Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst [Prob] Site-to-Site VPN Cisco 876 vs NS50

Mitglied: 38697

38697 (Level 1)

06.02.2007, aktualisiert 08.02.2007, 8353 Aufrufe, 4 Kommentare

Hallo,

ich habe folgendes Problem und sehe den Fehler nicht. Ich möchte ein Site-to-Site VPN mittels Cisco 876 und einer Juniper NetScreen 50 aufbauen.
Eckdaten der Verbindung sind:
Verwenden von Pre-Share-Key, DH-Gruppe 2, 3DES und MD5, kein PFS. NS50 hat eine feste IP, mit anderen Geräten klappt der Tunnel auch. Ist allerdings mein erster Cisco-VPN-Versuch.
Der 876 hängt an einem ADSL-Anschluss mit dyn. IP, der wählt sich soweit auch ein, es hängt auch nur ein Rechner dran, der auch surfen kann.
Allerdings unternimmt er nicht mal den Versuch einen Tunnel aufzubauen (kein Eintrag im Log in der NS).
Die Konfig des 876 ist wie folgt:

(schnipp)
Current configuration : 2607 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
no aaa new-model
!
resource policy
!
ip subnet-zero
no ip cef
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.1.1
!
ip dhcp pool dhcppool
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
dns-server xxx.xxx.xxx.xxx
!
ip name-server xxx.xxx.xxx.xxx
ip name-server xxx.xxx.xxx.xxx
!
crypto isakmp policy 3
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key geheim address IPNS50
!
crypto isakmp peer address IPNS50
set aggressive-mode password geheim
set aggressive-mode client-endpoint user-fqdn cisco@test.de
!
crypto ipsec security-association lifetime seconds 86400
!
crypto ipsec transform-set 3des-md5 esp-3des esp-md5-hmac
!
crypto map VPN 30 ipsec-isakmp
set peer IPNS50
set transform-set 3des-md5
match address 130
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
!
interface ATM0
description ADSL Interface$ES_WAN$
no ip address
no ip redirects
no ip route-cache
no ip mroute-cache
load-interval 30
timeout absolute 71582 0
no atm ilmi-keepalive
pvc 1/32
pppoe-client dial-pool-number 1
!
dsl operating-mode auto
!
interface FastEthernet0
no cdp enable
crypto map VPN
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
ip address 192.168.1.1 255.255.255.0
ip access-group 101 in
ip nat inside
ip virtual-reassembly
!
interface Dialer1
ip address negotiated
no ip redirects
ip mtu 1492
ip nat outside
no ip virtual-reassembly
encapsulation ppp
no ip route-cache
ip tcp adjust-mss 1420
no ip mroute-cache
load-interval 30
dialer pool 1
dialer idle-timeout 0
dialer persistent
dialer-group 1
no cdp enable
ppp authentication pap callin
ppp chap refuse
ppp pap sent-username geheim password 7 geheim
ppp ipcp dns request
crypto map VPN
!
interface Dialer0
no ip address
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
!
ip http server
no ip http secure-server
ip nat inside source list 100 interface Dialer1 overload
!
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 100 remark SDM_ACL Category=2
access-list 100 permit ip 192.168.1.0 0.0.0.255 any
access-list 101 permit ip any any
access-list 130 permit ip 192.168.1.0 0.0.0.255 192.168.10.0 0.0.0.255
dialer-list 1 protocol ip permit
!
control-plane
!
line con 0
no modem enable
line aux 0
line vty 0 4
!
scheduler max-task-time 5000
end

(schnapp)

Das "crypto map VPN" hatte ich jetzt schon auf jedem Interface. Wie gestalte ich die Route?
Vielleicht kann mir ja jemand helfen.
Danke und beste Grüße
Schramme
Mitglied: 38697
06.02.2007 um 16:11 Uhr
Die Zeilen mit bevorstehendem ! sind nicht auskommentiert - das hat hier das Forum gemacht. Also zwischen '!' und dem Rest der Zeile ist ein neuer Zeilenanfang.
Bitte warten ..
Mitglied: aqui
06.02.2007 um 17:49 Uhr
Hier kannst du sehen wie das zu einer Checkpoint FW funktioniert. Die Router Config auf einen Juniper Netscreen dürfte identisch sein, da das gleiche Protokoll (IPsec) verwendet wird....
Bitte warten ..
Mitglied: 38697
07.02.2007 um 15:32 Uhr
Hallo,

so das Problem wäre schon gelöst. Danke für den guten Link. Mit dieser Konfig hat's geklappt:

