106543
Goto Top

Easy VPN Server auf Cisco 1841 - Timeout

Hi Leute,

erstmal vorweg: ich kenne mich so gut wie nicht mit Router-konfiguration, VPN etc. aus. face-smile
Deswegen brauch ich auch eure Hilfe.
Ich habe hier einen Cisco Router 1841 stehen und habe damit mithilfe des Cisco Configuration Professional einen EasyVPNServer eingerichtet. Nun will ich mit dem VPN Clinet von Cisco in dieses VPN connecten face-smile
Funktioniert aber nicht und bringt mir die Meldung: "Reason 412: The remote Peer is no longer responding"

Wisst ihr woran es liegen könnte bzw. braucht ihr noch mehr Infos ?

Grüße
Exze

Content-Key: 208006

Url: https://administrator.de/contentid/208006

Ausgedruckt am: 28.03.2024 um 10:03 Uhr

Mitglied: aqui
aqui 14.06.2013 aktualisiert um 10:09:22 Uhr
Goto Top
Wenn du mal mit "show run" deine Router Konfig hier anonymisiert posten könntest wäre das für ein Troubleshooting hier mehr als hilfreich ! (Kommt man eigentlich auch von selber drauf...?!)
Ansonsten zwingst du uns die Kristallkugel zu nutzen face-sad
Wie immer hat die Cisco Seite fertige Konfigs zum Abtippen:
http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps663 ...
und
http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps663 ...
und
http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps663 ...
und auch
http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps663 ...
Je nachdem ob du Xauth machen willst oder nicht und jeweils mit oder ohne Split Tunneling.
Leider lässt du uns ja auch da raten was du vorhast face-sad
Mitglied: 106543
106543 14.06.2013 aktualisiert um 10:22:19 Uhr
Goto Top
Hi aqui,

danke erstmal für die Meldung face-smile
hier die Router Konfig (alles über CCP konfiguriert, nix in der Konsole)
Building configuration...

