ozer
Goto Top

Cisco 1812 PPTP VPN funktioniert nicht von extern

Hallo Community,

bin am schieren Verzweifeln aktuell.

Folgendes Szenario:

Ein Cisco 1812 Router fungiert als WAN Router. Klappt soweit.
Der gleiche Router hat auch die VPN PPTP Server Rolle. Zum authentifizieren wird ein Radius genutzt. Server2008. Über die Cisco CLI bekomme ich korrekte Ergebnisse, wenn ich username + passwort zum radius schicke (test aaa group radius benutzername passwort legacy). Also funktioniert die Verbindung zum Radius ebenfalls. Wenn ich Netzintern eine PPTP Verbindung zum Cisco Aufbaue, klappt das. User wird authentifiziert, bekommt eine ip.

Wenn ich das aber netzextern probiere, bekomme ich auf der Win7 Maschine eine Fehlermeldung.
(Fehler 734 auf dem Client). Habe mich bereits im Internet schlau gemacht und die gängigen Verdächtigen ausgeschlossen (Mehrfachverbindungen für Einzelverbindungen aushandeln, ...).

Auf der Cisco Console bekomme ich auch eine Fehlermeldung (term mon):
013025: *May 23 14:39:57.342: AAA/BIND(0000001D): Bind i/f
013026: *May 23 14:39:57.342: AAA/BIND(0000001D): Bind i/f Virtual-Template1
013027: *May 23 14:39:57.342: ppp24 PPP: Send Message[Dynamic Bind Response]
013028: *May 23 14:39:57.342: ppp24 PPP: Using vpn set call direction
013029: *May 23 14:39:57.342: ppp24 PPP: Treating connection as a callin
013030: *May 23 14:39:57.342: ppp24 PPP: Session handle[500001D] Session id[24]
013031: *May 23 14:39:57.342: ppp24 PPP: Phase is ESTABLISHING, Passive Open
013032: *May 23 14:39:57.342: ppp24 LCP: State is Listen
013033: *May 23 14:39:59.338: ppp24 LCP: Timeout: State Listen
013034: *May 23 14:39:59.338: ppp24 LCP: O CONFREQ [Listen] id 1 len 15
013035: *May 23 14:39:59.338: ppp24 LCP:    AuthProto MS-CHAP-V2 (0x0305C22381)
013036: *May 23 14:39:59.338: ppp24 LCP:    MagicNumber 0x1FA69738 (0x05061FA69738)
013037: *May 23 14:40:01.354: ppp24 LCP: Timeout: State REQsent
013038: *May 23 14:40:01.354: ppp24 LCP: O CONFREQ [REQsent] id 2 len 15
013039: *May 23 14:40:01.354: ppp24 LCP:    AuthProto MS-CHAP-V2 (0x0305C22381)
013040: *May 23 14:40:01.354: ppp24 LCP:    MagicNumber 0x1FA69738 (0x05061FA69738)
013041: *May 23 14:40:03.370: ppp24 LCP: Timeout: State REQsent
013042: *May 23 14:40:03.370: ppp24 LCP: O CONFREQ [REQsent] id 3 len 15
013043: *May 23 14:40:03.370: ppp24 LCP:    AuthProto MS-CHAP-V2 (0x0305C22381)
013044: *May 23 14:40:03.370: ppp24 LCP:    MagicNumber 0x1FA69738 (0x05061FA69738)
013046: *May 23 14:40:05.386: ppp24 LCP: Timeout: State REQsent
013047: *May 23 14:40:05.386: ppp24 LCP: O CONFREQ [REQsent] id 4 len 15
013048: *May 23 14:40:05.386: ppp24 LCP:    AuthProto MS-CHAP-V2 (0x0305C22381)
013049: *May 23 14:40:05.386: ppp24 LCP:    MagicNumber 0x1FA69738 (0x05061FA69738)
013050: *May 23 14:40:07.402: ppp24 LCP: Timeout: State REQsent
013051: *May 23 14:40:07.402: ppp24 LCP: O CONFREQ [REQsent] id 5 len 15
013052: *May 23 14:40:07.402: ppp24 LCP:    AuthProto MS-CHAP-V2 (0x0305C22381)
013053: *May 23 14:40:07.402: ppp24 LCP:    MagicNumber 0x1FA69738 (0x05061FA69738)
013054: *May 23 14:40:09.418: ppp24 LCP: Timeout: State REQsent
013055: *May 23 14:40:09.418: ppp24 LCP: O CONFREQ [REQsent] id 6 len 15
013056: *May 23 14:40:09.418: ppp24 LCP:    AuthProto MS-CHAP-V2 (0x0305C22381)
013057: *May 23 14:40:09.418: ppp24 LCP:    MagicNumber 0x1FA69738 (0x05061FA69738)
013058: *May 23 14:40:11.434: ppp24 LCP: Timeout: State REQsent
013059: *May 23 14:40:11.434: ppp24 LCP: O CONFREQ [REQsent] id 7 len 15
013060: *May 23 14:40:11.434: ppp24 LCP:    AuthProto MS-CHAP-V2 (0x0305C22381)
013061: *May 23 14:40:11.434: ppp24 LCP:    MagicNumber 0x1FA69738 (0x05061FA69738)
013062: *May 23 14:40:13.450: ppp24 LCP: Timeout: State REQsent
013063: *May 23 14:40:13.450: ppp24 LCP: O CONFREQ [REQsent] id 8 len 15
013064: *May 23 14:40:13.450: ppp24 LCP:    AuthProto MS-CHAP-V2 (0x0305C22381)
013065: *May 23 14:40:13.450: ppp24 LCP:    MagicNumber 0x1FA69738 (0x05061FA69738)
013066: *May 23 14:40:15.466: ppp24 LCP: Timeout: State REQsent
013067: *May 23 14:40:15.466: ppp24 LCP: O CONFREQ [REQsent] id 9 len 15
013068: *May 23 14:40:15.466: ppp24 LCP:    AuthProto MS-CHAP-V2 (0x0305C22381)
013069: *May 23 14:40:15.466: ppp24 LCP:    MagicNumber 0x1FA69738 (0x05061FA69738)
013070: *May 23 14:40:17.482: ppp24 LCP: Timeout: State REQsent
013071: *May 23 14:40:17.482: ppp24 LCP: O CONFREQ [REQsent] id 10 len 15
013072: *May 23 14:40:17.482: ppp24 LCP:    AuthProto MS-CHAP-V2 (0x0305C22381)
013073: *May 23 14:40:17.482: ppp24 LCP:    MagicNumber 0x1FA69738 (0x05061FA69738)
013075: *May 23 14:40:19.498: ppp24 LCP: Timeout: State REQsent
013076: *May 23 14:40:19.498: ppp24 LCP: O TERMREQ [REQsent] id 10 len 4
013077: *May 23 14:40:19.498: ppp24 PPP: Phase is TERMINATING
013078: *May 23 14:40:19.498: ppp24 LCP: State is Listen
013079: *May 23 14:40:19.498: ppp24 PPP: Sending Acct Event[Down] id[1D]
013080: *May 23 14:40:19.498: ppp24 LCP: State is Closed
013081: *May 23 14:40:19.498: ppp24 PPP: Phase is DOWN
013082: *May 23 14:40:19.498: ppp24 PPP: Send Message[Disconnect] ^^

Und hier die betreffenden Configteile:
vpdn enable
!
vpdn-group 1
 accept-dialin
  protocol pptp
  virtual-template 1
!
interface FastEthernet0
 description $ETH-LAN$$FW_INSIDE$
 ip address 192.168.100.111 255.255.255.0
 ip access-group 102 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat inside
 ip virtual-reassembly
 ip route-cache flow
 speed auto
 full-duplex
 no cdp enable
!
interface FastEthernet1
 description $ETH-WAN$$FW_OUTSIDE$
 ip address xx.xx.xx.xx 255.255.255.252
 ip access-group 103 in
 ip verify unicast reverse-path
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip inspect SDM_LOW out
 ip virtual-reassembly
 ip route-cache flow
 duplex auto
 speed auto
 no cdp enable
!
interface Virtual-Template1
 ip unnumbered FastEthernet0
 ip mroute-cache
 peer default ip address pool DIAL-IN
 no keepalive
 ppp encrypt mppe 128 required
 ppp authentication ms-chap-v2
!
ip local pool DIAL-IN 192.168.100.180 192.168.100.185 ^^

Ich hoffe Ihr könnt mir helfen...

Content-ID: 206926

Url: https://administrator.de/contentid/206926

Ausgedruckt am: 25.11.2024 um 16:11 Uhr

aqui
aqui 23.05.2013 aktualisiert um 19:03:30 Uhr
Goto Top
Ohne deine Access List 103 zu kennen ist ein Troubleshooting nicht einfach !
Vermutlich blockt die entweder das GRE Protokoll oder TCP 1723 oder beides ?!
Oder...du hast den IP Pool doppelt im lokalen LAN vergeben ?!
Oder oder...
Hier findest du eine lauffähige Konfiguration zum Abtippen:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
ozer
ozer 24.05.2013 aktualisiert um 08:51:19 Uhr
Goto Top
Hallo Aqui,

vielen Dank für die Antwort.

Anbei meine ACL 103
access-list 103 permit udp host 80.69.100.174 eq domain host xx.xx.xx.xx
access-list 103 permit udp host 8.8.8.8 eq domain host xx.xx.xx.xx
access-list 103 deny ip 192.168.100.0 0.0.0.255 any
access-list 103 permit gre any any
access-list 103 permit tcp any any eq 1723
access-list 103 permit icmp any host xx.xx.xx.xx echo-reply
access-list 103 permit icmp any host xx.xx.xx.xx time-exceeded
access-list 103 permit icmp any host xx.xx.xx.xx unreachable
access-list 103 deny ip 10.0.0.0 0.255.255.255 any
access-list 103 deny ip 172.16.0.0 0.15.255.255 any
access-list 103 deny ip 192.168.0.0 0.0.255.255 any
access-list 103 deny ip 127.0.0.0 0.255.255.255 any
access-list 103 deny ip host 255.255.255.255 any
access-list 103 deny ip host 0.0.0.0 any
access-list 103 deny ip any any log


GRE und 1723 lasse ich durch, wie man sieht. IP ist auch nicht doppelt. Von intern nach intern klappts ja.
Was vermutlich noch ganz interessant ist: Der Fehler kommt erst wenn beim CLient steht: Benutzername und Kennwort werden verifiziert.
Deine Anleitung habe ich mir natürlich vor dem posten bereits angeguckt face-smile

Testweise hatte ich auch die ACL103 und 102 aus den beiden INterfaces rausgenommen. Selbes Ergebnis.

EDIT:
Habe auch mal den radius raus und einen lokalen Benutzer auf der Cisco eingerichtet. Selbes Ergebnis.
aqui
aqui 24.05.2013 aktualisiert um 10:29:36 Uhr
Goto Top
Nach dem Cisco Debug Output zu urteilen liegt es auch klar am Client !!
Der Cisco sendet ja ein Config Request an den Client (O=Outbound=Raussenden). Dann wartet er immer 3 Sekunden (Seine Timeout Zeit) auf die Antwort des Clients und reportet dann ein "Timeout: State REQsent".
Fazit: Er bekommt kein Acknowledge vom Client ! Wenn du das mal mit einem Wireshark mitsnifferst wirst du das auch sehen.
Kann es sein das hier irgendeine lokale Firewall am Client dir Probleme macht oder eine Miskonfiguration des Clients ?
ozer
ozer 24.05.2013 aktualisiert um 14:01:08 Uhr
Goto Top
Muss ich mir gleich mal anschauen. Sag mal muss ich nicht auch für VPN ein ip inspect erstellen???

Kein IP Inspect nötig. Hätte mir die Frage eigentlich auch selber beantworten können ;)
aqui
aqui 24.05.2013 um 16:14:19 Uhr
Goto Top