6
Cisco 837 und Windows 2008 Server - VPN Verbindung
Hallo
Bekomme beim VPN ZUgriff über das Internet immer folgende Fehlermeldung: Fehler 721
Die Aussgangssituation ist:
Windows 2008 Server
IP: 192.168.0.1
VPN wurde eingerichtet
Cisco 837
IP: 192.168.0.254
Problem:
Die Verbindung wird aufgebaut, Benutzername un Kennwort werden verifiziert danach kommt die Fehlermeldung.
Habe zu test im lokalen LAN eine VPN Verbindung zum Server aufbauen können.
Meiner Meinung liegt es am Cisco Router.
Das Port 1723 habe ich im Cisco geöffnet.
Bitte um Unterstützung.
Bekomme beim VPN ZUgriff über das Internet immer folgende Fehlermeldung: Fehler 721
Die Aussgangssituation ist:
Windows 2008 Server
IP: 192.168.0.1
VPN wurde eingerichtet
Cisco 837
IP: 192.168.0.254
Problem:
Die Verbindung wird aufgebaut, Benutzername un Kennwort werden verifiziert danach kommt die Fehlermeldung.
Habe zu test im lokalen LAN eine VPN Verbindung zum Server aufbauen können.
Meiner Meinung liegt es am Cisco Router.
Das Port 1723 habe ich im Cisco geöffnet.
Bitte um Unterstützung.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 144701
Url: https://administrator.de/contentid/144701
Printed on: April 16, 2024 at 13:04 o'clock
6 Comments
Latest comment
PPTP braucht nicht nur Port-Forwarding für tcp/1723 sondern auch für das GRE-Protokoll!
Danke für die Antwort. Da ich mehr im Serverbereich tätig bin, bin ich mit Cisco nicht so vetraut.
Kann mir bitte wer helfen welche Befehle ich eintragen muss betreffend GRE.
Nachstehend meine Konfig:
!
version 12.3
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname cisco
!
boot-start-marker
boot-end-marker
!
enable secret 5 test
!
no aaa new-model
ip subnet-zero
!
!
!
!
no ip domain lookup
ip name-server 195.3.96.67
ip ips po max-events 100
no ftp-server write-enable
!
!
!
!
!
!
!
interface Loopback1
no ip address
!
interface Ethernet0
ip address 192.168.0.254 255.255.255.0
ip nat inside
ip virtual-reassembly
no cdp enable
hold-queue 100 out
!
interface ATM0
description - ADSL Verbindung
no ip address
load-interval 30
no atm ilmi-keepalive
dsl operating-mode auto
pvc 0/16 ilmi
!
!
interface ATM0.848 point-to-point
pvc 8/48
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
!
interface FastEthernet1
no ip address
duplex auto
speed auto
!
interface FastEthernet2
no ip address
duplex auto
speed auto
!
interface FastEthernet3
no ip address
duplex auto
speed auto
!
interface FastEthernet4
no ip address
duplex auto
speed auto
!
interface Dialer1
ip address negotiated
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap callin
ppp chap hostname user
ppp chap password 7 paaword
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
!
no ip http server
no ip http secure-server
ip nat inside source list 1 interface Dialer1 overload
ip nat inside source static tcp 192.168.0.1 987 interface Dialer1 987
ip nat inside source static tcp 192.168.0.1 80 interface Dialer1 80
ip nat inside source static tcp 192.168.0.1 1723 interface Dialer1 1723
ip nat inside source static tcp 192.168.0.1 25 interface Dialer1 25
ip nat inside source static tcp 192.168.0.1 3389 interface Dialer1 3389
ip nat inside source static tcp 192.168.0.1 443 interface Dialer1 443
ip nat inside source static tcp 192.168.0.2 50168 interface Dialer1 50168
ip nat inside source static udp 192.168.0.2 43551 interface Dialer1 43551
ip nat inside source static tcp 192.168.0.4 5900 interface Dialer1 5900
!
