Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Probleme mit Cisco 871 Easy VPN Server

Frage Netzwerke Router & Routing

Mitglied: herr-der-degen

herr-der-degen (Level 1) - Jetzt verbinden

27.11.2007, aktualisiert 28.11.2007, 8193 Aufrufe, 7 Kommentare

Hallo Welt!

Ich habe folgendes Problem: Ich soll ein VPN Aufsetzen (Cisco Client 5.0 auf Cisco 871). Nun habe ich die Kiste auf Werkseinstellungen resetet und möchte testweise ohne Firewall und sonst einem Schnick-Schnack ein VPN aufsetzen. Das Dumme ist nur, die VPN-Verbindung steht (laut Router und Client) nur ich komme nicht ins Firmennetzwerk. Leider habe ich mein letztes VPN vor Jahren aufgesetzt und das auch nur als Test......Das Firmennetzerk ist das 192.168.1.0 ....Muss ich ein statisches Routing einstellen? Muss ich irgendwelche Adressen NATen? Ich muss ja auch auf dem Easy-VPN-Server einen Adresspool für die Clients angeben..die stehen gerade auf dem 192.168.3.0....Naja, auf jeden Fall ist der Easy-VPN-Server nicht so EASY....Hab jetzt einfach mal wild rumgeroutet und rumgenatet. Es hat doch sicher jemand einen Lösungsansatz.....


Hier mal die Konfig:

vpn1#sh conf
Using 3470 out of 131072 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname testvpn
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
enable secret 5 XXXXXXXXXXXXXX
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization exec default local
aaa authorization network sdm_vpn_group_ml_1 local
!
aaa session-id common
!
resource policy
!
ip subnet-zero
ip cef
!
!
no ip domain lookup
ip domain name einstest.de
!
!
crypto pki trustpoint TP-self-signed-479012268
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-479012268
revocation-check none
rsakeypair TP-self-signed-479012268
!
!
crypto pki certificate chain TP-self-signed-479012268
certificate self-signed 01 nvram:IOS-Self-Sig#3806.cer
username admin privilege 15 secret 5 XXXXXXXXXXXX
!
!
!!
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group EINSTEST
key XXXXXXX
pool SDM_POOL_1
netmask 255.255.255.0
crypto isakmp profile sdm-ike-profile-1
match identity group EINSTEST
isakmp authorization list sdm_vpn_group_ml_1
client configuration address respond
virtual-template 1
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
!
crypto ipsec profile SDM_Profile1
set transform-set ESP-3DES-SHA
set isakmp-profile sdm-ike-profile-1
!
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description $ES_WAN$
no ip address
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface Virtual-Template1 type tunnel
ip unnumbered Dialer0
tunnel mode ipsec ipv4
tunnel protection ipsec profile SDM_Profile1
!
interface Virtual-Template1 type tunnel
ip unnumbered Dialer0
tunnel mode ipsec ipv4
tunnel protection ipsec profile SDM_Profile1
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$
ip address 192.168.1.5 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1412
!
interface Dialer0
ip address negotiated
ip mtu 1452
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication chap pap callin
ppp chap hostname XXXXXXXXXXXXXXXXXXXXXXXXX
ppp chap password XXXXXXXXXXX
ppp pap sent-username XXXXXXXXXXXXXXX password XXXXXXXXXX
7
!
ip local pool SDM_POOL_1 192.168.3.2 192.168.3.20
ip local pool SDM_POOL_2 192.168.1.40 192.168.1.50
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
ip route 192.168.3.0 255.255.255.0 Vlan1
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat pool TEST 192.168.3.1 192.168.3.40 netmask 255.255.255.0
ip nat pool test2 192.168.1.0 192.168.1.40 netmask 255.255.255.0
ip nat pool tzest3 192.168.1.40 192.168.1.50 netmask 255.255.255.0
ip nat inside source list 1 interface Dialer0 overload
ip nat outside source list test pool tzest3
!
ip access-list extended test
remark SDM_ACL Category=2
permit ip any any
!
access-list 1 remark INSIDE_IF=Vlan1
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 192.168.1.0 0.0.0.255
dialer-list 1 protocol ip permit
no cdp run
!
control-plane
!
banner login ^CAuthorized access only!
Disconnect IMMEDIATELY if you are not an authorized user!^C
!
line con 0
no modem enable
line aux 0
line vty 0 4
transport input telnet ssh
!
scheduler max-task-time 5000
end





DANKE!
Mitglied: spacyfreak
27.11.2007 um 10:18 Uhr
Mach doch mal debugging an, das zeigt dann wo es hängenbleibt, wenn es hängenbleibt.
Nach dem Troubleshooting wieder debugging ausschalten, es frisst ressourcen.

