Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Cisco VPN Einwahl ins Firmennetz

Frage Netzwerke Router & Routing

Mitglied: xorking

xorking (Level 1) - Jetzt verbinden

08.07.2010, aktualisiert 18.10.2012, 6136 Aufrufe, 13 Kommentare

Ich möchte einen Außendienstmitarbeiter Zugriff auf einen Webserver im internen Netzwerk der Firma verschaffen. Einwahl über Cisco VPN Client direkt auf den Cisco VPN Router. Das ganze soll ein Projekt sein.

Hallo,

mein Ziel ist es, dass sich ein mobiler Benutzer über das Internet (z.B. über UMTS Stick im Laptop) per Cisco VPN Client auf den Router einwählen kann und dann Zugriff zum internen LAN hat. Das Surfen im Internet soll aber für diesen mobilen Benutzer weiter möglich sein. Dies soll ein Projekt werden.

Die Einwahl funktioniert. Der mobile Benutzer surft auch durch den VPN Tunnel über den Firmen Router dann im Internet (hat also als externe IP die WAN IP vom Firmen Router). So wie es sein soll. Aber der mobile Nutzer kann leider nicht auf den internen Webserver zugreifen.

Hier mal ein Bild des Netzwerkaufbaus:
2aada0ca75ed44e07b3d1d0516f09b59 - Klicke auf das Bild, um es zu vergrößern


WAN Router: DSL Einwahl mit DynDNS Adresse
LAN Router: 192.168.2.1/24
Webserver: 192.168.2.2/24
Mobiler Laptop: 192.168.2.151/24

Wo liegt der Fehler? Normal sind ja alle Geräte im gleichen Netz, wodurch ein Zugriff ja möglich sein sollte.

Vielen Dank schonmal an Euch alle.

Mfg

Hier mal die Konfiguration von dem Cisco 831 Router:
01.
02.
version 12.4 
03.
no service pad 
04.
service timestamps debug datetime msec 
05.
service timestamps log datetime msec 
06.
service password-encryption 
07.
08.
hostname VPN-DSL-Router 
09.
10.
boot-start-marker 
11.
boot-end-marker 
12.
13.
enable secret 5 XXXXXXXXXXXXXXXXXXXXXXXXX 
14.
15.
aaa new-model 
16.
17.
18.
aaa authentication login userauthen local 
19.
aaa authorization network groupauthor local  
20.
21.
aaa session-id common 
22.
no ip dhcp use vrf connected 
23.
ip dhcp excluded-address 192.168.2.1 192.168.2.10 
24.
25.
ip dhcp pool LAN 
26.
   network 192.168.2.0 255.255.255.0 
27.
   default-router 192.168.2.1  
28.
   dns-server 194.25.2.129  
29.
30.
31.
ip cef 
32.
ip ddns update method DynDNS 
33.
 HTTP 
34.
  add http://xxx:xxx@members.dyndns.org/nic/update?system=dyndns&hostname=<h>&myip=<a> 
35.
 interval maximum 0 1 0 0 
36.
37.
vpdn enable 
38.
39.
40.
41.
42.
username CRWS_Santhosh privilege 15 password 7 XXXXXXXXXXXXXXXXXXXXXXXXXX 
43.
username user password 7 XXXXXXXXXXXXXXXXXXXXXXXX 
44.
45.
!  
46.
47.
crypto isakmp policy 3 
48.
 encr 3des 
49.
 authentication pre-share 
50.
 group 2 
51.
52.
crypto isakmp client configuration group vpnclient 
53.
 key XXXXXXXXXXXXXXXXXXXX 
54.
 dns 194.25.2.129 
55.
 pool ippool 
56.
57.
58.
crypto ipsec transform-set myset esp-3des esp-md5-hmac  
59.
60.
crypto dynamic-map dynmap 10 
61.
 set transform-set myset  
62.
 reverse-route 
63.
64.
65.
crypto map clientmap client authentication list userauthen 
66.
crypto map clientmap isakmp authorization list groupauthor 
67.
crypto map clientmap client configuration address respond 
68.
crypto map clientmap 10 ipsec-isakmp dynamic dynmap  
69.
70.
71.
72.
interface Loopback0 
73.
 ip address 10.11.0.1 255.255.255.0 
74.
 ip nat inside 
75.
 ip virtual-reassembly 
76.
77.
interface Ethernet0 
78.
 description LAN-Schnittstelle 
79.
 ip address 192.168.2.1 255.255.255.0 
80.
 ip nat inside 
81.
 ip virtual-reassembly 
82.
83.
interface Ethernet1 
84.
 description WAN-Schnittstelle 
85.
 no ip address 
86.
 ip virtual-reassembly 
87.
 duplex auto 
88.
 pppoe enable group global 
89.
 pppoe-client dial-pool-number 1 
90.
 no keepalive 
91.
92.
interface Ethernet2 
93.
 no ip address 
94.
 shutdown 
95.
96.
interface FastEthernet1 
97.
 duplex auto 
98.
 speed auto 
99.
100.
interface FastEthernet2 
101.
 duplex auto 
102.
 speed auto 
103.
104.
interface FastEthernet3 
105.
 duplex auto 
106.
 speed auto 
107.
108.
interface FastEthernet4 
109.
 duplex auto 
110.
 speed auto 
111.
112.
interface Dialer0 
113.
 description Internet 
114.
 ip ddns update hostname XXXXXXXXXXXXXXXX 
115.
 ip ddns update DynDNS 
116.
 ip address negotiated 
117.
 ip mtu 1492 
118.
 ip nat outside 
119.
 ip virtual-reassembly 
120.
 encapsulation ppp 
121.
 ip tcp adjust-mss 1452 
122.
 ip policy route-map VPN-Client 
123.
 dialer pool 1 
124.
 dialer-group 1 
125.
 ppp authentication pap callin 
126.
 ppp pap sent-username XXXXXXXXXXXXXXXXXXXXXXX@t-online.de password 7 XXXXXXXXXXXXXXXXXXX 
127.
 ppp ipcp dns request accept 
128.
 ppp ipcp route default 
129.
 ppp ipcp address accept 
130.
 crypto map clientmap 
131.
132.
ip local pool ippool 192.168.2.150 192.168.2.170 
133.
ip route 0.0.0.0 0.0.0.0 Dialer0 
134.
ip http server 
135.
no ip http secure-server 
136.
137.
ip nat inside source list 101 interface Dialer0 overload 
138.
139.
access-list 101 permit ip any any 
140.
access-list 144 permit ip 192.168.2.0 0.0.0.255 any 
141.
dialer-list 1 protocol ip permit 
142.
route-map VPN-Client permit 10 
143.
 match ip address 144 
144.
 set interface Loopback0 
145.
146.
147.
control-plane 
148.
149.
150.
line con 0 
151.
 password 7 05080F1C2243 
152.
 no modem enable 
153.
line aux 0 
154.
 password 7 05080F1C2243 
155.
line vty 0 4 
156.
 exec-timeout 120 0 
157.
 password 7 05080F1C2243 
158.
 length 0 
159.
160.
scheduler max-task-time 5000 
161.
end
Mitglied: Dani
08.07.2010 um 10:40 Uhr
Moin,
das wird wohl daran liegen, dass du den gleichen IP-Bereich für das lokalen LAN als auch für VPN benutzen. Ändere den Bereich für VPN (ip local pool ippool ) ab und der Zugriff wird klappen.


Grüße,
Dani
Bitte warten ..
Mitglied: aqui
08.07.2010, aktualisiert 18.10.2012
Oder benutze "ip unnumbered eth 0" das funktioniert auch. Kannst du hier am Beispiel einer PPTP Client VPN Einwahl auf dem Cisco sehen:
http://www.administrator.de/forum/konfiguration-cisco-1841-router-11409 ...
In der Tat ist aber die falsche IP Adressierung das grundlegende Problem. Das du dem Webserver den C831 als Gateway eingetragen haben solltest, sollte ebenfalls klar sein. Bedenke auch ggf. die lokale Firewall auf dem internen Webserver anzupassen, sollte die nur das lokale IP Netz zum Zugriff zulassen !!
Wenn dein VPN Client eine andere IP benutzt musst du auch dieses IP Netz logischerweise im Zugriff in der lokalen FW freischalten !!
Ansonsten findest du hier:
http://www.shrew.net/support/wiki/HowtoCiscoAsa
und hier
http://www.administrator.de/wissen/ipsec-vpn-auf-m0n0wall-oder-pfsense- ...
noch IPsec Beispiele für Cisco für den freien Shrew VPN Client.
Bitte warten ..
Mitglied: xorking
08.07.2010 um 11:51 Uhr
Hallo,

vielen Dank schonmal.

Ich habe jetzt also ip local pool ippool 192.168.3.10 192.168.3.20 genommen. Dann kann ich bei dem mobilen Benutzer nicht mehr im Inetrnet surfen. Also habe ich noch in der ACL 144 das 192.168.3.0 Netz genommen. Somit funktioniert das surfen wieder.

Ich kann aber immernoch nicht auf den Webserver zugreifen... Ein Ping (192.168.2.2) funktioniert jetzt... Diesen habe ich 20 mal wiederholen müssen, bis eine Antwort kam und nicht mehr Zeitüberschreitung der Anforderung. Die 192.168.2.1 kann ich immernoch nicht pingen...

