Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Cisco 851W mit IPSec VPN Probleme

Frage Netzwerke

Mitglied: hkjwj

hkjwj (Level 1) - Jetzt verbinden

21.10.2008, aktualisiert 18.10.2012, 8563 Aufrufe, 8 Kommentare, 1 Danke

Keine Verbindung ins Interne Netz möglich.

--- HABE DEN ROUTER NUN gerested ---

Hier die neue Konfig

Hallo zusammmen,

also ich habe eine VPN Verbindung zu meinem Cisco 851W per IPSec -> EasyVPN Server per SDM eingerichtet. Die Clients sind mittels Cisco VPN-Client drauf.
Die Anmeldung und Auth. funkt. nach anfänglichen Startschwiriegkeiten. Die Clients bekommen auch IP`s vom vpn.pool zugeweisen in dem Fall. 192.168.5.0/24.
Das Intranet ist mit 192.168.10.0/24 konfiguriert.

So nun das Prob.
Wie kann ich nun mit meinen vpn Clients auf das Interen Netz zugreifen?
Welche Einstellungen muß ich noch vornehmen?


Mit der bitte um Unterstützung.

mfg
hkjwj


P.S. Es sind noch einige Konfigs von einem vorigen Versuch drinnen einen vpn per PPTP herzustellen, werd ich nach der jetztigen Problemsösung ausmisten.

Hier die Cisco konfig.

no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers

hostname cisco

boot-start-marker
boot-end-marker

logging buffered 51200 debugging
logging console critical
enable secret 5 $1$mPyx$lu6Z5wUTRvJHKK7ypbVL61

username Besitzer51 privilege 15 secret 5 $1$Am4v$F2Z6YNdd6hMvyz2UT1afi/
clock timezone PCTime 1
clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00
aaa new-model

aaa authentication login default local
aaa authentication login sdm_vpn_xauth_ml_1 local
aaa authorization exec default local
aaa authorization network sdm_vpn_group_ml_1 local
aaa session-id common
ip subnet-zero
no ip source-route

ip cef
ip tcp synwait-time 10
no ip bootp server
ip domain name fodt.local
ip name-server 192.168.10.20
ip name-server 192.168.10.21
ip ssh time-out 60
ip ssh authentication-retries 2
no ftp-server write-enable

crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp xauth timeout 15

crypto isakmp client configuration group fodt.local.vpn
key IERvbWFpbiBUZWNobmljcyAmIElUMRQwEgYDVQQDEwtuczEuZm9kdC5p
dns 192.168.5.20
domain fodt.local
pool SDM_POOL_1
netmask 255.255.255.0

crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac

crypto dynamic-map SDM_DYNMAP_1 1
set transform-set ESP-3DES-SHA
reverse-route

crypto map SDM_CMAP_1 client authentication list sdm_vpn_xauth_ml_1
crypto map SDM_CMAP_1 isakmp authorization list sdm_vpn_group_ml_1
crypto map SDM_CMAP_1 client configuration address respond
crypto map SDM_CMAP_1 65535 ipsec-isakmp dynamic SDM_DYNMAP_1

bridge irb

interface FastEthernet0
no ip address
no cdp enable

interface FastEthernet1
no ip address
no cdp enable

interface FastEthernet2
no ip address
no cdp enable

interface FastEthernet3
no ip address
no cdp enable

interface FastEthernet4
description $ES_WAN$$FW_OUTSIDE$
ip address 86.59.*.* 255.255.*.*
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
ip route-cache flow
duplex auto
speed auto
no cdp enable
crypto map SDM_CMAP_1

interface Dot11Radio0
no ip address

ssid 1071CiscoWLan
authentication open

speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
no cdp enable
bridge-group 1
bridge-group 1 spanning-disabled

interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$FW_INSIDE$
no ip address
bridge-group 1

interface BVI1
description $ES_LAN$
ip address 192.168.10.1 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452

ip local pool SDM_POOL_1 192.168.5.10 192.168.5.15
ip classless
ip route 0.0.0.0 0.0.0.0 86.59.*.*

ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 5 life 86400 requests 10000
ip nat inside source route-map SDM_RMAP_1 interface FastEthernet4 overload

logging trap debugging
access-list 1 remark INSIDE_IF=BVI1
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 192.168.10.0 0.0.0.255
access-list 100 remark SDM_ACL Category=2
access-list 100 deny ip any host 192.168.5.10
access-list 100 deny ip any host 192.168.5.11
access-list 100 deny ip any host 192.168.5.12
access-list 100 deny ip any host 192.168.5.13
access-list 100 deny ip any host 192.168.5.14
access-list 100 deny ip any host 192.168.5.15
access-list 100 permit ip 192.168.10.0 0.0.0.255 any
no cdp run
route-map SDM_RMAP_1 permit 1
match ip address 100

control-plane

bridge 1 protocol ieee
bridge 1 route ip
banner login ^CAuthorized access only!
Disconnect IMMEDIATELY if you are not an authorized user!^C

line con 0
no modem enable
transport preferred all
transport output telnet
line aux 0
transport preferred all
transport output telnet
line vty 0 4
transport preferred all
transport input telnet ssh
transport output all

scheduler max-task-time 5000
scheduler allocate 4000 1000
scheduler interval 500

-

Auszug aus ipconfig des Client

Verbindungsspezifisches DNS-Suffix: fodt.local
Beschreibung: Cisco Systems VPN Adapter
Physikalische Adresse: 00-05-9A-3C-78-00
DHCP aktiviert.: Nein
IP-Adresse: 192.168.5.15
Subnetzmaske: 255.255.255.0
Standardgateway : 192.168.5.15
DNS-Server.: 192.168.5.20

-

Auszug aus ipconfig des Servers im 192.168.10.0/24



Ethernet-Adapter fodt.local.2:
...
IP-Adresse : 192.168.5.21
Subnetzmaske: 255.255.255.0
IP-Adresse: 192.168.10.21
Subnetzmaske: 255.255.255.0
Standardgateway: 192.168.10.1
DNS-Server : 127.0.0.1

Ethernet-Adapter fodt.local:
IP-Adresse: 192.198.5.20
Subnetzmaske: 255.255.255.0
IP-Adresse: 192.168.10.20
Subnetzmaske: 255.255.255.0
Standardgateway:
DNS-Server: 127.0.0.1

Ich denke nicht das es an den ACL`s liegt da ja nun keine vorhanden sind, ich denke eher das es am Routing liegt, den nach meinem Verständniss ist jtzt die 192.168.5.* er Adresse im Cisco gekapselt.

Ich brauche eigentlich nur eine Konfigurationshilfe das die gekapselte IP weiter nach 192.168.10. geroutet wird nur bring ich das nicht zusammen.
Mitglied: aqui
22.10.2008 um 17:57 Uhr
Eigentlich gar keine !!
Der Cisco VPN Client nutzt den VPN Tunnel als default gateway wenn er aktiv ist. D.h. alle Pakete gehen in den Tunnel und werden dann lokal im 851 ins richtige LAN geroutet.

Du hättest dir das aber gar nicht so kompliziert machen müssen mit eine 2ten IP Netz sondern einfach das VPN Interface "unumbered auf eth0" gelegt und im Pool unbenuzte Adressen ausserhalb des DHCP Pools vom eth0 benutzt. Dann wäre das VPN im gleichen IP Netz wie dein lokales LAN !

So oder so bedie Varianten funktionieren aber problemlos !
Bitte warten ..
Mitglied: hkjwj
22.10.2008 um 22:18 Uhr
Danke hat jetzt wunderbar geklappt, Hab ein als vpn pool einen Bereich aus 192.168.10.0/24 genommen. Habe danach noch split tunneling akt.. und jetzt hauts hin. Ohne Split gehts anscheinend nicht. Habe nämlich die 10er Range schonmla vorher prob. und des hat gar nicht geklappt. Da konnte nichteinmal ein Tunnel aufgebaut werden deswegen hab ich mich dann für das 5er entschieden. War aber anscheind bei dem ersten 10er Versuch noch was andere Schuld.

