Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Port-Weiterleitung auf Cisco

Frage Netzwerke Router & Routing

Mitglied: builder4242

builder4242 (Level 1) - Jetzt verbinden

30.11.2009, aktualisiert 20:56 Uhr, 7878 Aufrufe, 10 Kommentare

Ich habe die Config endlich fertig, doch jetzt funktioniert mein OpenSwan nicht mehr.

Hallo,

Ich baue von außerhalb eine OpenSwan Verbindung zu einem Linux Server in meinem Netz auf,
das OpenSwan ist auf die Ports 15015 und 15016 compiliert.
Es hat auch schonmal funktioniert, doch bei den letzten paar änderungen ging irgendetwas schieff ,
und nun kann ich keine Verbindung mehr aufbauen, nach einigen Tests: auf dem Linux-Server
kommt in keinster weise irgendeine Anfrag an?

Es muss mit dem Port Forwarding zu tun haben, jedoch finde ich den Fehler nicht?

 
version 12.4 
service tcp-keepalives-in 
service tcp-keepalives-out 
service timestamps debug datetime localtime 
service timestamps log datetime localtime 
service password-encryption 
hostname #### 
boot-start-marker 
boot-end-marker 
security authentication failure rate 3 log 
security passwords min-length 4 
logging buffered 51200 
logging console critical 
enable secret 5 ######## 
enable password 7 ############# 
no aaa new-model 
clock timezone MET 1 
clock summer-time MEST recurring last Sun Mar 2:00 last Sun Oct 3:00 
crypto pki trustpoint TP-self-signed-3255133010 
 enrollment selfsigned 
 subject-name cn=IOS-Self-Signed-Certificate-3255133010 
 revocation-check none 
 rsakeypair TP-self-signed-3255133010 
crypto pki certificate chain TP-self-signed-3255133010 
 certificate self-signed 01 
 
##### 
 
  	quit 
dot11 syslog 
no ip source-route 
ip cef 
no ip bootp server 
ip name-server 217.5.100.185 
ip inspect name myfw tcp 
ip inspect name myfw udp 
multilink bundle-name authenticated 
vpdn enable 
vpdn-group 1 
! Default PPTP VPDN group 
 accept-dialin 
  protocol pptp 
  virtual-template 1 
vpdn-group pppoe 
 request-dialin 
  protocol pppoe 
users ########### 
!  
crypto isakmp policy 1 
 encr 3des 
 hash md5 
 authentication pre-share 
 group 2 
 lifetime 18000 
crypto isakmp key ############ address ######## 
crypto ipsec transform-set 3des_md5 esp-3des esp-md5-hmac  
crypto ipsec df-bit clear 
crypto map encrypt_daf 1 ipsec-isakmp  
 set peer ###### 
 set security-association lifetime seconds 18000 
 set transform-set 3des_md5  
 set pfs group2 
 match address vpn-traffic 
archive 
 log config 
  hidekeys 
ip tcp synwait-time 10 
ip ssh version 2 
bba-group pppoe global 
interface Null0 
 no ip unreachables 
interface FastEthernet0 
 description local lan 
 ip address 10.100.100.1 255.255.255.0 
 no ip redirects 
 no ip unreachables 
 ip nbar protocol-discovery 
 ip flow egress 
 ip nat inside 
 ip virtual-reassembly 
 ip route-cache flow 
 ip tcp adjust-mss 1452 
 shutdown 
 speed auto 
 full-duplex 
interface FastEthernet1 
 description connected to modem 
 no ip address 
 ip route-cache flow 
 duplex auto 
 speed auto 
 pppoe enable group global 
 pppoe-client dial-pool-number 1 
 no keepalive 
 no cdp enable 
interface BRI0 
 no ip address 
 encapsulation hdlc 
 shutdown 
interface FastEthernet2 
 vlan-id dot1q 1 
  exit-vlan-config 
interface FastEthernet3 
interface FastEthernet4 
interface FastEthernet5 
interface FastEthernet6 
interface FastEthernet7 
interface FastEthernet8 
interface FastEthernet9 
interface Virtual-Template1  
 description PPTP Einwahl Interface fuer VPN Zugang 
 ip unnumbered Vlan1 
 no ip redirects 
 no ip unreachables 
 peer default ip address pool pptp_dialin 
 no keepalive 
 ppp encrypt mppe auto 
 ppp authentication pap chap ms-chap ms-chap-v2 
interface Vlan1 
 description Vlan1 
 ip address 10.10.2.2 255.255.0.0 
 ip nbar protocol-discovery 
 ip flow egress 
 ip nat inside 
 ip virtual-reassembly 
 ip route-cache flow 
 ip tcp adjust-mss 1452 
interface Dialer1 
 description DSL Provider Dialin 
 ip address negotiated 
 ip access-group NAT-DIALER in 
 ip mtu 1492 
 ip nat outside 
 ip inspect myfw out 
 ip virtual-reassembly 
 encapsulation ppp 
 dialer pool 1 
 dialer-group 1 
 no keepalive 
 no cdp enable 
 ppp authentication chap callin 
 ppp chap hostname ###### 
 ppp chap password 7 ####### 
 ppp ipcp dns request 
 ppp ipcp wins request 
 crypto map encrypt_daf 
ip local pool pptp_dialin 10.10.1.1 10.10.1.9 
ip forward-protocol nd 
ip route 0.0.0.0 0.0.0.0 Dialer1 
no ip http server 
no ip http secure-server 
ip dns server 
ip nat pool NAT_VPN ######### ############ netmask 255.255.255.252 
ip nat inside source list NAT-DAF pool NAT_VPN overload 
ip nat inside source list NAT-INTERNET interface Dialer1 overload 
ip nat inside source static udp 10.10.1.250 15015 interface Dialer1 15015 
ip nat inside source static udp 10.10.1.250 15016 interface Dialer1 15016 
ip access-list standard TELNET-ACCESS 
 permit 10.10.0.0 0.0.255.255 
 permit 132.147.16.0 0.0.0.255 
 deny   any 
ip access-list extended NAT-DAF 
 permit ip host 10.10.1.250 160.69.9.0 0.0.0.255 
 permit ip host 10.10.1.32 160.69.9.0 0.0.0.255 
ip access-list extended NAT-DIALER 
 permit icmp any any 
 permit udp any eq domain any 
 permit tcp any any eq 1723 
 permit gre any any 
 permit esp host ######## host ##### 
 permit udp host ########## host ##### eq isakmp 
 permit udp host ####### eq ntp host ##### eq ntp 
 deny   ip any any 
ip access-list extended NAT-INTERNET 
 permit ip 10.10.0.0 0.0.255.255 any 
ip access-list extended vpn-traffic 
 permit ip 172.29.2.212 0.0.0.3 160.69.9.0 0.0.0.255 
logging trap debugging 
dialer-list 1 protocol ip permit 
no cdp run 
control-plane 
banner motd  
 
***************************************************************** 
 
line con 0 
 exec-timeout 30 0 
 stopbits 1 
 flowcontrol software 
line aux 0 
 exec-timeout 30 0 
 stopbits 1 
 flowcontrol software 
line vty 0 4 
 access-class TELNET-ACCESS in 
 exec-timeout 30 0 
 privilege level 15 
 password 7 ######## 
 login local 
 transport input telnet ssh 
scheduler allocate 4000 1000 
scheduler interval 500 
ntp clock-period 17180146 
ntp server 192.53.103.108 source Dialer1 prefer 
end 
Mitglied: spacyfreak
30.11.2009 um 22:17 Uhr
Cisco NAT Beispiel und Erklärung


http://certcollection.org/forum/thread-2872.html

Overloading

router(config)#access-list acl-number permit source-IP source-wildcard
router(config)#ip nat inside source list acl-number interface interface overload
router(config)#interface fa0/4
router(config-if)#ip nat inside
router(config-if)#exit
router(config)#interface s0
router(config-if)#ip nat outside
Bitte warten ..
Mitglied: builder4242
30.11.2009 um 23:33 Uhr
danke,

welche ip muss ich als source-IP eintragen?
die des Servers aus meinem internen Netz?

weil diesen Befehlt hab ich ja eigentlich schon mit meiner "NAT-INTERNET" ACL?
Bitte warten ..
Mitglied: aqui
03.12.2009 um 10:07 Uhr
Nein deine NAT Konfig ist soweit OK und die wird auch sicher funktionieren oder ?? Das ist also nicht das Problem.

Die Falle liegt vermutlich wie so immer in der incoming ACL versteckt:
ip access-list extended NAT-DIALER
permit icmp any any
permit udp any eq domain any
permit tcp any any eq 1723
permit gre any any
permit esp host host
permit udp host host eq isakmp
permit udp host eq ntp host eq ntp
deny ip any any

Wie man unschwer sieht erlaubst du hier auf deim Internet inbound ausschliesslich nur folgenden Traffic:
ICMP, DNS, PPTP, IPsec und NTP und das ist alles. Was PPTP und IPsec da zu suchen haben wenn du eh OpenSwan machst ist eine andere Frage...aber egal.
Du hast zwar eine statische NAT Zuordnung deiner beiden UDP Ports 15015 und 15016 erlaubst diese aber in der NAT-DIALER ACL nicht so das diese ACL die blockt !!
Dort müsste noch sowas stehen wie:
permit udp any any eq 15015
permit udp any any eq 15016

damit die incoming ACL diese Ports auch durchlässt !! (Besser da sicherer ggf. etwas strikter mit Host oder Netzwerk Einschränkungen in der ACL)

Bei solcherlei ACLs am Internet Port macht es immer Sinn die inbound ACL an diesem Port temporär mit dem Log Parameter zu versehen deny ip any any log um im System Logging (show logg) zu sehen wo es an der ACL kneift. Danach kann man das "log" wieder entfernen !

