Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

VPN-Client hat keinen Internetzugang über VPN-Router

Frage Netzwerke Router & Routing

Mitglied: Dani

Dani (Level 5) - Jetzt verbinden

16.01.2009, aktualisiert 18.01.2009, 6612 Aufrufe, 15 Kommentare

Guten Abend liebe Admins,

ich habe einen Cisco Router 1812er als DSL- & VPN-Router konfiguriert. Die Einwahl mittels Cisco VPN-Client ist problemlos möglich. Diese Clients bekommen auch aus einem extra Pool eine IP-Adresse zugeteilt (192.168.11.0 255.255.255.248).

Die Struktur sieht folgendermaßen aus:
9465efa2d581f2a61aa4d792aff0a602-struktur - Klicke auf das Bild, um es zu vergrößern


Was funktioniert:
  • Jeder VPN-Client jeden Client im LAN anpingen.
  • Jeder Rechner im LAN kann den VPN-Client anpingen.

Was nicht funktioniert:
  1. VPN-Clients können nicht über den Router ins Internet.
  2. VPN-Clients können z..B. kein http://192.168.10.4:8080 aufrufen. Folgendes habe ich bereits gemacht: Portscan im LAN, zeigt mit am 192.168.10.4 den offenen Port an. Mache das ganze über den VPN-Client sind alle Ports geschlossen.

Router-Konfiguration:
01.
u10acfb802#sh run 
02.
Building configuration... 
03.
 