01.
Router#sh run 
02.
Building configuration... 
03.
 
04.
Current configuration : 2435 bytes 
05.
06.
version 12.4 
07.
no service pad 
08.
service timestamps debug datetime msec 
09.
service timestamps log datetime msec 
10.
no service password-encryption 
11.
12.
hostname Router 
13.
14.
boot-start-marker 
15.
boot-end-marker 
16.
17.
18.
no aaa new-model 
19.
20.
resource policy 
21.
22.
ip subnet-zero 
23.
ip cef 
24.
no ip dhcp use vrf connected 
25.
26.
ip dhcp pool dhcppool 
27.
   network 192.168.1.0 255.255.255.0 
28.
   default-router 192.168.1.1  
29.
   dns-server DNS_IP1  
30.
31.
32.
no ip domain lookup 
33.
ip name-server DNS_IP2  
34.
ip name-server DNS_IP3 
35.
36.
37.
38.
39.
!  
40.
41.
crypto isakmp policy 1 
42.
 encr 3des 
43.
 hash md5 
44.
 authentication pre-share 
45.
 group 2 
46.
crypto isakmp key GEHEIM address GEGENSTELLE_IP 
47.
48.
crypto isakmp peer address GEGENSTELLE_IP 
49.
 set aggressive-mode password GEHEIM 
50.
 set aggressive-mode client-endpoint user-fqdn cisco@test.de  
51.
52.
crypto ipsec security-association lifetime seconds 28800 
53.
54.
crypto ipsec transform-set rtpset esp-3des esp-md5-hmac  
55.
56.
crypto map rtp 1 ipsec-isakmp  
57.
 set peer GEGENSTELLE_IP 
58.
 set transform-set rtpset  
59.
 match address 115 
60.
61.
62.
63.
interface BRI0 
64.
 no ip address 
65.
 encapsulation hdlc 
66.
 shutdown 
67.
68.
interface ATM0 
69.
 description ADSL Interface$ES_WAN$ 
70.
 no ip address 
71.
 no ip redirects 
72.
 no ip route-cache cef 
73.
 no ip route-cache 
74.
 no ip mroute-cache 
75.
 load-interval 30 
76.
 timeout absolute 71582 0 
77.
 no atm ilmi-keepalive 
78.
 pvc 1/32  
79.
  pppoe-client dial-pool-number 1 
80.
81.
 dsl operating-mode auto  
82.
83.
interface FastEthernet0 
84.
85.
interface FastEthernet1 
86.
87.
interface FastEthernet2 
88.
89.
interface FastEthernet3 
90.
91.
interface Vlan1 
92.
 ip address 192.168.1.1 255.255.255.0 
93.
 ip access-group 101 in 
94.
 ip nat inside 
95.
 ip virtual-reassembly 
96.
97.
interface Dialer1 
98.
 ip address negotiated 
99.
 no ip redirects 
100.
 ip mtu 1492 
101.
 ip nat outside 
102.
 no ip virtual-reassembly 
103.
 encapsulation ppp 
104.
 no ip route-cache cef 
105.
 no ip route-cache 
106.
 ip tcp adjust-mss 1420 
107.
 no ip mroute-cache 
108.
 load-interval 30 
109.
 dialer pool 1 
110.
 dialer idle-timeout 0 
111.
 dialer persistent 
112.
 dialer-group 1 
113.
 no cdp enable 
114.
 ppp authentication pap callin 
115.
 ppp chap refuse 
116.
 ppp pap sent-username GEHEIM password 7 GEHEIM 
117.
 ppp ipcp dns request 
118.
 crypto map rtp 
119.
120.
ip classless 
121.
ip route 0.0.0.0 0.0.0.0 Dialer1 
122.
123.
no ip http server 
124.
no ip http secure-server 
125.
ip nat inside source route-map nonat interface Dialer1 overload 
126.
127.
access-list 115 permit ip 192.168.1.0 0.0.0.255 any 
128.
dialer-list 1 protocol ip permit 
129.
route-map nonat permit 10 
130.
 match ip address 120 
131.
132.
133.
control-plane 
134.
135.
136.
line con 0 
137.
 no modem enable 
138.
line aux 0 
139.
line vty 0 4 
140.
141.
scheduler max-task-time 5000 
142.
end
Wenn das mal keine schnelle Problemlösung war...
Viele Grüße
Schramme
Bitte warten ..
Mitglied: aqui
08.02.2007 um 01:33 Uhr
Dann kannst du den Thread ja als "gelöst" markieren !
Bitte warten ..
Ähnliche Inhalte
Router & Routing

Cisco 5505 kein Internet nach Site-to-Site VPN

gelöst Frage von dz1987Router & Routing3 Kommentare

Hallo, über die Suche habe ich leider zu diesem spezifischen Problem nichts finden können. (Oder ich bin zu blöd) ...

LAN, WAN, Wireless

Site to Site VPN FritzBox

gelöst Frage von marni1996LAN, WAN, Wireless7 Kommentare

Hallo Zusammen, Ich versuche vergeblich eine VPN Verbindung zwischen Office <> RZ herzustellen. Leider klappt es nicht im RZ ...

Firewall

Site-to-Site-VPN und Cisco VPN-Client von gleicher IP

gelöst Frage von TripleDoubleFirewall2 Kommentare

Hallo Forum und Cisco-ASA-Spezialisten, ich habe folgendes Szenario (und im Internet leider nichts Passendes gefunden): zwei Standorte A und ...

Router & Routing

Mikrotik Site to Site VPN Firewall Probleme

gelöst Frage von Rolf-HankaRouter & Routing19 Kommentare

Hallo Leute, ich habe mal eine kleine Frage. Ich habe hier zwei Mikrotik Router. Einer hat extern eine feste ...

Neue Wissensbeiträge
Suche Projektpartner

PC Recycling Projekte mit Flüchtlingen und Kids suchen Materialspenden und Mitmacher!

Erfahrungsbericht von NettePCyclePiraten vor 8 StundenSuche Projektpartner

Hallöchen liebe Kollegen, ich betreue zwei PC-Gruppen im Raum Dortmund: "Ne#e PCycle Pir@ten" & "PCschr@uber Br@mbauer" Wir sind eine ...

iOS
IOS 12.2 beta und OpenVPN iPad und iPhone
Erfahrungsbericht von magicteddy vor 15 StundeniOS

Moin, kleiner Hinweis an die experimentierfreudigen unter Euch: Bei der aktuellen beta gibt es ein Problem im Zusammenspiel zwischen ...

Vmware
VMware Tools 10.3 verfügbar
Information von sabines vor 19 StundenVmware

Eine Sicherheitslücke wird mit den Tools der Version 10.3 geschlossen, die Tools müssen auf jeder VM aktualisiert werden. Näheres ...

Apple

Apple aktualisiert MacBook Pro, mit bis zu sechs Kernen

Information von Vision2015 vor 3 TagenApple

Jawohlchen das Warten hat sich gelohnt :-) Apple aktualisiert MacBook Pro Frank

Heiß diskutierte Inhalte
Microsoft
Dringend: Nach neustart kein zugriff mehr per RDP möglich - vermutlich wegen gelöschter SID in AD
gelöst Frage von sven784230Microsoft30 Kommentare

Hallo zusammen, gerade hat ein Server 2012 (terminalserver + Active directory) einen geplanten Neustart durchgeführt, wenn ich mich jetzt ...

Exchange Server
Exchange 2013 - Update schlägt fehlt
gelöst Frage von chb1982Exchange Server20 Kommentare

Hallo zusammen, kann sich jemand einen Reim auf die unten stehenden Fehlermeldung machen? Sie tritt auf beim Update von ...

Firewall
Pfsense - Package Manager - Unable to retrieve package information
Frage von nubyFirewall12 Kommentare

Hallo! Ich habe mit verschiedenen Versionen von Pfsense Probleme neue Packages herunterzuladen. Bei Pfsense 2.3.1 oder 2.3.5 heißt es: ...

Verschlüsselung & Zertifikate
Windows PKI root Zertifikate werden nicht aktualisiert
Frage von Chaser21aVerschlüsselung & Zertifikate10 Kommentare

Hallo Community, wir haben eine eigene Unternehmens PKI im Einsatz. Aktuell gibt es das Problem, dass mehrere ROOT- und ...