Cisco 1812 PPTP VPN funktioniert nicht von extern
Hallo Community,
bin am schieren Verzweifeln aktuell.
Folgendes Szenario:
Ein Cisco 1812 Router fungiert als WAN Router. Klappt soweit.
Der gleiche Router hat auch die VPN PPTP Server Rolle. Zum authentifizieren wird ein Radius genutzt. Server2008. Über die Cisco CLI bekomme ich korrekte Ergebnisse, wenn ich username + passwort zum radius schicke (test aaa group radius benutzername passwort legacy). Also funktioniert die Verbindung zum Radius ebenfalls. Wenn ich Netzintern eine PPTP Verbindung zum Cisco Aufbaue, klappt das. User wird authentifiziert, bekommt eine ip.
Wenn ich das aber netzextern probiere, bekomme ich auf der Win7 Maschine eine Fehlermeldung.
(Fehler 734 auf dem Client). Habe mich bereits im Internet schlau gemacht und die gängigen Verdächtigen ausgeschlossen (Mehrfachverbindungen für Einzelverbindungen aushandeln, ...).
Auf der Cisco Console bekomme ich auch eine Fehlermeldung (term mon):
Und hier die betreffenden Configteile:
Ich hoffe Ihr könnt mir helfen...
bin am schieren Verzweifeln aktuell.
Folgendes Szenario:
Ein Cisco 1812 Router fungiert als WAN Router. Klappt soweit.
Der gleiche Router hat auch die VPN PPTP Server Rolle. Zum authentifizieren wird ein Radius genutzt. Server2008. Über die Cisco CLI bekomme ich korrekte Ergebnisse, wenn ich username + passwort zum radius schicke (test aaa group radius benutzername passwort legacy). Also funktioniert die Verbindung zum Radius ebenfalls. Wenn ich Netzintern eine PPTP Verbindung zum Cisco Aufbaue, klappt das. User wird authentifiziert, bekommt eine ip.
Wenn ich das aber netzextern probiere, bekomme ich auf der Win7 Maschine eine Fehlermeldung.
(Fehler 734 auf dem Client). Habe mich bereits im Internet schlau gemacht und die gängigen Verdächtigen ausgeschlossen (Mehrfachverbindungen für Einzelverbindungen aushandeln, ...).
Auf der Cisco Console bekomme ich auch eine Fehlermeldung (term mon):
013025: *May 23 14:39:57.342: AAA/BIND(0000001D): Bind i/f
013026: *May 23 14:39:57.342: AAA/BIND(0000001D): Bind i/f Virtual-Template1
013027: *May 23 14:39:57.342: ppp24 PPP: Send Message[Dynamic Bind Response]
013028: *May 23 14:39:57.342: ppp24 PPP: Using vpn set call direction
013029: *May 23 14:39:57.342: ppp24 PPP: Treating connection as a callin
013030: *May 23 14:39:57.342: ppp24 PPP: Session handle[500001D] Session id[24]
013031: *May 23 14:39:57.342: ppp24 PPP: Phase is ESTABLISHING, Passive Open
013032: *May 23 14:39:57.342: ppp24 LCP: State is Listen
013033: *May 23 14:39:59.338: ppp24 LCP: Timeout: State Listen
013034: *May 23 14:39:59.338: ppp24 LCP: O CONFREQ [Listen] id 1 len 15
013035: *May 23 14:39:59.338: ppp24 LCP: AuthProto MS-CHAP-V2 (0x0305C22381)
013036: *May 23 14:39:59.338: ppp24 LCP: MagicNumber 0x1FA69738 (0x05061FA69738)
013037: *May 23 14:40:01.354: ppp24 LCP: Timeout: State REQsent
013038: *May 23 14:40:01.354: ppp24 LCP: O CONFREQ [REQsent] id 2 len 15
013039: *May 23 14:40:01.354: ppp24 LCP: AuthProto MS-CHAP-V2 (0x0305C22381)
