Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Cisco VPN (IPSec) mit Firewall konfigurieren 886VA

Frage Netzwerke Netzwerkprotokolle

Mitglied: haurg1

haurg1 (Level 1) - Jetzt verbinden

07.09.2014, aktualisiert 02:55 Uhr, 1810 Aufrufe, 2 Kommentare, 1 Danke

Hallo zusammen,

ich versuche eine VPN-Verbindung (IPSEC) durch die Firewall des 886VA zu konfigurieren. Leider den ganzen Tag schon erfolglos. Die VPN Verbindung über Cisco VPN Client kommt zustande, wenn die Firewall nicht konfiguriert ist. Die Konfiguration kommt von Cisco Configuration Professional (CCP). Es ist vermutlich irgendwo eine ACL nicht korrekt, nur ich finde es leider nicht. Ich muss gestehen, dass ich auf diesem Gebiet noch einiges zu lernen habe.

Aber vielleicht kann mir jemand auf die Sprünge helfen. Hier ist meine Konfiguration.

Vielen Dank und Gruss

01.
version 15.4 
02.
no service pad 
03.
service timestamps debug datetime msec 
04.
service timestamps log datetime msec 
05.
service password-encryption 
06.
07.
hostname CISCO886VA 
08.
09.
boot-start-marker 
10.
boot system flash c880data-universalk9-mz.154-3.M.bin 
11.
boot-end-marker 
12.
13.
logging buffered 30000 informational 
14.
enable secret 5 $1$NX.j$8FfdelIIziDorjtZE5ho7. 
15.
enable password 7 115849554F4A53 
16.
17.
aaa new-model 
18.
19.
aaa authentication login default local 
20.
aaa authentication login ciscocp_vpn_xauth_ml_1 local 
21.
aaa authentication login ciscocp_vpn_xauth_ml_2 local 
22.
aaa authentication login ciscocp_vpn_xauth_ml_3 local 
23.
aaa authorization exec default local  
24.
aaa authorization network ciscocp_vpn_group_ml_1 local  
25.
aaa authorization network ciscocp_vpn_group_ml_2 local  
26.
aaa authorization network ciscocp_vpn_group_ml_3 local  
27.
28.
aaa session-id common 
29.
memory-size iomem 10 
30.
clock timezone Berlin 1 0 
31.
clock summer-time Berlin date Mar 30 2003 2:00 Oct 26 2003 3:00 
32.
33.
crypto pki trustpoint TP-self-signed-1287469419 
34.
 enrollment selfsigned 
35.
 subject-name cn=IOS-Self-Signed-Certificate-1287469419 
36.
 revocation-check none 
37.
 rsakeypair TP-self-signed-1287469419 
38.
39.
crypto pki certificate chain TP-self-signed-1287469419 
40.
 certificate self-signed 01 
41.
  3082022B 30820194 A0030201 02020101 300D0609 2A864886 F70D0101 05050030  
42.
  31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274  
43.
  69666963 6174652D 31323837 34363934 3139301E 170D3133 30333330 31313132  
44.
  34375A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649  
45.
  4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 32383734  
46.
  36393431 3930819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281  
47.
  8100C14D 658EA234 6EFC411D E8DF4EF2 5FD70984 8B6A3CB5 140E9950 05BF966A  
48.
  17CC20F8 506DB617 8CB3EF8E F1BB13A9 82FF0CDF 495EDCD0 261B3BBC B4840854  
49.
  19187EB6 33A52B9C AE3ABC07 0530D8E4 548E74F9 5E6B8FA5 8595FF96 C628766B  
50.
  458D6328 7525AFF9 240F1B2E 2A477CE7 96444971 43B0DC96 E0959ABE 96439B75  
51.
  706D0203 010001A3 53305130 0F060355 1D130101 FF040530 030101FF 301F0603  
52.
  551D2304 18301680 14AA1EEE 4BF30D88 DE0D9020 315D397D 8983D9F9 B1301D06  
53.
  03551D0E 04160414 AA1EEE4B F30D88DE 0D902031 5D397D89 83D9F9B1 300D0609  
54.
  2A864886 F70D0101 05050003 818100A0 C707736E 9BFDC1F3 1F052B1C 57BE877D  
55.
  D1B8DA58 1130EB65 DCD215D3 B45180F5 375E81CF 5B617C42 4E535772 F8FD3E6F  
56.
  E9114A9C 2EBF5576 A68226C8 1DC79F66 DC8A441B 7491B7AF F3023032 836BB609  
57.
  0DBF6625 490EF327 54D12D25 7F99DAB4 9FFCFDE1 D0B7C86F A3DBCAE5 5AFC210E  
58.
  E3E6E328 48A66730 CFEBB2C4 5F7C02 
59.
  	quit 
60.
61.
ip name-server 194.25.2.129 
62.
ip name-server 212.82.226.212 
63.
ip cef 
64.
no ipv6 cef 
65.
66.
parameter-map type regex ccp-regex-nonascii 
67.
 pattern [^\x00-\x80] 
68.
 
69.
parameter-map type regex Google 
70.
 pattern google 
71.
 
72.
parameter-map type regex ggg 
73.
 pattern .google. 
74.
 
75.
parameter-map type protocol-info yahoo-servers 
76.
 server name scs.msg.yahoo.com 
77.
... 
78.
parameter-map type protocol-info msn-servers 
79.
 server name messenger.hotmail.com 
80.
 server name gateway.messenger.hotmail.com 
81.
 server name webmessenger.msn.com 
82.
 
83.
parameter-map type protocol-info aol-servers 
84.
 server name login.oscar.aol.com 
85.
 server name toc.oscar.aol.com 
86.
 server name oam-d09a.blue.aol.com 
87.
 
88.
89.
cts logging verbose 
90.
license udi pid CISCO886VA-K9 sn FCZ1620C7HT 
91.
92.
93.
username XXX privilege 15 password 7 040A5B56577914 
94.
username XXX secret 5 $1$Ftwj$YkXyGZ669H4HMPxdluvyG/ 
95.
96.
controller VDSL 0 
97.
98.
no ip ftp passive 
99.
100.
class-map type inspect imap match-any ccp-app-imap 
101.
 match invalid-command 
102.
class-map type inspect smtp match-any ccp-app-smtp 
103.
 match data-length gt 5000000 
104.
class-map type inspect match-any ccp-skinny-inspect 
105.
 match protocol skinny 
106.
class-map type inspect http match-any ccp-app-nonascii 
107.
 match req-resp header regex ccp-regex-nonascii 
108.
class-map type inspect match-any ccp-h323nxg-inspect 
109.
 match protocol h323-nxg 
110.
class-map type inspect match-any ccp-cls-icmp-access 
111.
 match protocol icmp 
112.
 match protocol tcp 
113.
 match protocol udp 
114.
class-map type inspect match-any ccp-cls-protocol-im 
115.
 match protocol ymsgr yahoo-servers 
116.
 match protocol msnmsgr msn-servers 
117.
 match protocol aol aol-servers 
118.
class-map type inspect match-all ccp-protocol-pop3 
119.
 match protocol pop3 
120.
class-map type inspect match-any ccp-h225ras-inspect 
121.
 match protocol h225ras 
122.
class-map type inspect match-any ccp-h323annexe-inspect 
123.
 match protocol h323-annexe 
124.
class-map type inspect match-any ccp-cls-insp-traffic 
125.
 match protocol dns 
126.
 match protocol https 
127.
 match protocol icmp 
128.
 match protocol imap 
129.
 match protocol pop3 
130.
 match protocol tcp 
131.
 match protocol udp 
132.
class-map type inspect pop3 match-any ccp-app-pop3 
133.
 match invalid-command 
134.
class-map type inspect match-any ccp-h323-inspect 
135.
 match protocol h323 
136.
class-map type inspect match-all ccp-invalid-src 
137.
 match access-group 102 
138.
class-map type inspect http match-any ccp-app-httpmethods 
139.
 match request method bcopy 
140.
 match request method bdelete 
141.
 match request method bmove 
142.
 match request method bpropfind 
143.
 match request method bproppatch 
144.
 match request method connect 
145.
 match request method copy 
146.
 match request method delete 
147.
 match request method edit 
148.
 match request method getattribute 
149.
 match request method getattributenames 
150.
 match request method getproperties 
151.
 match request method index 
152.
 match request method lock 
153.
 match request method mkcol 
154.
 match request method mkdir 
155.
 match request method move 
156.
 match request method notify 
157.
 match request method options 
158.
 match request method poll 
159.
 match request method post 
160.
 match request method propfind 
161.
 match request method proppatch 
162.
 match request method put 
163.
 match request method revadd 
164.
 match request method revlabel 
165.
 match request method revlog 
166.
 match request method revnum 
167.
 match request method save 
168.
 match request method search 
169.
 match request method setattribute 
170.
 match request method startrev 
171.
 match request method stoprev 
172.
 match request method subscribe 
173.
 match request method trace 
174.
 match request method unedit 
175.
 match request method unlock 
176.
 match request method unsubscribe 
177.
class-map type inspect match-any ccp-sip-inspect 
178.
 match protocol sip 
179.
class-map type inspect http match-any ccp-http-blockparam 
180.
 match request port-misuse im 
181.
 match request port-misuse p2p 
182.
 match request port-misuse tunneling 
183.
class-map type inspect match-all ccp-protocol-imap 
184.
 match protocol imap 
185.
class-map type inspect match-all ccp-protocol-smtp 
186.
 match protocol smtp 
187.
class-map type inspect match-all ccp-protocol-http 
188.
 match protocol http 
189.
class-map type inspect match-all ccp-insp-traffic 
190.
 match class-map ccp-cls-insp-traffic 
191.
class-map type inspect match-all ccp-protocol-im 
192.
 match class-map ccp-cls-protocol-im 
193.
class-map type inspect match-all ccp-icmp-access 
194.
 match class-map ccp-cls-icmp-access 
195.
196.
policy-map type inspect pop3 ccp-action-pop3 
197.
 class type inspect pop3 ccp-app-pop3 
198.
  log 
199.
  reset 
200.
policy-map type inspect imap ccp-action-imap 
201.
 class type inspect imap ccp-app-imap 
202.
  log 
203.
  reset 
204.
policy-map type inspect http ccp-action-app-http 
205.
 class type inspect http ccp-http-blockparam 
206.
  log 
207.
  reset 
208.
 class type inspect http ccp-app-httpmethods 
209.
  log 
210.
  reset 
211.
 class type inspect http ccp-app-nonascii 
212.
  log 
213.
  reset 
214.
policy-map type inspect smtp ccp-action-smtp 
215.
 class type inspect smtp ccp-app-smtp 
216.
  reset 
217.
policy-map type inspect ccp-inspect 
218.
 class type inspect ccp-invalid-src 
219.
  drop log 
220.
 class type inspect ccp-protocol-http 
221.
  inspect  
222.
  service-policy http ccp-action-app-http 
223.
 class type inspect ccp-protocol-smtp 
224.
  inspect  
225.
  service-policy smtp ccp-action-smtp 
226.
 class type inspect ccp-protocol-imap 
227.
  inspect  
228.
  service-policy imap ccp-action-imap 
229.
 class type inspect ccp-protocol-pop3 
230.
  inspect  
231.
  service-policy pop3 ccp-action-pop3 
232.
 class type inspect ccp-protocol-im 
233.
  drop log 
234.
 class type inspect ccp-insp-traffic 
235.
  inspect  
236.
 class type inspect ccp-sip-inspect 
237.
  inspect  
238.
 class type inspect ccp-h323-inspect 
239.
  inspect  
240.
 class type inspect ccp-h323annexe-inspect 
241.
  inspect  
242.
 class type inspect ccp-h225ras-inspect 
243.
  inspect  
244.
 class type inspect ccp-h323nxg-inspect 
245.
  inspect  
246.
 class type inspect ccp-skinny-inspect 
247.
  inspect  
248.
policy-map type inspect ccp-permit 
249.
 class class-default 
250.
  drop 
251.
policy-map type inspect ccp-permit-icmpreply 
252.
 class type inspect ccp-icmp-access 
253.
  inspect  
254.
 class class-default 
255.
  pass 
256.
257.
zone security out-zone 
258.
zone security in-zone 
259.
zone-pair security ccp-zp-self-out source self destination out-zone 
260.
 service-policy type inspect ccp-permit-icmpreply 
261.
zone-pair security ccp-zp-in-out source in-zone destination out-zone 
262.
 service-policy type inspect ccp-inspect 
263.
zone-pair security ccp-zp-out-self source out-zone destination self 
264.
 service-policy type inspect ccp-permit 
265.
!  
266.
267.
crypto isakmp policy 1 
268.
 encr aes 
269.
 hash md5 
270.
 authentication pre-share 
271.
 group 2 
272.
273.
crypto isakmp client configuration group knothvpn 
274.
 key Kox3_Z&x91. 
275.
 pool VPN 
276.
 acl 100 
277.
 max-users 10 
278.
crypto isakmp profile ciscocp-ike-profile-2 
279.
   match identity group knothvpn 
280.
   client authentication list ciscocp_vpn_xauth_ml_3 
281.
   isakmp authorization list ciscocp_vpn_group_ml_3 
282.
   client configuration address respond 
283.
   virtual-template 3 
284.
285.
crypto ipsec transform-set ESP-AES128-MD5 esp-aes esp-md5-hmac  
