Cisco 886va Ports (UDP 500, 4500) weiterleiten und VPN parallel

Guten Abend zusammen,

ich sitze momentan noch in der Firma und bin mit meinem Latein leider so gut wie am Ende..

Wir müssen die Ports (UDP 500, 4500) freigeben, damit der Hersteller auf eine Maschine (10.77.50.104) remote zugreifen kann.

Wir benutzen auch die VPN funktionalitäten dieses Routers, daher meine Frage, kann ich diese Ports freigeben und gleichzeitig VPN benutzen. Meines Wissens sind das die selben Ports wie sie beim VPN benutzt werden, oder? Woher weiß der Router, ob er an die Maschine durchleiten soll, oder eine VPN-Verbindung aufbauen soll?

Ich habe entsprechend folgendem Post: Cisco 886va VDSL Ports Weiterleiten ???
die Nats eingerichtet

ip nat source static udp 10.77.50.104 500 interface Dialer0 500
ip nat source static udp 10.77.50.104 4500 interface Dialer0 4500

und auch die access-lists angepasst

access-list 101 deny   ip host 10.77.50.104 any
access-list 101 permit ip 10.77.50.0 0.0.0.255 any

Die Techniker haben momentan schon die Maschine ausgeschalten. Kann ich dennoch testen, ob die Portweiterleitung funktioniert über Webseiten wie: http://www.yougetsignal.com/tools/open-ports/

Die aktuelle Konfiguration:

version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname CISCO886VA
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$bRM3$ZtGko5n248ARtOU6EmX.X.
enable password 7 013D0310411C031D2A1D
!
aaa new-model
!
aaa authentication login default local
aaa authentication login ciscocp_vpn_xauth_ml_1 local
aaa authorization exec default local
aaa authorization network ciscocp_vpn_group_ml_1 local
!
aaa session-id common
memory-size iomem 10
clock timezone CET 1 0
crypto pki token default removal timeout 0
!
crypto pki trustpoint TP-self-signed-781234201
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-781234201
 revocation-check none
 rsakeypair TP-self-signed-781234201
!
crypto pki certificate chain TP-self-signed-781234201
 certificate self-signed 01 nvram:IOS-Self-Sig#1.cer
!
ip cef
no ipv6 cef
!
license udi pid CISCO886VA-K9 sn FCZ1620C7J7
!
username xxx privilege 15 secret 5 $1$WhUz$65ehc6rgv70A5u9lwnbyV/
!
controller VDSL 0
!
crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 2
!
crypto isakmp policy 2
 encr aes
 hash md5
 authentication pre-share
 group 2
!
crypto isakmp client configuration group ak-energievpn
 key SCS2013vpn!$
 pool SDM_POOL_1
 acl 100
crypto isakmp profile ciscocp-ike-profile-1
   match identity group ak-energievpn
   client authentication list ciscocp_vpn_xauth_ml_1
   isakmp authorization list ciscocp_vpn_group_ml_1
   client configuration address respond
   virtual-template 1
!
crypto ipsec transform-set ESP-AES128-MD5 esp-aes esp-md5-hmac
!
crypto ipsec profile CiscoCP_Profile1
 set security-association idle-time 3540
 set transform-set ESP-AES128-MD5
 set isakmp-profile ciscocp-ike-profile-1
!
interface Ethernet0
 no ip address
 shutdown
!
interface BRI0
 no ip address
 encapsulation hdlc
 shutdown
 isdn termination multidrop
!
interface ATM0
 no ip address
 no ip redirects
 no ip unreachables
 no atm ilmi-keepalive
!
interface ATM0.1 point-to-point
 description ATMPTP
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 pvc 1/32
  pppoe-client dial-pool-number 1
 !
interface FastEthernet0
 no ip address
!
interface FastEthernet1
 no ip address
!
interface FastEthernet2
 no ip address
!
interface FastEthernet3
 no ip address
!
interface Virtual-Template1 type tunnel
 ip unnumbered Vlan90
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile CiscoCP_Profile1
!
interface Vlan1
 description Network_def
 ip address 10.77.10.12 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1452
!
interface Vlan90
 ip address 10.77.90.12 255.255.255.0
!
interface Dialer0
 description DSL Einwahl
 ip address negotiated
 ip access-group 111 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip mtu 1452
 ip nbar protocol-discovery
 ip nat outside
 ip virtual-reassembly in
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 ppp authentication chap pap callin
 ppp chap hostname festXXX
 ppp chap password 7 060704721E1B0C175D
 ppp pap sent-username feste-XXX.de password 7 XXX
 no cdp enable
!
ip local pool SDM_POOL_1 10.77.90.100 10.77.90.110
no ip forward-protocol nd
ip http server
ip http secure-server
!
ip dns server
ip nat source static udp 10.77.50.104 500 interface Dialer0 500
ip nat source static udp 10.77.50.104 4500 interface Dialer0 4500
ip nat inside source list 101 interface Dialer0 overload
ip route 0.0.0.0 0.0.0.0 Dialer0
ip route 10.77.20.0 255.255.255.0 10.77.10.254
ip route 10.77.30.0 255.255.255.0 10.77.10.254
ip route 10.77.40.0 255.255.255.0 10.77.10.254
ip route 10.77.50.0 255.255.255.0 10.77.10.254
ip route 10.77.100.0 255.255.255.0 10.77.10.254
!
access-list 23 permit 10.77.100.0 0.0.0.255
access-list 23 permit 10.77.10.0 0.0.0.255
access-list 23 permit 10.77.30.0 0.0.0.255
access-list 100 remark CCP_ACL Category=4
access-list 100 permit ip 10.77.0.0 0.0.255.255 any
access-list 101 permit ip 10.77.10.0 0.0.0.255 any
access-list 101 permit ip 10.77.20.0 0.0.0.255 any
access-list 101 permit ip 10.77.30.0 0.0.0.255 any
access-list 101 permit ip 10.77.40.0 0.0.0.255 any
access-list 101 permit ip 10.77.100.0 0.0.0.255 any
access-list 101 deny   ip host 10.77.50.104 any
access-list 101 permit ip 10.77.50.0 0.0.0.255 any
dialer-list 1 protocol ip list 101
!
line con 0
line aux 0
line vty 0 4
 password 7 153C0E181E3D2E362362
 transport input all
!
ntp server 10.77.20.3
end