013040: *May 23 14:40:01.354: ppp24 LCP: MagicNumber 0x1FA69738 (0x05061FA69738)
013041: *May 23 14:40:03.370: ppp24 LCP: Timeout: State REQsent
013042: *May 23 14:40:03.370: ppp24 LCP: O CONFREQ [REQsent] id 3 len 15
013043: *May 23 14:40:03.370: ppp24 LCP: AuthProto MS-CHAP-V2 (0x0305C22381)
013044: *May 23 14:40:03.370: ppp24 LCP: MagicNumber 0x1FA69738 (0x05061FA69738)
013046: *May 23 14:40:05.386: ppp24 LCP: Timeout: State REQsent
013047: *May 23 14:40:05.386: ppp24 LCP: O CONFREQ [REQsent] id 4 len 15
013048: *May 23 14:40:05.386: ppp24 LCP: AuthProto MS-CHAP-V2 (0x0305C22381)
013049: *May 23 14:40:05.386: ppp24 LCP: MagicNumber 0x1FA69738 (0x05061FA69738)
013050: *May 23 14:40:07.402: ppp24 LCP: Timeout: State REQsent
013051: *May 23 14:40:07.402: ppp24 LCP: O CONFREQ [REQsent] id 5 len 15
013052: *May 23 14:40:07.402: ppp24 LCP: AuthProto MS-CHAP-V2 (0x0305C22381)
013053: *May 23 14:40:07.402: ppp24 LCP: MagicNumber 0x1FA69738 (0x05061FA69738)
013054: *May 23 14:40:09.418: ppp24 LCP: Timeout: State REQsent
013055: *May 23 14:40:09.418: ppp24 LCP: O CONFREQ [REQsent] id 6 len 15
013056: *May 23 14:40:09.418: ppp24 LCP: AuthProto MS-CHAP-V2 (0x0305C22381)
013057: *May 23 14:40:09.418: ppp24 LCP: MagicNumber 0x1FA69738 (0x05061FA69738)
013058: *May 23 14:40:11.434: ppp24 LCP: Timeout: State REQsent
013059: *May 23 14:40:11.434: ppp24 LCP: O CONFREQ [REQsent] id 7 len 15
013060: *May 23 14:40:11.434: ppp24 LCP: AuthProto MS-CHAP-V2 (0x0305C22381)
013061: *May 23 14:40:11.434: ppp24 LCP: MagicNumber 0x1FA69738 (0x05061FA69738)
013062: *May 23 14:40:13.450: ppp24 LCP: Timeout: State REQsent
013063: *May 23 14:40:13.450: ppp24 LCP: O CONFREQ [REQsent] id 8 len 15
013064: *May 23 14:40:13.450: ppp24 LCP: AuthProto MS-CHAP-V2 (0x0305C22381)
013065: *May 23 14:40:13.450: ppp24 LCP: MagicNumber 0x1FA69738 (0x05061FA69738)
013066: *May 23 14:40:15.466: ppp24 LCP: Timeout: State REQsent
013067: *May 23 14:40:15.466: ppp24 LCP: O CONFREQ [REQsent] id 9 len 15
013068: *May 23 14:40:15.466: ppp24 LCP: AuthProto MS-CHAP-V2 (0x0305C22381)
013069: *May 23 14:40:15.466: ppp24 LCP: MagicNumber 0x1FA69738 (0x05061FA69738)
013070: *May 23 14:40:17.482: ppp24 LCP: Timeout: State REQsent
013071: *May 23 14:40:17.482: ppp24 LCP: O CONFREQ [REQsent] id 10 len 15
013072: *May 23 14:40:17.482: ppp24 LCP: AuthProto MS-CHAP-V2 (0x0305C22381)
013073: *May 23 14:40:17.482: ppp24 LCP: MagicNumber 0x1FA69738 (0x05061FA69738)
013075: *May 23 14:40:19.498: ppp24 LCP: Timeout: State REQsent
013076: *May 23 14:40:19.498: ppp24 LCP: O TERMREQ [REQsent] id 10 len 4
013077: *May 23 14:40:19.498: ppp24 PPP: Phase is TERMINATING
013078: *May 23 14:40:19.498: ppp24 LCP: State is Listen
013079: *May 23 14:40:19.498: ppp24 PPP: Sending Acct Event[Down] id[1D]
013080: *May 23 14:40:19.498: ppp24 LCP: State is Closed
013081: *May 23 14:40:19.498: ppp24 PPP: Phase is DOWN
013082: *May 23 14:40:19.498: ppp24 PPP: Send Message[Disconnect] ^^
Und hier die betreffenden Configteile:
vpdn enable
!