286.
 mode tunnel 
287.
288.
crypto ipsec profile CiscoCP_Profile2 
289.
 set security-association idle-time 3540 
290.
 set transform-set ESP-AES128-MD5  
291.
 set isakmp-profile ciscocp-ike-profile-2 
292.
293.
interface Ethernet0 
294.
 no ip address 
295.
 shutdown 
296.
297.
interface BRI0 
298.
 no ip address 
299.
 encapsulation hdlc 
300.
 shutdown 
301.
 isdn termination multidrop 
302.
303.
interface ATM0 
304.
 no ip address 
305.
 no ip redirects 
306.
 no ip unreachables 
307.
 no atm ilmi-keepalive 
308.
309.
interface ATM0.1 point-to-point 
310.
 description ATMEINWAHL 
311.
 no ip redirects 
312.
 no ip unreachables 
313.
 no ip proxy-arp 
314.
 pvc 1/32  
315.
  pppoe-client dial-pool-number 1 
316.
317.
318.
interface FastEthernet0 
319.
 switchport trunk allowed vlan 1,90,1002-1005 
320.
 switchport mode trunk 
321.
 no ip address 
322.
323.
interface FastEthernet1 
324.
 no ip address 
325.
326.
interface FastEthernet2 
327.
 no ip address 
328.
329.
interface FastEthernet3 
330.
 no ip address 
331.
332.
interface Virtual-Template3 type tunnel 
333.
 ip unnumbered Vlan90 
334.
 tunnel mode ipsec ipv4 
335.
 tunnel protection ipsec profile CiscoCP_Profile2 
336.
337.
interface Vlan1 
338.
 description vl$FW_INSIDE$ 
339.
 ip address 10.88.10.12 255.255.255.0 
340.
 ip nat inside 
341.
 ip virtual-reassembly in 
342.
 zone-member security in-zone 
343.
 ip tcp adjust-mss 1452 
344.
345.
interface Vlan90 
346.
 description $FW_INSIDE$ 
347.
 ip address 10.88.90.12 255.255.255.0 
348.
 zone-member security in-zone 
349.
350.
interface Dialer0 
351.
 description DSLEinwahl$FW_OUTSIDE$ 
352.
 ip ddns update hostname XXX 
353.
 ip ddns update dyndns host xxx 
354.
 ip address negotiated 
355.
 ip access-group 111 in 
356.
 no ip redirects 
357.
 no ip unreachables 
358.
 no ip proxy-arp 
359.
 ip mtu 1452 
360.
 ip nbar protocol-discovery 
361.
 ip nat outside 
362.
 ip virtual-reassembly in 
363.
 zone-member security out-zone 
364.
 encapsulation ppp 
365.
 dialer pool 1 
366.
 dialer-group 1 
367.
 ppp authentication chap pap callin 
368.
 ppp chap hostname XXX 
369.
 ppp chap password 7 154A585E52727B7679 
370.
 ppp pap sent-username XXX password 7 XX 
371.
 ppp ipcp dns request 
372.
 no cdp enable 
373.
374.
ip local pool pptp_dialin 10.88.10.30 10.88.10.40 
375.
ip local pool SDM_POOL_2 10.88.10.51 10.88.10.55 
376.
ip local pool SDM_POOL_1 10.88.10.50 
377.
ip local pool SDM_POOL_3 10.88.10.110 10.88.10.112 
378.
ip local pool VPN 10.88.90.101 10.88.90.110 
379.
ip forward-protocol nd 
380.
ip http server 
381.
ip http secure-server 
382.
383.
ip dns server 
384.
ip nat inside source list 101 interface Dialer0 overload 
385.
ip route 0.0.0.0 0.0.0.0 Dialer0 
386.
ip route 10.88.20.0 255.255.255.0 10.88.10.254 
387.
ip route 10.88.30.0 255.255.255.0 10.88.10.254 
388.
ip route 10.88.40.0 255.255.255.0 10.88.10.254 
389.
390.
dialer-list 1 protocol ip list 101 
391.
392.
access-list 100 remark CCP_ACL Category=4 
393.
access-list 100 permit ip 10.0.0.0 0.255.255.255 any 
394.
access-list 101 permit ip 10.88.10.0 0.0.0.255 any 
395.
access-list 101 permit ip 10.88.20.0 0.0.0.255 any 
396.
access-list 101 permit ip 10.88.30.0 0.0.0.255 any 
397.
access-list 101 permit ip 10.88.40.0 0.0.0.255 any 
398.
access-list 102 remark CCP_ACL Category=128 
399.
access-list 102 permit ip host 255.255.255.255 any 
400.
access-list 102 permit ip 127.0.0.0 0.255.255.255 any 
401.
402.
line con 0 
403.
 password 7 03550B5B5E5779 
404.
 no modem enable 
405.
line aux 0 
406.
line vty 0 4 
407.
 password 7 1446425B545C72 
408.
 transport input all 
409.
410.
ntp update-calendar 
411.
ntp server 10.88.20.3 source Vlan1 
412.
413.
end
Mitglied: catachan
07.09.2014 um 10:37 Uhr
Hi