!
access-list 1 permit 192.168.0.8
access-list 1 permit 192.168.0.9
access-list 1 permit 192.168.0.10
access-list 1 permit 192.168.0.1
access-list 1 permit 192.168.0.2
access-list 1 permit 192.168.0.4
access-list 1 permit 192.168.0.5
access-list 1 permit 192.168.0.6
access-list 1 permit 192.168.0.7
access-list 1 permit 192.168.0.253
access-list 102 permit tcp any host 192.168.0.2 eq 5900
access-list 102 permit tcp any host 192.168.0.4 eq 5900
dialer-list 1 protocol ip permit
snmp-server location xxxxxxxxx
snmp-server contact Tel.: xxxxxxxxx
snmp-server enable traps tty
no cdp run
!
control-plane
!
!
line con 0
password 7 password
login
no modem enable
transport preferred all
transport output all
stopbits 1
line aux 0
transport preferred all
transport output all
line vty 0 4
access-class 2 in
password 7 password
login
transport preferred all
transport input all
transport output all
!
scheduler max-task-time 5000
end
Kann mir bitte wer helfen welche Befehle ich eintragen muss betreffend GRE.
Nachstehend meine Konfig:
!
version 12.3
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname cisco
!
boot-start-marker
boot-end-marker
!
enable secret 5 test
!
no aaa new-model
ip subnet-zero
!
!
!
!
no ip domain lookup
ip name-server 195.3.96.67
ip ips po max-events 100
no ftp-server write-enable
!
!
!
!
!
!
!
interface Loopback1
no ip address
!
interface Ethernet0
ip address 192.168.0.254 255.255.255.0
ip nat inside
ip virtual-reassembly
no cdp enable
hold-queue 100 out
!
interface ATM0
description - ADSL Verbindung
no ip address
load-interval 30
no atm ilmi-keepalive
dsl operating-mode auto
pvc 0/16 ilmi
!
!
interface ATM0.848 point-to-point
pvc 8/48
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
!
interface FastEthernet1
no ip address
duplex auto
speed auto
!
interface FastEthernet2
no ip address
duplex auto
speed auto
!
interface FastEthernet3
no ip address
duplex auto
speed auto
!
interface FastEthernet4
no ip address
duplex auto
speed auto
!
interface Dialer1
ip address negotiated
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap callin
ppp chap hostname user
ppp chap password 7 paaword
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
!
no ip http server
no ip http secure-server
ip nat inside source list 1 interface Dialer1 overload
ip nat inside source static tcp 192.168.0.1 987 interface Dialer1 987
ip nat inside source static tcp 192.168.0.1 80 interface Dialer1 80
ip nat inside source static tcp 192.168.0.1 1723 interface Dialer1 1723
ip nat inside source static tcp 192.168.0.1 25 interface Dialer1 25
ip nat inside source static tcp 192.168.0.1 3389 interface Dialer1 3389
ip nat inside source static tcp 192.168.0.1 443 interface Dialer1 443
ip nat inside source static tcp 192.168.0.2 50168 interface Dialer1 50168
ip nat inside source static udp 192.168.0.2 43551 interface Dialer1 43551
ip nat inside source static tcp 192.168.0.4 5900 interface Dialer1 5900
!
!
access-list 1 permit 192.168.0.8
access-list 1 permit 192.168.0.9
access-list 1 permit 192.168.0.10
access-list 1 permit 192.168.0.1
access-list 1 permit 192.168.0.2
access-list 1 permit 192.168.0.4
access-list 1 permit 192.168.0.5
access-list 1 permit 192.168.0.6
access-list 1 permit 192.168.0.7
access-list 1 permit 192.168.0.253
access-list 102 permit tcp any host 192.168.0.2 eq 5900
access-list 102 permit tcp any host 192.168.0.4 eq 5900
dialer-list 1 protocol ip permit
snmp-server location xxxxxxxxx
snmp-server contact Tel.: xxxxxxxxx
snmp-server enable traps tty
no cdp run
!
control-plane
!
!
line con 0
password 7 password
login
no modem enable
transport preferred all
transport output all
stopbits 1
line aux 0
transport preferred all
transport output all
line vty 0 4
access-class 2 in
password 7 password
login
transport preferred all
transport input all
transport output all
!
scheduler max-task-time 5000
end
Dein Fehler ist das du KEIN GRE forwardest auf den Server. PPTP VPNs bestehen immer aus 2 Protokollen aus TCP 1723 für das Password und Encryption handling und GRE (Generic Route Encapsulation) das die Produktivdaten tunnelt.
