8
Cisco 861 - Problem mit Access-Group und IPSec VPN
Hallo zusammen,
für einen Kunden muss ich einen Cisco Router programmieren. Folgendes soll konfiguriert werden:
WAN
VPN
QoS
Firewall
Internet habe ich hinbekommen, habe zu Hause einen UnityMedia-Anschluss.
Da ich den Router erst bei mir zu Hause konfiguriere und dann beim Kunden aufstellen möchte, muss ich beim Kunden dann noch WAN auf T-Com mit Dailer umstellen, sollte nicht das Problem sein.
Nun zu meinen ersten Problem. Wenn ich in „interface FastEthernet4“ den Eintrag „ip access-group INTERNET_IN in“ zu stehen habe, dann komme ich nichts in IE.
Woran kann es liegen?
Zu meinen zweiten Problem. Ich habe gestern das VPN einrichtet. Als Basis habe ich einen Cisco-Router genommen, wo VPN funktioniert, und diese Konfig deckt sich auf mit der auf der Cisco-Seite (IPSec VPN mit Cisco VPN Client). Ich habe den VPN-Client konfiguriert und wenn ich auf „connect“ klicke passiert nichts “not connected“. Hinzu kommt noch, dass die LED „VPN“ am Router weder leuchtet noch blinkt, keine Ahnung ob bei bestehende oder verfügbarer VPN-Verbindung die LED leuchtet, quasi wie ein LAN-Kabel.
Kann mir dazu einer helfen, bitte???
P.s. Ich bin dabei meinen CCNA zu machen, bin noch im 2. Semester
Vielen Dank schon mal im Vorraus.
Anbei noch die Konfig:
tm#sh config
Using 5387 out of 262136 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname tm
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
logging buffered 51200 warnings
enable secret 5 $1$y1Di$RsNG5Y2Gj495X4XOW1B/D/
!
aaa new-model
!
!
aaa authentication login clientauth local
aaa authorization network groupauthor local
!
!
aaa session-id common
clock timezone MET 1
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 1:00
!
crypto pki trustpoint tti
revocation-check crl
rsakeypair tti
!
crypto pki trustpoint TP-self-signed-716457674
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-716457674
revocation-check none
rsakeypair TP-self-signed-716457674
!
!
crypto pki certificate chain tti
crypto pki certificate chain TP-self-signed-716457674
certificate self-signed 01 nvram:IOS-Self-Sig#6.cer
ip source-route
!
!
ip cef
ip inspect name LAN ftp
ip inspect name LAN h323
ip inspect name LAN realaudio
ip inspect name LAN rtsp
ip inspect name LAN sip
ip inspect name LAN skinny
ip inspect name LAN sqlnet
ip inspect name LAN streamworks
ip inspect name LAN tcp
ip inspect name LAN tftp
ip inspect name LAN vdolive
ip inspect name LAN udp
ip inspect name LAN icmp
ip inspect name LAN rcmd
ip domain name bla.local
!
!
!
!
username test privilege 15 secret 5 $1$vI7m$1lLxveGSBHV0NhunL0IH01
!
crypto keyring Lan-to-Lan
pre-shared-key address 0.0.0.0 0.0.0.0 key fad007affefad007affe
!
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group TMVPN
key fad007affe$
dns 8.8.8.8
domain bla.local
pool ippool
acl 108
crypto isakmp profile L2L
description Site-to-Site VPN profile
keyring Lan-to-Lan
match identity address 0.0.0.0
crypto isakmp profile VPNclient
description VPN clients profile
match identity group TMVPN
client authentication list clientauth
isakmp authorization list groupauthor
client configuration address respond
!
!
crypto ipsec transform-set myset esp-3des esp-sha-hmac
!
crypto dynamic-map dynmap 5
set transform-set myset
set isakmp-profile VPNclient
crypto dynamic-map dynmap 10
set transform-set myset
set isakmp-profile L2L
!
!
crypto map mymap 10 ipsec-isakmp dynamic dynmap
!
archive
log config
hidekeys
!
!
!
!
!
interface FastEthernet0
description connected to EthernetLAN
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description connected to Internet
ip address dhcp client-id FastEthernet4
ip nat outside
no ip virtual-reassembly
duplex auto
speed auto
!
interface Vlan1
description connected to EthernetLAN
ip address 192.168.220.240 255.255.255.0
ip access-group LAN_IN in
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
no ip mroute-cache
crypto map mymap
!
ip local pool ippool 172.16.0.1 172.16.0.254
no ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 FastEthernet4
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip dns server
ip nat inside source list 1 interface FastEthernet4 overload
!
ip access-list extended INTERNET_IN
permit gre any any
permit esp any any
permit icmp any any echo-reply
permit icmp any any packet-too-big
permit icmp any any echo
permit icmp any any ttl-exceeded
permit udp any eq domain any
permit tcp any eq www any
permit tcp any any eq www
permit tcp any eq 443 any
permit tcp any any eq 443
permit tcp any eq smtp any
permit udp any eq isakmp any
permit udp any any eq isakmp
permit udp any eq non500-isakmp any
permit udp any any eq non500-isakmp
permit udp any eq 3000 any
permit tcp any any eq 1723
permit tcp any eq 1723 any
permit tcp any any eq telnet
permit tcp any eq telnet any
permit tcp any any eq 3389
permit tcp any eq 3389 any
permit tcp any any established
deny ip any any
permit udp 131.188.3.0 0.0.0.255 eq ntp any
ip access-list extended LAN_IN
permit ip any any
!
access-list 1 remark INSIDE_IF=Vlan1
access-list 1 remark CCP_ACL Category=2
access-list 1 permit 192.168.220.0 0.0.0.255
no cdp run
!
control-plane
!
banner exec ^C
% Password expiration warning.
