Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

[Prob] Site-to-Site VPN Cisco 876 vs NS50

Frage Sicherheit Firewall

Mitglied: 38697

38697 (Level 1)

06.02.2007, aktualisiert 08.02.2007, 8280 Aufrufe, 4 Kommentare

Hallo,

ich habe folgendes Problem und sehe den Fehler nicht. Ich möchte ein Site-to-Site VPN mittels Cisco 876 und einer Juniper NetScreen 50 aufbauen.
Eckdaten der Verbindung sind:
Verwenden von Pre-Share-Key, DH-Gruppe 2, 3DES und MD5, kein PFS. NS50 hat eine feste IP, mit anderen Geräten klappt der Tunnel auch. Ist allerdings mein erster Cisco-VPN-Versuch.
Der 876 hängt an einem ADSL-Anschluss mit dyn. IP, der wählt sich soweit auch ein, es hängt auch nur ein Rechner dran, der auch surfen kann.
Allerdings unternimmt er nicht mal den Versuch einen Tunnel aufzubauen (kein Eintrag im Log in der NS).
Die Konfig des 876 ist wie folgt:

(schnipp)
Current configuration : 2607 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
no aaa new-model
!
resource policy
!
ip subnet-zero
no ip cef
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.1.1
!
ip dhcp pool dhcppool
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
dns-server xxx.xxx.xxx.xxx
!
ip name-server xxx.xxx.xxx.xxx
ip name-server xxx.xxx.xxx.xxx
!
crypto isakmp policy 3
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key geheim address IPNS50
!
crypto isakmp peer address IPNS50
set aggressive-mode password geheim
set aggressive-mode client-endpoint user-fqdn cisco@test.de
!
crypto ipsec security-association lifetime seconds 86400
!
crypto ipsec transform-set 3des-md5 esp-3des esp-md5-hmac
!
crypto map VPN 30 ipsec-isakmp
set peer IPNS50
set transform-set 3des-md5
match address 130
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
!
interface ATM0
description ADSL Interface$ES_WAN$
no ip address
no ip redirects
no ip route-cache
no ip mroute-cache
load-interval 30
timeout absolute 71582 0
no atm ilmi-keepalive
pvc 1/32
pppoe-client dial-pool-number 1
!
dsl operating-mode auto
!
interface FastEthernet0
no cdp enable
crypto map VPN
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
ip address 192.168.1.1 255.255.255.0
ip access-group 101 in
ip nat inside
ip virtual-reassembly
!
interface Dialer1
ip address negotiated
no ip redirects
ip mtu 1492
ip nat outside
no ip virtual-reassembly
encapsulation ppp
no ip route-cache
ip tcp adjust-mss 1420
no ip mroute-cache
load-interval 30
dialer pool 1
dialer idle-timeout 0
dialer persistent
dialer-group 1
no cdp enable
ppp authentication pap callin
ppp chap refuse
ppp pap sent-username geheim password 7 geheim
ppp ipcp dns request
crypto map VPN
!
interface Dialer0
no ip address
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
!
ip http server
no ip http secure-server
ip nat inside source list 100 interface Dialer1 overload
!
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 100 remark SDM_ACL Category=2
access-list 100 permit ip 192.168.1.0 0.0.0.255 any
access-list 101 permit ip any any
access-list 130 permit ip 192.168.1.0 0.0.0.255 192.168.10.0 0.0.0.255
dialer-list 1 protocol ip permit
!
control-plane
!
line con 0
no modem enable
line aux 0
line vty 0 4
!
scheduler max-task-time 5000
end

(schnapp)

Das "crypto map VPN" hatte ich jetzt schon auf jedem Interface. Wie gestalte ich die Route?
Vielleicht kann mir ja jemand helfen.
Danke und beste Grüße
Schramme
Mitglied: 38697
06.02.2007 um 16:11 Uhr
Die Zeilen mit bevorstehendem ! sind nicht auskommentiert - das hat hier das Forum gemacht. Also zwischen '!' und dem Rest der Zeile ist ein neuer Zeilenanfang.
Bitte warten ..
Mitglied: aqui
06.02.2007 um 17:49 Uhr
Hier kannst du sehen wie das zu einer Checkpoint FW funktioniert. Die Router Config auf einen Juniper Netscreen dürfte identisch sein, da das gleiche Protokoll (IPsec) verwendet wird....
Bitte warten ..
Mitglied: 38697
07.02.2007 um 15:32 Uhr
Hallo,

so das Problem wäre schon gelöst. Danke für den guten Link. Mit dieser Konfig hat's geklappt:

01.
Router#sh run 
02.
Building configuration... 
03.
 
04.
Current configuration : 2435 bytes 
05.
06.
version 12.4 
07.
no service pad 
08.
service timestamps debug datetime msec 
09.
service timestamps log datetime msec 
10.
no service password-encryption 
11.
12.
hostname Router 
13.
14.
boot-start-marker 
15.
boot-end-marker 
16.
17.
18.
no aaa new-model 
19.
20.
resource policy 
21.
22.
ip subnet-zero 
23.
ip cef 
24.
no ip dhcp use vrf connected 
25.
26.
ip dhcp pool dhcppool 
27.
   network 192.168.1.0 255.255.255.0 
28.
   default-router 192.168.1.1  
29.
   dns-server DNS_IP1  
30.
31.
32.
no ip domain lookup 
33.
ip name-server DNS_IP2  
34.
ip name-server DNS_IP3 
35.
36.
37.
38.
39.
!  
40.
41.
crypto isakmp policy 1 
42.
 encr 3des 
43.
 hash md5 
44.
 authentication pre-share 
45.
 group 2 
46.
crypto isakmp key GEHEIM address GEGENSTELLE_IP 
47.
48.
crypto isakmp peer address GEGENSTELLE_IP 
49.
 set aggressive-mode password GEHEIM 
50.
 set aggressive-mode client-endpoint user-fqdn cisco@test.de  
51.
52.
crypto ipsec security-association lifetime seconds 28800 
53.
54.
crypto ipsec transform-set rtpset esp-3des esp-md5-hmac  
55.
56.
crypto map rtp 1 ipsec-isakmp  
57.
 set peer GEGENSTELLE_IP 
58.
 set transform-set rtpset  
59.
 match address 115 
60.
61.
62.
63.
interface BRI0 
64.
 no ip address 
65.
 encapsulation hdlc 
66.
 shutdown 
67.
68.
interface ATM0 
69.
 description ADSL Interface$ES_WAN$ 
70.
 no ip address 
71.
 no ip redirects 
72.
 no ip route-cache cef 
73.
 no ip route-cache 
74.
 no ip mroute-cache 
75.
 load-interval 30 
76.
 timeout absolute 71582 0 
77.
 no atm ilmi-keepalive 
78.
 pvc 1/32  
79.
  pppoe-client dial-pool-number 1 
80.
81.
 dsl operating-mode auto  
82.
83.
interface FastEthernet0 
84.
85.
interface FastEthernet1 
86.
87.
interface FastEthernet2 
88.
89.
interface FastEthernet3 
90.
91.
interface Vlan1 
92.
 ip address 192.168.1.1 255.255.255.0 
93.
 ip access-group 101 in 
94.
 ip nat inside 
95.
 ip virtual-reassembly 
96.
97.
interface Dialer1 
98.
 ip address negotiated 
99.
 no ip redirects 
100.
 ip mtu 1492 
101.
 ip nat outside 
102.
 no ip virtual-reassembly 
103.
 encapsulation ppp 
104.
 no ip route-cache cef 
105.
 no ip route-cache 
106.
 ip tcp adjust-mss 1420 
107.
 no ip mroute-cache 
108.
 load-interval 30 
109.
 dialer pool 1 
110.
 dialer idle-timeout 0 
111.
 dialer persistent 
112.
 dialer-group 1 
113.
 no cdp enable 
114.
 ppp authentication pap callin 
115.
 ppp chap refuse 
116.
 ppp pap sent-username GEHEIM password 7 GEHEIM 
117.
 ppp ipcp dns request 
118.
 crypto map rtp 
119.
120.
ip classless 
121.
ip route 0.0.0.0 0.0.0.0 Dialer1 
122.
123.
no ip http server 
124.
no ip http secure-server 
125.
ip nat inside source route-map nonat interface Dialer1 overload 
126.
127.
access-list 115 permit ip 192.168.1.0 0.0.0.255 any 
128.
dialer-list 1 protocol ip permit 
129.
route-map nonat permit 10 
130.
 match ip address 120 
131.
132.
133.
control-plane 
134.
135.
136.
line con 0 
137.
 no modem enable 
138.
line aux 0 
139.
line vty 0 4 
140.
141.
scheduler max-task-time 5000 
142.
end
Wenn das mal keine schnelle Problemlösung war...
Viele Grüße
Schramme
Bitte warten ..
Mitglied: aqui
08.02.2007 um 01:33 Uhr
Dann kannst du den Thread ja als "gelöst" markieren !
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Router & Routing
Site to Site VPN zwischen Sonicwall und Fritzbox (5)

Frage von Kiste zum Thema Router & Routing ...

Linux Netzwerk
Host-to-Site VPN zwischen Openswan und Fritzboxen (2)

Frage von ThePcSwagTogether zum Thema Linux Netzwerk ...

LAN, WAN, Wireless
gelöst Site-to-Site VPN mit LTE Router Teltonika RTU950 und Fritzbox 7390 (10)

Frage von flavourflo zum Thema LAN, WAN, Wireless ...

Router & Routing
Lancom Site to Site VPN mit VLANs (2)

Frage von geforce28 zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...