herr-der-degen
Goto Top

Probleme mit Cisco 871 Easy VPN Server

Hallo Welt!

Ich habe folgendes Problem: Ich soll ein VPN Aufsetzen (Cisco Client 5.0 auf Cisco 871). Nun habe ich die Kiste auf Werkseinstellungen resetet und möchte testweise ohne Firewall und sonst einem Schnick-Schnack ein VPN aufsetzen. Das Dumme ist nur, die VPN-Verbindung steht (laut Router und Client) nur ich komme nicht ins Firmennetzwerk. Leider habe ich mein letztes VPN vor Jahren aufgesetzt und das auch nur als Test......Das Firmennetzerk ist das 192.168.1.0 ....Muss ich ein statisches Routing einstellen? Muss ich irgendwelche Adressen NATen? Ich muss ja auch auf dem Easy-VPN-Server einen Adresspool für die Clients angeben..die stehen gerade auf dem 192.168.3.0....Naja, auf jeden Fall ist der Easy-VPN-Server nicht so EASY....Hab jetzt einfach mal wild rumgeroutet und rumgenatet. Es hat doch sicher jemand einen Lösungsansatz.....


Hier mal die Konfig:

vpn1#sh conf
Using 3470 out of 131072 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname testvpn
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
enable secret 5 XXXXXXXXXXXXXX
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization exec default local
aaa authorization network sdm_vpn_group_ml_1 local
!
aaa session-id common
!
resource policy
!
ip subnet-zero
ip cef
!
!
no ip domain lookup
ip domain name einstest.de
!
!
crypto pki trustpoint TP-self-signed-479012268
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-479012268
revocation-check none
rsakeypair TP-self-signed-479012268
!
!
crypto pki certificate chain TP-self-signed-479012268
certificate self-signed 01 nvram:IOS-Self-Sig#3806.cer
username admin privilege 15 secret 5 XXXXXXXXXXXX
!
!
!!
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group EINSTEST
key XXXXXXX
pool SDM_POOL_1
netmask 255.255.255.0
crypto isakmp profile sdm-ike-profile-1
match identity group EINSTEST
isakmp authorization list sdm_vpn_group_ml_1
client configuration address respond
virtual-template 1
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
!
crypto ipsec profile SDM_Profile1
set transform-set ESP-3DES-SHA
set isakmp-profile sdm-ike-profile-1
!
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description $ES_WAN$
no ip address
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface Virtual-Template1 type tunnel
ip unnumbered Dialer0
tunnel mode ipsec ipv4
tunnel protection ipsec profile SDM_Profile1
!
interface Virtual-Template1 type tunnel
ip unnumbered Dialer0
tunnel mode ipsec ipv4
tunnel protection ipsec profile SDM_Profile1
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$
ip address 192.168.1.5 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1412
!
interface Dialer0
ip address negotiated
ip mtu 1452
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication chap pap callin
ppp chap hostname XXXXXXXXXXXXXXXXXXXXXXXXX
ppp chap password XXXXXXXXXXX
ppp pap sent-username XXXXXXXXXXXXXXX password XXXXXXXXXX
7
!
ip local pool SDM_POOL_1 192.168.3.2 192.168.3.20
ip local pool SDM_POOL_2 192.168.1.40 192.168.1.50
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
ip route 192.168.3.0 255.255.255.0 Vlan1
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat pool TEST 192.168.3.1 192.168.3.40 netmask 255.255.255.0
ip nat pool test2 192.168.1.0 192.168.1.40 netmask 255.255.255.0
ip nat pool tzest3 192.168.1.40 192.168.1.50 netmask 255.255.255.0
ip nat inside source list 1 interface Dialer0 overload
ip nat outside source list test pool tzest3
!
ip access-list extended test
remark SDM_ACL Category=2
permit ip any any
!
access-list 1 remark INSIDE_IF=Vlan1
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 192.168.1.0 0.0.0.255
dialer-list 1 protocol ip permit
no cdp run
!
control-plane
!
banner login ^CAuthorized access only!
Disconnect IMMEDIATELY if you are not an authorized user!^C
!
line con 0
no modem enable
line aux 0
line vty 0 4
transport input telnet ssh
!
scheduler max-task-time 5000
end


DANKE!

Content-Key: 74570

Url: https://administrator.de/contentid/74570

Ausgedruckt am: 19.03.2024 um 03:03 Uhr

Mitglied: spacyfreak
spacyfreak 27.11.2007 um 10:18:07 Uhr
Goto Top
Mach doch mal debugging an, das zeigt dann wo es hängenbleibt, wenn es hängenbleibt.
Nach dem Troubleshooting wieder debugging ausschalten, es frisst ressourcen.