Cisco Configuration Professional (Cisco CP) is installed on this device
and it provides the default username "cisco" for one-time use. If you have
already used the username "cisco" to login to the router and your IOS image
supports the "one-time" user option, then this username has already expired.
You will not be able to login to the router with this username after you exit
this session.
It is strongly suggested that you create a new username with a privilege level
of 15 using the following command.
username <myuser> privilege 15 secret 0 <mypassword>
Replace <myuser> and <mypassword> with the username and password you
want to use.
^C
banner login ^CAuthorized access only!
Disconnect IMMEDIATELY if you are not an authorized user!^C
!
line con 0
no modem enable
line aux 0
line vty 0 4
length 0
transport input telnet ssh
!
scheduler max-task-time 5000
end
tm#s
für einen Kunden muss ich einen Cisco Router programmieren. Folgendes soll konfiguriert werden:
WAN
VPN
QoS
Firewall
Internet habe ich hinbekommen, habe zu Hause einen UnityMedia-Anschluss.
Da ich den Router erst bei mir zu Hause konfiguriere und dann beim Kunden aufstellen möchte, muss ich beim Kunden dann noch WAN auf T-Com mit Dailer umstellen, sollte nicht das Problem sein.
Nun zu meinen ersten Problem. Wenn ich in „interface FastEthernet4“ den Eintrag „ip access-group INTERNET_IN in“ zu stehen habe, dann komme ich nichts in IE.
Woran kann es liegen?
Zu meinen zweiten Problem. Ich habe gestern das VPN einrichtet. Als Basis habe ich einen Cisco-Router genommen, wo VPN funktioniert, und diese Konfig deckt sich auf mit der auf der Cisco-Seite (IPSec VPN mit Cisco VPN Client). Ich habe den VPN-Client konfiguriert und wenn ich auf „connect“ klicke passiert nichts “not connected“. Hinzu kommt noch, dass die LED „VPN“ am Router weder leuchtet noch blinkt, keine Ahnung ob bei bestehende oder verfügbarer VPN-Verbindung die LED leuchtet, quasi wie ein LAN-Kabel.
Kann mir dazu einer helfen, bitte???
P.s. Ich bin dabei meinen CCNA zu machen, bin noch im 2. Semester
Vielen Dank schon mal im Vorraus.
Anbei noch die Konfig:
tm#sh config
Using 5387 out of 262136 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname tm
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
logging buffered 51200 warnings
enable secret 5 $1$y1Di$RsNG5Y2Gj495X4XOW1B/D/
!
aaa new-model
!
!
aaa authentication login clientauth local
aaa authorization network groupauthor local
!
!
aaa session-id common
clock timezone MET 1
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 1:00
!
crypto pki trustpoint tti
revocation-check crl
rsakeypair tti
!
crypto pki trustpoint TP-self-signed-716457674
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-716457674
revocation-check none
rsakeypair TP-self-signed-716457674
!
!
crypto pki certificate chain tti
crypto pki certificate chain TP-self-signed-716457674
certificate self-signed 01 nvram:IOS-Self-Sig#6.cer
ip source-route
!
!
ip cef
ip inspect name LAN ftp
ip inspect name LAN h323
ip inspect name LAN realaudio
ip inspect name LAN rtsp
ip inspect name LAN sip
ip inspect name LAN skinny
ip inspect name LAN sqlnet
ip inspect name LAN streamworks
ip inspect name LAN tcp
ip inspect name LAN tftp
ip inspect name LAN vdolive
ip inspect name LAN udp
ip inspect name LAN icmp
ip inspect name LAN rcmd
ip domain name bla.local
!
!
!
!
username test privilege 15 secret 5 $1$vI7m$1lLxveGSBHV0NhunL0IH01
!
crypto keyring Lan-to-Lan
pre-shared-key address 0.0.0.0 0.0.0.0 key fad007affefad007affe
!
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group TMVPN
key fad007affe$
dns 8.8.8.8
domain bla.local
pool ippool
acl 108
crypto isakmp profile L2L
description Site-to-Site VPN profile
keyring Lan-to-Lan
match identity address 0.0.0.0
crypto isakmp profile VPNclient
description VPN clients profile
match identity group TMVPN
client authentication list clientauth
isakmp authorization list groupauthor
client configuration address respond
!
!
crypto ipsec transform-set myset esp-3des esp-sha-hmac
!
crypto dynamic-map dynmap 5
set transform-set myset
set isakmp-profile VPNclient
crypto dynamic-map dynmap 10
set transform-set myset
set isakmp-profile L2L
!
!
crypto map mymap 10 ipsec-isakmp dynamic dynmap
!
archive
log config
hidekeys
!
!
!
!
