Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Cisco ISR 1921 - VPN Einrichtung klappt nicht

Frage Netzwerke Router & Routing

Mitglied: ef8619

ef8619 (Level 1) - Jetzt verbinden

08.08.2013 um 15:58 Uhr, 2541 Aufrufe, 8 Kommentare, 3 Danke

Hallo,

ich versuche über unseren Cisco 1921 Router einen VPN-Server einzurichten, der die Einwahl mittels PPTP von außen ermöglicht. Leider klappt das Ganze nicht so richtig. Getestet habe ich bisher allerdings nur mit Apple iPhone 5 und MacBook Pro (die OS eigenen VPN Clients). Anbei mal meine Konfiguration des Routers:

01.
Current configuration : 6588 bytes 
02.
03.
! Last configuration change at 13:28:44 UTC Thu Aug 8 2013 
04.
! NVRAM config last updated at 12:44:46 UTC Wed Aug 7 2013 
05.
! NVRAM config last updated at 12:44:46 UTC Wed Aug 7 2013 
06.
version 15.1 
07.
service timestamps debug datetime msec 
08.
service timestamps log datetime msec 
09.
no service password-encryption 
10.
11.
hostname Cisco1921 
12.
13.
boot-start-marker 
14.
boot-end-marker 
15.
16.
17.
logging buffered 51200 warnings 
18.
enable secret 4 <secret> 
19.
enable password cisco 
20.
21.
no aaa new-model 
22.
23.
24.
no ipv6 cef 
25.
ip source-route 
26.
ip cef 
27.
28.
29.
30.
ip dhcp excluded-address 10.80.1.1 10.80.1.15 
31.
ip dhcp excluded-address 10.80.1.200 10.80.1.254 
32.
33.
ip dhcp pool local 
34.
 network 10.80.1.0 255.255.255.0 
35.
 default-router 10.80.1.254 
36.
 dns-server 10.80.1.254 
37.
 domain-name <name> 
38.
39.
40.
ip name-server <ns1> 
41.
ip name-server <ns2> 
42.
ip name-server 8.8.8.8 
43.
44.
multilink bundle-name authenticated 
45.
46.
vpdn enable 
47.
48.
vpdn-group 1 
49.
 ! Default PPTP VPDN group 
50.
 accept-dialin 
51.
  protocol pptp 
52.
  virtual-template 1 
53.
 l2tp tunnel timeout no-session 15 
54.
55.
crypto pki token default removal timeout 0 
56.
57.
crypto pki trustpoint TP-self-signed-2083690069 
58.
 enrollment selfsigned 
59.
 subject-name cn=IOS-Self-Signed-Certificate-2083690069 
60.
 revocation-check none 
61.
 rsakeypair TP-self-signed-2083690069 
62.
63.
64.
crypto pki certificate chain TP-self-signed-2083690069 
65.
 certificate self-signed 01 
66.
  3082022B 30820194 A0030201 02020101 300D0609 2A864886 F70D0101 05050030 
67.
  31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274 
68.
  69666963 6174652D 32303833 36393030 3639301E 170D3133 30313232 31393338 
69.
  33395A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649 
70.
  4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D32 30383336 
71.
  39303036 3930819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281 
72.
  8100D274 E1A0DE74 34991BDA 2EF2B9A4 BC80511C 09A5ACE8 419DD6C9 7FDB1E36 
73.
  2ABA600A 43F71021 26808FD3 1C514566 5E2FBA5A 60A90015 1DA5D43E B3406124 
74.
  2BD20ACD 5E6D3D56 12C2EC89 7560733D 1F1A2B20 BD7B9275 1CEFB5CD CF40C960 
75.
  71A79316 F6A992FB 7A4D572E 5ED548A9 4F70048F 8F1F394B 04E8067B 2E08F658 
76.
  7F210203 010001A3 53305130 0F060355 1D130101 FF040530 030101FF 301F0603 
77.
  551D2304 18301680 14C612DF 06D8F371 1DF1AA57 16A569F6 10FCE451 82301D06 
78.
  03551D0E 04160414 C612DF06 D8F3711D F1AA5716 A569F610 FCE45182 300D0609 
79.
  2A864886 F70D0101 05050003 8181000F 780A0FD4 D1CB31B8 AE123816 A0D94868 
80.
  65887115 D99B05BB AF41D8D0 CE2DDA8F CF288948 822CC63A EBC79A5E 793393D8 
81.
  553CE8FC 53F45CB9 6E7BC6B5 A7777C89 641B4DAC 268C89AA 03290ADC 7594E4B9 
82.
  5BC61B72 FBB83101 3C06B422 BBD115A9 084BAE46 55E01397 725A64FE 1C752A6C 
83.
  1684BA28 65D91FE5 E26639D1 DFDB04 
84.
  	quit 
85.
license udi pid CISCO1921/K9 sn FGL1704224A 
86.
license boot module c1900 technology-package securityk9 
87.
license boot module c1900 technology-package datak9 
88.
89.
90.
username admin privilege 15 secret 4 <secret> 
91.
username NVE password 0 <password> 
92.
93.
redundancy 
94.
95.
96.
97.
98.
99.
100.
101.
102.
103.
104.
105.
interface Embedded-Service-Engine0/0 
106.
 no ip address 
107.
 shutdown 
108.
109.
interface GigabitEthernet0/0 
110.
 description Lokales LAN 
111.
 ip address 10.80.1.254 255.255.255.0 
112.
 ip flow ingress 
113.
 ip flow egress 
114.
 ip nat inside 
115.
 ip virtual-reassembly in 
116.
 ip tcp adjust-mss 1452 
117.
 duplex auto 
118.
 speed auto 
119.
120.
interface GigabitEthernet0/1 
121.
 description VDSL Internet Verbindung$ETH-WAN$ 
122.
 ip address dhcp 
123.
 no ip redirects 
124.
 no ip proxy-arp 
125.
 ip nat outside 
126.
 ip virtual-reassembly in 
127.
 duplex auto 
128.
 speed auto 
129.
130.
interface Virtual-Template1 
131.
 description PPTP Einwahl Interface fuer VPN-Zugang 
132.
 no ip address 
133.
 peer default ip address pool pptp_dialin 
134.
 no keepalive 
135.
 ppp encrypt mppe 128 required 
136.
 ppp authentication ms-chap-v2 
137.
138.
ip forward-protocol nd 
139.
140.
ip http server 
141.
ip http access-class 23 
142.
ip http authentication local 
143.
ip http secure-server 
144.
ip http timeout-policy idle 60 life 86400 requests 10000 
145.
146.
ip dns server 
147.
ip nat inside source list 101 interface GigabitEthernet0/1 overload 
148.
149.
access-list 1 remark INSIDE_IF=GigabitEthernet0/0
Mitglied: ef8619
09.08.2013, aktualisiert um 10:20 Uhr
Es wird besser.

