Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Probleme mit Cisco 871 Easy VPN Server

Mitglied: herr-der-degen

herr-der-degen (Level 1) - Jetzt verbinden

27.11.2007, aktualisiert 28.11.2007, 8287 Aufrufe, 7 Kommentare

Hallo Welt!

Ich habe folgendes Problem: Ich soll ein VPN Aufsetzen (Cisco Client 5.0 auf Cisco 871). Nun habe ich die Kiste auf Werkseinstellungen resetet und möchte testweise ohne Firewall und sonst einem Schnick-Schnack ein VPN aufsetzen. Das Dumme ist nur, die VPN-Verbindung steht (laut Router und Client) nur ich komme nicht ins Firmennetzwerk. Leider habe ich mein letztes VPN vor Jahren aufgesetzt und das auch nur als Test......Das Firmennetzerk ist das 192.168.1.0 ....Muss ich ein statisches Routing einstellen? Muss ich irgendwelche Adressen NATen? Ich muss ja auch auf dem Easy-VPN-Server einen Adresspool für die Clients angeben..die stehen gerade auf dem 192.168.3.0....Naja, auf jeden Fall ist der Easy-VPN-Server nicht so EASY....Hab jetzt einfach mal wild rumgeroutet und rumgenatet. Es hat doch sicher jemand einen Lösungsansatz.....


Hier mal die Konfig:

vpn1#sh conf
Using 3470 out of 131072 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname testvpn
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
enable secret 5 XXXXXXXXXXXXXX
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization exec default local
aaa authorization network sdm_vpn_group_ml_1 local
!
aaa session-id common
!
resource policy
!
ip subnet-zero
ip cef
!
!
no ip domain lookup
ip domain name einstest.de
!
!
crypto pki trustpoint TP-self-signed-479012268
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-479012268
revocation-check none
rsakeypair TP-self-signed-479012268
!
!
crypto pki certificate chain TP-self-signed-479012268
certificate self-signed 01 nvram:IOS-Self-Sig#3806.cer
username admin privilege 15 secret 5 XXXXXXXXXXXX
!
!
!!
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group EINSTEST
key XXXXXXX
pool SDM_POOL_1
netmask 255.255.255.0
crypto isakmp profile sdm-ike-profile-1
match identity group EINSTEST
isakmp authorization list sdm_vpn_group_ml_1
client configuration address respond
virtual-template 1
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
!
crypto ipsec profile SDM_Profile1
set transform-set ESP-3DES-SHA
set isakmp-profile sdm-ike-profile-1
!
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description $ES_WAN$
no ip address
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface Virtual-Template1 type tunnel
ip unnumbered Dialer0
tunnel mode ipsec ipv4
tunnel protection ipsec profile SDM_Profile1
!
interface Virtual-Template1 type tunnel
ip unnumbered Dialer0
tunnel mode ipsec ipv4
tunnel protection ipsec profile SDM_Profile1
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$
ip address 192.168.1.5 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1412
!
interface Dialer0
ip address negotiated
ip mtu 1452
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication chap pap callin
ppp chap hostname XXXXXXXXXXXXXXXXXXXXXXXXX
ppp chap password XXXXXXXXXXX
ppp pap sent-username XXXXXXXXXXXXXXX password XXXXXXXXXX
7
!
ip local pool SDM_POOL_1 192.168.3.2 192.168.3.20
ip local pool SDM_POOL_2 192.168.1.40 192.168.1.50
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
ip route 192.168.3.0 255.255.255.0 Vlan1
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat pool TEST 192.168.3.1 192.168.3.40 netmask 255.255.255.0
ip nat pool test2 192.168.1.0 192.168.1.40 netmask 255.255.255.0
ip nat pool tzest3 192.168.1.40 192.168.1.50 netmask 255.255.255.0
ip nat inside source list 1 interface Dialer0 overload
ip nat outside source list test pool tzest3
!
ip access-list extended test
remark SDM_ACL Category=2
permit ip any any
!
access-list 1 remark INSIDE_IF=Vlan1
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 192.168.1.0 0.0.0.255
dialer-list 1 protocol ip permit
no cdp run
!
control-plane
!
banner login ^CAuthorized access only!
Disconnect IMMEDIATELY if you are not an authorized user!^C
!
line con 0
no modem enable
line aux 0
line vty 0 4
transport input telnet ssh
!
scheduler max-task-time 5000
end





DANKE!
Mitglied: spacyfreak
27.11.2007 um 10:18 Uhr
Mach doch mal debugging an, das zeigt dann wo es hängenbleibt, wenn es hängenbleibt.
Nach dem Troubleshooting wieder debugging ausschalten, es frisst ressourcen.

Wenn das VPN an sich funktioniert, aber keine Verbindung ins Intranet funzen will, fehlt Dir wahrscheinlich eine Route auf euerm Firmenrouter, damit die Pakete vom Intranet-Subnetz in das VPN-IP-Pool Subnetz gelangen können.
Dass du öffentliche IPs in private immer Natten musst ist denke ich eh klar.
Die getunnelte IP muss jedoch nicht genattet werden, da diese ja im Tunnelmode "eingekapselt" wird in ein anderes IP-Paket.

Tracert probiert?
Bitte warten ..
Mitglied: aqui
27.11.2007 um 10:34 Uhr
Das .3.0er Netz ist sicher dein Problem, wenn du es im Netzwerk nicht propagierst und andere Geräte die du anpingen willst dieses Netzwerk nicht kennen. Wie sollte dann die Rückroute klappen für ein ping reply....
Deine Route
ip route 192.168.3.0 255.255.255.0 Vlan1
ist ebenfalls Unsinn, denn damit routest du ja Packete an das .3.0er Netz direkt und pauschal auf den Adapter VLAN1 an dem aber ein anderes Netz hängt !!! Das Netz.3.0 hängt ja an dir selber (871) dran, deshalb ist so eine Route eigentlich vollkommener Unsinn...sorry und vielleicht der Grund deines Fehlers, denn alle Packete mit einer .3.0er Zieladresse gehen ja damit nicht in den VPN Tunnel sondern auf VLAN1 raus ins 192.168.1.0er Netz und damit ins Nirwana !
Ein Ping auf die 871 Router .3.0er Adresse sollte aber immer klappen, da du ja dann nichts externes anpingst.
Ein Debug ist aber wie einfach.... schon richtig bemerkt hat der Schlüssel zum Erfolg !
Bitte warten ..
Mitglied: herr-der-degen
27.11.2007 um 11:47 Uhr
Erstmal danke für die prommte Antwort. War natürlich das Routingproblem am Gateway! Komm wunderbar auf (fast) alle Geräte im Netzwerk. DNS-Auflösung läuft super, nur lässt sich der PDC (192.168.1.2) nicht pingen....lokal funktioniert es. Der SDC mit der.3....ja...da komm ich drauf. Wenn ihr da noch nen Denkanreitz habt, wäre super!
Bitte warten ..
Mitglied: aqui
27.11.2007 um 18:17 Uhr
Vermutlich blockt die lokale Firewall im PDC ICMP Packete !

Eigenschaften der LAN Verbindung -> Erweitert -> Windows Firewall, Einstellungen -> Erweitert -> ICMP, Einstellungen: Hier muss der Haken gesetzt sein bei eingehende Echoanforderungen zulassen !
Bitte https://www.administrator.de/index.php?faq=32 nicht vergessen wenns das war !
Bitte warten ..
Mitglied: herr-der-degen
28.11.2007 um 10:27 Uhr
Nein, leider ist das auch nicht das Problem. Habs schon mit "herunter gelassenen Hosen" (Firewall deakt.) probiert. Es ist einfach nur seltsam. Im lokalen Netz ist der PDC auch der Hauptfileserver....nie Probleme mit der Kiste. DHCP u. DNS Server.....Es ist einfach nur komisch, dass ich jede Kiste bis zum NW-Drucker erreiche, nur den wichtigsten Server nicht.
Bitte warten ..
Mitglied: aqui
28.11.2007 um 12:04 Uhr
Sind Server und Cisco in einem IP Netz ???
Hat der Server ggf. eine andere Standardgateway Adresse und dort ist das .3er Netz nicht bekannt ??
Vermutlich ein Routing Problem, wenns die FW wirklich nicht ist...
Bitte warten ..
Mitglied: herr-der-degen
28.11.2007 um 12:52 Uhr
Server und die beiden Ciscos sind alle im selben Netz. Auf dem Standardgateway (192.168.1.1) ist ein statisches Routing eingerichtet: 192.168.3.0 an Router 192.168.1.5 (VPN-Router). Vom VPN-Router ein statisches Routing auf das Gateway mit allen Anfragen von Netz 3.0 an 1.0...Aber wie gesagt, Namensauflösung kommt vom Secondary-DC, alle anderen Maschienen sind erreichbar...Warscheinlich bleibt mir nur übrig, am Wochenende alles auseinander zu nehmen.....
PDC hat natürlich auch das einzige Gateway eingetragen......
Bitte warten ..
Ähnliche Inhalte
Festplatten, SSD, Raid
Probleme mit Easy BCD 2.3
Frage von ironbladerFestplatten, SSD, Raid1 Kommentar

