VPN Cisco Router 886VAJ

Hallo liebe Administratoren,
seit zwei Wochen versuche ich eine VPN per PPTP oder IPSec einzurichten, leider ohne Erfolg.
Ich bitte um eure Hilfe!!!!

Vielen lieben dank schon mal im Voraus.

urrent configuration : 6604 bytes
!
! Last configuration change at 21:26:31 cest Mon Jul 10 2017 by test
! NVRAM config last updated at 21:21:50 cest Wed Jul 5 2017 by test
! NVRAM config last updated at 21:21:50 cest Wed Jul 5 2017 by test
version 15.3
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
service timestamps log datetime localtime
no service password-encryption
!
hostname R1
!
boot-start-marker
boot-end-marker
!
aqm-register-fnf
!
security authentication failure rate 3 log
security passwords min-length 6
enable secret 5 $1$l2fs$JfWadxymtCUaP/PkA9TKd1
!
aaa new-model
!
!
aaa authentication login cilientauth local
aaa authentication login clientauth local
aaa authorization network groupauth local
!
!
!
!
!
aaa session-id common
clock timezone cet 1 0
clock summer-time cest recurring last Sun Mar 2:00 last Sun Oct 3:00
!
!
no ip source-route
no ip gratuitous-arps
!
!
!
!

!
ip dhcp binding cleanup interval 600
ip dhcp excluded-address 192.168.10.1 192.168.10.149
ip dhcp excluded-address 192.168.10.170 192.168.10.254
!
ip dhcp pool lokal
network 192.168.10.0 255.255.255.0
default-router 192.168.10.254
dns-server 192.168.10.254
option 42 ip 130.149.17.8
domain-name xxxx.intern
!
!
!
ip domain name test.intern
ip inspect name myfw icmp router-traffic
ip inspect name myfw http
ip inspect name myfw https
ip inspect name myfw pop3
ip inspect name myfw imaps
ip inspect name myfw esmtp
ip inspect name myfw ssh
ip inspect name myfw isakmp
ip inspect name myfw sip
ip inspect name myfw rtsp
ip inspect name myfw tcp router-traffic
ip inspect name myfw udp router-traffic
ip cef
no ipv6 cef
!
!
!
!
!
multilink bundle-name authenticated
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
!
vpdn-group pptp
accept-dialin
protocol pptp
virtual-template 10
!
!
!
!
!
!
!
!
license udi pid C886VAJ-K9 sn FCZ2105E0FG
!
!
username xxxx password 0 xxxxxx