Wenn das VPN an sich funktioniert, aber keine Verbindung ins Intranet funzen will, fehlt Dir wahrscheinlich eine Route auf euerm Firmenrouter, damit die Pakete vom Intranet-Subnetz in das VPN-IP-Pool Subnetz gelangen können.
Dass du öffentliche IPs in private immer Natten musst ist denke ich eh klar.
Die getunnelte IP muss jedoch nicht genattet werden, da diese ja im Tunnelmode "eingekapselt" wird in ein anderes IP-Paket.

Tracert probiert?
Bitte warten ..
Mitglied: aqui
27.11.2007 um 10:34 Uhr
Das .3.0er Netz ist sicher dein Problem, wenn du es im Netzwerk nicht propagierst und andere Geräte die du anpingen willst dieses Netzwerk nicht kennen. Wie sollte dann die Rückroute klappen für ein ping reply....
Deine Route
ip route 192.168.3.0 255.255.255.0 Vlan1
ist ebenfalls Unsinn, denn damit routest du ja Packete an das .3.0er Netz direkt und pauschal auf den Adapter VLAN1 an dem aber ein anderes Netz hängt !!! Das Netz.3.0 hängt ja an dir selber (871) dran, deshalb ist so eine Route eigentlich vollkommener Unsinn...sorry und vielleicht der Grund deines Fehlers, denn alle Packete mit einer .3.0er Zieladresse gehen ja damit nicht in den VPN Tunnel sondern auf VLAN1 raus ins 192.168.1.0er Netz und damit ins Nirwana !
Ein Ping auf die 871 Router .3.0er Adresse sollte aber immer klappen, da du ja dann nichts externes anpingst.
Ein Debug ist aber wie einfach.... schon richtig bemerkt hat der Schlüssel zum Erfolg !
Bitte warten ..
Mitglied: herr-der-degen
27.11.2007 um 11:47 Uhr
Erstmal danke für die prommte Antwort. War natürlich das Routingproblem am Gateway! Komm wunderbar auf (fast) alle Geräte im Netzwerk. DNS-Auflösung läuft super, nur lässt sich der PDC (192.168.1.2) nicht pingen....lokal funktioniert es. Der SDC mit der.3....ja...da komm ich drauf. Wenn ihr da noch nen Denkanreitz habt, wäre super!
Bitte warten ..
Mitglied: aqui
27.11.2007 um 18:17 Uhr
Vermutlich blockt die lokale Firewall im PDC ICMP Packete !

Eigenschaften der LAN Verbindung -> Erweitert -> Windows Firewall, Einstellungen -> Erweitert -> ICMP, Einstellungen: Hier muss der Haken gesetzt sein bei eingehende Echoanforderungen zulassen !
Bitte http://www.administrator.de/index.php?faq=32 nicht vergessen wenns das war !
Bitte warten ..
Mitglied: herr-der-degen
28.11.2007 um 10:27 Uhr
Nein, leider ist das auch nicht das Problem. Habs schon mit "herunter gelassenen Hosen" (Firewall deakt.) probiert. Es ist einfach nur seltsam. Im lokalen Netz ist der PDC auch der Hauptfileserver....nie Probleme mit der Kiste. DHCP u. DNS Server.....Es ist einfach nur komisch, dass ich jede Kiste bis zum NW-Drucker erreiche, nur den wichtigsten Server nicht.
Bitte warten ..
Mitglied: aqui
28.11.2007 um 12:04 Uhr
Sind Server und Cisco in einem IP Netz ???
Hat der Server ggf. eine andere Standardgateway Adresse und dort ist das .3er Netz nicht bekannt ??
Vermutlich ein Routing Problem, wenns die FW wirklich nicht ist...
Bitte warten ..
Mitglied: herr-der-degen
28.11.2007 um 12:52 Uhr
Server und die beiden Ciscos sind alle im selben Netz. Auf dem Standardgateway (192.168.1.1) ist ein statisches Routing eingerichtet: 192.168.3.0 an Router 192.168.1.5 (VPN-Router). Vom VPN-Router ein statisches Routing auf das Gateway mit allen Anfragen von Netz 3.0 an 1.0...Aber wie gesagt, Namensauflösung kommt vom Secondary-DC, alle anderen Maschienen sind erreichbar...Warscheinlich bleibt mir nur übrig, am Wochenende alles auseinander zu nehmen.....
PDC hat natürlich auch das einzige Gateway eingetragen......
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...