Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Cisco 1941 VPN Nat über zwei Standorte

Frage Netzwerke Router & Routing

Mitglied: q16marvin

q16marvin (Level 1) - Jetzt verbinden

23.11.2011, aktualisiert 18.10.2012, 3491 Aufrufe, 8 Kommentare

Hallo,

irgendwo habe ich einen Denkfehler:

Standort 2 soll über Standort 1 auf Mandant zugreifen.

VPN's einwandfrei. Packete kommen von Standort 2 an Standort1 an. Werden aber von da nicht genattet und damit auch nicht weitergeleitet zu Mandant.

Zugriff auf Mandant von Standort 1 geht natürlich wunderbar.

Muss ich irgendwo den IP Kreis von Standort 2 (192.168.197.0) noch mit aufnehmen? Oder eine Route setzen?

Ich hoffe Ihr könnt mir helfen!

Vielen Dannk!



COnfig:


object-group network NO_Standort2
192.168.197.0 255.255.255.0

object-group network NO_Mandant
host 192.168.192.21
!
crypto ipsec transform-set ipsec_mandant esp-aes 256 esp-sha-hmac
crypto ipsec transform-set ipsec_standort2 esp-aes 256 esp-sha-hmac

crypto map SDM_CMAP_1 3 ipsec-isakmp
description Tunnel to peer 194.*.*.*
set peer 194.*.*.*
set transform-set ipsec_mandant
match address ipsec_mandant


crypto map SDM_CMAP_1 7 ipsec-isakmp
description Tunnel zu standort2
set peer *.*.*.*
set security-association lifetime seconds 28800
set transform-set ipsec_standort2
match address ipsec_standort2

interface GigabitEthernet0/0
description Customer LAN$ETH-LAN$$FW_INSIDE$
ip address 192.168.194.1 255.255.255.0
ip access-group FE00inV1 in
ip pim sparse-dense-mode
ip nat inside
ip virtual-reassembly in
ip route-cache same-interface
duplex auto
speed auto
!
interface GigabitEthernet0/1
ip address 80.*.*.* 255.255.255.248
ip access-group FE01in in
ip pim sparse-dense-mode
ip nat outside
ip inspect SDM_LOW out
ip virtual-reassembly in
ip verify unicast reverse-path
ip route-cache policy
duplex full
speed 100
no cdp enable
crypto map SDM_CMAP_1
!

ip nat pool vpn_mandant 10.*.*.* 10.*.*.* netmask 255.255.255.252

ip nat inside source route-map SDM_RMAP_2 pool vpn_mandant overload

ip route 0.0.0.0 0.0.0.0 80.*.*.*

ip access-list extended ipsec_standort2
permit ip any 192.168.197.0 0.0.0.255 log

ip access-list extended ipsec_mandant
remark CCP_ACL Category=4
permit ip host 10.*.*.* host 192.168.192.21

ip access-list extended nat_default
remark CCP_ACL Category=18
deny ip any object-group NO_standort2
deny ip any object-group NO_mandant
permit ip 192.168.194.0 0.0.0.255 any
deny ip any any

ip access-list extended nat_mandant
permit ip any object-group NO_mandant

route-map SDM_RMAP_1 permit 100
match ip address nat_default
!
route-map SDM_RMAP_2 permit 99
match ip address nat_mandant
Mitglied: q16marvin
24.11.2011 um 11:34 Uhr
mhh nicht wirklich..

die vernetzung der beiden standorte funktioniert ja einwandfrei. nur das routing von standort 2 über standort 1 zu mandant funktioniert halt nicht.
Bitte warten ..
Mitglied: aqui
24.11.2011 um 11:43 Uhr
Mmmmmhhh, das ist dann ohne einmal die VPN ACLs zu sehen und die dazu korrespondierende IP Adressierung ein schwieriges Unterfangen für eine Hilfe.
Da kann man dann nur im freien Fall raten sofern du nichtmal eine anonymisierte Konfig oder den Auszug hier postest.
Nur so viel: Routing Einträge benötigst du nicht sofern du nur ein einziges lokales LAN auf beiden Seiten hast. Alle IP Netze sind ja direkt am Router angeschlossen und ihm bekannt. Wenn die Gateway IPs der lokalen Endgeräte also auf den Cisco zeigen ist alles OK.
Vermutlich hast du wie immer nicht bedacht das die Absender nun von einer fremden IP kommen können (remotes IP Netz).
Normalerweise blocken lokale Firewalls solche Zugriffe dann sofort.
Ohne das Customizen der lokalen Firewall auf den Endgeräten also auch keine Kommunikation, oder scheitert auch schon ein Pingen ?
Kannst du denn wenigstens von den lokalen Ciscos jeweils das gegenüberligende LAN Interface des Ciscos anpingen ??
Das sollte als Minimum erstmal funktionieren. Wenn ja ists die Endgeräte Firewall !
Wenn nein und das auch scheitert hast du noch einen Fehler in der Cisco VPN Konfig ! Dann wäre ein Konfig Auszug hilfreich !
Traceroute und Pathping sind wie immer deine Freunde !
Was auch sein kann ist das der "Mandant" noch eine anderen Router benutzt z.B. für den Internet Zugriff. Wenn seine Endgeräte dann natürlich mit dem default Gateway auf diesen Router zeigen ist klar das nix über dein VPN gehen kann. Das wäre dann in der Tat ein Routing problem, was sich aber mit einer simplen statischen Route lösen leisse.
Leider sagst du ja sehr wenigt zur Topologie so das wir da auch auf die Kristallkugel angewisen sind
Bitte warten ..
Mitglied: q16marvin
25.11.2011 um 09:05 Uhr
Hallo,


ein Auszug aus meiner Config habe ich doch oben bereits gepostet.

Dort stehen auch die ACL's zu meinen VPN Verbindungen. Ja das fremde Netz (remote Netz) habe ich in die ACL's mit aufgenommen:

ip access-list extended ipsec_standort2
permit ip any 192.168.197.0 0.0.0.255 log

ein ping auf die zieladresse aus standort1 geht einwandfrei, ein ping auf die zieladresse aus standort 2 wird sauber zu standort 1 geroutet und dort seh ich im log ja auch den ping ankommen. vermutlich versucht dann der router das packet richtung internet zu schicken, weil es nicht genattet wird und dann richtung vpn tunnel (ziel) weitergeschickt wird.

ich vermute mal ich muss dem cisco 1941 irgendwie bei bringen, das ein fremdes netz (standort2) genauso genattet werden soll. Nur ich weiss nicht wie.

Ich setze mich jetzt mal an Paint und mal ein Bild um alles zu verdeutlichen.
Bitte warten ..
Mitglied: aqui
25.11.2011 um 09:34 Uhr
Eigentlich ist es ja unsinnig den Traffic in Standort 2 zu NATen sofern dieser Standort zu dir gehört und kein Fremdnutzer o.ä. ist. NAT würde nur aufs Mandanten Netz Sinn machen, was ja auch schon gemacht wird.
Unklar ist noch die ACL "FE00inV1" inbound. Nicht das die noch irgendwas wegfiltert ?!
Wenn du von der Konsole des Ciscos pingst denk dran einen extended Ping zu machen wo du die Source IP angeben kannst. Wenn du das nicht machst nimmt er ggf. eine falsche Absender IP und dann bleibst du in den ACLs hängen. Du solltest zum Pingen immer als Ziel erstmal die lokale Ethernet IP des Cisco Routers nehmen. So kannst du sicherstellen das dieses IP Netz auch erreichbar ist und nicht irgendwelche lokalen PC Firewalls usw. dazwischenfunken.
Bitte warten ..
Mitglied: q16marvin
25.11.2011 um 10:03 Uhr
Hier das Bild:

http://imageshack.us/photo/my-images/69/neu0.png/

Der Traffic aus Standort 2 muss im Router von Standort 1 genauso wie der Traffic von Standort 1 genattet, sobald er richtung Mandant will. Das mache ich ja damit:

object-group network NO_Mandant
host 192.168.192.21
ip nat pool vpn_mandant 10.*.*.* 10.*.*.* netmask 255.255.255.252
ip nat inside source route-map SDM_RMAP_2 pool vpn_mandant overload

Sobald dann der Traffic die genattete IP hat, wird er in den Tunnel zum Mandant geleitet:

ip access-list extended ipsec_mandant
permit ip host 10.*.*.* host 192.168.192.21

Das funktioniert auch wie gesagt einwandfrei für das Netz Standort 1 (192.168.194.0). Das Netz wird ja auch auf dem Cisco 1941 verwaltet (Als IP Adresse auf dem Inbound Interface).

Aus Standort 2 funktioniert das ganze nicht. Packet kommt aus Standort 2 an, sollte dann genauso genattet werden was aber nicht passiert! Sicherlich weil es eine Remote IP Adresse ist.

ping 192.168.192.21 source 192.168.194.1 funktioniert
ping 192.168.192.21 source 192.168.197.1 funktioniert nicht (% Invalid source address- IP address not on any of our up interfaces)

was ja auch klar ist, weil die IP 192.168.197.1 nicht auf Standort 1 Router konfiguriert ist, sondern ja die Router IP des zweiten Standorts ist.
Bitte warten ..
Mitglied: q16marvin
25.11.2011 um 12:36 Uhr
Die FE00inV1 kann nix wegfiltern, die hat ja die freigaben für den VPN Tunnel. Der VPN Tunnel wird ja anhand der ACL ipsec_standort2 kontrolliert.
Bitte warten ..
Mitglied: q16marvin
25.11.2011 um 14:13 Uhr
hab mal wieder das gefühl das ich der erste auf der welt bin der auf so eine idee kommt. falls wir hier nicht weiter kommen sind wir auch gern bereit geld in die hand zu nehmen und ein cisco experten einzukaufen. vielleicht habt ihr da eine idee wohin ich mich wenden kann.
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
VPN zwischen zwei Standorten und unterschiedlichen Routern
gelöst Frage von Welly92LAN, WAN, Wireless15 Kommentare

Hallo liebe Administrator-Gemeinde, nach langem wende ich mich mal wieder mit einer Frage an euch. Situation vor dem Providerwechsel: ...

Router & Routing
Problem mit NAT - VPN Zugang Cisco ASA 5500
gelöst Frage von Bavaria6666Router & Routing4 Kommentare

Hallo zusammen, ich bin neu an Bord und hoffe einen guten Anschluss bei Administrator.de. zu finden. Ich bin alleiniger ...

LAN, WAN, Wireless
Cisco ASA hinter Router mit NAT
gelöst Frage von maxmaxLAN, WAN, Wireless2 Kommentare

Hallo, ich habe eine Cisco ASA welche hinter einem privaten ADSL-Anschluss steht, der Anschluss terminiert auf einem Cisco 867-K9, ...

Router & Routing
NAT bzw. PAT an einer CISCO
Frage von Manfred15Router & Routing2 Kommentare

Hallo zusammen, für einen Dienstleister und seinen Zugang gibt es einen speziellen CISCO mit folgender ausschnittsweise Konfiguration: ip nat ...

Neue Wissensbeiträge
Viren und Trojaner

Deaktivierter Keylogger in HP Notebooks entdeckt

Information von bitcoin vor 19 StundenViren und Trojaner1 Kommentar

Ein Grund mehr warum man Vorinstallationen der Hersteller immer blank bügeln sollte Der deaktivierte Keylogger findet sich im vorinstallierten ...

Router & Routing

Lets Encrypt kommt auf die FritzBox

Information von bitcoin vor 23 StundenRouter & Routing

In der neuesten Labor-Version der FB7490 integriert AVM unter anderem einen Let's Encrypt Client für Zugriffe auf das Webinterface ...

Internet

Was nützt HTTPS, wenn es auch von Phishing Web-Seiten genutzt wird

Information von Penny.Cilin vor 3 TagenInternet17 Kommentare

HTTPS richtig einschätzen Ob man eine Webseite via HTTPS aufruft, zeigt ein Schloss neben der Adresse im Webbrowser an. ...

Webbrowser

Bugfix für Firefox Quantum released - Installation erfolgt teilweise nicht automatisch!

Erfahrungsbericht von Volchy vor 5 TagenWebbrowser8 Kommentare

Hallo zusammen, gem. dem Artike von heise online wurde mit VersionFirefox 57.0.1 sicherheitsrelevante Bugs behoben. Entgegen der aktuellen Veröffentlichung ...

Heiß diskutierte Inhalte
Batch & Shell
Trusted Sites für alle User auf dem PC einpflegen
Frage von xXTaKuZaXxBatch & Shell12 Kommentare

Aufgabestellung: Es sollen auf 1 PC (bzw. mehreren PCs) vertrauenswürdige Sites per Powershell eingetragen werden, die für alle User ...

Voice over IP
Telefonstörung - Ortsrufnummern kein Verbindungsaufbau
Frage von Windows10GegnerVoice over IP10 Kommentare

Hallo, sowohl bei uns als auch beim Opa ist es über VoIP nicht möglich Ortsrufnummern anzurufen. Es kommt nach ...

Vmware
DOS 6.22 in VMWare mit CD-ROM
gelöst Frage von hesperVmware10 Kommentare

Hallo zusammen! Ich hab ein saublödes Problem. Es ist eine VMWare mit DOS 6.22 zu erstellen auf dem ein ...

Windows 10
Probleme mit Dateien, deren Pfad + Dateiname länger als 256 Zeichen sind
Frage von FalaffelWindows 109 Kommentare

Guten Tag, unter Windows 10 scheint es immer noch das Problem zu geben, dass der Pfad + Dateiname einer ...