!
!
!
!
controller VDSL 0
!
ip ssh time-out 60
!
!
crypto isakmp policy 10
encr aes
authentication pre-share
group 2
!
crypto isakmp client configuration group vpngroup
key xxxxxxxxxx
dns 192.168.10.100
domain vpn.test.intern
pool vpnpool
save-password
max-users 10
crypto isakmp profile vpnclient
description vpn client profil
match identity group vpngroup
client authentication list clientauth
isakmp authorization list groupauth
client configuration address respond
virtual-template 2
!
!
crypto ipsec transform-set myser esp-aes esp-sha-hmac
mode tunnel
crypto ipsec transform-set myset esp-aes esp-sha-hmac
mode tunnel
!
!
crypto ipsec profile vpn-vti2
set transform-set myset
!
!
!
!
!
!
!
interface ATM0
description datag-bng adsl2plus
no ip address
no atm ilmi-keepalive
!
interface ATM0.1 point-to-point
pvc 1/32
bridge-dot1q encap 7
pppoe-client dial-pool-number 1
!
!
interface ATM0.7 point-to-point
!
interface BRI0
no ip address
encapsulation hdlc
isdn termination multidrop
!
interface Ethernet0
description lokales ethernet
no ip address
!
interface FastEthernet0
description lokales ethernet
no ip address
!
interface FastEthernet1
no ip address
!
interface FastEthernet2
no ip address
!
interface FastEthernet3
no ip address
!
interface Virtual-PPP1
ip address negotiated
ip mtu 1460
ip nat outside
ip virtual-reassembly in
ip tcp adjust-mss 1420
ppp chap hostname xxxxxx
ppp chap password 0 xxxxxxxxx
no cdp enable
!
interface Virtual-Template1
description pptp Einwahl Interface fuer VPN
ip unnumbered FastEthernet0
ip nat inside
ip virtual-reassembly in
peer default ip address pool test
no keepalive
ppp encrypt mppe auto
ppp authentication pap chap ms-chap
!
interface Virtual-Template2 type tunnel
description ipsec vpn dialin
ip unnumbered Vlan1
ip nat inside
ip virtual-reassembly in
tunnel mode ipsec ipv4
tunnel protection ipsec profile vpn-vti2
!
interface Virtual-Template10
ip unnumbered FastEthernet0
peer default ip address pool vpn
no keepalive
ppp encrypt mppe 128
ppp authentication ms-chap-v2
!
interface Vlan1
description lokales lan (fastethernet0 bis 2)
ip address 192.168.10.254 255.255.255.0
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1452
!
interface Dialer0
description xdsl einwahl interface
ip address negotiated
ip access-group 111 in
no ip redirects
no ip proxy-arp
ip mtu 1492
ip nat outside
ip inspect myfw out
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
no keepalive
ppp authentication pap callin
ppp pap sent-username xxxxxxxxxxxxxxxxxxxxxxxxxt-online.de password 0 xxxxxxxxxxxxx
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
no cdp enable
!
ip local pool pptp-dialin 192.168.10.203 192.168.10.210
ip local pool pptp_dialin 192.168.10.240 192.168.10.250
ip local pool pptp_dialin 192.168.10.211 192.168.10.219
ip local pool vpnpool 192.168.10.50 192.168.10.55
ip local pool vpnpool 192.168.10.155 192.168.10.160
ip local pool vpn 192.168.10.60 192.168.10.70
ip local pool test 192.168.10.90 192.168.10.99
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip dns server
ip nat inside source list 101 interface Dialer0 overload
!
!
access-list 23 permit 192.168.10.0 0.0.0.255
access-list 101 permit ip 192.168.10.0 0.0.0.255 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any eq 5060 any
access-list 111 permit udp any eq ntp any
access-list 111 permit tcp any eq 9600 any
access-list 111 permit udp any eq 9600 any
access-list 111 deny icmp any any echo
!
!
!
control-plane
!
!
!
mgcp behavior rsip-range tgcp-only
mgcp behavior comedia-role none
mgcp behavior comedia-check-media-src disable
mgcp behavior comedia-sdp-force disable
!
mgcp profile default
!
!
!
!
!
line con 0
logging synchronous
no modem enable
line aux 0
line vty 0 4
password xxxxxxxxxxxx
transport input all
!
scheduler allocate 20000 1000
ntp server 130.149.17.8 source Dialer0
!
end

Please also mark the comments that contributed to the solution of the article

Content-Key: 342950

Url: https://administrator.de/contentid/342950

Printed on: April 19, 2024 at 18:04 o'clock

5 Comments

Latest comment

seit zwei Wochen versuche ich eine VPN per PPTP oder IPSec einzurichten

Das hätte nicht sein müssen. Lesen und verstehen hilft wie immer hier !!

Das hiesige Cisco 800 Tutorial hat eine abtippfertige Konfig für dich parat was PPTP anbetrifft !!
Hast du dich daran gehalten ??
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Eine entsprechende Konfig für IPsec findest du hier:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Bitte immer auch die weiterführenden Links beachten und die Threaddiskussion zum Tutorial !

Zuallererst solltest du mal deine o.a. Konfig zwingend von diesen ganzen PPTP Konfig Leichen befreien und wieder bei einem sauberen Satnd anfangen !!!
Nicht nur die denn es geistern auch noch andere sinnfreie Bausstellen wie das ATM 0.7 usw. in der Konfig rum.
Hier ist immer Sauberkeit das oberste Gebot um gefaährliche Seiteneffekte sicher zu verhindern !!
Ein "show run" zeigt dir das immer....
Mit z.B. "no interface Virtual-Template10" bekommst du diese sinnfreien mutliplen Interfaces wieder aus der Konfig.
Hier nochmal deine ToDos zur Aktivierung von PPTP VPN für deine Konfig:
!
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
!
username vpnbenutzer password geheim123
!
interface Virtual-Template1
description PPTP Einwahl Interface fuer PPTP VPN Zugang
ip unnumbered vlan 1
( ip nat inside ) <-- Achtung: Kommando ist nur dann erforderlich wenn VPN Clients übers VPN auch ins Internet sollen ! Soll nur Zugriff auf das remote Netz bestehen Kommando weglassen !
no keepalive
no cdp enable
peer default ip address pool pptp_dialin
ppp encrypt mppe 128 required
ppp authentication ms-chap-v2
!
ip local pool pptp_dialin 192.168.10.200 192.168.10.210
!
Mehr ist NICHT zu tun !!

