3
Cisco 5505 kein Internet nach Site-to-Site VPN
Hallo,
über die Suche habe ich leider zu diesem spezifischen Problem nichts finden können. (Oder ich bin zu blöd)
Am Standort Site-R haben wir eine Cisco 5505 mit dem lokalen Netz 192.168.0.0/24 hinter einer festen Telekom IP 87.138.x.x
Am Standort Site-E haben wir auch eine Cisco 5505 mit dem lokalen Netz 192.168.4.0/24 hinter einer festen Vodafone IP 213.23.x.x
Alle bisherigen Einstellungen habe ich via ASDM vorgenommen.
Am Standort Site-R gab es bis vor kurzem auch noch eine feste Vodafone IP. Alle Server stehen im Site-R. Alle Clients in Site-E haben als DNS Eintrag die IP des in Site-R stehenden DNS-Servers 192.168.0.11
Möglich gemacht wurde dies durch eine bestehende Site-to-Site Verbindung mit IPSec.
Nach der Umstellung von Vodafone auf Telekom im Site-R konnten natürlich alle Clients im Site-E nicht mehr surfen, ebenso wenig Verbindungen zum Terminalserver bei Site-R aufbauen.
Da ich in bestehenden Site-to-Site Verbindungen keine Peer-IP ändern kann habe ich die alten (nicht verbundenen) Verbindungen gelöscht und erst im Site-R per Wizard eine neue Verbindung angelegt, danach im Site-E. Siehe da, der Tunnel baut sich auf, alle Clients in Site-E haben wieder Internetverbindung und können sich auch auf den Terminalserver wählen.
Allerdings kam dann ein Anruf von Site-R, es gäbe keine Internetverbindung mehr. Ich habe von externer Stelle die öffentliche IP gepingt. Geht. Ich habe mich von Site-E aus remote auf den DNS Server gewählt (geht) und mich via ASDM mit der Firewall von Site-R verbunden (geht). Wenn ich von extern via ASDM auf die öffentliche IP von Site-R verbinden will tut sich nichts. Das ging vorher aber definitiv.
Meine Vermutung ist das der gesamte Traffic von Site-R jetzt über Site-E und wieder zurück (quasi in einer Schleife) geroutet wird. Ich finde aber nirgends eine Option um dies abzuschalten.
Mit dem CLI habe ich wenig bis garkeine Erfahrung. Ich werde mir jedoch größte Mühe geben weiter benötigte Informationen zu liefern, bzw Hilfe eurerseits umzusetzen.
Ich hoffe ihr könnt mir irgendwie helfen.
Danke.
über die Suche habe ich leider zu diesem spezifischen Problem nichts finden können. (Oder ich bin zu blöd)
Am Standort Site-R haben wir eine Cisco 5505 mit dem lokalen Netz 192.168.0.0/24 hinter einer festen Telekom IP 87.138.x.x
Am Standort Site-E haben wir auch eine Cisco 5505 mit dem lokalen Netz 192.168.4.0/24 hinter einer festen Vodafone IP 213.23.x.x
Alle bisherigen Einstellungen habe ich via ASDM vorgenommen.
Am Standort Site-R gab es bis vor kurzem auch noch eine feste Vodafone IP. Alle Server stehen im Site-R. Alle Clients in Site-E haben als DNS Eintrag die IP des in Site-R stehenden DNS-Servers 192.168.0.11
Möglich gemacht wurde dies durch eine bestehende Site-to-Site Verbindung mit IPSec.
Nach der Umstellung von Vodafone auf Telekom im Site-R konnten natürlich alle Clients im Site-E nicht mehr surfen, ebenso wenig Verbindungen zum Terminalserver bei Site-R aufbauen.
Da ich in bestehenden Site-to-Site Verbindungen keine Peer-IP ändern kann habe ich die alten (nicht verbundenen) Verbindungen gelöscht und erst im Site-R per Wizard eine neue Verbindung angelegt, danach im Site-E. Siehe da, der Tunnel baut sich auf, alle Clients in Site-E haben wieder Internetverbindung und können sich auch auf den Terminalserver wählen.
Allerdings kam dann ein Anruf von Site-R, es gäbe keine Internetverbindung mehr. Ich habe von externer Stelle die öffentliche IP gepingt. Geht. Ich habe mich von Site-E aus remote auf den DNS Server gewählt (geht) und mich via ASDM mit der Firewall von Site-R verbunden (geht). Wenn ich von extern via ASDM auf die öffentliche IP von Site-R verbinden will tut sich nichts. Das ging vorher aber definitiv.
Meine Vermutung ist das der gesamte Traffic von Site-R jetzt über Site-E und wieder zurück (quasi in einer Schleife) geroutet wird. Ich finde aber nirgends eine Option um dies abzuschalten.
Mit dem CLI habe ich wenig bis garkeine Erfahrung. Ich werde mir jedoch größte Mühe geben weiter benötigte Informationen zu liefern, bzw Hilfe eurerseits umzusetzen.
Ich hoffe ihr könnt mir irgendwie helfen.
Danke.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 276058
Url: https://administrator.de/contentid/276058
Printed on: April 25, 2024 at 16:04 o'clock
3 Comments
Latest comment
Hallo,
dein Stichwort ist Split Tunneling
http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-ne ...
brammer
dein Stichwort ist Split Tunneling
http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-ne ...
brammer
Mit dem CLI habe ich wenig bis garkeine Erfahrung.
Das ist schlecht und keine guten Vorausetzungen 
Aber guckst du hier:
http://www.coufal.info/cisco_ios/index.shtml
und hier:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Das sollte dir ein Grundgerüst der IOS Kommandos geben um dein Vorhaben im Handumdrehen umzusetzen !
Danke an euch!
Der Link von brammer war leider nicht die Lösung, hat mich aber auf diese gebracht.
Unter Configuration -> Firewall -> NAT Rules musste die Regel inside-network -> any auf No Exempt gestellt werden.
Manchmal kann es so einfach sein.
@aqui: Danke! Wir haben zwar kaum cisco Firewalls zu bedienen, aber oft sind die CLI Commands doch sehr hilfreich. Danke!
Der Link von brammer war leider nicht die Lösung, hat mich aber auf diese gebracht.
Unter Configuration -> Firewall -> NAT Rules musste die Regel inside-network -> any auf No Exempt gestellt werden.
Manchmal kann es so einfach sein.
@aqui: Danke! Wir haben zwar kaum cisco Firewalls zu bedienen, aber oft sind die CLI Commands doch sehr hilfreich. Danke!
