windoof1992
Goto Top

VPN zwischen Cisco 1841 Router

Guten Abend,

ich habe folgendes Problem: Ich soll für ein Projekt im Packet Tracer 3 Netzwerke die durch das WAN getrennt sind, miteinander verbinden. Jeder Standort hat mehrere PC's, Server und einen Cisco 1841 Router.

Ich hab etliche Foreneinträge gelesen doch nichts dazu gefunden was mir weiterhilft. Ich hoffe ihr könnt mich weiterbringen.

Da ich keine großen Kenntnisse in Sachen Cisco habe, wollte ich erstmal eine VPN Verbindung zwischen zwei Netzen herstellen. Nur zum testen ob ich überhaupt dazu in der Lage bin. Diest ist leider nicht der Fall.

Netz A:
Netzwerkadresse: 192.168.1.0/24

Cisco Netz A:
Interface 0/1 (extern): 192.1.1.1
Interface 0/0 (intern): 192.168.1.1


Netz B:
Netzwerkadresse: 192.168.2.0/24

Cisco Netz B:
Interface 0/1 (extern): 193.1.1.1
Interface 0/0 (intern): 192.168.2.1

Beide Router haben einen DHCP Pool der ab 192.168.1.2 startet.
Konfiguration Netz A:

!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname RTRA
!
!
!
!
!
!
crypto isakmp policy 10
 encr aes 128
 authentication pre-share
 group 2
!
crypto isakmp key cisco123 address 193.1.1.1
!
!
crypto ipsec transform-set RTRtran esp-aes esp-sha-hmac
!
!
!
!
!
!
!
!
interface Tunnel0
 ip address 192.168.3.1 255.255.255.0
 tunnel source FastEthernet0/1
 tunnel destination 193.1.1.1
!
!
interface FastEthernet0/0
 ip address 192.168.1.1 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 192.1.1.1 255.255.255.0
 duplex auto
 speed auto
!
interface Vlan1
 no ip address
 shutdown
!
router rip
 network 192.168.2.0
 network 192.168.3.0
!
ip classless
ip route 192.168.2.0 255.255.255.0 192.168.3.2 
ip route 192.168.2.0 255.255.255.0 193.1.1.1 
!
!
!
ip dhcp excluded-address 192.168.1.1
!
ip dhcp pool lanA
 network 192.168.1.0 255.255.255.0
 default-router 192.168.1.1
!
!
!
!
!
line con 0
line vty 0 4
 login
!
!
!
end
Konfigruation Cisco Netz B:
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname RTRB
!
!
!
!
!
!
crypto isakmp policy 10
 encr aes 128
 authentication pre-share
 group 2
!
crypto isakmp key cisco123 address 192.1.1.1
!
!
crypto ipsec transform-set RTRtran esp-aes esp-sha-hmac
!
!
!
!
!
!
!
!
interface Tunnel0
 ip address 192.168.3.2 255.255.255.0
 tunnel source FastEthernet0/1
 tunnel destination 192.1.1.1
!
!
interface FastEthernet0/0
 ip address 192.168.2.1 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 193.1.1.1 255.255.255.0
 duplex auto
 speed auto
!
interface Vlan1
 no ip address
 shutdown
!
router rip
 network 192.1.1.0
 network 192.168.3.0
!
ip classless
ip route 192.168.1.0 255.255.255.0 192.168.3.1 
ip route 192.168.1.0 255.255.255.0 192.1.1.1 
!
!
!
ip dhcp excluded-address 192.168.2.1
!
ip dhcp pool lanB
 network 192.168.2.0 255.255.255.0
 default-router 192.168.2.1
!
!
!
!
!
line con 0
line vty 0 4
 login
!
!
!
end
Ich weiß nicht ob noch mehr Informationen gebraucht werden, wenn ja, werde ich sie so schnell wie möglich hinzufügen.

Ziel des ganzen ist es eine einfache Verbindung zwischen Netz A und Netz B herzustellen um beispielsweise einen Ping von A nach B zu senden.
Hoffentlich weiß jemand weiter.


Mit freundlichen Grüßen

Content-Key: 138491

Url: https://administrator.de/contentid/138491

Ausgedruckt am: 28.03.2024 um 20:03 Uhr

Mitglied: builder4242
builder4242 17.03.2010 um 22:55:19 Uhr
Goto Top
Ich versteh dein Nezt nicht ganz,
Mit WAN und Co.

Sind also alle Netze unter einem Dach?, wenn sie mit einem WAN verbunden sind?

Oder läuft das doch übers INET, was hast du dann für einen Zugang?

Am besten für sowas ist immer eine Skizze
Mitglied: Dani
Dani 17.03.2010 um 23:44:23 Uhr
Goto Top
@builder
Ganz einfach, er baut im PacketTracer das Netzwerk virtuell auf. Darum auch die privaten IP-Adressen auf den WAN-Schnittstellen - ist ein bisschen verwirrend. face-smile

@windows1992
Hier ist mal eine Schritt-für-Schritt Anleitung von Cisco. Nebenher wird auch noch erklärt was die einzelnen Befehle machen. Nicht erschrecken, sollte bei deinen Router-Modellen auch funktionieren.


