38697
Feb 06, 2007, updated at Feb 08, 2007 (UTC)
8878
4
0
Prob Site-to-Site VPN Cisco 876 vs NS50
Hallo,
ich habe folgendes Problem und sehe den Fehler nicht. Ich möchte ein Site-to-Site VPN mittels Cisco 876 und einer Juniper NetScreen 50 aufbauen.
Eckdaten der Verbindung sind:
Verwenden von Pre-Share-Key, DH-Gruppe 2, 3DES und MD5, kein PFS. NS50 hat eine feste IP, mit anderen Geräten klappt der Tunnel auch. Ist allerdings mein erster Cisco-VPN-Versuch.
Der 876 hängt an einem ADSL-Anschluss mit dyn. IP, der wählt sich soweit auch ein, es hängt auch nur ein Rechner dran, der auch surfen kann.
Allerdings unternimmt er nicht mal den Versuch einen Tunnel aufzubauen (kein Eintrag im Log in der NS).
Die Konfig des 876 ist wie folgt:
(schnipp)
Current configuration : 2607 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
no aaa new-model
!
resource policy
!
ip subnet-zero
no ip cef
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.1.1
!
ip dhcp pool dhcppool
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
dns-server xxx.xxx.xxx.xxx
!
ip name-server xxx.xxx.xxx.xxx
ip name-server xxx.xxx.xxx.xxx
!
crypto isakmp policy 3
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key geheim address IPNS50
!
crypto isakmp peer address IPNS50
set aggressive-mode password geheim
set aggressive-mode client-endpoint user-fqdn cisco@test.de
!
crypto ipsec security-association lifetime seconds 86400
!
crypto ipsec transform-set 3des-md5 esp-3des esp-md5-hmac
!
crypto map VPN 30 ipsec-isakmp
set peer IPNS50
set transform-set 3des-md5
match address 130
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
!
interface ATM0
description ADSL Interface$ES_WAN$
no ip address
no ip redirects
no ip route-cache
no ip mroute-cache
load-interval 30
timeout absolute 71582 0
no atm ilmi-keepalive
pvc 1/32
pppoe-client dial-pool-number 1
!
dsl operating-mode auto
!
interface FastEthernet0
no cdp enable
crypto map VPN
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
ip address 192.168.1.1 255.255.255.0
ip access-group 101 in
ip nat inside
ip virtual-reassembly
!
interface Dialer1
ip address negotiated
no ip redirects
ip mtu 1492
ip nat outside
no ip virtual-reassembly
encapsulation ppp
no ip route-cache
ip tcp adjust-mss 1420
no ip mroute-cache
load-interval 30
dialer pool 1
dialer idle-timeout 0
dialer persistent
dialer-group 1
no cdp enable
ppp authentication pap callin
ppp chap refuse
ppp pap sent-username geheim password 7 geheim
ppp ipcp dns request
crypto map VPN
!
interface Dialer0
no ip address
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
!
ip http server
no ip http secure-server
ip nat inside source list 100 interface Dialer1 overload
!
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 100 remark SDM_ACL Category=2
access-list 100 permit ip 192.168.1.0 0.0.0.255 any
access-list 101 permit ip any any
access-list 130 permit ip 192.168.1.0 0.0.0.255 192.168.10.0 0.0.0.255
dialer-list 1 protocol ip permit
!
control-plane
!
line con 0
no modem enable
line aux 0
line vty 0 4
!
scheduler max-task-time 5000
end
(schnapp)
Das "crypto map VPN" hatte ich jetzt schon auf jedem Interface. Wie gestalte ich die Route?
Vielleicht kann mir ja jemand helfen.
Danke und beste Grüße
Schramme
ich habe folgendes Problem und sehe den Fehler nicht. Ich möchte ein Site-to-Site VPN mittels Cisco 876 und einer Juniper NetScreen 50 aufbauen.
Eckdaten der Verbindung sind:
Verwenden von Pre-Share-Key, DH-Gruppe 2, 3DES und MD5, kein PFS. NS50 hat eine feste IP, mit anderen Geräten klappt der Tunnel auch. Ist allerdings mein erster Cisco-VPN-Versuch.
Der 876 hängt an einem ADSL-Anschluss mit dyn. IP, der wählt sich soweit auch ein, es hängt auch nur ein Rechner dran, der auch surfen kann.
Allerdings unternimmt er nicht mal den Versuch einen Tunnel aufzubauen (kein Eintrag im Log in der NS).