Firewall ist noch nicht vorhanden. Somit sollte man das ausschließen können. Die IP Einstellungen vom Webserver sind in Ordnung. Das Gate ist die 192.168.2.1.

Liegt das Problem vllt. an dem DSL 1000 Anschluss? Es ist ja nur eine Testumgebung, aber dennnoch sollte es funktionieren.

Das "ip unnumbered eth 0" müsste ich bei dem Dialer0 anwenden, wenn ich es anstatt des IP Pools nehmen will?

Vielen Dank.
Bitte warten ..
Mitglied: xorking
08.07.2010 um 11:52 Uhr
Hallo,

ohne dass ich jetzt etwas geändert habe, kann ich nun die 192.168.2.2 nicht mehr pingen (Zeitüberschreitung der Anforderung), aber dafür die 192.168.2.1.

Mfg
Bitte warten ..
Mitglied: aqui
08.07.2010 um 12:03 Uhr
Ist die .2.2 dein interner Webserver ???
Wenn ja ist dort ICMP in der Firewall erlaubt ? (Haken in den erweiterten Eigenschaften der FW bei "Auf Echo Pakete antworten" ?
Am 1000er DSL liegt es defacto nicht, denn diese Einwahl funktioniert auch mit ISDN Geschwindigkeit bei 64 kBit/s einwandfrei und problemlos !
Ansonsten einfach immer mal den Debugger (debup ip icmp, debug vpn etc...) einschalten. Der sagt dann meistens sofort wo es kneift !!
Zum schluss nie vergessen den Debugger mit undebug all wieder auszuschalten !
Wenn du per Telnet/SSH auf dem Router bist term mon nicht vergessen sonst siehst du die Debug Konsol Meldungen nicht bzw. nur mit "show logg" im Syslog !
service timestamps debug datetime localtime
service timestamps log datetime localtime
clock timezone CET 1
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
ntp server de.pool.ntp.org

...ist noch ganz sinnvoll damit du immer den genauen zeitlichen Verlauf der Meldungen sehen kannst !
Bitte warten ..
Mitglied: xorking
08.07.2010 um 13:25 Uhr
Hallo,

ja die 2.2 ist der Webserver. Dort ist keine Firewall an. Ich konnte ja die 2.2 schonmal pingen... Dafür die 2.1 dann nicht.

*Mar 4 03:42:42: ICMP: echo reply sent, src 192.168.2.1, dst 192.168.3.12
*Mar 4 03:42:43: ICMP: echo reply sent, src 192.168.2.1, dst 192.168.3.12
*Mar 4 03:42:44: ICMP: echo reply sent, src 192.168.2.1, dst 192.168.3.12
*Mar 4 03:42:45: ICMP: echo reply sent, src 192.168.2.1, dst 192.168.3.12

Bei dem Ping auf die 192.168.2.2 kommt keine Debug Meldung.

Bei der VPN Einwahl kommt auch keine Debug Meldung.

Das komische ist ja, als ich die 2.2 pingen konnte, dann konnte ich aber nicht per HTTP auf den Webserver zugreifen (über den Browser). Ich habe ja aber auch keine ACLs auf dem Router, die etwas blocken könnten... Ich bin ziemlich ratlos. Im Browser steht immer nur "Verbinden mit 192.168.2.2"...

Mfg

//

jetzt kann ich gerade wieder die 2.2 pingen, aber dennnoch nicht im Browser auf die 2.2 zugreifen. Die 2.1 lässt sich jetzt gerade nicht mehr pingen. Sehr komisch.
Bitte warten ..
Mitglied: Dani
08.07.2010 um 13:48 Uhr
Blöde Frage: Hast du deine ACL-List auch angepasst?!
01.
access-list 144 permit ip 192.168.2.0 0.0.0.255 any 

Grüße,
Dani
Bitte warten ..
Mitglied: xorking
08.07.2010 um 13:56 Uhr
Hallo,

ich habe das 192.168.3.0 Quellnetz noch in die 144er ACL hinzugefügt. Das Surfen im Internet durch den VPN Tunnel über den Firmen Router funktioniert ja. Nur der Zugriff auf das Netz hinter dem Router ist nicht korrekt. Denn es kann ja nicht sein, dass man eine IP mal pingen kann und dann wieder nicht.

Mfg
Bitte warten ..
Mitglied: aqui
08.07.2010 um 16:59 Uhr
Wenn der Cisco VPN Client aktiv ist was sagt ein ipconfig oder ipconfig -all ??
Welche Client IP bekommst du vom Cisco Client ??
Ala..

