8
Cisco ISR 1921 - VPN Einrichtung klappt nicht
Hallo,
ich versuche über unseren Cisco 1921 Router einen VPN-Server einzurichten, der die Einwahl mittels PPTP von außen ermöglicht. Leider klappt das Ganze nicht so richtig. Getestet habe ich bisher allerdings nur mit Apple iPhone 5 und MacBook Pro (die OS eigenen VPN Clients). Anbei mal meine Konfiguration des Routers:
ich versuche über unseren Cisco 1921 Router einen VPN-Server einzurichten, der die Einwahl mittels PPTP von außen ermöglicht. Leider klappt das Ganze nicht so richtig. Getestet habe ich bisher allerdings nur mit Apple iPhone 5 und MacBook Pro (die OS eigenen VPN Clients). Anbei mal meine Konfiguration des Routers:
Current configuration : 6588 bytes
!
! Last configuration change at 13:28:44 UTC Thu Aug 8 2013
! NVRAM config last updated at 12:44:46 UTC Wed Aug 7 2013
! NVRAM config last updated at 12:44:46 UTC Wed Aug 7 2013
version 15.1
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Cisco1921
!
boot-start-marker
boot-end-marker
!
!
logging buffered 51200 warnings
enable secret 4 <secret>
enable password cisco
!
no aaa new-model
!
!
no ipv6 cef
ip source-route
ip cef
!
!
!
ip dhcp excluded-address 10.80.1.1 10.80.1.15
ip dhcp excluded-address 10.80.1.200 10.80.1.254
!
ip dhcp pool local
network 10.80.1.0 255.255.255.0
default-router 10.80.1.254
dns-server 10.80.1.254
domain-name <name>
!
!
ip name-server <ns1>
ip name-server <ns2>
ip name-server 8.8.8.8
!
multilink bundle-name authenticated
!
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
l2tp tunnel timeout no-session 15
!
crypto pki token default removal timeout 0
!
crypto pki trustpoint TP-self-signed-2083690069
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2083690069
revocation-check none
rsakeypair TP-self-signed-2083690069
!
!
crypto pki certificate chain TP-self-signed-2083690069
certificate self-signed 01
3082022B 30820194 A0030201 02020101 300D0609 2A864886 F70D0101 05050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 32303833 36393030 3639301E 170D3133 30313232 31393338
33395A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D32 30383336
39303036 3930819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100D274 E1A0DE74 34991BDA 2EF2B9A4 BC80511C 09A5ACE8 419DD6C9 7FDB1E36
2ABA600A 43F71021 26808FD3 1C514566 5E2FBA5A 60A90015 1DA5D43E B3406124
2BD20ACD 5E6D3D56 12C2EC89 7560733D 1F1A2B20 BD7B9275 1CEFB5CD CF40C960
71A79316 F6A992FB 7A4D572E 5ED548A9 4F70048F 8F1F394B 04E8067B 2E08F658
7F210203 010001A3 53305130 0F060355 1D130101 FF040530 030101FF 301F0603
551D2304 18301680 14C612DF 06D8F371 1DF1AA57 16A569F6 10FCE451 82301D06
03551D0E 04160414 C612DF06 D8F3711D F1AA5716 A569F610 FCE45182 300D0609
2A864886 F70D0101 05050003 8181000F 780A0FD4 D1CB31B8 AE123816 A0D94868
65887115 D99B05BB AF41D8D0 CE2DDA8F CF288948 822CC63A EBC79A5E 793393D8
553CE8FC 53F45CB9 6E7BC6B5 A7777C89 641B4DAC 268C89AA 03290ADC 7594E4B9
5BC61B72 FBB83101 3C06B422 BBD115A9 084BAE46 55E01397 725A64FE 1C752A6C
1684BA28 65D91FE5 E26639D1 DFDB04
quit
license udi pid CISCO1921/K9 sn FGL1704224A
license boot module c1900 technology-package securityk9
license boot module c1900 technology-package datak9
!
!
username admin privilege 15 secret 4 <secret>
username NVE password 0 <password>
!
redundancy
!
!
!
!
!
!
!
!
!
!
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
description Lokales LAN
ip address 10.80.1.254 255.255.255.0
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1452
duplex auto
speed auto
!
interface GigabitEthernet0/1
description VDSL Internet Verbindung$ETH-WAN$
ip address dhcp
no ip redirects
no ip proxy-arp
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
!
interface Virtual-Template1
description PPTP Einwahl Interface fuer VPN-Zugang
no ip address
peer default ip address pool pptp_dialin
no keepalive
ppp encrypt mppe 128 required
ppp authentication ms-chap-v2
!
ip forward-protocol nd
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip dns server
ip nat inside source list 101 interface GigabitEthernet0/1 overload
!
access-list 1 remark INSIDE_IF=GigabitEthernet0/0
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 213759
Url: https://administrator.de/contentid/213759
Printed on: April 25, 2024 at 23:04 o'clock
8 Comments
Latest comment
Es wird besser.
Folgenden Konfigurationsausschnitte habe ich nun für die PPTP-Einwahl verwendet:
<code style="php">
aaa new-model
!
!
aaa authentication ppp default local
!
!
!
!
!
aaa session-id common
<code style="php">
vpdn enable
!
vpdn-group group1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
l2tp tunnel timeout no-session 15
und die dazugehörigen User-Accounts.
Ich kann mich nun problemlos mit meinem MacBook zuhause im Firmennetz über eine PPTP-Verbindung einloggen und auf die Netzwerkgeräte zugreifen und habe auch Internetzugriff.
Leider klappt das aber nicht für Windows-Rechner (Windows 7, Windows 8). Hier bekomme ich ständig Fehler 619 (MS-CHAP2 Protokoll eingestellt).
Mit dem iPhone kann ich mich zwar einwählen, aber dann habe ich keinerlei Zugriff ins Netzwerk, also weder auf Geräte noch ins Internet.
Weiß jemand Rat?
Folgenden Konfigurationsausschnitte habe ich nun für die PPTP-Einwahl verwendet:
<code style="php">
aaa new-model
!
!
aaa authentication ppp default local
!
!
!
!
!
aaa session-id common
<code style="php">
vpdn enable
!
vpdn-group group1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
l2tp tunnel timeout no-session 15
interface Virtual-Template1
ip unnumbered GigabitEthernet0/0
peer default ip address pool PPTP
ppp encrypt mppe auto required
ppp authentication ms-chap ms-chap-v2
!
ip local pool PPTP 10.80.1.10 10.80.1.19und die dazugehörigen User-Accounts.
Ich kann mich nun problemlos mit meinem MacBook zuhause im Firmennetz über eine PPTP-Verbindung einloggen und auf die Netzwerkgeräte zugreifen und habe auch Internetzugriff.
Leider klappt das aber nicht für Windows-Rechner (Windows 7, Windows 8). Hier bekomme ich ständig Fehler 619 (MS-CHAP2 Protokoll eingestellt).
Mit dem iPhone kann ich mich zwar einwählen, aber dann habe ich keinerlei Zugriff ins Netzwerk, also weder auf Geräte noch ins Internet.
Weiß jemand Rat?
Ja, das ist klar, denn ein die neueren Winblows Versionen erzwingen eine 128 Bit Verschlüsselung !
Die folgende Konfig:
Interface Virtual-Template1
ip unnumbered GigabitEthernet0/0
no keepalive
no cdp enable
peer default ip address pool PPTP
ppp encrypt mppe 128 required
ppp authentication ms-chap-v2
löst dein Problem sofort. Wärst du auch sicher selber draufgekommen wenn du nur einmal ein Blick in dieses Tutorial geworfen hättest, dort ist das explizit erklärt.
L2TP ist natürlich Blödsinn in der Cisco Konfig, denn das nutzt du ja gar nicht. Besser also mit "no ..." entfernen !