Vielen Dank schon mal für eure Hilfe und noch einen schönen Abend,
Joerg

Please also mark the comments that contributed to the solution of the article

Content-Key: 283186

Url: https://administrator.de/contentid/283186

Printed on: April 25, 2024 at 22:04 o'clock

2 Comments

Latest comment

Das Tutorial dazu hier im Forum hast du gelesen ??
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV

Dort steht genau was du machen musst ! Essentiell wichtig ist zu wissen of du CBAC Accesslisten hast in Verbindung mit dem Firewall Image oder Standard ACLs.
Das Tutorial zeigt dir auch ein paar kosmetische Fehler die deinen Konfig hat und die du besser noch korrigieren solltest. (Default Route bei PPP usw. )

Noch eine zusätzlich Frage:
1.)
UDP 500 und UDP 4500 "riecht" danach das du IPsec durchleiten willst, richtig ?
IPsec besteht zusätzlich zu diesen Ports im wesentlichen aus ESP ("Encapsulation Security Payload", IP Protokoll 51) das die Nutzdaten im Tunnel transportiert. Ohne ESP Forwarding also kein IPsec, das sollte dir klar sein ?!
2.)
Warum terminierst du IPsec nicht direkt auf dem Cisco ? Der kann das sicher besser als dein Device dahinter und du ersparst dir die Frickelei mit Port Forwarding.
Das beides solltest du auch mal klären bevor wir ins Eingemachte gehen hier...?!

Ein weiteres KO Kriterium ! Im Dialer Interface steht:
ip access-group 111 in

WO ist diese Access List 111 ?? In der Konfig existiert sie nicht !! Damit gilt dann deny any any inbound auf dem Dialer Interface.
Irgendwie ist zu befürchten das hier ein ziemlicher Konfig Fehler begangen wurde was die ACLs anbetrifft.
Richte dich nach dem o.a. Tutorial zum Cisco 886va dort steht genau beschrieben wie so einen ACL auf dem Dialer Interface umzusetzen ist.
Richtig sähe eine inbound ACL die IPsec (fett) durchlässt so aus:
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any eq ntp any
access-list 111 permit udp any any eq 500
access-list 111 permit udp any any eq 4500
access-list 111 permit esp any any
access-list 111 deny ip any any

Das ist aber nur die halbe Miete. Du musst IPsec ja auch noch intern forwarden. Dazu musst du dann auch noch ein Port Forwarding einrichten:
ip nat inside source static int dialer0 10.77.1.1 extendable

German Question Routers, Routing Networks

Hotly discussed

Check of ZFW Firewallgleixnerd - 5 Comments