du musst auf dem Outside Interface noch UDP Port 500 und Protokoll (nicht Port) 50 (ESP) und eventuell 51 (AH) freischalten.

Die Einrichtung wird hier beschrieben
http://www.cisco.com/c/en/us/products/collateral/security/ios-firewall/ ...


LG
Bitte warten ..
Mitglied: aqui
07.09.2014, aktualisiert um 11:22 Uhr
Es ist vermutlich irgendwo eine ACL nicht korrekt
In der Tat, genau so ist es... ! Kommt dabei raus wenn man solchen Unsinn wie CCP benutzt. Es gilt wie immer der goldene Grundsatz: "Real Networkers do CLI...!"

Dein Kardinalsfehler ist die ACL Nummer 111 die inbound auf dem Dialer 0 Interface konfiguriert ist. Diese ACL existiert aber in deiner gesamten Global Konfig gar nicht bzw. ist nicht definiert und damit gilt dann per Default ein deny any any, was alles blockt.
Hättest du mal den Cisco CLI Debugger mit "debug access-list 111" benutzt hättest du es auch sofort selber gesehen und den Thread hier obsolet gemacht !
Richte also die fehlende ACL 111 entsprechend ein, dann funktioniert das auch auf Anhieb.
IPsec nutzt die folgenden Ports: UDP 500 (IKE), UDP 4500 (NAT-T und das ESP Protokoll mit der Nummer 50 (kein UDP oder TCP !)

Ein funktionierendes Beispiel dieser ACL beschreibt dir das hiesige Cisco 886va Tutorial im Kapitel VPN:
http://www.administrator.de/wissen/konfiguration-cisco-886va-mit-adsl-o ...
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Firewall
gelöst Site-to-Site-VPN und Cisco VPN-Client von gleicher IP (2)

Frage von TripleDouble zum Thema Firewall ...

Router & Routing
Cisco IPSEC VPN - Magic Packet (WOL) - ip helper-address (4)

Frage von Bernhard-B zum Thema Router & Routing ...

Firewall
Firewall für DMZ und Intranet richtig konfigurieren (3)

Frage von vGaven zum Thema Firewall ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...