queue
 no cdp enable
 ppp authentication chap callin
 ppp chap password Geheim
 ppp chap hostname <dein user account>
 ppp ipcp dns request
 ppp ipcp mask request
!
ip route 0.0.0.0 0.0.0.0 Dialer0 permanent
no ip http server
!
ip dns server
ip nat inside source list 1 interface Dialer0 overload
!
access-list 1 permit 172.16.1.0 0.0.0.255
!
no cdp run
!

So, nun musst du nur noch abtippen !!

ok
ich fahre jetzt hin und hoffe das beste
vielen dank

Wenns das war bitte
How can I mark a post as solved?
nicht vergessen !

Tja, die VPN Einrichtung hat leider nicht geklappt.
Ich habe unerwartet Telefonsupport von einem Cisco Techniker bekommmen, der 4 Stundenlang versucht hat einen VPN Tunnel aufzubauen - ohne Erfolg.

Hier ist ein Skript, das vorgeschlagen und eingetragen wurde:

aaa new-model
aaa authentication login userauthen local
aaa authorization network groupauthor local
aaa session-id common
crypto isakmp policy 3
encr 3des
authentication pre-share
group 2
crypto isakmp client configuration group EZVPN_GROUP_1 <------- ist die Group für den VPN Client
key !!!!VPNPASS!!!!! <-------- ist das Passwort für die Gruppe
dns !!!!bitte DNS eintragen!!!!
domain !!!!bitteDoamaineintragen!!!!
pool vpn_clients
crypto ipsec transform-set myset esp-3des esp-md5-hmac
crypto dynamic-map dynmap 10
set transform-set myset
crypto map clientmap client authentication list userauthen
crypto map clientmap isakmp authorization list groupauthor
crypto map clientmap client configuration address respond
crypto map clientmap 10 ipsec-isakmp dynamic dynmap
!
ip local pool vpn_clients 192.168.100.1 192.168.100.254 <----- dhcp server für das vpn netzwerk
ip route 0.0.0.0 0.0.0.0 !!DAILER...!!!!
interface atm 0
crypto map clientmap
username test password test <-------- so wird ein user Angelegt.

Komischerweise war der VPN Server Test im Cisco erfolgreich
Die Clients (weder Windows standard noch Cosco VPN Client ver. 5) konnten den Server erreichen.

Könnten mir jemand helfen und sagen wie ich den Fehler im Skript / Netzwerk / Verkabelung usw. aufspühren könnte?
Gibt es iwelche Tools die die Verbindung von Client Seite testen und aussagekräftige Meldungen geben.
Oder soll ich den ###teil einfach in die Tonne werfen und mit Windows VPN Server (Software) probieren?

MfG
Spatz75

Jetzt würfelst du alles durcheinander !!

Der Cisco Heini hat dir eine IPsec Konfiguration verpasst.
Hast du ihm etwa nicht gesagt das du wie du oben ja selber schreibst:
"1. da die Art des VPN Tunnels nicht definiert wurde, werde ich wohl dieses PPTP Protokoll nutzen..."
machen willst ???
Wenn du ihm nicht präzise sagst was du willst erzählt er dir natürlich irgendwas und das Chaos ist komplett wie jetzt !!!

Du musst dich jetzt endlich mal entscheiden WAS für ein VPN Protokoll du denn nun umsetzen willst ???

IPsec ist nicht PPTP und umgekehrt. Ein IPsec Client musst du separat installieren bzw. erwerben oder was die Cisco Jungs wollen das du natürlich teuer deren VPN Client kaufst, deshalb hat er dir ja auch die IPsec Konfig angedreht !! Da ist Cisco etwas cleverer als du scheinbar

Damit kannst du aber keine Windows VPN Session auf dem Router terminieren mit dem Windows und Mac OS-X bordeigenen VPN Client, das ist klar, denn der spricht ausnahmslos PPTP und eben kein IPsec !!
Ein Italiener und ein Franzose können sich ja auch nicht jeweils in ihrer Mutersprache miteinander unterhalten, oder ???
Wenn du beises willst benötigst du auch BEIDE Konfigs auf dem System, das ist logisch !

Also entscheide erstmal was du genau willst, dann machen wir hier weiter !!!
Bzw. bei PPTP gilt das Konfigbeispiel von oben !

German solved Question Routers, Routing Networks

Hotly discussed

Check of ZFW Firewallgleixnerd - 5 Comments

Wireguard VPN on UDM Pro behind Fritzbox - Handshake did not completejstricker - 3 Comments