Ethernetadapter Cisco-VPN:

Verbindungsspezifisches DNS-Suffix: xorking.com
IP-Adresse. . . . . . . . . . . . : 172.16.22.1
Subnetzmaske. . . . . . . . . . . : 255.255.254.0
Standardgateway . . . . . . . . . : 172.16.22.254

C:\>
Bitte warten ..
Mitglied: xorking
09.07.2010 um 07:41 Uhr
Hallo,

Ethernetadapter LAN-Verbindung 2:

Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Cisco Systems VPN Adapter
Physikalische Adresse . . . . . . : 00-05-9A-3C-78-00
DHCP aktiviert. . . . . . . . . . : Nein
IP-Adresse. . . . . . . . . . . . : 192.168.3.150
Subnetzmaske. . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.168.3.1
DNS-Server. . . . . . . . . . . . : 194.25.2.129

Das sollte alles stimmen.

Die 192.168.3.1 kann ich auch nicht anpingen, obwohl ich ja über sie in das 2er Netz gehe...

Ich habe mal den Cisco 831 gegen einen Cisco 836 getauscht. Konfiguration ist die gleiche. Weiterhin kein Zugriff auf den Webserver und das Problem mit dem Ping.

Vielen Dank.

Also ich habe gerade nochmal eine Netzwerkfreigabe auf dem Webserver erstellt. Auch diese kann ich nicht über den mobilen Laptop mit VPN Zugriff erreichen. Die Rechte sind richtig gesetzt.

Mfg
Bitte warten ..
Mitglied: aqui
09.07.2010 um 10:57 Uhr
Äääähhh, das ist ja auch wohl klar. Wie soll denn einen andere HW eine Konfig Fehler korrigieren können ?? Das ist doch Unsinn.
OK weiter beim Problem....
Deine ACL 144 musst du logischerweise korrigieren:
access-list 144 permit ip 192.168.3.0 0.0.0.255 any

Das .2.0er Netz darf hier nicht mehr stehen !! Denn die PBR gilt ja nur für die VPN Clients die jetzt in einem eigenen Netz sind !

Nicht ganz klar ist was du mit der (eigentlich überflüssigen) PBR Routemap für die VPN Clients beabsichtigst ?? Auch das widerholte NAT am Loopback ist mehr als unsinnig aus normaler Sichtweise ohne dein Umfeld zu kennen.
Was bitte soll der tiefere Sinn sein die VPN Clients über das Loopback Interface zu routen mit der PBR ??

Nochwas: kannst du die 192.168.2.1 anpingen ??
Bitte warten ..
Mitglied: xorking
09.07.2010 um 11:26 Uhr
Hallo,

ich hatte das 192.168.2.0 Netz natürlich aus der ACL gelöscht.

Wenn ich von dem mobilen Rechner auf den Webserver zugreifen will, dann sehe ich auch anhand der matches der ACL 144, dass da was passiert. Aber es geht eben nicht...

Wegen dem Loopback: Ich habe gelesen, dass ich das so konfigurieren muss, weil ich ja den Internet Traffic des VPN Clients über den VPN Tunnel leiten will, sodass er über den Cisco 831 läuft und nicht direkt über die UMTS Karte seinen Weg in das Internet findet.

Meine Testumgebung sieht genauso aus, wie oben auf dem Bild abgebildet.

Ich kann die 192.168.2.1 manchmal pingen. Wenn dies gerade möglich ist, dann funktioniert der Ping auf die 192.168.2.2 nicht mehr. Das ist genau das, was ich nicht verstehe. Wenn ich mich aber am Switch des LANs befinde, dann kann ich natürlich das komplette 192.168.2.0 Netz pingen.

Was könnte ich denn an der Konfiguration genau ändern/weglassen, weil Du sagst, dass es unnötig ist mit der PBR Routermap.

Vielen Dank.

Mfg
Bitte warten ..
Mitglied: xorking
12.07.2010 um 12:09 Uhr
Hallo,

ich habe mich nach diesem Beispiel gerichtet:

http://www.cisco.com/en/US/products/sw/secursw/ps2308/products_configur ...

ich erhalte nun auch:

*Mar 1 03:36:06.975: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet ha
s invalid spi for
destaddr=84.184.xxx.xxx, prot=50, spi=0x94040000(2483290112), srcaddr=91.
40.117.126

Vielen Dank.

Mfg
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Firewall
gelöst Site-to-Site-VPN und Cisco VPN-Client von gleicher IP (2)

Frage von TripleDouble zum Thema Firewall ...

DSL, VDSL
gelöst VPN-Probleme (CISCO AnyConnect) in Zusammenhang mit Router "Vodafone EasyBox" (7)

Frage von donnyS73lb zum Thema DSL, VDSL ...

Router & Routing
Cisco 800 Series und VPN over Fritzbox und Telekom VDSL (4)

Frage von Ra1976 zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (14)

Frage von liquidbase zum Thema Windows Update ...