vpdn-group 1
accept-dialin
protocol pptp
virtual-template 1
!
interface FastEthernet0
description $ETH-LAN$$FW_INSIDE$
ip address 192.168.100.111 255.255.255.0
ip access-group 102 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip route-cache flow
speed auto
full-duplex
no cdp enable
!
interface FastEthernet1
description $ETH-WAN$$FW_OUTSIDE$
ip address xx.xx.xx.xx 255.255.255.252
ip access-group 103 in
ip verify unicast reverse-path
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip inspect SDM_LOW out
ip virtual-reassembly
ip route-cache flow
duplex auto
speed auto
no cdp enable
!
interface Virtual-Template1
ip unnumbered FastEthernet0
ip mroute-cache
peer default ip address pool DIAL-IN
no keepalive
ppp encrypt mppe 128 required
ppp authentication ms-chap-v2
!
ip local pool DIAL-IN 192.168.100.180 192.168.100.185 ^^
Ich hoffe Ihr könnt mir helfen...
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 206926
Url: https://administrator.de/contentid/206926
Ausgedruckt am: 25.11.2024 um 16:11 Uhr
5 Kommentare
Neuester Kommentar
Ohne deine Access List 103 zu kennen ist ein Troubleshooting nicht einfach !
Vermutlich blockt die entweder das GRE Protokoll oder TCP 1723 oder beides ?!
Oder...du hast den IP Pool doppelt im lokalen LAN vergeben ?!
Oder oder...
Hier findest du eine lauffähige Konfiguration zum Abtippen:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Vermutlich blockt die entweder das GRE Protokoll oder TCP 1723 oder beides ?!
Oder...du hast den IP Pool doppelt im lokalen LAN vergeben ?!
Oder oder...
Hier findest du eine lauffähige Konfiguration zum Abtippen:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Nach dem Cisco Debug Output zu urteilen liegt es auch klar am Client !!
Der Cisco sendet ja ein Config Request an den Client (O=Outbound=Raussenden). Dann wartet er immer 3 Sekunden (Seine Timeout Zeit) auf die Antwort des Clients und reportet dann ein "Timeout: State REQsent".
Fazit: Er bekommt kein Acknowledge vom Client ! Wenn du das mal mit einem Wireshark mitsnifferst wirst du das auch sehen.
Kann es sein das hier irgendeine lokale Firewall am Client dir Probleme macht oder eine Miskonfiguration des Clients ?
Der Cisco sendet ja ein Config Request an den Client (O=Outbound=Raussenden). Dann wartet er immer 3 Sekunden (Seine Timeout Zeit) auf die Antwort des Clients und reportet dann ein "Timeout: State REQsent".
Fazit: Er bekommt kein Acknowledge vom Client ! Wenn du das mal mit einem Wireshark mitsnifferst wirst du das auch sehen.
Kann es sein das hier irgendeine lokale Firewall am Client dir Probleme macht oder eine Miskonfiguration des Clients ?
Nein, das hat nichts mit VPN zu tun sondern ist einzig nur die Firewall Funktion des Routers !
Handbuch oder Doku lesen:
http://www.cisco.com/en/US/docs/ios/security/command/reference/sec_i2.h ...
http://www.cisco.com/en/US/products/sw/secursw/ps1018/products_tech_not ...
https://learningnetwork.cisco.com/thread/13408
https://supportforums.cisco.com/thread/203168
Handbuch oder Doku lesen:
http://www.cisco.com/en/US/docs/ios/security/command/reference/sec_i2.h ...
http://www.cisco.com/en/US/products/sw/secursw/ps1018/products_tech_not ...
https://learningnetwork.cisco.com/thread/13408
https://supportforums.cisco.com/thread/203168