Current configuration : 9032 bytes
!
! Last configuration change at 09:16:01 PCTime Fri Jun 14 2013 by exzellius
!
version 15.0
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Cisco1841
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
enable secret 5 $1$hBQS$hRDOik7T8kwJ5WyvmfeIV0
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication login ciscocp_vpn_xauth_ml_1 local
aaa authentication login ciscocp_vpn_xauth_ml_2 local
aaa authentication login ciscocp_vpn_xauth_ml_3 local
aaa authentication login ciscocp_vpn_xauth_ml_4 local
aaa authentication login ciscocp_vpn_xauth_ml_5 local
aaa authentication login ciscocp_vpn_xauth_ml_6 local
aaa authorization exec default local
aaa authorization network ciscocp_vpn_group_ml_1 local
aaa authorization network ciscocp_vpn_group_ml_2 local
aaa authorization network ciscocp_vpn_group_ml_3 local
aaa authorization network ciscocp_vpn_group_ml_4 local
aaa authorization network ciscocp_vpn_group_ml_5 local
aaa authorization network ciscocp_vpn_group_ml_6 local
!
!
!
!
!
aaa session-id common
!
!
!
clock timezone PCTime 1
clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00
!
crypto pki trustpoint yourdomain
 enrollment mode ra
 enrollment url http://78.140.88.83:80
 usage ike
 serial-number none
 ip-address none
 password 7 08375C401918160405041E00
 crl query ldap://78.140.88.83
 revocation-check crl
 auto-enroll
!
crypto pki trustpoint YOURDOMAIN
 enrollment mode ra
 enrollment url http://78.140.88.83:80
 usage ike
 serial-number none
 ip-address none
 password 7 001616100B500E0B0A
 crl query ldap://78.140.88.83
 revocation-check crl
 auto-enroll
!
crypto pki trustpoint TP-self-signed-490476050
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-490476050
 revocation-check none
 rsakeypair TP-self-signed-490476050
!
!
crypto pki certificate chain yourdomain
crypto pki certificate chain YOURDOMAIN
crypto pki certificate chain TP-self-signed-490476050
 certificate self-signed 01
  3082024D 308201B6 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
  30312E30 2C060355 04031325 494F532D 53656C66 2D536967 6E65642D 43657274
  69666963 6174652D 34393034 37363035 30301E17 0D313330 36313430 38313235
  305A170D 32303031 30313030 30303030 5A303031 2E302C06 03550403 1325494F
  532D5365 6C662D53 69676E65 642D4365 72746966 69636174 652D3439 30343736
  30353030 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818100
  AE3FDB00 75942302 3843F7C7 36F1CE9A A820E66D 1EACD4F1 D542F709 A554E05D
  43CD6BA9 8819A4EA 1C81134E A77AFAA6 7391E7F7 D9C6C18D A30D6594 DEC07E17
  6941896B 68972EA6 AD3AEFD9 E68F6789 CE667D52 AD29B0C8 98A7A45A 1B1F6CC7
  01E7EBBC A2F23AC4 032CE538 37C442AD B386B66A 786A2EFB AB30D3F9 8A318ECF
  02030100 01A37730 75300F06 03551D13 0101FF04 05300301 01FF3022 0603551D
  11041B30 19821743 6973636F 31383431 2E796F75 72646F6D 61696E2E 6465301F
  0603551D 23041830 168014B7 908CF684 0622BE33 D860F265 4FA9AA0B 7E1C5830
  1D060355 1D0E0416 0414B790 8CF68406 22BE33D8 60F2654F A9AA0B7E 1C58300D
  06092A86 4886F70D 01010405 00038181 001EFC13 EF4EE9D6 D8C0924A 7DD965E2
  814CCE03 5D9E6BB4 7402A3D8 A5088469 6BE6BB68 AE947D25 C2D9F31B EA1441C9
  DD159F04 EF79602E 5B2C94C7 AE6C5DA4 5BE60E75 BAC109D1 51E1E139 19C5761E
  90E4B2E1 C62AB467 81291198 ACFB85D0 29BEE2A7 E7F3B8A7 1C46B84B 5DE910F8
  D5DDB372 05402A1A 2B6728A7 D1648E2F C7
        quit
dot11 syslog
ip source-route
!
!
ip dhcp excluded-address 10.135.59.1 10.135.59.149
ip dhcp excluded-address 10.135.59.201 10.135.59.254
!
ip dhcp pool LAN
   import all
   network 10.135.59.0 255.255.255.0
   dns-server 82.210.208.192 82.210.208.193
   default-router 10.135.59.112
   domain-name LAN
!
!
ip cef
ip domain name yourdomain.de
ip name-server 82.210.208.192
ip name-server 82.210.208.193
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!
license udi pid CISCO1841 sn FCZ1442905G
username josef privilege 15 secret 5 $1$QuKs$0oKeCBqnWfIzcO3od5v7N.
username admin privilege 15 secret 5 $1$act6$2guKfv.dT1dEW0B0kClwH/
username cisco privilege 15 secret 5 $1$2tDP$LQ4a3iGVbj9RKHvcqaQ8x/
username dominik view exzellius secret 5 $1$PDfj$vhl2BGIAV6M9twuHDDhY00
username Exzellius privilege 15 password 7 15000403107B797769
!
redundancy
crypto ctcp port 10000
!
!
controller DSL 0/0/0
!
!
!
crypto isakmp policy 1
 encr aes
 authentication pre-share
 group 2
!
crypto isakmp policy 2
 encr 3des
 hash md5
 authentication pre-share
 group 2
!
crypto isakmp policy 3
 encr 3des
 authentication pre-share
 group 2
crypto isakmp key mGbl3vrywH3erE address 80.149.64.84
crypto isakmp key VPNKEY1! address 217.229.35.141
crypto isakmp key VPNKEY1! address 217.229.53.68
crypto isakmp key VPNKEY1! address 0.0.0.0 0.0.0.0
!
crypto isakmp client configuration group Azubi_Policy
 key VPNKEY1!
 pool SDM_POOL_2
 netmask 255.255.255.0
crypto isakmp profile ciscocp-ike-profile-1
   match identity group Azubi_Policy
   client authentication list ciscocp_vpn_xauth_ml_6
   isakmp authorization list ciscocp_vpn_group_ml_6
   client configuration address initiate
   client configuration address respond
   virtual-template 1
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-aes 256 esp-sha-hmac
crypto ipsec transform-set ESP-3DES-SHA1 esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-3DES-SHA2 esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-3DES-SHA3 esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-3DES-SHA4 esp-3des esp-sha-hmac
crypto ipsec transform-set Azubi_Policy esp-aes esp-sha-hmac
crypto ipsec transform-set ESP-3DES-SHA5 esp-3des esp-sha-hmac
!
crypto ipsec profile CiscoCP_Profile1
 set security-association idle-time 86400
 set transform-set Azubi_Policy
 set isakmp-profile ciscocp-ike-profile-1
!
!
crypto map SDM_CMAP_1 1 ipsec-isakmp
 description VPN-Tunnel SRP526
 set peer 217.229.62.222
 set transform-set Azubi_Policy
 match address 107
!
!
!
!
!
interface Loopback0
 ip address 10.10.10.10 255.255.255.0
 !
!
interface Loopback1
 ip address 10.10.11.10 255.255.255.0
 !
!
interface Loopback2
 ip address 192.168.2.1 255.255.255.0
 !
!
interface FastEthernet0/0
 description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-FE 0$
 ip address 10.135.59.112 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 duplex auto
 speed auto
 !
!
interface FastEthernet0/1
 description 1
 ip address 78.140.88.83 255.0.0.0
 ip nat outside
 ip virtual-reassembly
 duplex auto
 speed auto
 crypto map SDM_CMAP_1
 !
!
interface Virtual-Template1 type tunnel
 ip unnumbered FastEthernet0/0
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile CiscoCP_Profile1
 !
!
ip local pool SDM_POOL_1 10.135.59.201 10.135.59.220
ip local pool SDM_POOL_2 192.168.1.1 192.168.1.254
ip forward-protocol nd
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
!
ip nat inside source route-map SDM_RMAP_2 interface FastEthernet0/1 overload
ip route 0.0.0.0 0.0.0.0 78.140.88.81
!
access-list 1 remark CCP_ACL Category=2
access-list 1 permit 10.135.59.0 0.0.0.255
access-list 2 remark CCP_ACL Category=2
access-list 2 permit 10.135.59.0 0.0.0.255
access-list 100 remark CCP_ACL Category=4
access-list 100 remark IPSec Rule
access-list 100 permit ip 10.135.59.0 0.0.0.255 172.16.20.0 0.0.0.255
access-list 101 remark CCP_ACL Category=2
access-list 101 remark IPSec Rule
access-list 101 deny   ip 10.135.59.0 0.0.0.255 172.16.20.0 0.0.0.255
access-list 101 permit ip 10.135.59.0 0.0.0.255 any
access-list 102 remark CCP_ACL Category=4
access-list 102 remark IPSec Rule
access-list 102 permit ip 10.135.59.0 0.0.0.255 193.158.251.0 0.0.0.255
access-list 103 remark CCP_ACL Category=2
access-list 103 remark IPSec Rule
access-list 103 deny   ip 10.135.59.0 0.0.0.255 192.168.15.0 0.0.0.255
access-list 103 permit ip 10.135.59.0 0.0.0.255 any
access-list 104 remark CCP_ACL Category=4
access-list 104 remark IPSec Rule
access-list 104 permit ip 10.135.59.0 0.0.0.255 192.168.15.0 0.0.0.255
access-list 105 remark CCP_ACL Category=4
access-list 105 remark IPSec Rule
access-list 105 permit ip 10.135.59.0 0.0.0.255 192.168.15.0 0.0.0.255
access-list 106 remark CCP_ACL Category=4
access-list 106 remark IPSec Rule
access-list 106 permit ip 0.0.0.0 255.255.255.0 0.0.0.0 255.255.255.0
access-list 107 remark CCP_ACL Category=4
access-list 107 remark IPSec Rule
access-list 107 permit ip 10.135.59.0 0.0.0.255 192.168.15.0 0.0.0.255
!
!
!
!
route-map SDM_RMAP_1 permit 1
 match ip address 101
!
route-map SDM_RMAP_2 permit 1
 match ip address 103
!
!
!
control-plane
 !
!
!
line con 0
line aux 0
line vty 0 4
 privilege level 15
 transport input telnet ssh
line vty 5 15
 transport input telnet ssh
!
scheduler allocate 20000 1000
!
webvpn gateway VPNGATEWAY
 ip address 10.35.59.112 port 443
 ssl trustpoint TP-self-signed-490476050
 inservice
 !
webvpn context VPNGATEWAY
 ssl authenticate verify all
 !
 !
 policy group default
 default-group-policy default
 gateway VPNGATEWAY
 inservice
!
end