Grüße,
Dani

P.S. Ob natürlich PacketTracer diese Befehle alle unterstützt bin ich mir nicht sicher. Ansonsten würde es mit GNS3 auch funktionieren. Damit bilden wir unser Testumgebungen ab.
Mitglied: spacyfreak
spacyfreak 18.03.2010 um 05:42:04 Uhr
Goto Top
Wo ist die Crypto map?
Und die crypto map an ein interface binden.
Die Crypto map fasst die vpn parameter zusammen und wird dann an ein interface gebunden.

ACL?

Ausserdem würd ich von vornerein GNS3 benutzen, packettracer ist ein "simulator", doch GNS3 ist ein "emulator" und lädt "echtes IOS", da geht dann alles.
Mitglied: windoof1992
windoof1992 18.03.2010 um 11:00:39 Uhr
Goto Top
Hallo Dani,

Leider funktionieren nicht alle Befehle mit dem Packettracer. Problem ist nur, dass die Aufgabe zwingend mit dem PT erledigt werden soll.
Hatte mir schon einige andere Anleitungen durchgelesen in denen man Befehleverwenden sollte die im PT nicht vorhanden waren.

Sehr schade. Danke für die Anleitung.
Mitglied: windoof1992
windoof1992 18.03.2010 um 11:01:41 Uhr
Goto Top
In der Anleitung die ich hatte war eine crypto map nicht nötig, laut Aussage des Verfassers.

Ich habe leider nicht genug Kenntnisse um dies zu beurteilen. face-sad
Mitglied: Dani
Dani 18.03.2010 um 13:42:04 Uhr
Goto Top
Schau dir meinen Link an: Das funktioniert auf jeden Fall. Ohne "CM" geht gar nichts.


Grüße,
Dani
Mitglied: aqui
aqui 19.03.2010, aktualisiert am 18.10.2012 um 18:41:25 Uhr
Goto Top
@Dani
Auch wenn PT3 sicher etwas anders macht, die grundlegende Konfiguration der Router A und B ist schon grundfalsch oben und birgt gravierende Fehler und es ist mehr als logisch das nichts klappt !
Folgende Punkte sind auffällig:
  • Das Interface FA0/1 auf beiden Routern soll wohl vermutlich das WAN Netz sein. (0/0 das lokale LAN). Hier ist auf beiden Routern eine gleiche IP für das WAN Interface konfiguriert ! Im normalen Cisco Leben ist dass vollkommener Unsinn und führt zum sofortigen Fehler, denn diese Router kämen niemals zusammen. Sinnvoll wäre z.B. 192.1.1.1/24 auf Router A und 192.1.1.2/24 auf Router B !
  • Damit sind dann auch die statischen Routen falsch denn die müssten richtigerweise lauten: Router A: ip route 192.168.2.0 255.255.255.0 193.1.1.2 und Router B: ip route 192.168.1.0 255.255.255.0 193.1.1.1
  • Ausserdem ist RIPv1 eingeschaltet, damit sind statische Routen dann so oder so Blödsinn. Oder besser gesagt RIP ist dann Unsinn, denn da die statischen Routen eine bessere Metrik haben machen sie die dynamischen RIP Routen schlicht tot !! Auch da ist die Konfig unsinnig, denn man sollte sich entscheiden entweder statisch oder dynamisch zu routen ! Beides ist Unsinn.
  • Der VPN Tunnel zeigt mit der Tunnel Source und der Tunnel Destination auf ein und dieselbe lokale IP was natürlich ebenso kompletter Unsinn ist, denn wie kann das Source und Destination sein ?! Mit Source und Destination müssen unterschiedliche IPs gesetzt werden nämlich genau der Tunnel Anfang und das Ende und das ist niemals nur eine lokale IP, denn damit wäre ja gar kein Anfang und Ende definiert ! Für Router A wäre das richtigerweise: tunnel source FastEthernet0/1, tunnel destination 193.1.1.2 (WAN IP Router B) und analog für Router B: tunnel source FastEthernet0/1, tunnel destination 193.1.1.1 (WAN IP Router A)

Erst wenn überhaupt erstmal diese grundlegenden Fehler in der IP Adressierung (die nichtmal was mit Cisco Syntax zu tun hat !) beseitigt sind, dann kann man mal weitersehen.
Es ist nicht vorstellbar das auch PT3 mit solch einer in sich grundlegend falschen IP Konfiguration zurechtkommt ! Das muss also erstmal korrigiert werden bevor man dann an den Crypto Tunnel geht !! Spacy's Tip mit GNS3 kann man sich da nur anschliessen !!
Der Crypto Tunnel so wie oben ist auch falsch bzw. unvollständig. Spacyfreak hat da absolut recht !

Wie man den dann richtig konfiguriert kannst du hier nachlesen:
Vernetzung zweier Standorte mit Cisco 876 Router
bzw. ansatzweise auch hier:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Mitglied: aqui
aqui 23.03.2010 um 11:46:53 Uhr
Goto Top
Wenns das jetzt war dann bitte auch:
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !!