Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Cisco 1941 VPN Nat über zwei Standorte

Mitglied: q16marvin

q16marvin (Level 1) - Jetzt verbinden

23.11.2011, aktualisiert 18.10.2012, 3535 Aufrufe, 8 Kommentare

Hallo,

irgendwo habe ich einen Denkfehler:

Standort 2 soll über Standort 1 auf Mandant zugreifen.

VPN's einwandfrei. Packete kommen von Standort 2 an Standort1 an. Werden aber von da nicht genattet und damit auch nicht weitergeleitet zu Mandant.

Zugriff auf Mandant von Standort 1 geht natürlich wunderbar.

Muss ich irgendwo den IP Kreis von Standort 2 (192.168.197.0) noch mit aufnehmen? Oder eine Route setzen?

Ich hoffe Ihr könnt mir helfen!

Vielen Dannk!



COnfig:


object-group network NO_Standort2
192.168.197.0 255.255.255.0

object-group network NO_Mandant
host 192.168.192.21
!
crypto ipsec transform-set ipsec_mandant esp-aes 256 esp-sha-hmac
crypto ipsec transform-set ipsec_standort2 esp-aes 256 esp-sha-hmac

crypto map SDM_CMAP_1 3 ipsec-isakmp
description Tunnel to peer 194.*.*.*
set peer 194.*.*.*
set transform-set ipsec_mandant
match address ipsec_mandant


crypto map SDM_CMAP_1 7 ipsec-isakmp
description Tunnel zu standort2
set peer *.*.*.*
set security-association lifetime seconds 28800
set transform-set ipsec_standort2
match address ipsec_standort2

interface GigabitEthernet0/0
description Customer LAN$ETH-LAN$$FW_INSIDE$
ip address 192.168.194.1 255.255.255.0
ip access-group FE00inV1 in
ip pim sparse-dense-mode
ip nat inside
ip virtual-reassembly in
ip route-cache same-interface
duplex auto
speed auto
!
interface GigabitEthernet0/1
ip address 80.*.*.* 255.255.255.248
ip access-group FE01in in
ip pim sparse-dense-mode
ip nat outside
ip inspect SDM_LOW out
ip virtual-reassembly in
ip verify unicast reverse-path
ip route-cache policy
duplex full
speed 100
no cdp enable
crypto map SDM_CMAP_1
!

ip nat pool vpn_mandant 10.*.*.* 10.*.*.* netmask 255.255.255.252

ip nat inside source route-map SDM_RMAP_2 pool vpn_mandant overload

ip route 0.0.0.0 0.0.0.0 80.*.*.*

ip access-list extended ipsec_standort2
permit ip any 192.168.197.0 0.0.0.255 log

ip access-list extended ipsec_mandant
remark CCP_ACL Category=4
permit ip host 10.*.*.* host 192.168.192.21

ip access-list extended nat_default
remark CCP_ACL Category=18
deny ip any object-group NO_standort2
deny ip any object-group NO_mandant
permit ip 192.168.194.0 0.0.0.255 any
deny ip any any

ip access-list extended nat_mandant
permit ip any object-group NO_mandant

route-map SDM_RMAP_1 permit 100
match ip address nat_default
!
route-map SDM_RMAP_2 permit 99
match ip address nat_mandant
Mitglied: q16marvin
24.11.2011 um 11:34 Uhr
mhh nicht wirklich..

die vernetzung der beiden standorte funktioniert ja einwandfrei. nur das routing von standort 2 über standort 1 zu mandant funktioniert halt nicht.
Bitte warten ..
Mitglied: aqui
24.11.2011 um 11:43 Uhr
Mmmmmhhh, das ist dann ohne einmal die VPN ACLs zu sehen und die dazu korrespondierende IP Adressierung ein schwieriges Unterfangen für eine Hilfe.
Da kann man dann nur im freien Fall raten sofern du nichtmal eine anonymisierte Konfig oder den Auszug hier postest.
Nur so viel: Routing Einträge benötigst du nicht sofern du nur ein einziges lokales LAN auf beiden Seiten hast. Alle IP Netze sind ja direkt am Router angeschlossen und ihm bekannt. Wenn die Gateway IPs der lokalen Endgeräte also auf den Cisco zeigen ist alles OK.
Vermutlich hast du wie immer nicht bedacht das die Absender nun von einer fremden IP kommen können (remotes IP Netz).
Normalerweise blocken lokale Firewalls solche Zugriffe dann sofort.
Ohne das Customizen der lokalen Firewall auf den Endgeräten also auch keine Kommunikation, oder scheitert auch schon ein Pingen ?
Kannst du denn wenigstens von den lokalen Ciscos jeweils das gegenüberligende LAN Interface des Ciscos anpingen ??
Das sollte als Minimum erstmal funktionieren. Wenn ja ists die Endgeräte Firewall !
Wenn nein und das auch scheitert hast du noch einen Fehler in der Cisco VPN Konfig ! Dann wäre ein Konfig Auszug hilfreich !
Traceroute und Pathping sind wie immer deine Freunde !
Was auch sein kann ist das der "Mandant" noch eine anderen Router benutzt z.B. für den Internet Zugriff. Wenn seine Endgeräte dann natürlich mit dem default Gateway auf diesen Router zeigen ist klar das nix über dein VPN gehen kann. Das wäre dann in der Tat ein Routing problem, was sich aber mit einer simplen statischen Route lösen leisse.
Leider sagst du ja sehr wenigt zur Topologie so das wir da auch auf die Kristallkugel angewisen sind
Bitte warten ..
Mitglied: q16marvin
25.11.2011 um 09:05 Uhr
Hallo,


ein Auszug aus meiner Config habe ich doch oben bereits gepostet.

Dort stehen auch die ACL's zu meinen VPN Verbindungen. Ja das fremde Netz (remote Netz) habe ich in die ACL's mit aufgenommen:

ip access-list extended ipsec_standort2
permit ip any 192.168.197.0 0.0.0.255 log

ein ping auf die zieladresse aus standort1 geht einwandfrei, ein ping auf die zieladresse aus standort 2 wird sauber zu standort 1 geroutet und dort seh ich im log ja auch den ping ankommen. vermutlich versucht dann der router das packet richtung internet zu schicken, weil es nicht genattet wird und dann richtung vpn tunnel (ziel) weitergeschickt wird.

ich vermute mal ich muss dem cisco 1941 irgendwie bei bringen, das ein fremdes netz (standort2) genauso genattet werden soll. Nur ich weiss nicht wie.

Ich setze mich jetzt mal an Paint und mal ein Bild um alles zu verdeutlichen.
Bitte warten ..
Mitglied: aqui
25.11.2011 um 09:34 Uhr
Eigentlich ist es ja unsinnig den Traffic in Standort 2 zu NATen sofern dieser Standort zu dir gehört und kein Fremdnutzer o.ä. ist. NAT würde nur aufs Mandanten Netz Sinn machen, was ja auch schon gemacht wird.
Unklar ist noch die ACL "FE00inV1" inbound. Nicht das die noch irgendwas wegfiltert ?!
Wenn du von der Konsole des Ciscos pingst denk dran einen extended Ping zu machen wo du die Source IP angeben kannst. Wenn du das nicht machst nimmt er ggf. eine falsche Absender IP und dann bleibst du in den ACLs hängen. Du solltest zum Pingen immer als Ziel erstmal die lokale Ethernet IP des Cisco Routers nehmen. So kannst du sicherstellen das dieses IP Netz auch erreichbar ist und nicht irgendwelche lokalen PC Firewalls usw. dazwischenfunken.
Bitte warten ..
Mitglied: q16marvin
25.11.2011 um 10:03 Uhr
Hier das Bild:

http://imageshack.us/photo/my-images/69/neu0.png/

Der Traffic aus Standort 2 muss im Router von Standort 1 genauso wie der Traffic von Standort 1 genattet, sobald er richtung Mandant will. Das mache ich ja damit:

object-group network NO_Mandant
host 192.168.192.21
ip nat pool vpn_mandant 10.*.*.* 10.*.*.* netmask 255.255.255.252
ip nat inside source route-map SDM_RMAP_2 pool vpn_mandant overload

Sobald dann der Traffic die genattete IP hat, wird er in den Tunnel zum Mandant geleitet:

ip access-list extended ipsec_mandant
permit ip host 10.*.*.* host 192.168.192.21

Das funktioniert auch wie gesagt einwandfrei für das Netz Standort 1 (192.168.194.0). Das Netz wird ja auch auf dem Cisco 1941 verwaltet (Als IP Adresse auf dem Inbound Interface).