04.
Current configuration : 7310 bytes 
05.
06.
! Last configuration change at 14:06:36 UTC Fri Jan 16 2009 by admin 
07.
! NVRAM config last updated at 14:21:51 UTC Fri Jan 16 2009 by admin 
08.
09.
version 12.4 
10.
no service pad 
11.
service timestamps debug uptime 
12.
service timestamps log uptime 
13.
service password-encryption 
14.
15.
hostname u10acfb802 
16.
17.
boot-start-marker 
18.
boot-end-marker 
19.
20.
enable secret 5 password 
21.
22.
aaa new-model 
23.
24.
25.
aaa authentication login clientauth local 
26.
aaa authorization network groupauthor local 
27.
28.
29.
aaa session-id common 
30.
clock summer-time MEST recurring last Sun Mar 2:00 last Sun Oct 2:00 
31.
32.
33.
dot11 syslog 
34.
no ip source-route 
35.
36.
37.
ip cef 
38.
no ip dhcp use vrf connected 
39.
ip dhcp excluded-address 192.168.10.1 192.168.10.20 
40.
41.
ip dhcp pool VLAN20 
42.
   network 192.168.10.0 255.255.255.0 
43.
   default-router 192.168.10.1 
44.
   dns-server 192.168.10.1 
45.
   netbios-node-type h-node 
46.
47.
48.
no ip bootp server 
49.
ip domain name test 
50.
ip name-server 217.237.148.70 
51.
ip name-server 217.237.149.142 
52.
53.
multilink bundle-name authenticated 
54.
vpdn enable 
55.
56.
isdn switch-type basic-net3 
57.
58.
59.
60.
spanning-tree portfast bpduguard 
61.
username admin password 7 password 
62.
username benutzer password 7 password 
63.
username benutzer password 7 password 
64.
username benutzer password 7 password 
65.
66.
67.
crypto isakmp policy 10 
68.
 encr 3des 
69.
 authentication pre-share 
70.
 group 2 
71.
crypto isakmp fragmentation 
72.
73.
crypto isakmp client configuration group versuch 
74.
 key testtesttest 
75.
 dns 192.168.10.1 
76.
 domain test.local 
77.
 pool vpn1 
78.
 banner ^C 
79.
Any unauthorized access is strictly prohibited and will be 
80.
prosecuted to the fill extent of applicable and international law.  ^C 
81.
crypto isakmp profile VPNclient 
82.
   description VPN clients profile 
83.
   match identity group versuch 
84.
   client authentication list clientauth 
85.
   isakmp authorization list groupauthor 
86.
   client configuration address respond 
87.
88.
89.
crypto ipsec transform-set myset esp-3des esp-sha-hmac 
90.
91.
crypto dynamic-map dynmap 5 
92.
 set transform-set myset 
93.
 set isakmp-profile VPNclient 
94.
95.
96.
crypto map mymap 10 ipsec-isakmp dynamic dynmap 
97.
98.
archive 
99.
 log config 
100.
  hidekeys 
101.
102.
103.
ip ssh version 2 
104.
105.
106.
bba-group pppoe global 
107.
 virtual-template 1 
108.
109.
110.
interface FastEthernet0 
111.
 description *** Physical WAN 0 Interface *** 
112.
 no ip address 
113.
 duplex auto 
114.
 speed auto 
115.
 pppoe enable group global 
116.
 pppoe-client dial-pool-number 1 
117.
 no cdp enable 
118.
119.
interface FastEthernet1 
120.
 description *** Physical WAN 1 Interface *** 
121.
 no ip address 
122.
 shutdown 
123.
 duplex auto 
124.
 speed auto 
125.
126.
interface BRI0 
127.
 description *** Physical BRI (ISDN) Interface *** 
128.
 bandwidth 128 
129.
 no ip address 
130.
 encapsulation ppp 
131.
 shutdown 
132.
 dialer pool-member 2 
133.
 isdn switch-type basic-net3 
134.
 isdn point-to-point-setup 
135.
 no fair-queue 
136.
 no cdp enable 
137.
 ppp authentication pap callin 
138.
139.
interface FastEthernet2 
140.
 description *** VLAN10 *** 
141.
 switchport access vlan 10 
142.
 shutdown 
143.
144.
interface FastEthernet3 
145.
 description *** VLAN20 *** 
146.
 switchport access vlan 20 
147.
148.
interface FastEthernet4 
149.
 description *** VLAN30 *** 
150.
 switchport access vlan 30 
151.
152.
interface FastEthernet5 
153.
 description *** VLAN1 *** 
154.
 shutdown 
155.
156.
interface FastEthernet6 
157.
 description *** VLAN1 *** 
158.
 shutdown 
159.
160.
interface FastEthernet7 
161.
 description *** VLAN1 *** 
162.
 shutdown 
163.
164.
interface FastEthernet8 
165.
 description *** VLAN1 *** 
166.
 shutdown 
167.
168.
interface FastEthernet9 
169.
 description *** VLAN1 *** 
170.
171.
interface Virtual-Template1 
172.
 mtu 1492 
173.
 no ip address 
174.
 peer default ip address dhcp-pool PPPoE 
175.
 ppp authentication pap 
176.
177.
interface Vlan1 
178.
 description *** Default - VLAN *** 
179.
 no ip address 
180.
 ip virtual-reassembly 
181.
182.
interface Vlan10 
183.
 description *** LAN - 1 *** 
184.
 ip address 192.168.100.1 255.255.255.252 
185.
 ip access-group 105 in 
186.
187.
interface Vlan20 
188.
 description *** LAN - 2 *** 
189.
 ip address 192.168.178.1 255.255.255.0 secondary 
190.
 ip address 192.168.10.1 255.255.255.0 
191.
 ip access-group 106 in 
192.
 ip nat inside 
193.
 ip virtual-reassembly 
194.
195.
interface Vlan30 
196.
 description *** LAN - 3 *** 
197.
 ip address 10.207.184.2 255.255.255.0 
198.
 ip access-group 104 in 
199.
200.
interface Dialer1 
201.
 description *** Primaer / xxxx / T-Systems *** 
202.
 ip address negotiated 
203.
 ip mtu 1492 
204.
 ip nat outside 
205.
 ip virtual-reassembly 
206.
 encapsulation ppp 
207.
 ip tcp adjust-mss 1452 
208.
 no ip mroute-cache 
209.
 dialer pool 1 
210.
 dialer-group 1 
211.
 no cdp enable 
212.
 ppp authentication chap callin 
213.
 ppp chap hostname xxxxx 
214.
 ppp chap password 7 xxx 
215.
 ppp ipcp dns request 
216.
 crypto map mymap 
217.
218.
interface Dialer2 
219.
 description *** Backup / ISDN (2x64k) / T-Systems *** 
220.
 ip address negotiated 
221.
 ip nat outside 
222.
 ip virtual-reassembly 
223.
 encapsulation ppp 
224.
 dialer pool 2 
225.
 dialer idle-timeout 60 
226.
 dialer string 0191011 
227.
 dialer load-threshold 150 either 
228.
 dialer watch-group 1 
229.
 dialer-group 2 
230.
 compress mppc 
231.
 no cdp enable 
232.
 ppp authentication pap callin 
233.
 ppp pap sent-username xxx 
234.
 ppp ipcp dns request 
235.
 ppp multilink 
236.
237.
ip local pool vpn1 192.168.11.1 192.168.11.6 
238.
ip forward-protocol nd 
239.
ip route 0.0.0.0 0.0.0.0 217.5.98.10 50 
240.
ip route 0.0.0.0 0.0.0.0 Dialer2 80 
241.
ip route 10.198.246.108 255.255.255.255 Vlan30 
242.
243.
244.
no ip http server 
245.
no ip http secure-server 
246.
ip dns server 
247.
ip nat inside source route-map backup interface Dialer2 overload 
248.
ip nat inside source route-map primary interface Dialer1 overload 
249.
250.
access-list 99 permit xxxx 
251.
access-list 99 remark *** SSH Zugriff auf Router *** 
252.
access-list 99 permit xxxx 
253.
access-list 99 permit xxxx 
254.
access-list 99 permit xxxx 
255.
access-list 99 permit xxxx 
256.
access-list 99 permit xxxx 
257.
access-list 99 deny   any 
258.
access-list 103 remark *** Internetzugang *** 
259.
access-list 103 permit ip host 192.168.178.149 any 
260.
access-list 103 permit ip host 192.168.10.4 any 
261.
access-list 103 permit ip host 192.168.10.10 any 
262.
access-list 103 permit ip host 192.168.10.19 any 
263.
access-list 103 permit ip 192.168.11.0 0.0.0.7 any 
264.
access-list 103 deny   icmp any any 
265.
access-list 103 deny   ip any any 
266.
access-list 104 remark *** Zugang 3-Netzwerk *** 
267.
access-list 105 remark *** Zugang 2-Netzwerk *** 
268.
access-list 106 remark *** Zugang 1-Netzwerk *** 
269.
access-list 107 remark *** VPN - Clients *** 
270.
access-list 107 deny   ip 192.168.11.0 0.0.0.7 192.168.11.0 0.0.0.7 
271.
dialer watch-list 1 ip 0.0.0.0 0.0.0.0 
272.
dialer-list 1 protocol ip permit 
273.
no cdp run 
274.
275.
276.
277.
route-map backup permit 10 
278.
 match ip address 103 
279.
280.
route-map primary permit 10 
281.
 match ip address 103 
282.
283.
284.
285.
286.
control-plane 
287.
288.
banner login ^CC 
289.
 