Hallo, habe folgendes Problem: 1x Samsung SSD Laufwerk c:\ Windows 10 x64 1x Crucial SSD Laufwerk d:\ Windows 8.1 ...

Router & Routing
Probleme mit VPN server
Frage von kenmasterRouter & Routing2 Kommentare

Hallo,ich besitze seit kurzen einen Zugang zum VPN server anbieter ist PP. Mein erstes Problem war das trotz DNS ...

Voice over IP
Cisco 7960 Probleme
Frage von uridium69Voice over IP5 Kommentare

Folgende Probleme habe ich beim Cisco 7960: - Eingehende Anrufe (intern wie auch extern) klingeln, aber nimmt man ab, ...

Netzwerke
Cisco UDLD Probleme mit LWL
gelöst Frage von apranetNetzwerke6 Kommentare

Guten Tag Netzwerkfreunde, ich komme mit einer Sache einfach nicht weiter und bitte um eure Unterstützung. Wir haben 3 ...

Neue Wissensbeiträge
Windows 10

Microcode-Updates KB4090007, KB4091663, KB4091664, KB4091666 für Windows 10

Information von kgborn vor 4 StundenWindows 101 Kommentar

Kurze Information für Administratoren von Windows 10-Systemen, die mit neueren Intel CPUs laufen. Microsoft hat zum 23. April 2018 ...

iOS
Updates für Iphone und Co
Information von sabines vor 7 StundeniOS

Gestern abend ist iOS 11.3.1 erschienen, ein kleineres Update, dass einige Lücken schließt und "Lahmlegen" nach einem Display Tausch ...

Windows 7

Windows 7 - Server 2008 R2: Exploit für Total Meltdown verfügbar

Information von kgborn vor 1 TagWindows 7

Kleine Information für Administratoren, die für die Updates von Windows 7 SP1 und Windows Server 2008 R2 SP1 verantwortlich ...

Sicherheit

Zero Day-Schwachstelle im Internet Explorer - wird von APT bereits ausgenutzt

Information von kgborn vor 2 TagenSicherheit

Im Kernel des Internet Explorer scheint es eine Zero Day-Lücke zu geben, die von staatlichen Akteuren (APT) im Rahmen ...

Heiß diskutierte Inhalte
C und C++
Frage1 C Programmierung-Makefile Frage2 PHP-Programmierung HTTP-Fehler 404
Frage von KatalinaC und C++33 Kommentare

Hallo, ich habe 2 Fragen, die nichts miteinander zu tun haben aber mit denen ich mich gerade beschäftige: 1. ...

LAN, WAN, Wireless
Watchguard T15 VPN Einrichtung
gelöst Frage von thomasjayLAN, WAN, Wireless25 Kommentare

Hallo zusammen, wir möchten gerne über unsere Watchguard T15 einen VPN-Tunnel (Mobile VPN with IPSec) einrichten! Als Client nutzen ...

Batch & Shell
Powershell: Im AD nach Comutern mit bestimmten IP-Adressen suchen
gelöst Frage von Raven42Batch & Shell21 Kommentare

Hallo zusammen, ich suche nach einer Möglichkeit nach Computern im AD zu suchen , deren IP-Adresse mit 10.11.12. beginnt. ...

Batch & Shell
Mit Powershell den Inhalt einer Excel mit einer Text Datei abgleichen
Frage von Bommi1961Batch & Shell20 Kommentare

Hallo zusammen, ich muss den Inhalt einer Excel Datei (Mappe1) mit dem Daten einer Text Datei abgleichen. Die Daten ...