Wenn das VPN an sich funktioniert, aber keine Verbindung ins Intranet funzen will, fehlt Dir wahrscheinlich eine Route auf euerm Firmenrouter, damit die Pakete vom Intranet-Subnetz in das VPN-IP-Pool Subnetz gelangen können.
Dass du öffentliche IPs in private immer Natten musst ist denke ich eh klar.
Die getunnelte IP muss jedoch nicht genattet werden, da diese ja im Tunnelmode "eingekapselt" wird in ein anderes IP-Paket.

Tracert probiert?
Mitglied: aqui
aqui 27.11.2007 um 10:34:01 Uhr
Goto Top
Das .3.0er Netz ist sicher dein Problem, wenn du es im Netzwerk nicht propagierst und andere Geräte die du anpingen willst dieses Netzwerk nicht kennen. Wie sollte dann die Rückroute klappen für ein ping reply....
Deine Route
ip route 192.168.3.0 255.255.255.0 Vlan1
ist ebenfalls Unsinn, denn damit routest du ja Packete an das .3.0er Netz direkt und pauschal auf den Adapter VLAN1 an dem aber ein anderes Netz hängt !!! Das Netz.3.0 hängt ja an dir selber (871) dran, deshalb ist so eine Route eigentlich vollkommener Unsinn...sorry und vielleicht der Grund deines Fehlers, denn alle Packete mit einer .3.0er Zieladresse gehen ja damit nicht in den VPN Tunnel sondern auf VLAN1 raus ins 192.168.1.0er Netz und damit ins Nirwana !
Ein Ping auf die 871 Router .3.0er Adresse sollte aber immer klappen, da du ja dann nichts externes anpingst.
Ein Debug ist aber wie einfach.... schon richtig bemerkt hat der Schlüssel zum Erfolg !
Mitglied: herr-der-degen
herr-der-degen 27.11.2007 um 11:47:59 Uhr
Goto Top
Erstmal danke für die prommte Antwort. War natürlich das Routingproblem am Gateway! Komm wunderbar auf (fast) alle Geräte im Netzwerk. DNS-Auflösung läuft super, nur lässt sich der PDC (192.168.1.2) nicht pingen....lokal funktioniert es. Der SDC mit der.3....ja...da komm ich drauf. Wenn ihr da noch nen Denkanreitz habt, wäre super!
Mitglied: aqui
aqui 27.11.2007 um 18:17:29 Uhr
Goto Top
Vermutlich blockt die lokale Firewall im PDC ICMP Packete !

Eigenschaften der LAN Verbindung -> Erweitert -> Windows Firewall, Einstellungen -> Erweitert -> ICMP, Einstellungen: Hier muss der Haken gesetzt sein bei eingehende Echoanforderungen zulassen !
Bitte Wie kann ich einen Beitrag auf "gelöst" oder "erledigt" setzen? nicht vergessen wenns das war !
Mitglied: herr-der-degen
herr-der-degen 28.11.2007 um 10:27:27 Uhr
Goto Top
Nein, leider ist das auch nicht das Problem. Habs schon mit "herunter gelassenen Hosen" (Firewall deakt.) probiert. Es ist einfach nur seltsam. Im lokalen Netz ist der PDC auch der Hauptfileserver....nie Probleme mit der Kiste. DHCP u. DNS Server.....Es ist einfach nur komisch, dass ich jede Kiste bis zum NW-Drucker erreiche, nur den wichtigsten Server nicht.
Mitglied: aqui
aqui 28.11.2007 um 12:04:23 Uhr
Goto Top
Sind Server und Cisco in einem IP Netz ???
Hat der Server ggf. eine andere Standardgateway Adresse und dort ist das .3er Netz nicht bekannt ??
Vermutlich ein Routing Problem, wenns die FW wirklich nicht ist...
Mitglied: herr-der-degen
herr-der-degen 28.11.2007 um 12:52:19 Uhr
Goto Top
Server und die beiden Ciscos sind alle im selben Netz. Auf dem Standardgateway (192.168.1.1) ist ein statisches Routing eingerichtet: 192.168.3.0 an Router 192.168.1.5 (VPN-Router). Vom VPN-Router ein statisches Routing auf das Gateway mit allen Anfragen von Netz 3.0 an 1.0...Aber wie gesagt, Namensauflösung kommt vom Secondary-DC, alle anderen Maschienen sind erreichbar...Warscheinlich bleibt mir nur übrig, am Wochenende alles auseinander zu nehmen.....
PDC hat natürlich auch das einzige Gateway eingetragen......