!
interface FastEthernet0
description connected to EthernetLAN
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description connected to Internet
ip address dhcp client-id FastEthernet4
ip nat outside
no ip virtual-reassembly
duplex auto
speed auto
!
interface Vlan1
description connected to EthernetLAN
ip address 192.168.220.240 255.255.255.0
ip access-group LAN_IN in
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
no ip mroute-cache
crypto map mymap
!
ip local pool ippool 172.16.0.1 172.16.0.254
no ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 FastEthernet4
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip dns server
ip nat inside source list 1 interface FastEthernet4 overload
!
ip access-list extended INTERNET_IN
permit gre any any
permit esp any any
permit icmp any any echo-reply
permit icmp any any packet-too-big
permit icmp any any echo
permit icmp any any ttl-exceeded
permit udp any eq domain any
permit tcp any eq www any
permit tcp any any eq www
permit tcp any eq 443 any
permit tcp any any eq 443
permit tcp any eq smtp any
permit udp any eq isakmp any
permit udp any any eq isakmp
permit udp any eq non500-isakmp any
permit udp any any eq non500-isakmp
permit udp any eq 3000 any
permit tcp any any eq 1723
permit tcp any eq 1723 any
permit tcp any any eq telnet
permit tcp any eq telnet any
permit tcp any any eq 3389
permit tcp any eq 3389 any
permit tcp any any established
deny ip any any
permit udp 131.188.3.0 0.0.0.255 eq ntp any
ip access-list extended LAN_IN
permit ip any any
!
access-list 1 remark INSIDE_IF=Vlan1
access-list 1 remark CCP_ACL Category=2
access-list 1 permit 192.168.220.0 0.0.0.255
no cdp run
!
control-plane
!
banner exec ^C
% Password expiration warning.
Cisco Configuration Professional (Cisco CP) is installed on this device
and it provides the default username "cisco" for one-time use. If you have
already used the username "cisco" to login to the router and your IOS image
supports the "one-time" user option, then this username has already expired.
You will not be able to login to the router with this username after you exit
this session.
It is strongly suggested that you create a new username with a privilege level
of 15 using the following command.
username <myuser> privilege 15 secret 0 <mypassword>
Replace <myuser> and <mypassword> with the username and password you
want to use.
^C
banner login ^CAuthorized access only!
Disconnect IMMEDIATELY if you are not an authorized user!^C
!
line con 0
no modem enable
line aux 0
line vty 0 4
length 0
transport input telnet ssh
!
scheduler max-task-time 5000
end
tm#s
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 166473
Url: https://administrator.de/contentid/166473
Printed on: April 19, 2024 at 12:04 o'clock
8 Comments
Latest comment
Zu beiden Konfigs gibt es diverse Tutorials und Threads hier die dein "Problem" im Handumdrehen lösen:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
bzw.
Vernetzung zweier Standorte mit Cisco 876 Router
usw.
Zu deiner "INTERNET_IN" Accessliste:
Die ist eigentlich vollkommen unsinnig, denn du hast die incoming auf dem Internet Interface (fa4) eingetragen. Dort natürlich incoming z.B. auf Port TCP 80 (Web) zu filtern ist totaler Unsinn, denn nur der Destination Port zum Ziel ist 80. Pakete vom internen Netz haben also als Destination TCP 80 aber der Source Port ist Random > 1024. Antworten kommen also zu deimem Port nicht aber zu 80. Incoming wird also als Antwort aber immer der Source Port benutzt.
So oder so ist es unsinnig Incoming zu filtern denn mit dem Firewall Image und CBAC sowie NAT ist nur das offen was eine gültige NAT Session hat. Diese ACL ist also doppelt überflüssig.
Dort auch Standardports zu filtern bringt rein gar nix, denn du hast ja über den Port Fa4 keinerlei incoming Sessions. Zudem machst du NAT so das das NAT dir so oder so alle incoming Sessions eh als Firewall filtert sofern keinen gültige inbound NAT Session besteht.
Hier fehlt dir also scheinbar das komplette logische Verständins wie die Pakete sich von der Quelle zum Ziel bewegen über den Router.
Sinn macht es so oder so immer mit CBAC zu arbeiten bei einem Internet Port sofern du ein Firewall Image hast auf dem Cisco was ja wie man oben sieht der Fall ist.
Eine klassiche Konfig auf dem Internet Interface sähe dann so aus:
ip inspect name myfw tcp
ip inspect name myfw udp
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
interface fastethernet 4
description Internet Verbindung
ip address dhcp client-id FastEthernet4
ip access-group 111 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip nat outside
ip inspect myfw out <<-- fehlt bei dir komplett ?!
ip virtual-reassembly
ip route-cache flow
no cdp enable
!
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit gre any any <<-- Nur wenn der Router auch selber VPN Dialin macht mit PPTP oder im internen NET PPTP VPN Clients sind !!
access-list 111 deny ip any any log
z.B.
Deine ACL Policy solltest du also ganz dringend nochmal überdenken !
Wenn du von außen auf Dienste im internen Netz über das NAT zugreifen willst ( z.B. RDP mit TCP 8889) dann musst du logischerweise auch ein statischen NAT Eintrag machen (Port Forwarding) und zudem die Firewall ACL an FA4 für diesen Port öffnen !
