Cisco 1941 VPN Nat über zwei Standorte

Hallo,

irgendwo habe ich einen Denkfehler:

Standort 2 soll über Standort 1 auf Mandant zugreifen.

VPN's einwandfrei. Packete kommen von Standort 2 an Standort1 an. Werden aber von da nicht genattet und damit auch nicht weitergeleitet zu Mandant.

Zugriff auf Mandant von Standort 1 geht natürlich wunderbar.

Muss ich irgendwo den IP Kreis von Standort 2 (192.168.197.0) noch mit aufnehmen? Oder eine Route setzen?

Ich hoffe Ihr könnt mir helfen!

Vielen Dannk!

COnfig:

object-group network NO_Standort2
192.168.197.0 255.255.255.0

object-group network NO_Mandant
host 192.168.192.21
!
crypto ipsec transform-set ipsec_mandant esp-aes 256 esp-sha-hmac
crypto ipsec transform-set ipsec_standort2 esp-aes 256 esp-sha-hmac

crypto map SDM_CMAP_1 3 ipsec-isakmp
description Tunnel to peer 194.*.*.*
set peer 194.*.*.*
set transform-set ipsec_mandant
match address ipsec_mandant

crypto map SDM_CMAP_1 7 ipsec-isakmp
description Tunnel zu standort2
set peer *.*.*.*
set security-association lifetime seconds 28800
set transform-set ipsec_standort2
match address ipsec_standort2

interface GigabitEthernet0/0
description Customer LAN$ETH-LAN$$FW_INSIDE$
ip address 192.168.194.1 255.255.255.0
ip access-group FE00inV1 in
ip pim sparse-dense-mode
ip nat inside
ip virtual-reassembly in
ip route-cache same-interface
duplex auto
speed auto
!
interface GigabitEthernet0/1
ip address 80.*.*.* 255.255.255.248
ip access-group FE01in in
ip pim sparse-dense-mode
ip nat outside
ip inspect SDM_LOW out
ip virtual-reassembly in
ip verify unicast reverse-path
ip route-cache policy
duplex full
speed 100
no cdp enable
crypto map SDM_CMAP_1
!

ip nat pool vpn_mandant 10.*.*.* 10.*.*.* netmask 255.255.255.252

ip nat inside source route-map SDM_RMAP_2 pool vpn_mandant overload

ip route 0.0.0.0 0.0.0.0 80.*.*.*

ip access-list extended ipsec_standort2
permit ip any 192.168.197.0 0.0.0.255 log

ip access-list extended ipsec_mandant
remark CCP_ACL Category=4
permit ip host 10.*.*.* host 192.168.192.21

ip access-list extended nat_default
remark CCP_ACL Category=18
deny ip any object-group NO_standort2
deny ip any object-group NO_mandant
permit ip 192.168.194.0 0.0.0.255 any
deny ip any any

ip access-list extended nat_mandant
permit ip any object-group NO_mandant

route-map SDM_RMAP_1 permit 100
match ip address nat_default
!
route-map SDM_RMAP_2 permit 99
match ip address nat_mandant

Please also mark the comments that contributed to the solution of the article

Content-Key: 176702

Url: https://administrator.de/contentid/176702

Printed on: April 26, 2024 at 11:04 o'clock

8 Comments

Latest comment

Guckst du hier:
Vernetzung zweier Standorte mit Cisco 876 Router
ggf. noch hier:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Damit sollte es dann problemlos klappen !

mhh nicht wirklich..

die vernetzung der beiden standorte funktioniert ja einwandfrei. nur das routing von standort 2 über standort 1 zu mandant funktioniert halt nicht.

Mmmmmhhh, das ist dann ohne einmal die VPN ACLs zu sehen und die dazu korrespondierende IP Adressierung ein schwieriges Unterfangen für eine Hilfe.
Da kann man dann nur im freien Fall raten sofern du nichtmal eine anonymisierte Konfig oder den Auszug hier postest.
Nur so viel: Routing Einträge benötigst du nicht sofern du nur ein einziges lokales LAN auf beiden Seiten hast. Alle IP Netze sind ja direkt am Router angeschlossen und ihm bekannt. Wenn die Gateway IPs der lokalen Endgeräte also auf den Cisco zeigen ist alles OK.
Vermutlich hast du wie immer nicht bedacht das die Absender nun von einer fremden IP kommen können (remotes IP Netz).
Normalerweise blocken lokale Firewalls solche Zugriffe dann sofort.
Ohne das Customizen der lokalen Firewall auf den Endgeräten also auch keine Kommunikation, oder scheitert auch schon ein Pingen ?
Kannst du denn wenigstens von den lokalen Ciscos jeweils das gegenüberligende LAN Interface des Ciscos anpingen ??
Das sollte als Minimum erstmal funktionieren. Wenn ja ists die Endgeräte Firewall !
Wenn nein und das auch scheitert hast du noch einen Fehler in der Cisco VPN Konfig ! Dann wäre ein Konfig Auszug hilfreich !
Traceroute und Pathping sind wie immer deine Freunde !
Was auch sein kann ist das der "Mandant" noch eine anderen Router benutzt z.B. für den Internet Zugriff. Wenn seine Endgeräte dann natürlich mit dem default Gateway auf diesen Router zeigen ist klar das nix über dein VPN gehen kann. Das wäre dann in der Tat ein Routing problem, was sich aber mit einer simplen statischen Route lösen leisse.
Leider sagst du ja sehr wenigt zur Topologie so das wir da auch auf die Kristallkugel angewisen sind

Hallo,

ein Auszug aus meiner Config habe ich doch oben bereits gepostet.

Dort stehen auch die ACL's zu meinen VPN Verbindungen. Ja das fremde Netz (remote Netz) habe ich in die ACL's mit aufgenommen:

ip access-list extended ipsec_standort2
permit ip any 192.168.197.0 0.0.0.255 log

ein ping auf die zieladresse aus standort1 geht einwandfrei, ein ping auf die zieladresse aus standort 2 wird sauber zu standort 1 geroutet und dort seh ich im log ja auch den ping ankommen. vermutlich versucht dann der router das packet richtung internet zu schicken, weil es nicht genattet wird und dann richtung vpn tunnel (ziel) weitergeschickt wird.

ich vermute mal ich muss dem cisco 1941 irgendwie bei bringen, das ein fremdes netz (standort2) genauso genattet werden soll. Nur ich weiss nicht wie.

Ich setze mich jetzt mal an Paint und mal ein Bild um alles zu verdeutlichen.

Eigentlich ist es ja unsinnig den Traffic in Standort 2 zu NATen sofern dieser Standort zu dir gehört und kein Fremdnutzer o.ä. ist. NAT würde nur aufs Mandanten Netz Sinn machen, was ja auch schon gemacht wird.
Unklar ist noch die ACL "FE00inV1" inbound. Nicht das die noch irgendwas wegfiltert ?!
Wenn du von der Konsole des Ciscos pingst denk dran einen extended Ping zu machen wo du die Source IP angeben kannst. Wenn du das nicht machst nimmt er ggf. eine falsche Absender IP und dann bleibst du in den ACLs hängen. Du solltest zum Pingen immer als Ziel erstmal die lokale Ethernet IP des Cisco Routers nehmen. So kannst du sicherstellen das dieses IP Netz auch erreichbar ist und nicht irgendwelche lokalen PC Firewalls usw. dazwischenfunken.

Hier das Bild:

http://imageshack.us/photo/my-images/69/neu0.png/

Der Traffic aus Standort 2 muss im Router von Standort 1 genauso wie der Traffic von Standort 1 genattet, sobald er richtung Mandant will. Das mache ich ja damit:

object-group network NO_Mandant
host 192.168.192.21
ip nat pool vpn_mandant 10.*.*.* 10.*.*.* netmask 255.255.255.252
ip nat inside source route-map SDM_RMAP_2 pool vpn_mandant overload

Sobald dann der Traffic die genattete IP hat, wird er in den Tunnel zum Mandant geleitet:

ip access-list extended ipsec_mandant
permit ip host 10.*.*.* host 192.168.192.21

Das funktioniert auch wie gesagt einwandfrei für das Netz Standort 1 (192.168.194.0). Das Netz wird ja auch auf dem Cisco 1941 verwaltet (Als IP Adresse auf dem Inbound Interface).

Aus Standort 2 funktioniert das ganze nicht. Packet kommt aus Standort 2 an, sollte dann genauso genattet werden was aber nicht passiert! Sicherlich weil es eine Remote IP Adresse ist.

ping 192.168.192.21 source 192.168.194.1 funktioniert
ping 192.168.192.21 source 192.168.197.1 funktioniert nicht (% Invalid source address- IP address not on any of our up interfaces)

was ja auch klar ist, weil die IP 192.168.197.1 nicht auf Standort 1 Router konfiguriert ist, sondern ja die Router IP des zweiten Standorts ist.

Die FE00inV1 kann nix wegfiltern, die hat ja die freigaben für den VPN Tunnel. Der VPN Tunnel wird ja anhand der ACL ipsec_standort2 kontrolliert.

hab mal wieder das gefühl das ich der erste auf der welt bin der auf so eine idee kommt. falls wir hier nicht weiter kommen sind wir auch gern bereit geld in die hand zu nehmen und ein cisco experten einzukaufen. vielleicht habt ihr da eine idee wohin ich mich wenden kann.

German Question Routers, Routing Networks