Auf jeden Fall THX für die Hilfe

mfg hkjwj
Bitte warten ..
Mitglied: q16marvin
14.02.2011 um 13:16 Uhr
hallo, ich habe genau das selbe problem. alles genauso eingestellt, nur kein split tunneling. was meinnt ihr mit "einfach das VPN Interface "unumbered auf eth0" gelegt ". was genau hat das zu bedeuten? ich hoffe ihr könnt mir helfen.
Bitte warten ..
Mitglied: aqui
14.02.2011 um 18:35 Uhr
Sorry, das war ein Fehler, denn das macht man bei PPTP VPNs ala:

interface Virtual-Template1
description PPTP Dialin Interface fuer VPN Zugang
ip unnumbered Ethernet0
no keepalive
peer default ip address pool pptp_pool
ppp encrypt mppe auto
ppp authentication pap chap ms-chap
!
interface Ethernet0
description Lokales Ethernet
ip address 192.168.1.254 255.255.255.0
!
ip local pool pptp_pool 192.168.1.240 192.168.1.250

Das ist bei IPsec aber etwas anders und greift dort nicht...sorry für die Verwirrung.
Bitte warten ..
Mitglied: q16marvin
15.02.2011 um 12:53 Uhr
Kannst du mir da vielleicht helfen? Meine Code:

[code]crypto pki trustpoint TP-self-signed-1798892120
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1798892120
revocation-check none
rsakeypair TP-self-signed-1798892120
!
!
dot11 syslog
ip source-route
!
ip cef
ip domain name yourdomain.com
ip multicast-routing
ip inspect name SDM_LOW cuseeme
ip inspect name SDM_LOW dns
ip inspect name SDM_LOW ftp
ip inspect name SDM_LOW h323
ip inspect name SDM_LOW https
ip inspect name SDM_LOW icmp
ip inspect name SDM_LOW imap
ip inspect name SDM_LOW pop3
ip inspect name SDM_LOW netshow
ip inspect name SDM_LOW rcmd
ip inspect name SDM_LOW realaudio
ip inspect name SDM_LOW rtsp
ip inspect name SDM_LOW esmtp
ip inspect name SDM_LOW sqlnet
ip inspect name SDM_LOW streamworks
ip inspect name SDM_LOW tftp
ip inspect name SDM_LOW tcp
ip inspect name SDM_LOW udp
ip inspect name SDM_LOW vdolive
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!
license udi pid CISCO1841 sn FCZ1446C30M
object-group network NO_DVPN
description VPN fuer Clienteinwahl
range 192.168.172.20 192.168.172.30
!
object-group network NO_Internet
description Hosts die direkt ins Internet duerfen
host 192.168.172.10

!
crypto isakmp policy 1
encr aes 256
authentication pre-share
group 2
!
crypto isakmp policy 2
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group admin
key lalala
dns 192.168.172.2 192.168.172.3
domain lala.cc
pool SDM_POOL_1
save-password
!
crypto ipsec transform-set ipsec_easyvpn esp-3des esp-sha-hmac

crypto dynamic-map SDM_DYNMAP_1 1
set transform-set ipsec_easyvpn
reverse-route
!
crypto map SDM_CMAP_1 client authentication list ciscocp_vpn_xauth_ml_2
crypto map SDM_CMAP_1 isakmp authorization list ciscocp_vpn_group_ml_2
crypto map SDM_CMAP_1 client configuration address respond
crypto map SDM_CMAP_1 65535 ipsec-isakmp dynamic SDM_DYNMAP_1
!
!
!
!
!
interface FastEthernet0/0
description LAN
ip address 192.168.172.1 255.255.255.0
ip access-group FE00in in
ip pim sparse-dense-mode
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
!
interface FastEthernet0/1
description WAN
ip address *
ip access-group FE01in in
ip verify unicast reverse-path
ip pim sparse-dense-mode
ip nat outside
ip inspect SDM_LOW out
ip virtual-reassembly max-reassemblies 32
duplex auto
speed auto
no cdp enable
crypto map SDM_CMAP_1
!
!
ip local pool SDM_POOL_1 192.168.172.20 192.168.172.30
!
!
ip nat inside source route-map SDM_RMAP_1 interface FastEthernet0/1 overload
ip route 0.0.0.0 0.0.0.0