290.
^C 
291.
292.
line con 0 
293.
 exec-timeout 0 0 
294.
 password 7 xxx 
295.
line aux 0 
296.
line vty 0 4 
297.
 access-class 99 in 
298.
 exec-timeout 0 0 
299.
 transport input ssh 
300.
301.
ntp clock-period 17180511 
302.
ntp server 192.53.103.104 
303.
end 
304.
 
305.
u10acfb802#
Als DNS-Server bekommen die Clients den Router zugeteilt. Was habe ich übersehen? Die Clients sollen nur über den VPN-Router ins Internet dürfen. Meine Vermutung liegt am NAT auf dem FastEthernet.


Viele Grüsse,
Dani
Mitglied: Rafiki
17.01.2009 um 13:22 Uhr
187. interface Vlan20
188. description * LAN - 2 *
189. ip address 192.168.178.1 255.255.255.0 secondary
190. ip address 192.168.10.1 255.255.255.0
191. ip access-group 106 in
192. ip nat inside
193. ip virtual-reassembly
194. !

237. ip local pool vpn1 192.168.11.1 192.168.11.6

Ich habe gerade keinen Router um das selber auszuprobieren und bin mir deshalb nicht sicher. Allerdings fällt mir auf das dein NAT inside anscheinend nicht die Adressen beinhaltet die für den VPN pool vorgesehen sind.

Gruß Rafiki
Bitte warten ..
Mitglied: aqui
17.01.2009 um 13:56 Uhr
Doch hat er drin :

access-list 103 permit ip 192.168.11.0 0.0.0.7 any

Warum er das allerdings so umständlich über eine Route Map macht ist schleierhaft wo es eine banale ACL mit
ip nat inside source-list 103 interface Dialer1 overload
auch tut ???

Dani mach mal ein debug ip nat und sieh dir mal an was mit den Internet Paketen des VPNs passiert !
Der Debug sollte dir sofort sagen wo das Problem ist !!
Bitte warten ..
Mitglied: Rafiki
17.01.2009 um 14:40 Uhr
@aqui
auf der PIX/ASA benötigt man den Befehl split tunnel damit die Pakete in der Firewall wieder auf das gleiche Interface hinaus dürfen. Ich habe den Eindruck das es soetwas auf dem IOS 12.4 nicht gibt oder nicht nötig ist. Kannst du das bestätigen?
Bitte warten ..
Mitglied: aqui
18.01.2009 um 12:25 Uhr
Nicht 100% da müsste ich auch mal die Rel Notes konsultieren.... Früher musste man das de facto nicht.
Wie gesagt, einfach mal das debugging fürs NAT anwerfen, das sollte Dani eigentlich sofort auf die richtige Fährte führen
Bitte warten ..
Mitglied: Dani
18.01.2009 um 12:28 Uhr
Hi aqui,
wenn ich "debug ip nat" mache und auf 212.75.35.3 einen Ping oder "www.google.de" im IE eingebe, sehe ich nichts im CLI.

Was seit Freitag seltsam ist: Am Freitag konnte ich per VPN-Client alle LAN Clients pingen. Nun verbinde ich mich heute wieder und kann nur zufällig einzele Clients erreichen. Sprich vom Router kann ich die Clients 192.168.10.6, 12 & 19 per Ping erreichen. Wenn ich das Ganze per VPN versuche, erreiche ich nur 192.168.10.19.

Auszug von "debug ip nat":
01.
u10acfb802# 
02.
00:30:18: NAT*: s=192.168.10.19->80.153.65.50, d=192.168.11.4 [16187] 
03.
00:30:19: NAT*: s=192.168.10.19->80.153.65.50, d=192.168.11.4 [16200] 
04.
00:30:20: NAT*: s=192.168.10.19->80.153.65.50, d=192.168.11.4 [16214] 
05.
00:30:21: NAT*: s=192.168.10.19->80.153.65.50, d=192.168.11.4 [16227]
Seltsam oder?! Denn 192.168.10.0 ist "DirectConnect" laut Routing-Table:
01.
u10acfb802#sh ip route 
02.
C       217.5.98.10 is directly connected, Dialer1 
03.
     80.0.0.0/32 is subnetted, 1 subnets 
04.
C       80.153.67.50 is directly connected, Dialer1 
05.
C    192.168.178.0/24 is directly connected, Vlan20 
06.
C    192.168.10.0/24 is directly connected, Vlan20 
07.
     10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks 
08.
S       10.198.246.108/32 is directly connected, Vlan30 
09.
C       10.207.184.0/24 is directly connected, Vlan30 
10.
S*   0.0.0.0/0 [50/0] via 217.5.98.10
Grüsse,
Dani
Bitte warten ..
Mitglied: aqui
18.01.2009 um 12:47 Uhr
...sehe ich nichts im CLI..." ;

Bist du über Telnet oder SSH drauf ?? Dann solltest du natürlich ein
term mon
nicht vergessen

Du musst mal sehen mit "?" ob es noch sowas wie debug ip nat events, traffic usw. gibt was den Output etwas ausführlicher macht.

Ggf. ist das auch ein Bug im IOS also mal die Release Notes ansehen !!
Bitte warten ..
Mitglied: Dani
18.01.2009 um 13:02 Uhr
Daran habe ich natürlich gedacht, sonst würde ich sicher die obigen NAT-Zeilen nicht sehen.
Ich sehe von dem VPN-Client rein gar nix - das ist echt verrückt. Von LAN-Clients sehe ich was. *grübel*

In 1. Linie frage ich mich gerade, warum ich die Clients nicht mehr pingen kann?! Das hat schließlich schon mal funktioniert.
Zufällig habe ich mal ein Beispiel von Cisco gefunden. Leider schaffe ich es nicht, das Ganze für mich anzupassen. Was mich verwirrst ist z.b. das LoopbackInterface. Denn die IP-Adresse taucht nur am dem Interface auf.
Bitte warten ..
Mitglied: aqui
18.01.2009 um 15:23 Uhr
Hast du mal statt mit einem separaten IP Netz fürs VPN testweise mit unnumbered und dem lokalen LAN gearbeitet ??
Wie verhält es sich da ??
Bitte warten ..
Mitglied: Dani
18.01.2009 um 16:08 Uhr
Ähm, entschuldige die Frage: Aber macht unnumbered auf nem FaEth überhaupt sinn?!
Und zum Anderen auf welches Interface soll ich den Befehl konfigurieren und mit welchem Interface?

01.
conf t 
02.
int ??? 
03.
 ip unnumbered ???
Bitte warten ..
Mitglied: Dani
18.01.2009 um 20:36 Uhr
Guten Abend,
zu meinem 2. Problem fällt mit gerade so auf, dass jedlicher Traffic von VPN-Clients ins LAN bzw. umgekehrt durch "NAT" läuft. Um das zu umgehen, müsste ich doch die ACL103 wie folgt erweitern:
01.
access-list 103 remark *** Internetzugang ***  
02.
access-list 103 permit ip host 192.168.178.149 any  
03.
access-list 103 permit ip host 192.168.10.4 any  
04.
access-list 103 permit ip host 192.168.10.10 any  
05.
access-list 103 permit ip host 192.168.10.19 any  
06.
--> access-list 103 deny 192.168.10.0 0.0.0.255 192.168.11.0 0.0.0.7  
07.
--> access-list 103 deny 192.168.11.0 0.0.0.7 192.168.10.0 0.0.0.255 
08.
access-list 103 permit ip 192.168.11.0 0.0.0.7 any  
09.
access-list 103 deny   icmp any any  
10.
access-list 103 deny   ip any any 
Lieg ich damit richtig?


Grüsse,
Dani
Bitte warten ..
Mitglied: aqui
19.01.2009 um 17:22 Uhr
Hi Dani,
Vermutlich hast du das falsch verstanden. Ich meinte das das VPN per unnumbered IPs aus dem lokalen LAN nimmt wie z.B. bei dier PPTP VPN Konfig:

interface Virtual-Template1
description PPTP Dialin Interface fuer VPN Zugang
ip unnumbered Ethernet0/1 (bei dir dann vlan 20)
no keepalive
peer default ip address pool pptp_dialin
ppp encrypt mppe auto
ppp authentication pap chap ms-chap

Damit erspartst du dir das separate NAT Statement in der NAT ACL denn die VPN Clients bekommen .10er IPs. Das klappt aber nur wenn da noch was frei ist und diese IPs musst du natürlich im DHCP Server excluden...logo !!

Was noch auffällig ist: du hast eine inbound ACL an VLAN 20 mit Nummer 106 aber ohne konfigurierte Statements.
Damit gilt für diese ACL deny any any so das vom LAN nix durchkommt...Ist das so gewollt ??
Deine 103er ACL hat auch einen Fehler. bedenke das bei Cisco ACL immer gilt: "First match wins" und danach nichts mehr ausgeführt wird. In sofern stimmt deine Reihenfolge auch in der korrigierten Version nicht !!
Richtig ist es so:

access-list 103 remark * Internetzugang *
access-list 103 permit ip host 192.168.178.149 any
access-list 103 permit ip host 192.168.10.4 any
access-list 103 permit ip host 192.168.10.10 any
access-list 103 permit ip host 192.168.10.19 any
access-list 103 permit ip 192.168.11.0 0.0.0.7 any
access-list 103 deny 192.168.10.0 0.0.0.255 192.168.11.0 0.0.0.7
access-list 103 deny 192.168.11.0 0.0.0.7 192.168.10.0 0.0.0.255
access-list 103 deny icmp any any
access-list 103 deny ip any any

Und nochwas:
Dein Interface Virtual-Template1 korrespondiert ja zum VPN Netzwerk. Hier fehlt ip nat inside damit es über den NAT Prozess ins Internet klappt.
Ferner hast du hier einen IP Pool PPPoE konfiguriert den es gar nicht gibt !
Richtig wäre laut deiner Konfig
peer default ip address dhcp-pool vpn1

Dein NAT über die Route Maps ist auch unglücklich, das kann man, wie oben bereits bemerkt, besser über ACLs lösen....
Bitte warten ..
Mitglied: Dani
21.01.2009 um 13:03 Uhr
Hi aqui,
das bisherige "VirtualTemplate1" wird benötigt für den DSLer. Du erinnerst dich noch an das Thema mit den Fehler beim Booten des Routers. Das in dere PPPoE Konfiguration ein L2TP aufgetaucht ist - damit habe ich das Problem doch gelöst.

Was noch auffällig ist: du hast eine inbound ACL an VLAN 20 mit Nummer 106 aber ohne konfigurierte Statements.
Damit gilt für diese ACL deny any any so das vom LAN nix durchkommt...Ist das so gewollt ??
Das ist im Moment so gewollt, da dort später über ein 2. VLAN noch ein extra LAN dazu kommt und dann über die ACL der Zugriff geregelt wird. Die Clients kommen ja trotzdem ins Internet.

Aber wenn ich deine ACL103 nun einspiele, dann werden die 192.168.11.0 immer über NAT gehen?!

Ferner hast du hier einen IP Pool PPPoE konfiguriert den es gar nicht gibt !
Richtig wäre laut deiner Konfig
Die Frage ist, ob ich die Zeile dort überhaupt brauche...muss ich mal testen.


Grüsse,
Dani
Bitte warten ..
Mitglied: aqui
22.01.2009 um 12:53 Uhr
...Aber wenn ich deine ACL103 nun einspiele, dann werden die 192.168.11.0 immer über NAT gehen?!.. .