Zudem fehlt auf dem Internet Interface komplett deine Firewall Konfiguration die du ja oben angelegt hast. Damit machst du keinerlei Inspection hier und ein CBAC ist so auch überhaupt nicht möglich !
Auch hier also nochmal die Hausaufgaben machen und ins Handbuch sehen. Für so eine Banalkonfig muss man kein CC bla bla.... sein , da hilft eigentlich auch der einfache und gesunde IP Verstand !
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
bzw.
Vernetzung zweier Standorte mit Cisco 876 Router
usw.
Zu deiner "INTERNET_IN" Accessliste:
Die ist eigentlich vollkommen unsinnig, denn du hast die incoming auf dem Internet Interface (fa4) eingetragen. Dort natürlich incoming z.B. auf Port TCP 80 (Web) zu filtern ist totaler Unsinn, denn nur der Destination Port zum Ziel ist 80. Pakete vom internen Netz haben also als Destination TCP 80 aber der Source Port ist Random > 1024. Antworten kommen also zu deimem Port nicht aber zu 80. Incoming wird also als Antwort aber immer der Source Port benutzt.
So oder so ist es unsinnig Incoming zu filtern denn mit dem Firewall Image und CBAC sowie NAT ist nur das offen was eine gültige NAT Session hat. Diese ACL ist also doppelt überflüssig.
Dort auch Standardports zu filtern bringt rein gar nix, denn du hast ja über den Port Fa4 keinerlei incoming Sessions. Zudem machst du NAT so das das NAT dir so oder so alle incoming Sessions eh als Firewall filtert sofern keinen gültige inbound NAT Session besteht.
Hier fehlt dir also scheinbar das komplette logische Verständins wie die Pakete sich von der Quelle zum Ziel bewegen über den Router.
Sinn macht es so oder so immer mit CBAC zu arbeiten bei einem Internet Port sofern du ein Firewall Image hast auf dem Cisco was ja wie man oben sieht der Fall ist.
Eine klassiche Konfig auf dem Internet Interface sähe dann so aus:
ip inspect name myfw tcp
ip inspect name myfw udp
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
interface fastethernet 4
description Internet Verbindung
ip address dhcp client-id FastEthernet4
ip access-group 111 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip nat outside
ip inspect myfw out <<-- fehlt bei dir komplett ?!
ip virtual-reassembly
ip route-cache flow
no cdp enable
!
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit gre any any <<-- Nur wenn der Router auch selber VPN Dialin macht mit PPTP oder im internen NET PPTP VPN Clients sind !!
access-list 111 deny ip any any log
z.B.
Deine ACL Policy solltest du also ganz dringend nochmal überdenken !
Wenn du von außen auf Dienste im internen Netz über das NAT zugreifen willst ( z.B. RDP mit TCP 8889) dann musst du logischerweise auch ein statischen NAT Eintrag machen (Port Forwarding) und zudem die Firewall ACL an FA4 für diesen Port öffnen !
Zudem fehlt auf dem Internet Interface komplett deine Firewall Konfiguration die du ja oben angelegt hast. Damit machst du keinerlei Inspection hier und ein CBAC ist so auch überhaupt nicht möglich !
Auch hier also nochmal die Hausaufgaben machen und ins Handbuch sehen. Für so eine Banalkonfig muss man kein CC bla bla.... sein , da hilft eigentlich auch der einfache und gesunde IP Verstand !
Hallo,
auch das hier drüfte schief gehen:
das
erschlägt das nachfolgende permit
brammer
auch das hier drüfte schief gehen:
permit tcp any eq telnet any
permit tcp any any eq 3389
permit tcp any eq 3389 any
permit tcp any any established
deny ip any any
permit udp 131.188.3.0 0.0.0.255 eq ntp any
ip access-list extended LAN_IN
permit ip any any
!das
deny ip any anyerschlägt das nachfolgende permit
brammer
Zitat von @aqui:
Zu beiden Konfigs gibt es diverse Tutorials und Threads hier die dein "Problem" im Handumdrehen lösen:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
bzw.
Vernetzung zweier Standorte mit Cisco 876 Router
usw.
Zu beiden Konfigs gibt es diverse Tutorials und Threads hier die dein "Problem" im Handumdrehen lösen:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
bzw.
Vernetzung zweier Standorte mit Cisco 876 Router
usw.
Hallo aqui,
vielen Dank für Deine Nachricht.
VPN Funktioniert, ich habe lediglich das falsche Group Password im Cisco Client eingetragen.
So nun zu meiner Firewall, Access-List.
Als Basis habe ich die Konfiguration aus einem Cisco-Router genommen, der bei uns im Büro steht und produktiv im Einsatz ist.
Kannst Du mir bitte kurz erklären, wo jetzt der Unterschied zwischen meiner und der Büro Konfig liegt?
Was sich natürlich unterscheidet ist VLAN1 und Dailer1.
Anbei die Konfig vom Büro Router.
cimcs_oro1#sh config
Using 5417 out of 29688 bytes
!
version 12.3
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname cimcs_oro1
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$6ZNJ$XD1aXcjG12mVHKrGPzUZx/
!
username bla privilege 7 secret 5 $1$GGpH$yf/cgOAAwDsWkgy5GfUTP.
clock timezone MET 1
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 1:00
aaa new-model
!