Aus Standort 2 funktioniert das ganze nicht. Packet kommt aus Standort 2 an, sollte dann genauso genattet werden was aber nicht passiert! Sicherlich weil es eine Remote IP Adresse ist.

ping 192.168.192.21 source 192.168.194.1 funktioniert
ping 192.168.192.21 source 192.168.197.1 funktioniert nicht (% Invalid source address- IP address not on any of our up interfaces)

was ja auch klar ist, weil die IP 192.168.197.1 nicht auf Standort 1 Router konfiguriert ist, sondern ja die Router IP des zweiten Standorts ist.
Bitte warten ..
Mitglied: q16marvin
25.11.2011 um 12:36 Uhr
Die FE00inV1 kann nix wegfiltern, die hat ja die freigaben für den VPN Tunnel. Der VPN Tunnel wird ja anhand der ACL ipsec_standort2 kontrolliert.
Bitte warten ..
Mitglied: q16marvin
25.11.2011 um 14:13 Uhr
hab mal wieder das gefühl das ich der erste auf der welt bin der auf so eine idee kommt. falls wir hier nicht weiter kommen sind wir auch gern bereit geld in die hand zu nehmen und ein cisco experten einzukaufen. vielleicht habt ihr da eine idee wohin ich mich wenden kann.
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless

VPN zwischen zwei Standorten und unterschiedlichen Routern

gelöst Frage von Welly92LAN, WAN, Wireless15 Kommentare

Hallo liebe Administrator-Gemeinde, nach langem wende ich mich mal wieder mit einer Frage an euch. Situation vor dem Providerwechsel: ...

Router & Routing

Problem mit NAT - VPN Zugang Cisco ASA 5500

gelöst Frage von Bavaria6666Router & Routing4 Kommentare

Hallo zusammen, ich bin neu an Bord und hoffe einen guten Anschluss bei Administrator.de. zu finden. Ich bin alleiniger ...

LAN, WAN, Wireless

Cisco ASA hinter Router mit NAT

gelöst Frage von maxmaxLAN, WAN, Wireless2 Kommentare

Hallo, ich habe eine Cisco ASA welche hinter einem privaten ADSL-Anschluss steht, der Anschluss terminiert auf einem Cisco 867-K9, ...

Router & Routing

Doppeltes NAT mit Cisco 851

gelöst Frage von maxmaxRouter & Routing3 Kommentare

Hallo, ich versuche gerade aus Testzwecken ein zweites NAT für einen Client zu schalten. Zurzeit ist der Aufbau folgender: ...

Neue Wissensbeiträge
Windows 10
Windows 10 Oktober 2018 Update: Es ist wieder da
Tipp von Bowsette vor 5 StundenWindows 10

Ein neuer Versuch von Microsoft das Windows 10 Oktober 2018 Update, auch bekannt als 1809, an den Mann zu ...

Windows Server

Windows Server 2016: Achtung - ab heute gibt es wieder Express Updates

Information von kgborn vor 16 StundenWindows Server1 Kommentar

Kurze Info für Administratoren, die Windows Server 2016 per WSUS/SCCM mit Updates betanken. Ab heute gibt es für Windows ...

Windows Netzwerk
Windows Admin Center - Sagt was ihr braucht!
Tipp von Juanito vor 2 TagenWindows Netzwerk18 Kommentare

Hallo zusammen, der ein- oder andere hat sicherlich schon vom Windows Admin Center gehört. - Microsoft's neue Adminkonsole welche ...

Verschlüsselung & Zertifikate

Bitlocker-Verschlüsselung und -Monitoring ohne MBAM

Tipp von DerWoWusste vor 2 TagenVerschlüsselung & Zertifikate

Der Folgende Tipp beschreibt, wie man ohne MBAM die Verschlüsselung erzwingt und monitort. MBAM ist ein Enterprise-Benefit und somit ...

Heiß diskutierte Inhalte
Entwicklung
Meine Nachbarn sehen meinen Internet Trafic
gelöst Frage von beatnguEntwicklung51 Kommentare

Hallo Also ich wohne in einem Mehrparteien Haus mit 24 wohnungen. Meine nachbaren im letzten stock fummeln immer an ...

Microsoft Office
Lizenzierung
Frage von opc123Microsoft Office29 Kommentare

Hallo, eventuell ein oft bekanntes Thema. Office 365 ist mir zu teuer, da wir als Bildungsträger andere Konditionen beim ...

Windows 10
Windows 10 mit CRITICAL PROCESS DIED
Frage von liquidbaseWindows 1028 Kommentare

Das aktuelle Problem was ich habe steht bereits im Threadtitel. Etwas mehr zum Hintergrund soll nun folgen. Problemkind ist ...

Voice over IP
Andere Rufnummer bei abgehenden Gesprächen vom All-IP-Anschluß der Telekom anzeigen
Frage von vafk18Voice over IP19 Kommentare

Ich möchte bei abgehenden Gesprächen vom All-IP-Anschluß der Telekom meine Handynummer hinterlegen, damit ich Rückrufe jederzeit empfangen kann. Derzeit ...