7
Problem mit Cisco EasyVPN
Hallo,
ein Cisco 3600 soll den Remote-Zugang ermöglichen, dazu habe ich selbigen mittels SDM konfiguriert.
192.168.123.254 ist der Default-Gateway des Netzes, auf welches mittels VPN zugegriffen werden soll.
Der Cisco ist direkt mit dem Providerrouter verbunden, parallel dazu der Defaultgateway (auf den ich keinen Zugriff habe).
Der Tunnel ansich funktioniert, ich kann auch das LAN-Interface des Routers pingen, aber nichts dahinter.
Schalte ich ICMP Debugging am Router an und pinge ein Gerät im LAN, kommt die Meldung "ICMP: dst (192.168.123.15) port unreachable sent to 192.168.123.252". Woher der auch immer die .252 nimmt...
Direkt am Router kann ich Geräte im LAN problemlos anpingen.
Hier mal die Konfiguration:
hostname vpn
!
boot-start-marker
boot system flash c3620.bin
boot-end-marker
!
no logging buffered
enable [del]
enable password [del]
!
clock timezone Berlin 1
clock summer-time Berlin date Mar 30 2003 2:00 Oct 26 2003 3:00
aaa new-model
!
!
aaa authentication login default local
aaa authentication login sdm_vpn_xauth_ml_1 local
aaa authorization exec default local
aaa authorization network sdm_vpn_group_ml_1 local
aaa session-id common
ip subnet-zero
!
!
ip cef
!
ip audit po max-events 100
!
username [deleted]
!
!
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp xauth timeout 15
!
crypto isakmp client configuration group Allgemein
key [del]
dns 192.168.123.10 195.3.96.67
wins 192.168.123.10
domain ddh12-p3.local
pool SDM_POOL_2
acl 100
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
!
crypto dynamic-map SDM_DYNMAP_1 1
set security-association idle-time 1800
set transform-set ESP-3DES-SHA
reverse-route
!
!
crypto map SDM_CMAP_1 client authentication list sdm_vpn_xauth_ml_1
crypto map SDM_CMAP_1 isakmp authorization list sdm_vpn_group_ml_1
crypto map SDM_CMAP_1 client configuration address respond
crypto map SDM_CMAP_1 65535 ipsec-isakmp dynamic SDM_DYNMAP_1
!
!
interface Ethernet0/0
ip address 192.168.123.15 255.255.255.0
half-duplex
!
interface Ethernet1/0
description Lokales LAN
ip address 93.83.219.244 255.255.255.248
half-duplex
no cdp enable
crypto map SDM_CMAP_1
!
interface Serial1/0
no ip address
shutdown
!
ip local pool SDM_POOL_2 10.168.123.100 10.168.123.120
ip default-gateway 192.168.123.254
no ip http server
no ip http secure-server
no ip classless
ip route 0.0.0.0 0.0.0.0 93.83.219.241
!
!
access-list 100 remark SDM_ACL Category=4
access-list 100 permit ip 192.168.123.0 0.0.0.255 any
access-list 100 permit ip 10.0.0.0 0.0.0.255 any
Ich hoffe jemand hier hat ne gute Idee
Danke schon mal im Vorraus für die Hilfe.
ein Cisco 3600 soll den Remote-Zugang ermöglichen, dazu habe ich selbigen mittels SDM konfiguriert.
192.168.123.254 ist der Default-Gateway des Netzes, auf welches mittels VPN zugegriffen werden soll.
Der Cisco ist direkt mit dem Providerrouter verbunden, parallel dazu der Defaultgateway (auf den ich keinen Zugriff habe).
Der Tunnel ansich funktioniert, ich kann auch das LAN-Interface des Routers pingen, aber nichts dahinter.
Schalte ich ICMP Debugging am Router an und pinge ein Gerät im LAN, kommt die Meldung "ICMP: dst (192.168.123.15) port unreachable sent to 192.168.123.252". Woher der auch immer die .252 nimmt...
Direkt am Router kann ich Geräte im LAN problemlos anpingen.
Hier mal die Konfiguration:
hostname vpn
!
boot-start-marker
boot system flash c3620.bin
boot-end-marker
!
no logging buffered
enable [del]
enable password [del]
!
clock timezone Berlin 1
clock summer-time Berlin date Mar 30 2003 2:00 Oct 26 2003 3:00
aaa new-model
!
!
aaa authentication login default local
aaa authentication login sdm_vpn_xauth_ml_1 local
aaa authorization exec default local
aaa authorization network sdm_vpn_group_ml_1 local
aaa session-id common
ip subnet-zero
!
!
ip cef
!
ip audit po max-events 100
!
username [deleted]
!
!
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp xauth timeout 15
!
crypto isakmp client configuration group Allgemein
key [del]
dns 192.168.123.10 195.3.96.67
wins 192.168.123.10
domain ddh12-p3.local
pool SDM_POOL_2
acl 100
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
!
crypto dynamic-map SDM_DYNMAP_1 1
set security-association idle-time 1800
set transform-set ESP-3DES-SHA
reverse-route
!
!
crypto map SDM_CMAP_1 client authentication list sdm_vpn_xauth_ml_1
crypto map SDM_CMAP_1 isakmp authorization list sdm_vpn_group_ml_1
crypto map SDM_CMAP_1 client configuration address respond
crypto map SDM_CMAP_1 65535 ipsec-isakmp dynamic SDM_DYNMAP_1
!
!
interface Ethernet0/0
ip address 192.168.123.15 255.255.255.0
half-duplex
!
interface Ethernet1/0
description Lokales LAN
ip address 93.83.219.244 255.255.255.248
half-duplex
no cdp enable
crypto map SDM_CMAP_1
!
interface Serial1/0
no ip address
shutdown
!
ip local pool SDM_POOL_2 10.168.123.100 10.168.123.120
ip default-gateway 192.168.123.254
no ip http server
no ip http secure-server
no ip classless
ip route 0.0.0.0 0.0.0.0 93.83.219.241
!
!
access-list 100 remark SDM_ACL Category=4
access-list 100 permit ip 192.168.123.0 0.0.0.255 any
access-list 100 permit ip 10.0.0.0 0.0.0.255 any
Ich hoffe jemand hier hat ne gute Idee
Danke schon mal im Vorraus für die Hilfe.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 104928
Url: https://administrator.de/contentid/104928
Printed on: April 23, 2024 at 18:04 o'clock
7 Comments
Latest comment
Soll der remote Zugang stattfinden mit IPsec oder PPTP oder L2TP oder... als VPN Protokoll ??
PPTP ist das VPN Protokoll was die Standard VPN Clients benutzen, die Windows, MacOS-X, Linux und diverse PDAs von sich aus schon mit an Bord haben.
Ist das der Fall sollte die Konfig folgendermaßen aussehen:
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
!
interface Virtual-Template1
description PPTP Dialin Interface fuer VPN Zugang
ip unnumbered Ethernet0
no keepalive
peer default ip address pool pptp_dialin
ppp encrypt mppe auto
ppp authentication pap chap ms-chap
!
ip local pool pptp_dialin 172.32.1.245 172.32.1.250
!
interface Ethernet0
description Lokales Ethernet
ip address 172.32.1.254 255.255.255.0
!
Leider teilst du uns nicht dein zu verwendendes VPN Protokoll nicht mit so das man erstmal nur frei raten kann was an der Konfig falsch ist
Ansonsten hilft ggf. noch:
http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps663 ...
PPTP ist das VPN Protokoll was die Standard VPN Clients benutzen, die Windows, MacOS-X, Linux und diverse PDAs von sich aus schon mit an Bord haben.
Ist das der Fall sollte die Konfig folgendermaßen aussehen:
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
!
interface Virtual-Template1
description PPTP Dialin Interface fuer VPN Zugang
ip unnumbered Ethernet0
no keepalive
peer default ip address pool pptp_dialin
ppp encrypt mppe auto
ppp authentication pap chap ms-chap
!
ip local pool pptp_dialin 172.32.1.245 172.32.1.250
!
interface Ethernet0
description Lokales Ethernet
ip address 172.32.1.254 255.255.255.0
!
Leider teilst du uns nicht dein zu verwendendes VPN Protokoll nicht mit so das man erstmal nur frei raten kann was an der Konfig falsch ist
Ansonsten hilft ggf. noch:
http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps663 ...
Als Client wird der Cisco VPN Client verwendet, mit IPSec over UDP
OK, dann vergiss was oben mit PPTP steht.
Schalte einfach mal debug crypto ... ein und wähl dich ein.
Anhand der Debug Messages siehst du sofort wo der Fehler liegt !
(Debug nachher mit u all immer wieder ausschalten !)
Schalte einfach mal debug crypto ... ein und wähl dich ein.
Anhand der Debug Messages siehst du sofort wo der Fehler liegt !
(Debug nachher mit u all immer wieder ausschalten !)
Hm, verstehe ich da irgend etwas falsch?
Der Tunnel ansich wird ja korrekt aufgebaut, auch das LAN-Interface des Routers kann ich vom Client aus anpingen.
debug crypto liefert mir nur den Fehler "transform proposal not supported..." beim Verbindungsaufbau.
Aber hier mal der komplette Output (zwecks Übersichtlichkeit zum Download)
http://www.file-upload.net/download-1346207/log.txt.html
Der Tunnel ansich wird ja korrekt aufgebaut, auch das LAN-Interface des Routers kann ich vom Client aus anpingen.
debug crypto liefert mir nur den Fehler "transform proposal not supported..." beim Verbindungsaufbau.
Aber hier mal der komplette Output (zwecks Übersichtlichkeit zum Download)
http://www.file-upload.net/download-1346207/log.txt.html
Nein, wenn du das LAN Interface pingen kannst ist alles in Ordnung. Dann funktioniert dein VPN sauber und alles ist im grünen Bereich !! Dein Output sagt ja nix anderes !
Dein Router LAN Interface (vermutlich die 10.168.123.109 ??) ist ja schon dein lokales Netz !!
Wo ist denn nun dein Problem wenn das VPN sauber funktioniert ???
Dein Router LAN Interface (vermutlich die 10.168.123.109 ??) ist ja schon dein lokales Netz !!
Wo ist denn nun dein Problem wenn das VPN sauber funktioniert ???
Das Problem ist, dass ich NUR das LAN-Interface des Routers pingen kann, zu keinem Gerät hinter dem Router ist eine Verbindung möglich.
Dann hast du wohl auf diesem Gerät ein falsches Gateway eingetragen oder vergessen !
Was sollen auch deine unterschiedlichen default Gateways auf dem Router ??
ip default-gateway 192.168.123.254
ip route 0.0.0.0 0.0.0.0 93.83.219.241
Das ist eigentlich Unsinn da die default Gateways zu unterschiedlichen IPs zeigen !! Du solltest dich für ein Kommando entscheiden !!!
Was sollen auch deine unterschiedlichen default Gateways auf dem Router ??
ip default-gateway 192.168.123.254
ip route 0.0.0.0 0.0.0.0 93.83.219.241
Das ist eigentlich Unsinn da die default Gateways zu unterschiedlichen IPs zeigen !! Du solltest dich für ein Kommando entscheiden !!!