!
aaa authentication login clientauth local
aaa authorization network groupauthor local
aaa session-id common
ip subnet-zero
!
!
ip inspect name LAN ftp
ip inspect name LAN h323
ip inspect name LAN http
ip inspect name LAN netshow
ip inspect name LAN rcmd
ip inspect name LAN realaudio
ip inspect name LAN rtsp
ip inspect name LAN sip
ip inspect name LAN skinny
ip inspect name LAN sqlnet
ip inspect name LAN streamworks
ip inspect name LAN tcp
ip inspect name LAN tftp
ip inspect name LAN vdolive
ip inspect name LAN udp
ip inspect name LAN icmp
!
ip audit notify log
ip audit po max-events 100
ip domain name bla.local
ip name-server 8.8.8.8
vpdn enable
!
vpdn-group pppoe
request-dialin
protocol pppoe
!
no ftp-server write-enable
!
crypto keyring Lan-to-Lan
pre-shared-key address 0.0.0.0 0.0.0.0 key fad007affefad007affe
!
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group BLAVPN
key fad007affe$
dns 192.168.13.4 192.168.13.8
wins 192.168.13.4
domain bla.local
pool ippool
acl 108
crypto isakmp profile L2L
description Site-to-Site VPN profile
keyring Lan-to-Lan
match identity address 0.0.0.0
crypto isakmp profile VPNclient
description VPN clients profile
match identity group BLAVPN
client authentication list clientauth
isakmp authorization list groupauthor
client configuration address respond
!
!
crypto ipsec transform-set myset esp-3des esp-sha-hmac
!
crypto dynamic-map dynmap 5
set transform-set myset
set isakmp-profile VPNclient
crypto dynamic-map dynmap 10
set transform-set myset
set isakmp-profile L2L
!
!
crypto map mymap 10 ipsec-isakmp dynamic dynmap
!
!
!
!
!
!
interface Ethernet0/0
description connected to EthernetLAN
ip address 192.168.13.254 255.255.255.0
ip access-group LAN_IN in
ip nat inside
ip tcp adjust-mss 1452
no ip mroute-cache
half-duplex
!
interface Ethernet0/1
description connected to Internet
no ip address
half-duplex
pppoe enable
pppoe-client dial-pool-number 1
no keepalive
!
interface Dialer1
description connected to Internet
ip address negotiated
ip access-group INTERNET_IN in
ip mtu 1492
ip nat outside
encapsulation ppp
ip tcp adjust-mss 1452
no ip mroute-cache
dialer pool 1
dialer-group 2
no cdp enable
ppp authentication chap pap callin
ppp chap hostname BLA
ppp chap password 7 11180C0A01130F0517
ppp pap sent-username BLA password 7 123456789
crypto map mymap
!
router rip
version 2
passive-interface Dialer1
network 192.168.13.0
no auto-summary
!
ip local pool ippool 172.16.0.1 172.16.0.254
ip nat inside source static tcp 192.168.13.7 443 interface Dialer1 443
ip nat inside source route-map nonat interface Dialer1 overload
ip nat inside source static tcp 192.168.13.4 1723 interface Dialer1 1723
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
ip http server
no ip http secure-server
!
ip access-list extended INTERNET_IN
permit ip 172.16.0.0 0.0.255.255 192.168.13.0 0.0.0.255
permit gre any any
permit esp any any
permit icmp any any echo-reply
permit icmp any any packet-too-big
permit icmp any any echo
permit icmp any any ttl-exceeded
permit udp any eq domain any
permit tcp any eq www any
permit tcp any any eq www
permit tcp any eq 443 any
permit tcp any any eq 443
permit tcp any eq smtp any
permit udp any eq isakmp any
permit udp any any eq isakmp
permit udp any eq non500-isakmp any
permit udp any any eq non500-isakmp
permit udp any eq 3000 any
permit tcp any any eq 1723
permit tcp any eq 1723 any
permit tcp any any eq telnet
permit tcp any eq telnet any
permit tcp any any eq 3389
permit tcp any eq 3389 any
permit tcp any any established
deny ip any any
permit udp 131.188.3.0 0.0.0.255 eq ntp any
ip access-list extended LAN_IN
permit ip any any
!
access-list 108 permit ip 192.168.13.0 0.0.0.255 172.16.0.0 0.0.255.255
access-list 133 deny ip 192.168.13.0 0.0.0.255 172.16.0.0 0.0.255.255
access-list 133 permit ip 192.168.13.0 0.0.0.255 any
dialer-list 2 protocol ip permit
route-map nonat permit 10
match ip address 133
!
!
!
!
line con 0
exec-timeout 0 0
escape-character 27
line aux 0
line vty 0 4
exec-timeout 5 0
password 7 021201481F
login authentication clientauth
escape-character 27
!
ntp clock-period 17208499
ntp server 194.25.134.196
!
!
end
Zu meiner Verteidigung muss ich sagen, dass es mein erster Cisco Router ist, denn ich von Anfang an konfiguriere.
Deine Firewall Definition "LAN" ist auf keinem der Interfaces aktiviert ! Also arbeitest du ohne Firewall und CBAC Definition. Fragt sich natürlich warum du das dann konfiguriert hast. Es besteht also ein gravierender Unterschied der beiden Konfigs da das Kommando ip inspect LAN out bei dir komplett fehlt am outgoing Interface !