ip access-list extended FE00in
remark Interner Verkehr
permit ip 192.168.172.0 0.0.0.255 192.168.172.0 0.0.0.255
remark Freigegebene Hosts
permit ip object-group NO_Internet any
remark DVPN
permit ip object-group NO_DVPN any
deny ip 192.168.172.0 0.0.0.255 any
deny ip * 0.0.0.7 any log
deny ip host 255.255.255.255 any
deny ip 127.0.0.0 0.255.255.255 any
permit ip any any

ip access-list extended FE01in
permit ip object-group NO_DVPN any
deny ip 172.16.0.0 0.15.255.255 any
deny ip 127.0.0.0 0.255.255.255 any
deny ip host 255.255.255.255 any
deny ip host 0.0.0.0 any
deny ip any any log

ip access-list extended nat_default
deny ip any object-group NO_DVPN
permit ip 192.168.172.0 0.0.0.255 any
deny ip any any

!

route-map SDM_RMAP_1 permit 100
match ip address nat_default
!
radius-server host
* auth-port 1645 acct-port 1646 key **
!
control-plane
!
end
[/]

Ich habe genau das selbe Problem, ich kann das LAN Interface anpingen, nicht aber alle Clients die dahinter hängen
Bitte warten ..
Mitglied: aqui
15.02.2011 um 18:48 Uhr
Folgenders solltest du kontrollieren:
  • Haben die Clients das korrekte Gateway ?
  • Und viel wichtiger: Ist die Firewall entsprechend eingestellt das sie Pakete aus fremden Netzen zulässt ? Normalerweise blockt diese das immer ab
  • Ist ICMP aktiviert (Haken bei auf ICMP echos antworten) ICMP = Ping

Das sind zu 90% die Fehler die gemacht werden...
Ansonsten Debugger einschalten im Cisco !
Bitte warten ..
Mitglied: q16marvin
17.02.2011 um 08:48 Uhr
Ich wüsste nicht wo ich am Iphone ein Gateway einstellen könnte.

Dadurch lasse ich zu das von ausserhalb zugegriffen werden darf:

object-group network NO_DVPN
description VPN fuer Clienteinwahl
range 192.168.172.20 192.168.172.30

ip access-list extended FE01in
permit ip object-group NO_DVPN any

Und durch ip inspect name SDM_LOW icmp lasse ich Pings zu.

Daher kann ich keinen Fehler in meiner config finden.
Bitte warten ..
Mitglied: aqui
17.02.2011, aktualisiert 18.10.2012
OK, wenn du vom Mobilnetz zugreifst dann bekommst du das gateway automatisch zugeteilt.
Es kann sein das du einen Billig Surftarif hast der im Mobilnetz mit RFC 1918 IP Adressen arbeitet dann hast du keinerlei Chance mit einem VPN das der provider NAT macht:
http://www.administrator.de/forum/vpn-per-umts-karte-tunnel-steht-aber- ...
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
DSL, VDSL
gelöst VPN-Probleme (CISCO AnyConnect) in Zusammenhang mit Router "Vodafone EasyBox" (7)

Frage von donnyS73lb zum Thema DSL, VDSL ...

Router & Routing
Cisco IPSEC VPN - Magic Packet (WOL) - ip helper-address (4)

Frage von Bernhard-B zum Thema Router & Routing ...

Router & Routing
gelöst 18 Standorte via IPSEC VPN verbinden (26)

Frage von Nichtsnutz zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...