Folgenden Konfigurationsausschnitte habe ich nun für die PPTP-Einwahl verwendet:

01.
aaa new-model 
02.
03.
04.
aaa authentication ppp default local 
05.
06.
07.
08.
09.
10.
aaa session-id common
01.
vpdn enable 
02.
03.
vpdn-group group1 
04.
 ! Default PPTP VPDN group 
05.
 accept-dialin 
06.
  protocol pptp 
07.
  virtual-template 1 
08.
 l2tp tunnel timeout no-session 15
01.
interface Virtual-Template1 
02.
 ip unnumbered GigabitEthernet0/0 
03.
 peer default ip address pool PPTP 
04.
 ppp encrypt mppe auto required 
05.
 ppp authentication ms-chap ms-chap-v2 
06.
07.
ip local pool PPTP 10.80.1.10 10.80.1.19
und die dazugehörigen User-Accounts.

Ich kann mich nun problemlos mit meinem MacBook zuhause im Firmennetz über eine PPTP-Verbindung einloggen und auf die Netzwerkgeräte zugreifen und habe auch Internetzugriff.

Leider klappt das aber nicht für Windows-Rechner (Windows 7, Windows 8). Hier bekomme ich ständig Fehler 619 (MS-CHAP2 Protokoll eingestellt).

Mit dem iPhone kann ich mich zwar einwählen, aber dann habe ich keinerlei Zugriff ins Netzwerk, also weder auf Geräte noch ins Internet.

Weiß jemand Rat?
Bitte warten ..
Mitglied: aqui
09.08.2013, aktualisiert um 15:14 Uhr
Ja, das ist klar, denn ein die neueren Winblows Versionen erzwingen eine 128 Bit Verschlüsselung !
Die folgende Konfig:

Interface Virtual-Template1
ip unnumbered GigabitEthernet0/0
no keepalive
no cdp enable
peer default ip address pool PPTP
ppp encrypt mppe 128 required
ppp authentication ms-chap-v2


löst dein Problem sofort. Wärst du auch sicher selber draufgekommen wenn du nur einmal ein Blick in dieses Tutorial geworfen hättest, dort ist das explizit erklärt.
L2TP ist natürlich Blödsinn in der Cisco Konfig, denn das nutzt du ja gar nicht. Besser also mit "no ..." entfernen !
Ggf. zusätzlich noch hier was die Client Settings angeht, denn hier sollte der Client dediziert im PPTP Mode stehen und NICHT "auto".

Beachte zudem das bei den neueren Windows Versionen das VPN als öffentliches Netzwerk in den Firewall Settings deklariert wird. Zugriffe auf Clients ohne aktive Session sind so nicht möglich.
Benötigst du vermutlich auch nicht für nur remoten Zugriff ?!
Sinnvoll wäre zur PPTP Einwahl auch ein Auszug aus dem Cisco Log was du mit "show logg" einsehen kannst !
Noch sinnvoller wäre es mal den Debugger mit "debug pptp xyz" zu aktivieren um zu sehen was der Cisco zur Client Einwahl denn so zu sagen hat.
Die o.a. Konfig funktioniert aber fehlerfrei mit einem aktuellen Win 7 Client und auch einem aktuellen iPhone 5.
Bitte warten ..
Mitglied: ef8619
12.08.2013 um 17:05 Uhr
Hallo,

erstmal vielen Dank für deine Antwort. Ich habe die Verschlüsselung wie oben auf 128 Bit umgestellt und das normale ms-chap verfahren entfernt. Leider weiß ich nicht, wie ich das l2tp entfernen kann??

Aktueller Stand ist, dass ich mich auf jeden Fall mit einem iPhone einwählen kann. Ich bekomme sogar Zugriff auf Netzwerkressourcen. Allerdings habe ich keine Internetverbindung mehr. Auf dem MacBook habe ich dieses Problem nicht, dort habe ich WAN Zugriff.

Die Geschichte mit Windows 8 habe ich noch immer nicht hinbekommen. Stets Fehler 619.
Bitte warten ..
Mitglied: aqui
12.08.2013 um 18:52 Uhr
Entfernen der l2tp Konfig Einträge:
conf t
vpdn-group group1
no l2tp tunnel timeout no-session 15
<ctrl z>
wr

Fertig, dann ist es weg !

Wenn du keine Internet Verbindung hast dann hast du den VPN Client so eingestellt das sein VPN Tunnel auch gleich das Default Gateway ist !!
Das muss man natürlich abschalten !
Bitte sieh in dies Tutorial:
http://www.administrator.de/wissen/vpns-einrichten-mit-pptp-117700.html
Dort ist das explizit in den "Client Einstellungen" mit roten Lettern erwähnt.
Gleiche Konfig oben funktioniert hier mit iPhone und iPad und neuestem iOS vollkommen problemlos !

Was den Win 8 Client anbetrifft ist Error 619 so gut wie immer ein Firewall Problem ! D.h. Teile des Protokoll (meist ist es der GRE Tunnel) kommen nicht durch und dann kommt der PPTP Tunnel nicht zustande !
Wenn du einen mobilen Adapter für das Mobilfunknetz hast und einen billigen Surf Account dann blockieren in der Regel alle Provider die gängigen VPN Protokolle:
http://www.administrator.de/contentid/164987
Da bleibt dann nichts anderes als in einen teureren Business Account zu wechseln.
Ansonsten musst du checken welches Firewall Profil Win 8 auf den VPN Link legt !! Vermutlich ist es das öffentliche, damit sind dann alle eingehenden Verbindungen blockiert.
Pass das also an dann klappt das.
Das es generell geht siehst du ja an der Tatsache das der rest der Welt damit funktioniert nur Winblows nicht !
Bitte warten ..
Mitglied: ef8619
14.08.2013 um 14:58 Uhr
Hallo,

leider funktioniert der Befehl zum Entfernen des l2tp tunnels nicht:

01.
Cisco1921(config-vpdn)#no l2tp tunnel timeout no-session 15 
02.
03.
% Invalid input detected at '^' marker.
Bitte warten ..
Mitglied: aqui
15.08.2013 um 14:39 Uhr
Mmmhhh...komisch ?! Lösch sonst die ganze vpdn-group 1 nochmal, reboote den Router und lege die neu an mit
vpdn-group 1
accept-dialin
protocol pptp
virtual-template 1
!

Dann sollte das aber sicher weg sein !
Bitte warten ..
Mitglied: ef8619
19.08.2013 um 16:00 Uhr
So hat's funktioniert. Danke.
Bitte warten ..
Mitglied: aqui
19.08.2013 um 16:56 Uhr
Alles wird gut !

Wenns das denn war bitte dann auch
http://www.administrator.de/faq/32
nicht vergessen !
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (32)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...