Nein, nur wenn sie über ein Interface mit
ip nat outsid e gehen müssen. Bei aller anderen Kommunikation werden sie nicht genattet...

Kannst du mit
debug ip nat
auch genau sehen
Bitte warten ..
Mitglied: Dani
30.01.2009 um 17:20 Uhr
Hi aqui,
so...ich hab's nun hinbekommen. Der Trick dabei ist, über eine Policy-Map das Interface für die Clients zu definieren. So sieht die Konfiguration nun aus:
01.
test#sh run 
02.
Building configuration... 
03.
04.
version 12.4 
05.
no service pad 
06.
service timestamps debug uptime 
07.
service timestamps log uptime 
08.
service password-encryption 
09.
10.
hostname test 
11.
12.
boot-start-marker 
13.
boot-end-marker 
14.
15.
enable secret 5 test 
16.
17.
aaa new-model 
18.
19.
20.
aaa authentication login clientauth local 
21.
aaa authorization network groupauthor local 
22.
23.
24.
aaa session-id common 
25.
clock summer-time MEST recurring last Sun Mar 2:00 last Sun Oct 2:00 
26.
27.
28.
dot11 syslog 
29.
no ip source-route 
30.
31.
32.
ip cef 
33.
no ip dhcp use vrf connected 
34.
ip dhcp excluded-address 192.168.10.1 192.168.10.20 
35.
ip dhcp excluded-address 192.168.50.1 
36.
37.
ip dhcp pool VLAN20 
38.
   network 192.168.10.0 255.255.255.0 
39.
   default-router 192.168.10.1 
40.
   dns-server 192.168.10.1 
41.
   netbios-node-type h-node 
42.
43.
ip dhcp pool VLAN50 
44.
   network 192.168.50.0 255.255.255.0 
45.
   default-router 192.168.50.1 
46.
   dns-server 192.168.50.1 
47.
   netbios-node-type h-node 
48.
49.
50.
no ip bootp server 
51.
ip domain name test 
52.
ip name-server 217.237.148.70 
53.
ip name-server 217.237.149.142 
54.
55.
multilink bundle-name authenticated 
56.
vpdn enable 
57.
58.
isdn switch-type basic-net3 
59.
60.
61.
62.
spanning-tree portfast bpduguard 
63.
username admin password 7 test 
64.
65.
66.
crypto isakmp policy 10 
67.
 encr 3des 
68.
 authentication pre-share 
69.
 group 2 
70.
crypto isakmp fragmentation 
71.
72.
crypto isakmp client configuration group admins 
73.
 key hausaufkopf 
74.
 dns 192.168.10.1 
75.
 domain test.local 
76.
 pool vpn1 
77.
 banner ^C 
78.
Any unauthorized access is strictly prohibited and will be 
79.
prosecuted to the fill extent of applicable and international law.     ^C 
80.
crypto isakmp profile VPNclient 
81.
   description VPN clients profile 
82.
   match identity group admins 
83.
   client authentication list clientauth 
84.
   isakmp authorization list groupauthor 
85.
   client configuration address respond 
86.
87.
88.
crypto ipsec transform-set myset esp-3des esp-sha-hmac 
89.
90.
crypto dynamic-map dynmap 5 
91.
 set transform-set myset 
92.
 set isakmp-profile VPNclient 
93.
 reverse-route 
94.
95.
96.
crypto map mymap 10 ipsec-isakmp dynamic dynmap 
97.
98.
archive 
99.
 log config 
100.
  hidekeys 
101.
102.
103.
ip ssh version 2 
104.
105.
106.
bba-group pppoe global 
107.
 virtual-template 1 
108.
109.
110.
interface Loopback0 
111.
 ip address 192.168.5.1 255.255.255.255 
112.
 ip nat inside 
113.
 ip virtual-reassembly 
114.
115.
interface FastEthernet0 
116.
 description *** Physical WAN 0 Interface *** 
117.
 no ip address 
118.
 duplex auto 
119.
 speed auto 
120.
 pppoe enable group global 
121.
 pppoe-client dial-pool-number 1 
122.
 no cdp enable 
123.
124.
interface FastEthernet1 
125.
 description *** Physical WAN 1 Interface *** 
126.
 no ip address 
127.
 shutdown 
128.
 duplex auto 
129.
 speed auto 
130.
131.
interface BRI0 
132.
 description *** Physical BRI (ISDN) Interface *** 
133.
 bandwidth 128 
134.
 no ip address 
135.
 encapsulation ppp 
136.
 shutdown 
137.
 dialer pool-member 2 
138.
 isdn switch-type basic-net3 
139.
 isdn point-to-point-setup 
140.
 no fair-queue 
141.
 no cdp enable 
142.
 ppp authentication pap callin 
143.
144.
interface FastEthernet2 
145.
 description *** VLAN10 *** 
146.
 switchport access vlan 10 
147.
 shutdown 
148.
149.
interface FastEthernet3 
150.
 description *** VLAN20 *** 
151.
 switchport access vlan 20 
152.
153.
interface FastEthernet4 
154.
 description *** VLAN30 *** 
155.
 switchport access vlan 30 
156.
157.
interface FastEthernet5 
158.
 description *** VLAN1 *** 
159.
 switchport access vlan 40 
160.
161.
interface FastEthernet6 
162.
 description *** VLAN1 *** 
163.
 switchport access vlan 50 
164.
165.
interface FastEthernet7 
166.
 description *** VLAN1 *** 
167.
 shutdown 
168.
169.
interface FastEthernet8 
170.
 description *** VLAN1 *** 
171.
 shutdown 
172.
173.
interface FastEthernet9 
174.
 description *** VLAN1 *** 
175.
176.
interface Virtual-Template1 
177.
 mtu 1492 
178.
 no ip address 
179.
 peer default ip address dhcp-pool PPPoE 
180.
