Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Probleme mit Cisco 871 Easy VPN Server

Mitglied: herr-der-degen

herr-der-degen (Level 1) - Jetzt verbinden

27.11.2007, aktualisiert 28.11.2007, 8294 Aufrufe, 7 Kommentare

Hallo Welt!

Ich habe folgendes Problem: Ich soll ein VPN Aufsetzen (Cisco Client 5.0 auf Cisco 871). Nun habe ich die Kiste auf Werkseinstellungen resetet und möchte testweise ohne Firewall und sonst einem Schnick-Schnack ein VPN aufsetzen. Das Dumme ist nur, die VPN-Verbindung steht (laut Router und Client) nur ich komme nicht ins Firmennetzwerk. Leider habe ich mein letztes VPN vor Jahren aufgesetzt und das auch nur als Test......Das Firmennetzerk ist das 192.168.1.0 ....Muss ich ein statisches Routing einstellen? Muss ich irgendwelche Adressen NATen? Ich muss ja auch auf dem Easy-VPN-Server einen Adresspool für die Clients angeben..die stehen gerade auf dem 192.168.3.0....Naja, auf jeden Fall ist der Easy-VPN-Server nicht so EASY....Hab jetzt einfach mal wild rumgeroutet und rumgenatet. Es hat doch sicher jemand einen Lösungsansatz.....


Hier mal die Konfig:

vpn1#sh conf
Using 3470 out of 131072 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname testvpn
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
enable secret 5 XXXXXXXXXXXXXX
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization exec default local
aaa authorization network sdm_vpn_group_ml_1 local
!
aaa session-id common
!
resource policy
!
ip subnet-zero
ip cef
!
!
no ip domain lookup
ip domain name einstest.de
!
!
crypto pki trustpoint TP-self-signed-479012268
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-479012268
revocation-check none
rsakeypair TP-self-signed-479012268
!
!
crypto pki certificate chain TP-self-signed-479012268
certificate self-signed 01 nvram:IOS-Self-Sig#3806.cer
username admin privilege 15 secret 5 XXXXXXXXXXXX
!
!
!!
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group EINSTEST
key XXXXXXX
pool SDM_POOL_1
netmask 255.255.255.0
crypto isakmp profile sdm-ike-profile-1
match identity group EINSTEST
isakmp authorization list sdm_vpn_group_ml_1
client configuration address respond
virtual-template 1
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
!
crypto ipsec profile SDM_Profile1
set transform-set ESP-3DES-SHA
set isakmp-profile sdm-ike-profile-1
!
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description $ES_WAN$
no ip address
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface Virtual-Template1 type tunnel
ip unnumbered Dialer0
tunnel mode ipsec ipv4
tunnel protection ipsec profile SDM_Profile1
!
interface Virtual-Template1 type tunnel
ip unnumbered Dialer0
tunnel mode ipsec ipv4
tunnel protection ipsec profile SDM_Profile1
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$
ip address 192.168.1.5 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1412
!
interface Dialer0
ip address negotiated
ip mtu 1452
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication chap pap callin
ppp chap hostname XXXXXXXXXXXXXXXXXXXXXXXXX
ppp chap password XXXXXXXXXXX
ppp pap sent-username XXXXXXXXXXXXXXX password XXXXXXXXXX
7
!
ip local pool SDM_POOL_1 192.168.3.2 192.168.3.20
ip local pool SDM_POOL_2 192.168.1.40 192.168.1.50
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
ip route 192.168.3.0 255.255.255.0 Vlan1
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat pool TEST 192.168.3.1 192.168.3.40 netmask 255.255.255.0
ip nat pool test2 192.168.1.0 192.168.1.40 netmask 255.255.255.0
ip nat pool tzest3 192.168.1.40 192.168.1.50 netmask 255.255.255.0
ip nat inside source list 1 interface Dialer0 overload
ip nat outside source list test pool tzest3
!
ip access-list extended test
remark SDM_ACL Category=2
permit ip any any
!
access-list 1 remark INSIDE_IF=Vlan1
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 192.168.1.0 0.0.0.255
dialer-list 1 protocol ip permit
no cdp run
!
control-plane
!
banner login ^CAuthorized access only!
Disconnect IMMEDIATELY if you are not an authorized user!^C
!
line con 0
no modem enable
line aux 0
line vty 0 4
transport input telnet ssh
!
scheduler max-task-time 5000
end





DANKE!
Mitglied: spacyfreak
27.11.2007 um 10:18 Uhr
Mach doch mal debugging an, das zeigt dann wo es hängenbleibt, wenn es hängenbleibt.
Nach dem Troubleshooting wieder debugging ausschalten, es frisst ressourcen.

Wenn das VPN an sich funktioniert, aber keine Verbindung ins Intranet funzen will, fehlt Dir wahrscheinlich eine Route auf euerm Firmenrouter, damit die Pakete vom Intranet-Subnetz in das VPN-IP-Pool Subnetz gelangen können.
Dass du öffentliche IPs in private immer Natten musst ist denke ich eh klar.
Die getunnelte IP muss jedoch nicht genattet werden, da diese ja im Tunnelmode "eingekapselt" wird in ein anderes IP-Paket.

Tracert probiert?
Bitte warten ..
Mitglied: aqui
27.11.2007 um 10:34 Uhr
Das .3.0er Netz ist sicher dein Problem, wenn du es im Netzwerk nicht propagierst und andere Geräte die du anpingen willst dieses Netzwerk nicht kennen. Wie sollte dann die Rückroute klappen für ein ping reply....
Deine Route
ip route 192.168.3.0 255.255.255.0 Vlan1
ist ebenfalls Unsinn, denn damit routest du ja Packete an das .3.0er Netz direkt und pauschal auf den Adapter VLAN1 an dem aber ein anderes Netz hängt !!! Das Netz.3.0 hängt ja an dir selber (871) dran, deshalb ist so eine Route eigentlich vollkommener Unsinn...sorry und vielleicht der Grund deines Fehlers, denn alle Packete mit einer .3.0er Zieladresse gehen ja damit nicht in den VPN Tunnel sondern auf VLAN1 raus ins 192.168.1.0er Netz und damit ins Nirwana !
Ein Ping auf die 871 Router .3.0er Adresse sollte aber immer klappen, da du ja dann nichts externes anpingst.
Ein Debug ist aber wie einfach.... schon richtig bemerkt hat der Schlüssel zum Erfolg !
Bitte warten ..
Mitglied: herr-der-degen
27.11.2007 um 11:47 Uhr
Erstmal danke für die prommte Antwort. War natürlich das Routingproblem am Gateway! Komm wunderbar auf (fast) alle Geräte im Netzwerk. DNS-Auflösung läuft super, nur lässt sich der PDC (192.168.1.2) nicht pingen....lokal funktioniert es. Der SDC mit der.3....ja...da komm ich drauf. Wenn ihr da noch nen Denkanreitz habt, wäre super!
Bitte warten ..
Mitglied: aqui
27.11.2007 um 18:17 Uhr
Vermutlich blockt die lokale Firewall im PDC ICMP Packete !

Eigenschaften der LAN Verbindung -> Erweitert -> Windows Firewall, Einstellungen -> Erweitert -> ICMP, Einstellungen: Hier muss der Haken gesetzt sein bei eingehende Echoanforderungen zulassen !
Bitte https://www.administrator.de/index.php?faq=32 nicht vergessen wenns das war !
Bitte warten ..
Mitglied: herr-der-degen
28.11.2007 um 10:27 Uhr
Nein, leider ist das auch nicht das Problem. Habs schon mit "herunter gelassenen Hosen" (Firewall deakt.) probiert. Es ist einfach nur seltsam. Im lokalen Netz ist der PDC auch der Hauptfileserver....nie Probleme mit der Kiste. DHCP u. DNS Server.....Es ist einfach nur komisch, dass ich jede Kiste bis zum NW-Drucker erreiche, nur den wichtigsten Server nicht.
Bitte warten ..
Mitglied: aqui
28.11.2007 um 12:04 Uhr
Sind Server und Cisco in einem IP Netz ???
Hat der Server ggf. eine andere Standardgateway Adresse und dort ist das .3er Netz nicht bekannt ??
Vermutlich ein Routing Problem, wenns die FW wirklich nicht ist...
Bitte warten ..
Mitglied: herr-der-degen
28.11.2007 um 12:52 Uhr
Server und die beiden Ciscos sind alle im selben Netz. Auf dem Standardgateway (192.168.1.1) ist ein statisches Routing eingerichtet: 192.168.3.0 an Router 192.168.1.5 (VPN-Router). Vom VPN-Router ein statisches Routing auf das Gateway mit allen Anfragen von Netz 3.0 an 1.0...Aber wie gesagt, Namensauflösung kommt vom Secondary-DC, alle anderen Maschienen sind erreichbar...Warscheinlich bleibt mir nur übrig, am Wochenende alles auseinander zu nehmen.....
PDC hat natürlich auch das einzige Gateway eingetragen......
Bitte warten ..
Ähnliche Inhalte
Festplatten, SSD, Raid
Probleme mit Easy BCD 2.3
Frage von ironbladerFestplatten, SSD, Raid1 Kommentar