nicht wundern ich hab schon einiges rumprobiert, was ich (unter anderem auch auf Cisco Sites) gefunden hab.
Das Ding soll auch nicht in den Wirk-Betrieb, also keine Panik ;)

Grüße
Exze
Mitglied: aqui
aqui 14.06.2013 aktualisiert um 10:24:12 Uhr
Goto Top
Das kommt dabei raus wenn man das Klicki Bunti Interface für Dummies benutzt und nicht das CLI !!
Bevor wir ins eingemachte gehen findest du als globale Hilfe hier:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Eine Globalkonfig für PPTP VPNs
und hier:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
eine ebensolche für IPsec VPNs generell und freie IPsec Clients.

Dein Problem sind deine unsinnige Anzahl von Transform Sets ! Reduzier das mal auf ein sinnvolles Maß mit AES und MD5 oder DES3 und MD5 und lege eine einzige IKE Policy fest. Dann wird das auch was....
Mitglied: 106543
106543 14.06.2013 um 10:26:20 Uhr
Goto Top
Hi,

mag sein dass das "Klicki Bunti Interface für Dummies" nicht das Wahre ist, aber dennoch hat´s gereicht, einen Site-to-Site-Tunnel z nem anderen Cisco Router aufzubauen, von daher kann es ja garnicht so schlecht sein face-smile *duck*

Grüße
Exze