Mal ganz abgesehen von der unsinnigen "INTERNET_IN" ACL die ja incoming auf dem Internet Interface definiert ist. Allein das Statement permit ip 172.16.0.0 0.0.255.255 192.168.13.0 0.0.0.255 zeigt hier schon die fatale Fehldenke die da herrscht ! Beide IP Adressen sind RFC 1918 IP Netze also private IPs die niemals irgendwo auf der Welt an einem Internet Interface auftauchen können, da diese IP Netze gar nicht im Internet geroutet werden. Fragt sich also was der ACL Eintrag da zu suchen hat ?
Ebenso die überflüssige Freigabe von Port 80 HTTP, RDP usw. ganz schlimm aus Sicherheitssicht natürlich Telnet, denn dafür hast du gar keine statische NAT Regel. Diese existiert nur für HTTPS und TCP 1723 (PPTP VPNs). Also sind alle anderen Protokolle so oder so überflüssig, denn sie kommen gar nicht durch die NAT Firewall. Telnet Zugang auf den Router freizuschalten ist höchst fahrlässig oder nur dumm. Wenn dann lässt man lediglich SSH zu auf den Router zur Fernwartung und blockt auch ICMP auf den Router um ihn wasserdicht zu machen.
All solche Konfig Optionen sind also fragwürdig oder schlicht falsch.
Auch wenn du diese Konfig von einem produktiven Router genommen hast bedeutet das ja noch lange nicht das der von jemanden konfiguriert wurde der weiss was er da macht. Du hast also lediglich dessen schlimme Fehler auf deinem kritiklos übertragen statt mal einen erhellenden Blick ins Handbch zu werfen vorher ?!
Deine CBAC ACL erfordert also weiterhin ein starkes Überdenken und harrt der Korrektur ! Die Cisco Seite hat unzählige bessere Beispiele als die fahrlässig fehlerhafte des Produktivrouters.
Mal ganz abgesehen von der unsinnigen "INTERNET_IN" ACL die ja incoming auf dem Internet Interface definiert ist. Allein das Statement permit ip 172.16.0.0 0.0.255.255 192.168.13.0 0.0.0.255 zeigt hier schon die fatale Fehldenke die da herrscht ! Beide IP Adressen sind RFC 1918 IP Netze also private IPs die niemals irgendwo auf der Welt an einem Internet Interface auftauchen können, da diese IP Netze gar nicht im Internet geroutet werden. Fragt sich also was der ACL Eintrag da zu suchen hat ?
Ebenso die überflüssige Freigabe von Port 80 HTTP, RDP usw. ganz schlimm aus Sicherheitssicht natürlich Telnet, denn dafür hast du gar keine statische NAT Regel. Diese existiert nur für HTTPS und TCP 1723 (PPTP VPNs). Also sind alle anderen Protokolle so oder so überflüssig, denn sie kommen gar nicht durch die NAT Firewall. Telnet Zugang auf den Router freizuschalten ist höchst fahrlässig oder nur dumm. Wenn dann lässt man lediglich SSH zu auf den Router zur Fernwartung und blockt auch ICMP auf den Router um ihn wasserdicht zu machen.
All solche Konfig Optionen sind also fragwürdig oder schlicht falsch.
Auch wenn du diese Konfig von einem produktiven Router genommen hast bedeutet das ja noch lange nicht das der von jemanden konfiguriert wurde der weiss was er da macht. Du hast also lediglich dessen schlimme Fehler auf deinem kritiklos übertragen statt mal einen erhellenden Blick ins Handbch zu werfen vorher ?!
Deine CBAC ACL erfordert also weiterhin ein starkes Überdenken und harrt der Korrektur ! Die Cisco Seite hat unzählige bessere Beispiele als die fahrlässig fehlerhafte des Produktivrouters.
Zitat von @aqui:
Deine Firewall Definition "LAN" ist auf keinem der Interfaces aktiviert ! Also arbeitest du ohne Firewall und CBAC
Definition. Fragt sich natürlich warum du das dann konfiguriert hast. Es besteht also ein gravierender Unterschied der beiden
Konfigs da das Kommando ip inspect LAN out bei dir komplett fehlt am outgoing Interface !
Mal ganz abgesehen von der unsinnigen "INTERNET_IN" ACL die ja incoming auf dem Internet Interface definiert ist. Allein
das Statement permit ip 172.16.0.0 0.0.255.255 192.168.13.0 0.0.0.255 zeigt hier schon die fatale Fehldenke die da herrscht !
Beide IP Adressen sind RFC 1918 IP Netze also private IPs die niemals irgendwo auf der Welt an einem Internet Interface auftauchen
können, da diese IP Netze gar nicht im Internet geroutet werden. Fragt sich also was der ACL Eintrag da zu suchen hat ?
Ebenso die überflüssige Freigabe von Port 80 HTTP, RDP usw. ganz schlimm aus Sicherheitssicht natürlich Telnet,
denn dafür hast du gar keine statische NAT Regel. Diese existiert nur für HTTPS und TCP 1723 (PPTP VPNs). Also sind alle
anderen Protokolle so oder so überflüssig, denn sie kommen gar nicht durch die NAT Firewall. Telnet Zugang auf den
Router freizuschalten ist höchst fahrlässig oder nur dumm. Wenn dann lässt man lediglich SSH zu auf den Router zur
Fernwartung und blockt auch ICMP auf den Router um ihn wasserdicht zu machen.