Hallo, habe folgendes Problem: 1x Samsung SSD Laufwerk c:\ Windows 10 x64 1x Crucial SSD Laufwerk d:\ Windows 8.1 ...

Router & Routing
Probleme mit VPN server
Frage von kenmasterRouter & Routing2 Kommentare

Hallo,ich besitze seit kurzen einen Zugang zum VPN server anbieter ist PP. Mein erstes Problem war das trotz DNS ...

Netzwerke
Cisco UDLD Probleme mit LWL
gelöst Frage von apranetNetzwerke6 Kommentare

Guten Tag Netzwerkfreunde, ich komme mit einer Sache einfach nicht weiter und bitte um eure Unterstützung. Wir haben 3 ...

Voice over IP
Cisco 7960 Probleme
Frage von uridium69Voice over IP5 Kommentare

Folgende Probleme habe ich beim Cisco 7960: - Eingehende Anrufe (intern wie auch extern) klingeln, aber nimmt man ab, ...

Neue Wissensbeiträge
Apple

Apple aktualisiert MacBook Pro, mit bis zu sechs Kernen

Information von Vision2015 vor 2 TagenApple

Jawohlchen das Warten hat sich gelohnt :-) Apple aktualisiert MacBook Pro Frank

Verschlüsselung & Zertifikate

In-place Upgrade verschlüsselter Windows-Systeme mittels reflectdrivers

Tipp von DerWoWusste vor 3 TagenVerschlüsselung & Zertifikate1 Kommentar

Hinter diesem sperrigen Titel verbirgt sich die Info, dass offenbar seit Win10 v1607 im Windows-Setup (setup.exe der CD/des USB-Sticks) ...

Instant Messaging
Ejabberd auf ubuntu
Anleitung von horstvogel vor 4 TagenInstant Messaging

Anliegend erstelle ich eine Anleitung für die Installation eines ejabberd auf einem Ubuntu Server. Die Anleitung ist derzeit noch ...

Windows Server

Fehler in MMC "Zertifizierungsstelle" - Hieroglyphen

Tipp von emeriks vor 4 TagenWindows Server2 Kommentare

Hi, nichts weltbewegendes, nur als Info für Euch. Bin eben drüber gestolpert: Setup 1x Windows Server 2016 Datacenter Core ...

Heiß diskutierte Inhalte
Microsoft
Dringend: Nach neustart kein zugriff mehr per RDP möglich - vermutlich wegen gelöschter SID in AD
gelöst Frage von sven784230Microsoft21 Kommentare

Hallo zusammen, gerade hat ein Server 2012 (terminalserver + Active directory) einen geplanten Neustart durchgeführt, wenn ich mich jetzt ...

Exchange Server
Exchange 2013 - Update schlägt fehlt
gelöst Frage von chb1982Exchange Server19 Kommentare

Hallo zusammen, kann sich jemand einen Reim auf die unten stehenden Fehlermeldung machen? Sie tritt auf beim Update von ...

Hardware
Alte Hardware verkaufen
Frage von Lebowski23Hardware19 Kommentare

Hallo, durch größere Umbauten haben einiges an Hardware "rumliegen", die wir vielleicht noch verkaufen wollen. Es sind so ca. ...

Windows Server
Active Directory Probleme DC sieht sich nicht selbst als DC DNS Fehler?
Frage von Cisco7971Windows Server12 Kommentare

Moin zusammen, Angefangen hat die Suche damit, dass der Anmeldedienst immer angehalten wird, bei einem Neustart des DC. nach ...