Ggf. zusätzlich noch hier was die Client Settings angeht, denn hier sollte der Client dediziert im PPTP Mode stehen und NICHT "auto".
Beachte zudem das bei den neueren Windows Versionen das VPN als öffentliches Netzwerk in den Firewall Settings deklariert wird. Zugriffe auf Clients ohne aktive Session sind so nicht möglich.
Benötigst du vermutlich auch nicht für nur remoten Zugriff ?!
Sinnvoll wäre zur PPTP Einwahl auch ein Auszug aus dem Cisco Log was du mit "show logg" einsehen kannst !
Noch sinnvoller wäre es mal den Debugger mit "debug pptp xyz" zu aktivieren um zu sehen was der Cisco zur Client Einwahl denn so zu sagen hat.
Die o.a. Konfig funktioniert aber fehlerfrei mit einem aktuellen Win 7 Client und auch einem aktuellen iPhone 5.
Die folgende Konfig:
Interface Virtual-Template1
ip unnumbered GigabitEthernet0/0
no keepalive
no cdp enable
peer default ip address pool PPTP
ppp encrypt mppe 128 required
ppp authentication ms-chap-v2
löst dein Problem sofort. Wärst du auch sicher selber draufgekommen wenn du nur einmal ein Blick in dieses Tutorial geworfen hättest, dort ist das explizit erklärt.
L2TP ist natürlich Blödsinn in der Cisco Konfig, denn das nutzt du ja gar nicht. Besser also mit "no ..." entfernen !
Ggf. zusätzlich noch hier was die Client Settings angeht, denn hier sollte der Client dediziert im PPTP Mode stehen und NICHT "auto".
Beachte zudem das bei den neueren Windows Versionen das VPN als öffentliches Netzwerk in den Firewall Settings deklariert wird. Zugriffe auf Clients ohne aktive Session sind so nicht möglich.
Benötigst du vermutlich auch nicht für nur remoten Zugriff ?!
Sinnvoll wäre zur PPTP Einwahl auch ein Auszug aus dem Cisco Log was du mit "show logg" einsehen kannst !
Noch sinnvoller wäre es mal den Debugger mit "debug pptp xyz" zu aktivieren um zu sehen was der Cisco zur Client Einwahl denn so zu sagen hat.
Die o.a. Konfig funktioniert aber fehlerfrei mit einem aktuellen Win 7 Client und auch einem aktuellen iPhone 5.
1
Hallo,
erstmal vielen Dank für deine Antwort. Ich habe die Verschlüsselung wie oben auf 128 Bit umgestellt und das normale ms-chap verfahren entfernt. Leider weiß ich nicht, wie ich das l2tp entfernen kann??
Aktueller Stand ist, dass ich mich auf jeden Fall mit einem iPhone einwählen kann. Ich bekomme sogar Zugriff auf Netzwerkressourcen. Allerdings habe ich keine Internetverbindung mehr. Auf dem MacBook habe ich dieses Problem nicht, dort habe ich WAN Zugriff.
Die Geschichte mit Windows 8 habe ich noch immer nicht hinbekommen. Stets Fehler 619.
erstmal vielen Dank für deine Antwort. Ich habe die Verschlüsselung wie oben auf 128 Bit umgestellt und das normale ms-chap verfahren entfernt. Leider weiß ich nicht, wie ich das l2tp entfernen kann??
Aktueller Stand ist, dass ich mich auf jeden Fall mit einem iPhone einwählen kann. Ich bekomme sogar Zugriff auf Netzwerkressourcen. Allerdings habe ich keine Internetverbindung mehr. Auf dem MacBook habe ich dieses Problem nicht, dort habe ich WAN Zugriff.
Die Geschichte mit Windows 8 habe ich noch immer nicht hinbekommen. Stets Fehler 619.
Entfernen der l2tp Konfig Einträge:
conf t
vpdn-group group1
no l2tp tunnel timeout no-session 15
<ctrl z>
wr
Fertig, dann ist es weg !
Wenn du keine Internet Verbindung hast dann hast du den VPN Client so eingestellt das sein VPN Tunnel auch gleich das Default Gateway ist !!
Das muss man natürlich abschalten !
Bitte sieh in dies Tutorial:
VPNs einrichten mit PPTP
Dort ist das explizit in den "Client Einstellungen" mit roten Lettern erwähnt.
Gleiche Konfig oben funktioniert hier mit iPhone und iPad und neuestem iOS vollkommen problemlos !
Was den Win 8 Client anbetrifft ist Error 619 so gut wie immer ein Firewall Problem ! D.h. Teile des Protokoll (meist ist es der GRE Tunnel) kommen nicht durch und dann kommt der PPTP Tunnel nicht zustande !
Wenn du einen mobilen Adapter für das Mobilfunknetz hast und einen billigen Surf Account dann blockieren in der Regel alle Provider die gängigen VPN Protokolle:
PPTP Fehler beim Verbinden 619
Da bleibt dann nichts anderes als in einen teureren Business Account zu wechseln.
Ansonsten musst du checken welches Firewall Profil Win 8 auf den VPN Link legt !! Vermutlich ist es das öffentliche, damit sind dann alle eingehenden Verbindungen blockiert.
Pass das also an dann klappt das.
Das es generell geht siehst du ja an der Tatsache das der rest der Welt damit funktioniert nur Winblows nicht !
conf t
vpdn-group group1
no l2tp tunnel timeout no-session 15
<ctrl z>
wr
Fertig, dann ist es weg !
Wenn du keine Internet Verbindung hast dann hast du den VPN Client so eingestellt das sein VPN Tunnel auch gleich das Default Gateway ist !!
Das muss man natürlich abschalten !
Bitte sieh in dies Tutorial:
VPNs einrichten mit PPTP
Dort ist das explizit in den "Client Einstellungen" mit roten Lettern erwähnt.
Gleiche Konfig oben funktioniert hier mit iPhone und iPad und neuestem iOS vollkommen problemlos !
Was den Win 8 Client anbetrifft ist Error 619 so gut wie immer ein Firewall Problem ! D.h. Teile des Protokoll (meist ist es der GRE Tunnel) kommen nicht durch und dann kommt der PPTP Tunnel nicht zustande !
Wenn du einen mobilen Adapter für das Mobilfunknetz hast und einen billigen Surf Account dann blockieren in der Regel alle Provider die gängigen VPN Protokolle:
PPTP Fehler beim Verbinden 619
Da bleibt dann nichts anderes als in einen teureren Business Account zu wechseln.
Ansonsten musst du checken welches Firewall Profil Win 8 auf den VPN Link legt !! Vermutlich ist es das öffentliche, damit sind dann alle eingehenden Verbindungen blockiert.
Pass das also an dann klappt das.
Das es generell geht siehst du ja an der Tatsache das der rest der Welt damit funktioniert nur Winblows nicht !
1
Hallo,
leider funktioniert der Befehl zum Entfernen des l2tp tunnels nicht:
leider funktioniert der Befehl zum Entfernen des l2tp tunnels nicht:
Cisco1921(config-vpdn)#no l2tp tunnel timeout no-session 15
^
% Invalid input detected at '^' marker.
Mmmhhh...komisch ?! Lösch sonst die ganze vpdn-group 1 nochmal, reboote den Router und lege die neu an mit
vpdn-group 1
accept-dialin
protocol pptp
virtual-template 1
!
Dann sollte das aber sicher weg sein !
vpdn-group 1
accept-dialin
protocol pptp
virtual-template 1
!
Dann sollte das aber sicher weg sein !
1
So hat's funktioniert. Danke.
Alles wird gut ! 
Wenns das denn war bitte dann auch
How can I mark a post as solved?
nicht vergessen !
Wenns das denn war bitte dann auch
How can I mark a post as solved?
nicht vergessen !