All solche Konfig Optionen sind also fragwürdig oder schlicht falsch.
Auch wenn du diese Konfig von einem produktiven Router genommen hast bedeutet das ja noch lange nicht das der von jemanden
konfiguriert wurde der weiss was er da macht. Du hast also lediglich dessen schlimme Fehler auf deinem kritiklos übertragen
statt mal einen erhellenden Blick ins Handbch zu werfen vorher ?!
Deine CBAC ACL erfordert also weiterhin ein starkes Überdenken und harrt der Korrektur ! Die Cisco Seite hat unzählige
bessere Beispiele als die fahrlässig fehlerhafte des Produktivrouters.
Deine Firewall Definition "LAN" ist auf keinem der Interfaces aktiviert ! Also arbeitest du ohne Firewall und CBAC
Definition. Fragt sich natürlich warum du das dann konfiguriert hast. Es besteht also ein gravierender Unterschied der beiden
Konfigs da das Kommando ip inspect LAN out bei dir komplett fehlt am outgoing Interface !
Mal ganz abgesehen von der unsinnigen "INTERNET_IN" ACL die ja incoming auf dem Internet Interface definiert ist. Allein
das Statement permit ip 172.16.0.0 0.0.255.255 192.168.13.0 0.0.0.255 zeigt hier schon die fatale Fehldenke die da herrscht !
Beide IP Adressen sind RFC 1918 IP Netze also private IPs die niemals irgendwo auf der Welt an einem Internet Interface auftauchen
können, da diese IP Netze gar nicht im Internet geroutet werden. Fragt sich also was der ACL Eintrag da zu suchen hat ?
Ebenso die überflüssige Freigabe von Port 80 HTTP, RDP usw. ganz schlimm aus Sicherheitssicht natürlich Telnet,
denn dafür hast du gar keine statische NAT Regel. Diese existiert nur für HTTPS und TCP 1723 (PPTP VPNs). Also sind alle
anderen Protokolle so oder so überflüssig, denn sie kommen gar nicht durch die NAT Firewall. Telnet Zugang auf den
Router freizuschalten ist höchst fahrlässig oder nur dumm. Wenn dann lässt man lediglich SSH zu auf den Router zur
Fernwartung und blockt auch ICMP auf den Router um ihn wasserdicht zu machen.
All solche Konfig Optionen sind also fragwürdig oder schlicht falsch.
Auch wenn du diese Konfig von einem produktiven Router genommen hast bedeutet das ja noch lange nicht das der von jemanden
konfiguriert wurde der weiss was er da macht. Du hast also lediglich dessen schlimme Fehler auf deinem kritiklos übertragen
statt mal einen erhellenden Blick ins Handbch zu werfen vorher ?!
Deine CBAC ACL erfordert also weiterhin ein starkes Überdenken und harrt der Korrektur ! Die Cisco Seite hat unzählige
bessere Beispiele als die fahrlässig fehlerhafte des Produktivrouters.
Hallo,
vielen Dank für Deine Mail.
Ich habe, im Zuge der Konfiguration, noch andere Fehler auf dem Cisco Router im Büro gefunden. Scheinbar hat´s einer Konfiguriert, der davon weinig bis gar keine Ahnung hat. Da ich auch Ahnungslos WAR, habe ich diese Konfig einfach kopiert. Blöd nur, dass diese auch auf anderen Cisco-Routern, bei anderen Kunden, genauso konfiguriert wurden. Ich muss mal mit meinem Chef reden, wer für die Sch... verantworlich ist.
Da ich mich auf die Konfig auf dem Router im Büro verlassen habe, habe ich jetzt ein zeitliches Problem. Ich komme nur nach der Arbeit dazu, mich um den Router zu kümmern. Ich habe mich zwar mit den Handbüchern auseinander gestzt, nur bedarf es etwas mehr Zeit auch zu verstehen. Morgen muss ich den Router beim Kunden aufstellen.
Ich wäre Dir sehr dankbar, wenn Du mir eine kleine brauchbare Konfig(Firewall) schicken würdest.
Vielen Vielen Vielen Dank
Bitte nicht immer alles überflüssigerweise zitieren...wir wissen hier ja alle was wir geschrieben haben....
Eine einfache, sichere CBAC Konfig OHNE einen VPN Tunnel mit PPTP VPN Dialin, DHCP, DynDNS und DNS Proxy als eierlegende Wollmilchsau sähe z.B. so aus:
service timestamps log datetime localtime
service password-encryption
!
hostname Router
!
no aaa new-model
clock timezone CET 1
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
no ip source-route
!
ip dhcp excluded-address 192.168.13.1 192.168.13.149
ip dhcp excluded-address 192.168.13.170 192.168.13.254
!
ip dhcp pool Router
network 192.168.13.0 255.255.255.0
default-router 192.168.13.254
dns-server 192.168.13.254
!
ip inspect name firewall tcp
ip inspect name firewall udp
ip inspect name firewall https
ip inspect name firewall http
!