Die Konfig des 876 ist wie folgt:
(schnipp)
Current configuration : 2607 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
no aaa new-model
!
resource policy
!
ip subnet-zero
no ip cef
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.1.1
!
ip dhcp pool dhcppool
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
dns-server xxx.xxx.xxx.xxx
!
ip name-server xxx.xxx.xxx.xxx
ip name-server xxx.xxx.xxx.xxx
!
crypto isakmp policy 3
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key geheim address IPNS50
!
crypto isakmp peer address IPNS50
set aggressive-mode password geheim
set aggressive-mode client-endpoint user-fqdn cisco@test.de
!
crypto ipsec security-association lifetime seconds 86400
!
crypto ipsec transform-set 3des-md5 esp-3des esp-md5-hmac
!
crypto map VPN 30 ipsec-isakmp
set peer IPNS50
set transform-set 3des-md5
match address 130
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
!
interface ATM0
description ADSL Interface$ES_WAN$
no ip address
no ip redirects
no ip route-cache
no ip mroute-cache
load-interval 30
timeout absolute 71582 0
no atm ilmi-keepalive
pvc 1/32
pppoe-client dial-pool-number 1
!
dsl operating-mode auto
!
interface FastEthernet0
no cdp enable
crypto map VPN
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
ip address 192.168.1.1 255.255.255.0
ip access-group 101 in
ip nat inside
ip virtual-reassembly
!
interface Dialer1
ip address negotiated
no ip redirects
ip mtu 1492
ip nat outside
no ip virtual-reassembly
encapsulation ppp
no ip route-cache
ip tcp adjust-mss 1420
no ip mroute-cache
load-interval 30
dialer pool 1
dialer idle-timeout 0
dialer persistent
dialer-group 1
no cdp enable
ppp authentication pap callin
ppp chap refuse
ppp pap sent-username geheim password 7 geheim
ppp ipcp dns request
crypto map VPN
!
interface Dialer0
no ip address
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
!
ip http server
no ip http secure-server
ip nat inside source list 100 interface Dialer1 overload
!
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 100 remark SDM_ACL Category=2
access-list 100 permit ip 192.168.1.0 0.0.0.255 any
access-list 101 permit ip any any
access-list 130 permit ip 192.168.1.0 0.0.0.255 192.168.10.0 0.0.0.255
dialer-list 1 protocol ip permit
!
control-plane
!
line con 0
no modem enable
line aux 0
line vty 0 4
!
scheduler max-task-time 5000
end
(schnapp)
Das "crypto map VPN" hatte ich jetzt schon auf jedem Interface. Wie gestalte ich die Route?
Vielleicht kann mir ja jemand helfen.
Danke und beste Grüße
Schramme
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 50904
Url: https://administrator.de/contentid/50904
Printed on: April 23, 2024 at 11:04 o'clock
4 Comments
Latest comment
Die Zeilen mit bevorstehendem ! sind nicht auskommentiert - das hat hier das Forum gemacht. Also zwischen '!' und dem Rest der Zeile ist ein neuer Zeilenanfang.
Hier kannst du sehen wie das zu einer Checkpoint FW funktioniert. Die Router Config auf einen Juniper Netscreen dürfte identisch sein, da das gleiche Protokoll (IPsec) verwendet wird....
Hallo,
so das Problem wäre schon gelöst. Danke für den guten Link. Mit dieser Konfig hat's geklappt:
Wenn das mal keine schnelle Problemlösung war...
Viele Grüße
Schramme
so das Problem wäre schon gelöst. Danke für den guten Link. Mit dieser Konfig hat's geklappt:
Router#sh run
Building configuration...
Current configuration : 2435 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
ip subnet-zero
ip cef
no ip dhcp use vrf connected
!
ip dhcp pool dhcppool
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
dns-server DNS_IP1
!
!
no ip domain lookup
ip name-server DNS_IP2
ip name-server DNS_IP3
!
!
!
!
!
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key GEHEIM address GEGENSTELLE_IP
!
crypto isakmp peer address GEGENSTELLE_IP
set aggressive-mode password GEHEIM
set aggressive-mode client-endpoint user-fqdn cisco@test.de
!
crypto ipsec security-association lifetime seconds 28800
!
crypto ipsec transform-set rtpset esp-3des esp-md5-hmac
!
crypto map rtp 1 ipsec-isakmp
set peer GEGENSTELLE_IP
set transform-set rtpset
match address 115
!
!
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
!
interface ATM0
description ADSL Interface$ES_WAN$
no ip address
no ip redirects
no ip route-cache cef
no ip route-cache
no ip mroute-cache
load-interval 30
timeout absolute 71582 0
no atm ilmi-keepalive
pvc 1/32
pppoe-client dial-pool-number 1
!
dsl operating-mode auto
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
ip address 192.168.1.1 255.255.255.0
ip access-group 101 in
ip nat inside
ip virtual-reassembly
!
interface Dialer1
ip address negotiated
no ip redirects
ip mtu 1492
ip nat outside
no ip virtual-reassembly
encapsulation ppp
no ip route-cache cef
no ip route-cache
ip tcp adjust-mss 1420
no ip mroute-cache
load-interval 30
dialer pool 1
dialer idle-timeout 0
dialer persistent
dialer-group 1
no cdp enable
ppp authentication pap callin
ppp chap refuse
ppp pap sent-username GEHEIM password 7 GEHEIM
ppp ipcp dns request
crypto map rtp
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
!
no ip http server
no ip http secure-server
ip nat inside source route-map nonat interface Dialer1 overload
!
access-list 115 permit ip 192.168.1.0 0.0.0.255 any
dialer-list 1 protocol ip permit
route-map nonat permit 10
match ip address 120
!
!
control-plane
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
!
scheduler max-task-time 5000
endWenn das mal keine schnelle Problemlösung war...
Viele Grüße
Schramme
Dann kannst du den Thread ja als "gelöst" markieren !