Generell ist deine Konfig nicht gerade schön und effizient. Besser ist es hier immer mit Contend Based ACLs zu arbeiten sofern du ein Firewalling IOS auf der Kiste hast !
Bitte warten ..
Mitglied: builder4242
03.12.2009 um 14:54 Uhr
ok danke,

OpenSwan ist nur für ein Software Haus, zum Support gedacht, IPSec ist eine andere Server Anwendung, und PPTP ist für Homeoffice.


Wie wäre es denn am besten für mich, eine Contend Bases ACL zu erstellen?
Ich habe noch nicht so viel Erfahrung mit Cisco?
Bitte warten ..
Mitglied: aqui
03.12.2009 um 19:40 Uhr
So sähe eine z.B. CBAL Konfig aus:

service timestamps debug datetime localtime
service timestamps log datetime localtime
!
hostname Router
!
clock timezone MET 1
clock summer-time MEST recurring last Sun Mar 2:00 last Sun Oct 3:00
ip domain name meinedomain.org
!
ip inspect name meinefw tcp
ip inspect name meinefw udp
!
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
!
ip tcp path-mtu-discovery
!
interface Ethernet0
description Internet Anbindung 5 Mbit/s
bandwidth 5000
ip address 1.1.1.1 255.255.255.252
ip access-group 111 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip inspect meinefw out
no cdp enable
!
interface Ethernet1/0
description Lokales Ethernet
ip address 10.1.1.254 255.255.255.0
ip nat inside
!
interface Virtual-Template1
description PPTP Dialin Interface fuer VPN Zugang
ip unnumbered Ethernet1
peer default ip address pool pptp_dialin
no keepalive
ppp encrypt mppe auto
ppp authentication pap chap ms-chap
!
ip local pool pptp_dialin 10.1.1.100 10.1.1.110
ip nat inside source list 101 interface Ethernet0 overload
!
access-list 101 permit ip 10.1.1.0 0.0.0.255 any
access-list 101 deny ip any any
!
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit udp any any eq isakmp
access-list 111 permit tcp any any eq 1723
access-list 111 permit esp any any
access-list 111 permit gre any any
access-list 111 deny ip any any

Fürs Internet Interface musst du entsprechend dein PPPoE Dial Konfig verwenden !

Wenns das war bitte
http://www.administrator.de/index.php?faq=32
nicht vergessen !
Bitte warten ..
Mitglied: spacyfreak
03.12.2009 um 21:30 Uhr
Yo, ich weiss nicht ob ihr schonmal ne Astaro Firewall gesehn habt.
Das was bei Cisco stets in einer Wissenschaft ausartet, ist da mit paar Klicks erledigt.
Aber it is as it schiss.
Bitte warten ..
Mitglied: builder4242
04.12.2009 um 23:28 Uhr
DANKE,

Nur zum Verständnis, worin liegt der Unterschied?
Bitte warten ..
Mitglied: aqui
05.12.2009 um 15:20 Uhr
Was meinst du jetzt Astaro zu Cisco oder ACL zu CBAL ??
Bitte warten ..
Mitglied: builder4242
07.12.2009 um 16:18 Uhr
eigentlich nur ACL zu CBAL,
da wir ja erst einen Cisco angeschafft haben,
Bitte warten ..
Mitglied: aqui
09.12.2009 um 18:24 Uhr
CBAL macht nur dynmaisch Ports nach außen auf die auch innen geöffnet sind und macht zudem noch eine stateful Inspection dieses Traffics. ACL können das nicht !

Wenns das war
http://www.administrator.de/index.php?faq=32
nicht vergessen !
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Server
OpenVPN Fritzbox Port weiterleitung TCP 443 (6)

Frage von D46505Pl zum Thema Server ...

Firewall
Sophos Utm 9 Port 3000 für ProfiCash freigeben (4)

Frage von Floh21 zum Thema Firewall ...

Drucker und Scanner
USB-Drucker über virtuellen COM LPT- Port ansteuern (27)

Frage von magicman zum Thema Drucker und Scanner ...

DNS
gelöst DNS Weiterleitung ohne www (4)

Frage von simonsays zum Thema DNS ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...