Cisco 1941 VPN Nat über zwei Standorte

Mitglied: q16marvin

q16marvin (Level 1) - Jetzt verbinden

23.11.2011, aktualisiert 18.10.2012, 3614 Aufrufe, 8 Kommentare

Hallo,

irgendwo habe ich einen Denkfehler:

Standort 2 soll über Standort 1 auf Mandant zugreifen.

VPN's einwandfrei. Packete kommen von Standort 2 an Standort1 an. Werden aber von da nicht genattet und damit auch nicht weitergeleitet zu Mandant.

Zugriff auf Mandant von Standort 1 geht natürlich wunderbar.

Muss ich irgendwo den IP Kreis von Standort 2 (192.168.197.0) noch mit aufnehmen? Oder eine Route setzen?

Ich hoffe Ihr könnt mir helfen!

Vielen Dannk!



COnfig:


object-group network NO_Standort2
192.168.197.0 255.255.255.0

object-group network NO_Mandant
host 192.168.192.21
!
crypto ipsec transform-set ipsec_mandant esp-aes 256 esp-sha-hmac
crypto ipsec transform-set ipsec_standort2 esp-aes 256 esp-sha-hmac

crypto map SDM_CMAP_1 3 ipsec-isakmp
description Tunnel to peer 194.*.*.*
set peer 194.*.*.*
set transform-set ipsec_mandant
match address ipsec_mandant


crypto map SDM_CMAP_1 7 ipsec-isakmp
description Tunnel zu standort2
set peer *.*.*.*
set security-association lifetime seconds 28800
set transform-set ipsec_standort2
match address ipsec_standort2

interface GigabitEthernet0/0
description Customer LAN$ETH-LAN$$FW_INSIDE$
ip address 192.168.194.1 255.255.255.0
ip access-group FE00inV1 in
ip pim sparse-dense-mode
ip nat inside
ip virtual-reassembly in
ip route-cache same-interface
duplex auto
speed auto
!
interface GigabitEthernet0/1
ip address 80.*.*.* 255.255.255.248
ip access-group FE01in in
ip pim sparse-dense-mode
ip nat outside
ip inspect SDM_LOW out
ip virtual-reassembly in
ip verify unicast reverse-path
ip route-cache policy
duplex full
speed 100
no cdp enable
crypto map SDM_CMAP_1
!

ip nat pool vpn_mandant 10.*.*.* 10.*.*.* netmask 255.255.255.252

ip nat inside source route-map SDM_RMAP_2 pool vpn_mandant overload

ip route 0.0.0.0 0.0.0.0 80.*.*.*

ip access-list extended ipsec_standort2
permit ip any 192.168.197.0 0.0.0.255 log

ip access-list extended ipsec_mandant
remark CCP_ACL Category=4
permit ip host 10.*.*.* host 192.168.192.21

ip access-list extended nat_default
remark CCP_ACL Category=18
deny ip any object-group NO_standort2
deny ip any object-group NO_mandant
permit ip 192.168.194.0 0.0.0.255 any
deny ip any any

ip access-list extended nat_mandant
permit ip any object-group NO_mandant

route-map SDM_RMAP_1 permit 100
match ip address nat_default
!
route-map SDM_RMAP_2 permit 99
match ip address nat_mandant
Mitglied: q16marvin
24.11.2011 um 11:34 Uhr
mhh nicht wirklich..

die vernetzung der beiden standorte funktioniert ja einwandfrei. nur das routing von standort 2 über standort 1 zu mandant funktioniert halt nicht.
Bitte warten ..
Mitglied: aqui
24.11.2011 um 11:43 Uhr
Mmmmmhhh, das ist dann ohne einmal die VPN ACLs zu sehen und die dazu korrespondierende IP Adressierung ein schwieriges Unterfangen für eine Hilfe.
Da kann man dann nur im freien Fall raten sofern du nichtmal eine anonymisierte Konfig oder den Auszug hier postest.
Nur so viel: Routing Einträge benötigst du nicht sofern du nur ein einziges lokales LAN auf beiden Seiten hast. Alle IP Netze sind ja direkt am Router angeschlossen und ihm bekannt. Wenn die Gateway IPs der lokalen Endgeräte also auf den Cisco zeigen ist alles OK.
Vermutlich hast du wie immer nicht bedacht das die Absender nun von einer fremden IP kommen können (remotes IP Netz).
Normalerweise blocken lokale Firewalls solche Zugriffe dann sofort.
Ohne das Customizen der lokalen Firewall auf den Endgeräten also auch keine Kommunikation, oder scheitert auch schon ein Pingen ?
Kannst du denn wenigstens von den lokalen Ciscos jeweils das gegenüberligende LAN Interface des Ciscos anpingen ??
Das sollte als Minimum erstmal funktionieren. Wenn ja ists die Endgeräte Firewall !
Wenn nein und das auch scheitert hast du noch einen Fehler in der Cisco VPN Konfig ! Dann wäre ein Konfig Auszug hilfreich !
Traceroute und Pathping sind wie immer deine Freunde !
Was auch sein kann ist das der "Mandant" noch eine anderen Router benutzt z.B. für den Internet Zugriff. Wenn seine Endgeräte dann natürlich mit dem default Gateway auf diesen Router zeigen ist klar das nix über dein VPN gehen kann. Das wäre dann in der Tat ein Routing problem, was sich aber mit einer simplen statischen Route lösen leisse.
Leider sagst du ja sehr wenigt zur Topologie so das wir da auch auf die Kristallkugel angewisen sind :-( face-sad
Bitte warten ..
Mitglied: q16marvin
25.11.2011 um 09:05 Uhr
Hallo,


ein Auszug aus meiner Config habe ich doch oben bereits gepostet.

Dort stehen auch die ACL's zu meinen VPN Verbindungen. Ja das fremde Netz (remote Netz) habe ich in die ACL's mit aufgenommen:

ip access-list extended ipsec_standort2
permit ip any 192.168.197.0 0.0.0.255 log

ein ping auf die zieladresse aus standort1 geht einwandfrei, ein ping auf die zieladresse aus standort 2 wird sauber zu standort 1 geroutet und dort seh ich im log ja auch den ping ankommen. vermutlich versucht dann der router das packet richtung internet zu schicken, weil es nicht genattet wird und dann richtung vpn tunnel (ziel) weitergeschickt wird.

ich vermute mal ich muss dem cisco 1941 irgendwie bei bringen, das ein fremdes netz (standort2) genauso genattet werden soll. Nur ich weiss nicht wie.

Ich setze mich jetzt mal an Paint und mal ein Bild um alles zu verdeutlichen.
Bitte warten ..
Mitglied: aqui
25.11.2011 um 09:34 Uhr
Eigentlich ist es ja unsinnig den Traffic in Standort 2 zu NATen sofern dieser Standort zu dir gehört und kein Fremdnutzer o.ä. ist. NAT würde nur aufs Mandanten Netz Sinn machen, was ja auch schon gemacht wird.
Unklar ist noch die ACL "FE00inV1" inbound. Nicht das die noch irgendwas wegfiltert ?!
Wenn du von der Konsole des Ciscos pingst denk dran einen extended Ping zu machen wo du die Source IP angeben kannst. Wenn du das nicht machst nimmt er ggf. eine falsche Absender IP und dann bleibst du in den ACLs hängen. Du solltest zum Pingen immer als Ziel erstmal die lokale Ethernet IP des Cisco Routers nehmen. So kannst du sicherstellen das dieses IP Netz auch erreichbar ist und nicht irgendwelche lokalen PC Firewalls usw. dazwischenfunken.
Bitte warten ..
Mitglied: q16marvin
25.11.2011 um 10:03 Uhr
Hier das Bild:

http://imageshack.us/photo/my-images/69/neu0.png/

Der Traffic aus Standort 2 muss im Router von Standort 1 genauso wie der Traffic von Standort 1 genattet, sobald er richtung Mandant will. Das mache ich ja damit:

object-group network NO_Mandant
host 192.168.192.21
ip nat pool vpn_mandant 10.*.*.* 10.*.*.* netmask 255.255.255.252
ip nat inside source route-map SDM_RMAP_2 pool vpn_mandant overload

Sobald dann der Traffic die genattete IP hat, wird er in den Tunnel zum Mandant geleitet:

ip access-list extended ipsec_mandant
permit ip host 10.*.*.* host 192.168.192.21

Das funktioniert auch wie gesagt einwandfrei für das Netz Standort 1 (192.168.194.0). Das Netz wird ja auch auf dem Cisco 1941 verwaltet (Als IP Adresse auf dem Inbound Interface).

Aus Standort 2 funktioniert das ganze nicht. Packet kommt aus Standort 2 an, sollte dann genauso genattet werden was aber nicht passiert! Sicherlich weil es eine Remote IP Adresse ist.

ping 192.168.192.21 source 192.168.194.1 funktioniert
ping 192.168.192.21 source 192.168.197.1 funktioniert nicht (% Invalid source address- IP address not on any of our up interfaces)

was ja auch klar ist, weil die IP 192.168.197.1 nicht auf Standort 1 Router konfiguriert ist, sondern ja die Router IP des zweiten Standorts ist.
Bitte warten ..
Mitglied: q16marvin
25.11.2011 um 12:36 Uhr
Die FE00inV1 kann nix wegfiltern, die hat ja die freigaben für den VPN Tunnel. Der VPN Tunnel wird ja anhand der ACL ipsec_standort2 kontrolliert.
Bitte warten ..
Mitglied: q16marvin
25.11.2011 um 14:13 Uhr
hab mal wieder das gefühl das ich der erste auf der welt bin der auf so eine idee kommt. falls wir hier nicht weiter kommen sind wir auch gern bereit geld in die hand zu nehmen und ein cisco experten einzukaufen. vielleicht habt ihr da eine idee wohin ich mich wenden kann.
Bitte warten ..
Heiß diskutierte Inhalte
Zusammenarbeit
Klimaschutz
NebellichtVor 1 TagTippZusammenarbeit51 Kommentare

Hallo friends, (friends in Anlehnung an die vielen Fs in dem englischen von FFF: fridays for future. Übrigens am 19.03.2021 gibts wieder einen globalen ...

Notebook & Zubehör
Tipp für festgefressene Scharniere bei Lenovo V120 Notebook?
gelöst LochkartenstanzerVor 1 TagFrageNotebook & Zubehör20 Kommentare

Moin Kollegen, Ich habe hier ein Lenovo V120 mit einem laut Internet üblichen Problem von "festgefressenen" Scharnieren. Ich könnte jetzt aufwendig das Notebook zerlegen ...

Microsoft Office
Microsoft365 und Outlook verbinden
ratzekahl1Vor 1 TagFrageMicrosoft Office31 Kommentare

Guten Morgen zusammen, ich habe einige Probleme / Fragen. Ich habe Office 365 auf den ersten Rechnern installiert. Admin angelegt, Benutzer usw. Da ich ...

Microsoft Office
Wechsel von Office - Exchange on premise zu Office 365 - Exchange Online
jann0rVor 1 TagAllgemeinMicrosoft Office14 Kommentare

Moin, ich weiß nicht so richtig, unter welche Überschrift man dieses Thema hier am besten packen kann, daher mal als allg. Beitrag / Erfahrungsbericht. ...

Viren und Trojaner
Ryuk Ransomware Warnzeichen
SchlemihlVor 1 TagFrageViren und Trojaner8 Kommentare

Guten Abend, nachdem ich hier und hier erfahren habe, wie sich die Ransomware Ryuk verhält, musste ich feststellen, dass unser kleines Netzwerk für eine ...

Internet
Sichere Verbindung von zu Hause zu einem Firmenpc
haiflosseVor 1 TagFrageInternet6 Kommentare

Hallo! Ich suche eine Lösung mit der ich eine sichere Verbindung (ohne das ein Virus, Trojaner oder Ransom Virus den Computer bzw. Netzwerk zerstört) ...

Hyper-V
ESXi free oder Windows Hyper-V Server 2019
lukas0209Vor 14 StundenAllgemeinHyper-V12 Kommentare

Hallo, ich brauche ca. 2 oder 3 Windows 10 virtualisiert um Dinge zu testen. Ist es dafür sinnvoller ein Windows Hyper-V Server 2019 (kostenlos) ...

Firewall
Firewall Regeln Ping
gelöst Jannik2018Vor 1 TagFrageFirewall9 Kommentare

Hallo zusammen, ich habe folgende firewallregel erstellt aber irgendwie kann ich aus dem Roten Netz keine Pings ins Grüne Netz schicken ist dort etwas ...