GRE forwardest du aber gerade NICHT wie du oben an deiner Konfig sehen kannst, daher kommt dein PPTP VPN Tunnel gar nicht zustande.
GRE hat kein Port Konzept wie TCP oder UDP deshalb supportet das Cisco IOS auch kein solches für GRE Forwarding.
Deine einzige Chance ist also alles zu forwarden mit dem folgenden Eintrag:
ip nat inside source static 192.168.0.1 interface dialer 1
Damit sind dann deine ip nat static tcp... statements alle obsolet und du musst nun zwingend mit inbound Accesslisten arbeiten am Dialer 1 Interface um den Server abzusichern !!!
In diesen ACL darfst du nur das ducrchlassen was du auf dem Server haben willst (Ports 987, 80 443 usw. außerdem GRE und TCP 1723)
Es ist so oder so vollkommen fraglich warum du z.B. HTTP, HTTPS u.a. auf den Server forwardest wenn du eine VPN Verbindung dahin hast.
Das ist eigentlich völliger Blödsinn, denn wenn die VPN Verbindung steht kannst du alle anderen protokolle so oder so nutzen. Das ist ja eigentlich genau der Sinn von VPNs und das Löcher bohren in die Firewall wie du es machst will man damit ja genau verhindern !!
In der Bezihung widersprechen sich deine Konfig Ansätze total und lassen die Vermutung aufbkommen, das du eigentlich gar nicht weisst was du da machst und im Blindflug fliegst....
Das zeigt auch so ein bischen dein Router Konfig Ansatz, denn der birgt 2 Kardinalsfehler:
1.) Konfiguriert man PAT mit einer IOS Firewall Konfig und einer Positiv Liste für die ACL
2.) Terminiert man den VPN PPTP Tunnel auf dem Router (Der Cisco supportet sowas) statt auf dem Server hinter der NAT Firewall !!!
Eine PAT Konfig mit FW Funktion sieht so aus:
interface Dialer1
description Dialin T-Online DSL
ip address negotiated
ip access-group 111 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip nat outside
ip inspect myfw out
encapsulation ppp
dialer pool 1
dialer idle-timeout 600
no keepalive
no cdp enable
ppp authentication pap callin
ppp pap sent-username 001234567896543212680001@t-online.de password Geheim
ppp ipcp dns request
ppp ipcp mask request
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any any eq 1723
access-list 111 permit gre any any
access-list 111 deny ip any any log
Das erlaubt dir Pingen und PPTP Verbindungen durch die Firewall am Dialer 1
Eine PPTP Dialin Konfiguration auf dem Router sieht so aus:
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
!
interface Virtual-Template1
description PPTP Dialin Interface fuer VPN Zugang
ip unnumbered Ethernet0
no keepalive
peer default ip address pool pptp_dialin
ppp encrypt mppe auto
ppp authentication pap chap ms-chap
!
ip local pool pptp_dialin 192.168.0.240 192.168.0.250
Da der Router am Dialer1 Interface immer die IP hält für den VPN Zugriff ist es sinnvoll (sofern du keine feste IP Adresse vom Provider hast !!) dort einen DynDNS Account einzurichten !
http://www.nwlab.net/tutorials/dsl-server/
Die dazu korrespondierende Router Konfig auf dem Cisco sieht dann so aus:
ip ddns update method dyndns
HTTP add http://<username>:<pw>:@members.dyndns.org/nic/update?system=dyndns&hostname=<h>&myip=<a>
interval maximum 1 0 0 0
!
Funktionierende entsprechende Konfigs findest du hier:
Vernetzung zweier Standorte mit Cisco 876 Router
GRE forwardest du aber gerade NICHT wie du oben an deiner Konfig sehen kannst, daher kommt dein PPTP VPN Tunnel gar nicht zustande.
GRE hat kein Port Konzept wie TCP oder UDP deshalb supportet das Cisco IOS auch kein solches für GRE Forwarding.