 ppp authentication pap 
181.
182.
interface Vlan1 
183.
 description *** Default - VLAN *** 
184.
 no ip address 
185.
 ip virtual-reassembly 
186.
187.
interface Vlan10 
188.
 description *** LAN -  *** 
189.
 ip address 192.168.100.1 255.255.255.252 
190.
 ip access-group 105 in 
191.
192.
interface Vlan20 
193.
 description *** LAN -  *** 
194.
 ip address 192.168.10.1 255.255.255.0 
195.
 ip access-group 106 in 
196.
 ip nat inside 
197.
 ip virtual-reassembly 
198.
199.
interface Vlan30 
200.
 description *** LAN -  *** 
201.
 ip address 10.207.184.2 255.255.255.0 
202.
 ip access-group 104 in 
203.
204.
interface Vlan40 
205.
 ip address 192.168.178.1 255.255.255.0 
206.
 ip nat inside 
207.
 ip virtual-reassembly 
208.
209.
interface Vlan50 
210.
 ip address 192.168.50.1 255.255.255.0 
211.
 ip nat inside 
212.
 ip virtual-reassembly 
213.
214.
interface Dialer1 
215.
 description *** Primaer  *** 
216.
 ip address negotiated 
217.
 ip mtu 1492 
218.
 ip nat outside 
219.
 ip virtual-reassembly 
220.
 encapsulation ppp 
221.
 ip tcp adjust-mss 1452 
222.
 ip policy route-map VPN-Client 
223.
 no ip mroute-cache 
224.
 dialer pool 1 
225.
 dialer-group 1 
226.
 no cdp enable 
227.
 ppp authentication chap callin 
228.
 ppp chap hostname feste-ip5/xxxx 
229.
 ppp chap password 7 password 
230.
 ppp ipcp dns request 
231.
 crypto map mymap 
232.
233.
interface Dialer2 
234.
 description *** Backup *** 
235.
 ip address negotiated 
236.
 ip nat outside 
237.
 ip virtual-reassembly 
238.
 encapsulation ppp 
239.
 dialer pool 2 
240.
 dialer idle-timeout 60 
241.
 dialer string 0191011 
242.
 dialer load-threshold 150 either 
243.
 dialer watch-group 1 
244.
 dialer-group 2 
245.
 compress mppc 
246.
 no cdp enable 
247.
 ppp authentication pap callin 
248.
 ppp pap sent-username xxx password 7 password 
249.
 ppp ipcp dns request 
250.
 ppp multilink 
251.
252.
ip local pool vpn1 192.168.11.1 192.168.11.6 
253.
ip forward-protocol nd 
254.
ip route 0.0.0.0 0.0.0.0 xxx.xxx.xxx.xxx 50 
255.
ip route 0.0.0.0 0.0.0.0 Dialer2 80 
256.
ip route 10.198.246.108 255.255.255.255 Vlan30 
257.
ip route 192.168.11.0 255.255.255.0 Dialer1 
258.
259.
260.
no ip http server 
261.
no ip http secure-server 
262.
ip dns server 
263.
ip nat inside source route-map primary interface Dialer1 overload 
264.
265.
access-list 99 permit 10.198.246.108 
266.
access-list 99 remark *** SSH Zugriff auf Router *** 
267.
access-list 99 permit 10.207.184.16 
268.
access-list 99 permit 10.207.184.152 
269.
access-list 99 permit 10.207.184.151 
270.
access-list 99 permit 10.207.184.134 
271.
access-list 99 permit 192.168.11.0 0.0.0.7 
272.
access-list 99 deny   any 
273.
access-list 103 remark *** Internetzugang *** 
274.
access-list 103 deny   icmp any 192.168.11.0 0.0.0.7 
275.
access-list 103 permit icmp 192.168.5.0 0.0.0.255 any 
276.
access-list 103 permit icmp host 192.168.10.4 any 
277.
access-list 103 permit icmp host 192.168.10.10 any 
278.
access-list 103 permit icmp host 192.168.10.19 any 
279.
access-list 103 permit icmp 192.168.11.0 0.0.0.7 any 
280.
access-list 103 permit icmp 192.168.50.0 0.0.0.255 any 
281.
access-list 103 permit icmp host 192.168.178.149 any 
282.
access-list 103 deny   ip any 192.168.11.0 0.0.0.7 
283.
access-list 103 permit ip 192.168.5.0 0.0.0.255 any 
284.
access-list 103 permit ip host 192.168.10.4 any 
285.
access-list 103 permit ip host 192.168.10.10 any 
286.
access-list 103 permit ip host 192.168.10.19 any 
287.
access-list 103 permit ip 192.168.11.0 0.0.0.7 any 
288.
access-list 103 permit ip 192.168.50.0 0.0.0.255 any 
289.
access-list 103 permit ip host 192.168.178.149 any 
290.
access-list 103 deny   icmp any any 
291.
access-list 103 deny   ip any any 
292.
access-list 104 remark *** Zugang -Netzwerk *** 
293.
access-list 105 remark *** Zugang -Netzwerk *** 
294.
access-list 106 remark *** Zugang -Netzwerk *** 
295.
access-list 107 remark *** VPN - Clients *** 
296.
access-list 107 permit ip 192.168.11.0 0.0.0.7 any 
297.
dialer watch-list 1 ip 0.0.0.0 0.0.0.0 
298.
dialer-list 1 protocol ip permit 
299.
no cdp run 
300.
301.
302.
303.
route-map backup permit 10 
304.
 match ip address 103 
305.
306.
route-map VPN-Client permit 10 
307.
 match ip address 107 
308.
 set interface Loopback0 
309.
310.
route-map primary permit 10 
311.
 match ip address 103 
312.
313.
314.
315.
316.
control-plane 
317.
318.
319.
line con 0 
320.
 exec-timeout 0 0 
321.
 password 7 password 
322.
line aux 0 
323.
line vty 0 4 
324.
 access-class 99 in 
325.
 exec-timeout 0 0 
326.
 transport input ssh 
327.
328.
ntp clock-period 17180501 
329.
end 
330.
 