username Admin password GeH3im
ip domain name chrischieee.de
ip name-server 4.4.4.4
ip ssh time-out 60
ip ssh authentication-retries 2
ip ddns update method dyndns
HTTP add http://<username>:<pw>:@members.dyndns.org/nic/update?system=dyndns&hostname=<h>&myip=<a>
interval maximum 1 0 0 0
!
interface Ethernet0/0
description Lokales LAN
ip address 192.168.13.254 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip route-cache flow
ip tcp adjust-mss 1492
!
interface Ethernet0/1
description DSL Modem
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
duplex auto
pppoe enable group global
pppoe-client dial-pool-number 1
no keepalive
no cdp enable
!
interface Dialer0
description Dialin PPPoE Provider
ip address negotiated
ip access-group 111 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip nat outside
ip inspect firewall out
ip virtual-reassembly
encapsulation ppp
ip route-cache flow
dialer pool 1
dialer idle-timeout 600
no keepalive
no cdp enable
ppp authentication pap callin
ppp pap sent-username BLA@provider.de password Geheim
ppp ipcp dns request
ppp ipcp mask request
ppp timeout idle 600 either
!
interface Virtual-Template1
description PPTP Dialin Interface fuer VPN Zugang
ip unnumbered Ethernet0/0
peer default ip address pool pptp_dialin
no keepalive
ppp encrypt mppe auto required
ppp authentication pap chap ms-chap
!
ip local pool pptp_dialin 192.168.13.250 192.168.13.254
!
ip route 0.0.0.0 0.0.0.0 Dialer0
!
no ip http server
ip http secure-server
!
ip dns server
ip nat inside source static tcp 192.168.13.7 443 interface Dialer0 443
ip nat inside source list 103 interface Dialer0 overload
!
access-list 103 permit ip 192.168.13.0 0.0.0.255 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any any eq 443
access-list 111 permit tcp any any eq 1723
access-list 111 permit gre any any
access-list 111 deny ip any any log
dialer-list 1 protocol ip list 103
!
ntp server 131.188.3.223
banner motd
This system is for the use of authorized users only.
!
line con 0
line aux 0
line vty 0 4
password Geheim
login local
transport input ssh
Eine von vielen Möglichkeiten das zu lösen....
Eine einfache, sichere CBAC Konfig OHNE einen VPN Tunnel mit PPTP VPN Dialin, DHCP, DynDNS und DNS Proxy als eierlegende Wollmilchsau sähe z.B. so aus:
service timestamps log datetime localtime
service password-encryption
!
hostname Router
!
no aaa new-model
clock timezone CET 1
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
no ip source-route
!
ip dhcp excluded-address 192.168.13.1 192.168.13.149
ip dhcp excluded-address 192.168.13.170 192.168.13.254
!
ip dhcp pool Router
network 192.168.13.0 255.255.255.0
default-router 192.168.13.254
dns-server 192.168.13.254
!
ip inspect name firewall tcp
ip inspect name firewall udp
ip inspect name firewall https
ip inspect name firewall http
!
username Admin password GeH3im
ip domain name chrischieee.de
ip name-server 4.4.4.4
ip ssh time-out 60
ip ssh authentication-retries 2
ip ddns update method dyndns
HTTP add http://<username>:<pw>:@members.dyndns.org/nic/update?system=dyndns&hostname=<h>&myip=<a>
interval maximum 1 0 0 0
!
interface Ethernet0/0
description Lokales LAN
ip address 192.168.13.254 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip route-cache flow
ip tcp adjust-mss 1492
!
interface Ethernet0/1
description DSL Modem
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
duplex auto
pppoe enable group global
pppoe-client dial-pool-number 1
no keepalive
no cdp enable
!
interface Dialer0
description Dialin PPPoE Provider
ip address negotiated
ip access-group 111 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip nat outside
ip inspect firewall out
ip virtual-reassembly
encapsulation ppp
ip route-cache flow
dialer pool 1
dialer idle-timeout 600
no keepalive
no cdp enable
ppp authentication pap callin
ppp pap sent-username BLA@provider.de password Geheim
ppp ipcp dns request
ppp ipcp mask request
ppp timeout idle 600 either
!
interface Virtual-Template1
description PPTP Dialin Interface fuer VPN Zugang
ip unnumbered Ethernet0/0
peer default ip address pool pptp_dialin
no keepalive
ppp encrypt mppe auto required
ppp authentication pap chap ms-chap
!
ip local pool pptp_dialin 192.168.13.250 192.168.13.254
!
ip route 0.0.0.0 0.0.0.0 Dialer0
!
no ip http server
ip http secure-server
!
ip dns server
ip nat inside source static tcp 192.168.13.7 443 interface Dialer0 443
ip nat inside source list 103 interface Dialer0 overload
!
access-list 103 permit ip 192.168.13.0 0.0.0.255 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any any eq 443
access-list 111 permit tcp any any eq 1723
access-list 111 permit gre any any
access-list 111 deny ip any any log
dialer-list 1 protocol ip list 103
!
ntp server 131.188.3.223
banner motd
This system is for the use of authorized users only.
!
line con 0
line aux 0
line vty 0 4
password Geheim
login local
transport input ssh
Eine von vielen Möglichkeiten das zu lösen....
Hallo aqui,
vielen Dank für Deine Nachricht.
vielen Dank für Deine Nachricht.