Deine einzige Chance ist also alles zu forwarden mit dem folgenden Eintrag:
ip nat inside source static 192.168.0.1 interface dialer 1
Damit sind dann deine ip nat static tcp... statements alle obsolet und du musst nun zwingend mit inbound Accesslisten arbeiten am Dialer 1 Interface um den Server abzusichern !!!
In diesen ACL darfst du nur das ducrchlassen was du auf dem Server haben willst (Ports 987, 80 443 usw. außerdem GRE und TCP 1723)
Es ist so oder so vollkommen fraglich warum du z.B. HTTP, HTTPS u.a. auf den Server forwardest wenn du eine VPN Verbindung dahin hast.
Das ist eigentlich völliger Blödsinn, denn wenn die VPN Verbindung steht kannst du alle anderen protokolle so oder so nutzen. Das ist ja eigentlich genau der Sinn von VPNs und das Löcher bohren in die Firewall wie du es machst will man damit ja genau verhindern !!
In der Bezihung widersprechen sich deine Konfig Ansätze total und lassen die Vermutung aufbkommen, das du eigentlich gar nicht weisst was du da machst und im Blindflug fliegst....
Das zeigt auch so ein bischen dein Router Konfig Ansatz, denn der birgt 2 Kardinalsfehler:
1.) Konfiguriert man PAT mit einer IOS Firewall Konfig und einer Positiv Liste für die ACL
2.) Terminiert man den VPN PPTP Tunnel auf dem Router (Der Cisco supportet sowas) statt auf dem Server hinter der NAT Firewall !!!
Eine PAT Konfig mit FW Funktion sieht so aus:
interface Dialer1
description Dialin T-Online DSL
ip address negotiated
ip access-group 111 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip nat outside
ip inspect myfw out
encapsulation ppp
dialer pool 1
dialer idle-timeout 600
no keepalive
no cdp enable
ppp authentication pap callin
ppp pap sent-username 001234567896543212680001@t-online.de password Geheim
ppp ipcp dns request
ppp ipcp mask request
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any any eq 1723
access-list 111 permit gre any any
access-list 111 deny ip any any log
Das erlaubt dir Pingen und PPTP Verbindungen durch die Firewall am Dialer 1
Eine PPTP Dialin Konfiguration auf dem Router sieht so aus:
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
!
interface Virtual-Template1
description PPTP Dialin Interface fuer VPN Zugang
ip unnumbered Ethernet0
no keepalive
peer default ip address pool pptp_dialin
ppp encrypt mppe auto
ppp authentication pap chap ms-chap
!
ip local pool pptp_dialin 192.168.0.240 192.168.0.250
Da der Router am Dialer1 Interface immer die IP hält für den VPN Zugriff ist es sinnvoll (sofern du keine feste IP Adresse vom Provider hast !!) dort einen DynDNS Account einzurichten !
http://www.nwlab.net/tutorials/dsl-server/
Die dazu korrespondierende Router Konfig auf dem Cisco sieht dann so aus:
ip ddns update method dyndns
HTTP add http://<username>:<pw>:@members.dyndns.org/nic/update?system=dyndns&hostname=<h>&myip=<a>
interval maximum 1 0 0 0
!
Funktionierende entsprechende Konfigs findest du hier:
Vernetzung zweier Standorte mit Cisco 876 Router
Vielen Dank für die Unterstützung, werde es heute Abend testen und gebe Feedback.
Erstmals vielen Dank für die ausführliche Anleitung.
Leider erkennt mein Router den Befehl ip ddns update method dyndns nicht.
Frage: Ist es möglich die VPN Authentifizierung am 837 zu abzuwicklen ?
Du hast recht dann müsste ich die ganzen Ports nicht extra durchschalten.
Der Zugriff auf das Webmail sollte aber über https gegeben sein.
Vielen Dank für Deine Unterstützung noch.
Leider erkennt mein Router den Befehl ip ddns update method dyndns nicht.
Frage: Ist es möglich die VPN Authentifizierung am 837 zu abzuwicklen ?
Du hast recht dann müsste ich die ganzen Ports nicht extra durchschalten.
Der Zugriff auf das Webmail sollte aber über https gegeben sein.
Vielen Dank für Deine Unterstützung noch.