331.
test#
VPN-Client sieht nun alle Ports und kommt über den Router ins Internet! Juhhuuu

Leider habe ich daraus noch ein Problem. Ich musste aus diesen Zeilen
01.
ip nat inside source route-map backup interface Dialer2 overload 
02.
ip nat inside source route-map primary interface Dialer1 overload
diese machen
01.
ip nat inside source route-map primary interface Dialer1 overload
Somit habe ich keine Backupfunktion mehr, was nicht so gut ist.


Grüße,
Dani
Bitte warten ..
Mitglied: Dani
30.01.2009 um 19:24 Uhr
So, klar...aqui hat mich doch schon draufhingewießen. Ich habe die Route-Maps ersetzt und siehe da, es geht.
01.
ip nat inside source 102 interface d2 overload 
02.
ip nat inside source 103 interface d1 overload
Durch die getrennten ACL's funktioniert das Internet an den VPN-Clients weiterhin und ich habe mein Backup wieder.

Hier noch der Link für die Cisco - Dokumentation.


Grüße,
Dani
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Router & Routing
gelöst Mikrotik VPN - Router hat Zugriff, Client nicht (28)

Frage von BirdyB zum Thema Router & Routing ...

Switche und Hubs
VPN Router (client) VPN Tunnel Bauen (26)

Frage von denndsd zum Thema Switche und Hubs ...

Router & Routing
InterVlan Routing mit Linksys LRT224 Dual WAN Gigabit VPN Router (1)

Frage von darkliving zum Thema Router & Routing ...

Switche und Hubs
gelöst VLAN fähiger VPN Router gesucht (33)

Frage von Leo-le zum Thema Switche und Hubs ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Microsoft
Ordner mit LW-Buchstaben versehen und benennen (19)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...