Warum es bei dir aber nicht geht liegt auf der Hand und das hast du vermutlich übersehen ?!
Deine Firewall blockt ja sämtlichen vom Internet initiierten Traffic wie es ja auch soll um dich zu schützen.
Folglich auch deine PPTP Zugriffe sofern du das also in der Firewall nicht expliziert erlaubst.
PPTP besteht aus den Komponenten TCP 1723 und dem GRE Protokoll.
Auch weil die Firewall, wie es sich gehört, ALLES blockiert ist dein ACL 111 Statement "access-list 111 deny icmp any any echo" völlig sinnfrei, da es ja so oder so blockiert ist.
Mal ganz abgesehen von dem 2ten Unsinn das ein Inbound ICMP Echo Paket niemals kommen kann, sondern wenn dann überhaupt ein Echo Request aber auch das wird in der bei dir aktivierten CBAC Firewall sowieso per Default geblockt.
Also bitte einmal etwas logisch nachdenken beim Konfigurieren der ACL 111 !!!

Diese müsste bei dir für PPTP so aussehen:
!
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any eq 5060 any
access-list 111 permit tcp any any eq 1723
access-list 111 permit gre any any
access-list 111 permit udp any eq ntp any
access-list 111 permit tcp any eq 9600 any
access-list 111 permit udp any eq 9600 any
!
Willst du beides PPTP und auch IPsec durch die Firewall lassen, dann sieht das so aus:
!
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any eq 5060 any
access-list 111 permit tcp any any eq 1723
access-list 111 permit gre any any ( --> Port TCP 1723 und GRE Prototokoll = PPTP )
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp host any any eq non500-isakmp
access-list 111 permit esp any any ( --> Port UDP 500, 4500 und ESP Prototokoll = IPsec )
access-list 111 permit udp any eq ntp any
access-list 111 permit tcp any eq 9600 any
access-list 111 permit udp any eq 9600 any
!
So wird ein Schuh aus der CBAC Firewall ACL 111.
Noch besser wäre die Verwendung der neueren ZFW (Zone based) Firewall.
Siehe Tutorial !!

P.S.: Was ist der tiefere Sinn ein exotisches, offizell registriertes Protokoll wie TCP/UDP 9600 (Omron/micromuse) auf die WAN IP Adresse des Routers zuzulassen ??
https://de.wikipedia.org/wiki/Liste_der_standardisierten_Ports#Registrie ...
Eigentlich Quatsch und ein erhöhtes Sicherheitsrisiko, denn der Router supportet diese Protokolle gar nicht !
Aber mit der Logik und Nachdenken in der Firewall ACL 111 war es ja eh nicht so weit her bei dir

Appropos Sicherheit...
Die ACL 23 solltest du wenn dann auch aktivieren, damit keiner vom Internet aus deinen Router per Telnet knacken kann:
!
line vty 0 4
access-class 23 in ( <-- Telnet Zugriff nur aus lokalem LAN möglich (ACL 23) )
login local
transport input telnet ssh

Es hat alles prima geklappt und ich wollte mich noch mal von ganzem Herzen bei dir bedanken, vielen vielen lieben Dank

Immer gerne wieder...

Bleibt nur noch das Rätsel um den geheimnisvollen Port UDP/TCP 9600 ???

Es ging um eine Wartungsfirma die per VPN auf die Maschienen zugreifen möchtr und dafür bräuchten sie den Port 9600.
Ich habe aber Port wieder geschlossen und siehe da, es geht auch ohne den Port 9600.
Vielen Dank nochmal für den guten Rat!!!

Sehr ungewöhnlicher Port für ein VPN zumal offiziell diese Ports dafür gar nicht registriert sind und der Cisco selber keinerlei VPNs auf diesem Port supportet !!!
Sehr gute Entscheidung also von dir die Schotten da besser wieder dichtzumachen. Zumal du ja so oder so schon VPN Zugriff für PPTP und IPsec zugelassen hast.
Warum also für ein nicht dokumentiertes Protokoll ohne jeglichen Cisco Support und dann auch noch für TCP und UDP gleichzeitig ?!
Ein Schelm wer Böses dabei denkt....!

German solved Question Routers, Routing Networks

Hotly discussed

Check of ZFW Firewallgleixnerd - 3 Comments

How to set up and configure a Linux GRE tunnelAlexWisha - 3 Comments

WIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 3 Comments

End of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment