11.06.2019

1932

Cisco 2921 Konfiguration Internet und VPN durch Port Weiterleitung

Guten Tag zusammen,

ich versuche seit mehreren Wochen den Cisco Router 2921 zum laufen zu bekommen.

Was ich machen will:

Der gesamte Trafic soll über den Cisco Router laufen
Bestimmte Ports und Anfragen sollen nur an eine IP Adresse weiter gegeben werden
VPN soll darüber auch erreichbar sein
VPN wird über Routing on RAS mit einem Preshared Key eingerichtet und am Computer gebe ich die IP von meinen Provider an und den dazu von mir festgelegt Key ein.

Momentane Umgebung
Ich habe einen Windows Server 2008r2 am laufen. Dieser Fungiert momentan komplett als DNS, DHCP, AD und auch als VPN Server.
Alle Anfragen die aus dem Internet kommen und auch hinaus gehen werden momentan komplett von dem Server aus verwaltet.

Hier einmal meine Konfiguration von dem Cisco Router:

#Routername und Secret Password

Router> enable
Router# configure terminal
Router(config)#
Router(config)# hostname Router
Router(config)#
Router(config)# enable secret "insert here your password"  
Router(config)#
Router(config)# no ip domain-lookup
Router(config)#

#Configuring Gigabit Ethernet Interfaces

Router(config)# interface gigabitethernet 0/0
Router(config-if)#
Router(config-if)# ip address ( ip address and subnet mask )
Router(config-if)#
Router(config-if)# no shutdown
Router(config-if)# ip virtual-reassembly
Router(config-if)# dupley auto
Router(config-if)# speed auto
Router(config-if)# ip nat outside
Router(config-if)#
Router(config-if)# exit
Router(config)# interface gigabitethernet 0/1
Router(config-if)# ip address ( ip address and subnet mask )
Router(config-if)#
Router(config-if)# no shutdown
Router(config-if)# ip virtual-reassembly
Router(config-if)# dupley auto
Router(config-if)# speed auto
Router(config-if)# ip nat inside
Router(config-if)#
Router(config-if)# exit
Router(config)#

#Anlegen Benutzer und deren Rechte

Router(config)#username ( username )
Router(config)#username ( username ) password ( insert here your password )
Router(config)#username ( username ) privilege 15

#Enabling HTTP Access, SSH, Telnet Connection und Zugriffsberechtigung

Router(config)#access-list 75 permit ( ip address and subnet mask )
Router(config)#access-list 75 deny any
Router(config)#ip http server
Router(config)#ip http access-class 75
Router(config)#aaa new-model
Router(config)#line vty 0 4
Router(config)#transport input ssh telnet

#Port Weiterleitung
 
Router(config)#ip nat inside source list 75 interface g0/0 overload
Router(config)#ip nat inside source list 75 static tcp ( ip address port ) interface g0/0 ( port )
Router(config)#end
Router# write

Wenn ich das alles per Terminal in den Router eingetragen habe funktioniert auch das Internet ohne Probleme und ich kann auch ganz normal arbeiten.
Sollte ich aber eine Anfrage an den AD schicken bekomme ich ewig lange Ladezeiten und dann nach ca. 2-3 Minuten eine Antwort von dem Server.
In der Zeile 44 und 45 definiere ich die IP und auch den Port 389 für den AD Server.

Wenn ich das selbe auch für mein Routing on RAS mache, worüber mein VPN auf dem Server konfiguriert ist, bekomme ich nach ein paar Minuten Ladezeit einen Timeout.
Ich weiß nicht was ich noch vergessen habe ein zu stellen bzw. worin das Problem liegt.

Ich habe mich jetzt auch schon einige Zeit mit der Weboberfläche auseinander gesetzt und habe ziemlich schnell mitbekommen das diese eher nur ein gimmick ist.. so habe ich das Gefühl.

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 461240

Url: https://administrator.de/contentid/461240

Ausgedruckt am: 24.11.2024 um 21:11 Uhr

20 Kommentare

Neuester Kommentar

Hallo,

was du da postet ist keine Config sondern ein Template wie man den Konfiguriert.
und das auch nur ein kleiner Teil ...
und das du in Zeile 44 un 45 irgendwas definierst ist auch nicht ganz richtig...

und ja, die Weboberfläche ist nur Dekoration...

brammer

Hallo Brammer,

danke für deine Antwort.
Das wir mir nicht so ganz klar das es nur ein Template ist.

Kannst du mir eventuell zur Lösung verhelfen oder mir gewisse Ansatzpunkte nennen an die ich mich halten kann um das Problem in den griff zu bekommen?

Vielen Dank

ich versuche seit mehreren Wochen den Cisco Router 2921 zum laufen zu bekommen.

Das hiesige IOS Tutorial hast du gelesen ?? Entspricht genau dem was du vorhast, da die IOS Syntax Plattform übergreifend identisch ist !
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV

Bestimmte Ports und Anfragen sollen nur an eine IP Adresse weiter gegeben werden

Im Internet oder lokal ??
Kann man mit Policy Based Routing machen:
Cisco Router 2 Gateways für verschiedene Clients
Oder reichen dir da einfache ACLs ?? Hier bist du leider etwas zu unkonkret in der Task Schilderung...

VPN wird über Routing on RAS mit einem Preshared Key eingerichtet

Igitt ! Etwa direkt intern am Server indem du ungeschützten Internet Traffic per Port Forwarding ins interne Netzwerk lässt ??
Eigentlich ja ziemlicher Unsinn wenn man das mit einem Cisco erheblich sicherer und auch effizienter in der Peripherie erreichen kann !
Da du uns weder mitteilst welches VPN Protokoll du verwendest geschweige denn welche Ports du dafür definiert hast im Port Forwarding ist eine zielführende Hilfe hier unmöglich, es sei denn Raten im freien Fall reicht dir.
Grundlegende Hinweise zu VPN mit dem IPsec Protokoll findest du im o.a. Cisco Tutorial oder auch hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten

Hier einmal meine Konfiguration von dem Cisco Router:

Wäre hilfreicher und vor allem übersichtlicher für alle Beteiligten wenn du hier nur den Output von show run gepostet hättest wie es Kollege @brammer ja auch schon zu recht kommentiert hat.

IP Adressen kannst du darin ja anonymisieren.
(Kann man übrigens noch nachträglich mit dem "Bearbeiten" Button korrigieren !)

Hallo aqui,

danke für deine Antwort.

Nein das IOS Tutorial habe ich ehrlich gesagt nicht gelesen aber ich nehme es mir vor das ich es durcharbeite. Danke für den Hinweis.

Ich habe versucht den Post zu bearbeiten aber es ist nur noch möglich einzelne Zeilen zu bearbeiten daher muss ich es hier nochmal Posten.

cerberus#show running-config
Building configuration...

Current configuration : 2384 bytes
!
! Last configuration change at 10:06:08 GMT Wed Jun 12 2019
! NVRAM config last updated at 10:04:51 GMT Wed Jun 12 2019
!
version 15.6
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname cerberus
!
boot-start-marker
boot-end-marker
!
!
enable secret
!
aaa new-model
!
!
!
!
!
!
!
aaa session-id common
ethernet lmi ce
clock timezone GMT 1 0
!
!
!
!
!
!
!
!
!
!
!
!
ip domain name my.domain
ip name-server 1.1.1.1
ip name-server 8.8.8.8
ip cef
no ipv6 cef
!
!
flow record nbar-appmon
 match ipv4 source address
 match ipv4 destination address
 match application name
 collect interface output
 collect counter bytes
 collect counter packets
 collect timestamp absolute first
 collect timestamp absolute last
!
!
flow monitor application-mon
 cache timeout active 60
 record nbar-appmon
!
multilink bundle-name authenticated
!
!
!
!
license udi pid CISCO2921/K9 sn FCZ211140F5
!
!
object-group network local_cws_net
!
object-group network local_lan_subnets
 any
!
object-group network vpn_remote_subnets
 any
!
username user priv 15 secretpassword
!
redundancy
!
!
!
!
!
zone security LAN
zone security WAN
zone security VPN
zone security DMZ
!
!
!
!
!
!
!
!
!
!
interface Embedded-Service-Engine0/0
 no ip address
 shutdown
!
interface GigabitEthernet0/0
 description Extern
 ip address 38.170.40.21 255.255.255.248
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto
!
interface GigabitEthernet0/1
 description Intern
 ip address 192.168.0.254 255.255.254.0
 ip virtual-reassembly in
 duplex auto
 speed auto
!
interface GigabitEthernet0/2
 no ip address
 shutdown
 duplex auto
 speed auto
!
ip forward-protocol nd
!
ip http server
ip http access-class 75
no ip http secure-server
!
ip nat inside source list 75 interface GigabitEthernet0/0 overload
!
ip access-list extended nat-list
 permit ip object-group local_lan_subnets any
!
!
!
access-list 75 permit 192.168.0.0 0.0.1.255
access-list 75 deny   any
!
!
!
control-plane
!
!
!
line con 0
line aux 0
line 2
 no activation-character
 no exec
 transport preferred none
 transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
 stopbits 1
line vty 0 4
 transport input telnet ssh
!
scheduler allocate 20000 1000
ntp server time-pnp.cisco.com
ntp server europe.pool.ntp.org
!
end

Das ist momentan meine Standard Konfiguration bzw. so habe ich keine Problem ins Internet zu kommen.
Ich habe von meinem Anbieter eine feste IP bekommen daher wird dort alles Static eingerichtet.

Ich möchte ganz gerne das Anfragen die aus dem Internet kommen mit einem bestimmten Port nur an den Server weiter geleitet werden.
Sprich wenn eine AD Anfrage kommt auf dem Port 389 soll diese dann an den Server gehen und der Server soll auf dem gleichen weg dann die Antwort schicken.

Bzgl. VPN:
Ich möchte ganz gerne das Protokoll L2TP/IPsec mit Vorinstallierten Schlüssel verwenden.
Das VPN ist auf den UDP 1701 Port eingerichtet.
Dieser soll so wie die AD Anfragen direkt nur an den Server geleitet werden und auf dem selben weg wieder zurück gehen.

OK. Aber es gibt gravierende Fehler in deiner Konfig:

DNS Adresse Google sollte man niemals machen (Privatsphäre !) Ist aber kosmetisch
Auf deinem internen Interface fehlt ip nat inside. Eigentlich kannst du ohne dieses Port Kommando NICHT von Clients am Port Gig 0/2 ins Internet weil das NAT (Adress Translation) dann gar nicht funktioniert (sh nat ass) !!
ZBF Firewall ist konfiguriert aber nicht aktiv (WAN Port ungeschützt !!)

ich nehme es mir vor das ich es durcharbeite

Das solltest du dringenst tun bevor wir hier ins Eingemachte gehen !!
Beachte das du hier die ganzen PPPoE Kommados am WAN Port ignorieren bzw. weglassen kannst, da du hier einen direkten Internet Zugang via Ethernet hast. (38.170.40.21, Cogent, USA)

Das VPN ist auf den UDP 1701 Port eingerichtet.

Ist natürlich Blödsinn, denn bei L2TP ist das nur der Handshake Port. L2TP nutzt in Summe mehrere Protokoll Ports da es im Transport auf IPsec aufsetzt nämlich:

UDP 1701
UDP 500
UDP 4500
ESP Protokoll mit der IP Nummer 50 (kein UDP oder TCP !)

Die musst du natürlich in der Firewall auch freigegen, wobei sich das für dich erstmal erledigt, da deine Firewall noch gar nicht aktiv ist.
Solltest du ggf. besser in der Testphase auch erstmal so lassen um dir nicht noch mehr Fallen zu stellen.
Also sind die strategischen Schritte...

zuerst eine saubere und funktionierende Grundkonfig erstellen.
dann VPN aufsetzen und testen
dann Firewall aufsetzen und System absichern

Hier findest du noch zusätzliche Info zum Thema VPNs mit L2TP:
https://community.cisco.com/t5/security-documents/l2tp-over-ipsec-on-cis ...

Hallo Aqui,

ich habe das mit dem nat inside jetzt noch hinzu genommen. Das hatte ich bei der letzten Einrichtung vergessen mit an zu geben.
In meine "Template" habe ich das auch mit drin zu stehen gehabt aber leider überlesen bei der letzten Konfiguration.

Momentan habe ich das jetzt eingetragen für das forwarding der LDAP und VPN Ports.

interface GigabitEthernet0/0
 description Extern
 ip address 38.170.40.21 255.255.255.248
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto
!
interface GigabitEthernet0/1
 description Intern
 ip address 192.168.0.254 255.255.254.0
 ip nat inside
 ip virtual-reassembly in
 duplex auto
 speed auto

ip http access-class 75
no ip http secure-server
!
ip nat inside source list 75 interface GigabitEthernet0/0 overload
ip nat inside source static esp 192.168.0.2 interface GigabitEthernet0/0
ip nat inside source static tcp 192.168.0.2 389 interface GigabitEthernet0/0 389
ip nat inside source static udp 192.168.0.2 1701 interface GigabitEthernet0/0 1701
ip nat inside source static udp 192.168.0.2 500 interface GigabitEthernet0/0 500
ip nat inside source static udp 192.168.0.2 4500 interface GigabitEthernet0/0 4500
!
ip access-list extended nat-list
 permit ip object-group local_lan_subnets any
!
!
!
access-list 75 permit 192.168.0.0 0.0.1.255
access-list 75 deny   any

Wie ist es mit dem wieder zurück schicken der Anfragen? Muss ich dafür auch wieder das nat outside mit eintragen?
Der G0/0 ist mein Internet und der G0/1 geht an mein lokales Netzwerk oder reicht das so aus wie es jetzt momentan eingetragen ist?

In dem Link habe ich auch raus gelesen das ich die VPN User in dem Router anlegt werden. Lieber wäre es mir wenn ich diese wieder wie gehabt von meinem Server aus beziehen kann. Ohne das ich etwas doppelt pflegen muss.

Vielen Dank

für das forwarding der LDAP und VPN Ports.

Willst du denn das L2TP VPN im internen Netzwerk terminieren..??
Sowas ist eingentlich ein totales NoGo in Netzwerk Designs, denn damit lässt du ungeschützten Internet Traffic durch die Firewall in dein internes Netzwerk. Ein generell gravierender Nachteil bei Port Forwarding da es eine Sicherheitslücke schafft. Auch LDAP ist vollkommen unverschlüsselt ! Sowas offen übers Internet zu übertragen wie du es machst ist eine große Fahrlässigkeit und noch größeres NoGo. Weltweit ist dieser tzraffic sichtbar für jedermann, da unverschlüsselt.
Vollkommen unverständlich warum du das LDAP trotz VPN verbindung ungeschützt parallel per Poret Forwarding überträgst. Bis du dir dessen bewusst was du da machst mit LDAP ?
Normal terminiert man das VPN wie gesagt immer auf der Peripherie also Router oder Firewall. In deinem Falle also der Cisco Router.
Über den VPN Tunnel sendest du dann alle deine Daten. Das ist ja auch die Intention bzw. der tiefere Sinn eines VPNs.
Bei dir ist die .0.2 vermutlich ein interner Server, richtig ??
Dein Satz "Lieber wäre es mir wenn ich diese wieder wie gehabt von meinem Server aus beziehen kann." erklärt das ja auch. Wie gesagt, das ist keine gute Praxis und zeugt eher von wenig Security Know How.
Aber wenn es denn so ist und du damit leben kannst und willst dann isoliert man so einen Server in einer DMZ.
Das Einrichten des Routers als VPN Server usw. entfällt dann natürlich vollständig den Konfig part kannst du dann logischerweise ignorieren !
Besser ist aber immer den Router oder FW als VPN Server zu nehmen. Vielleicht solltest du dein Konzept dazu nochmal überdenken ?! Nur mal so als Denkanstoß....

Wie ist es mit dem wieder zurück schicken der Anfragen? Muss ich dafür auch wieder das nat outside mit eintragen?

Nein ! Das reicht so.
Du musst lediglich den Host für den du das statische NAT eingerichtet hast dann aus dem dynamischen PAT Pool austragen. Sprich die ACL 75. Die lautet dann korrekt so:

access-list 75 deny ip host 192.168.0.2 any
access-list 75 permit ip 192.168.0.0 0.0.1.255 any
access-list 75 deny ip any any

Hallo Aqui,

ich habe das ganze vorläufig so eingestellt.
Ich gebe dir in jedem Punkt recht das es sehr unsicher ist.
Daher ist nach diesem Testlauf meine nächstes Vorhaben das ich das ganze über den Cisco regeln möchte.
Dazu habe ich auch eine Frage. Eventuell kannst du mir das besser beantworten als wenn ich jetzt bei Google danach suche.

Ich habe gesehen das ich für Cisco VPN Lizenzen brauche.
Wenn ich daher mein VPN über den Cisco regel, muss ich dann Lizenzen kaufen?

Gibt es auch eine Möglichkeit das ich eine Gruppe im AD anlege, die dann an den Cisco gegeben wird damit ich die Benutzer nicht nochmal auf dem Router anlegen muss.
Ich stelle es mir so vor:
Ich erstelle eine Gruppe im AD für VPN.
Diese wird dann an den Cisco Router weitergegeben und darüber erfolg dann die Authentifizierung.

Was den LDAP Port angeht, werde ich diesen auf den 636 setzen um diesen zu verschlüsseln.

Ich gelobe Besserung.

Ich habe gesehen das ich für Cisco VPN Lizenzen brauche.

Nein, brauchst du nicht für den IOS Router !
Ist nur für das VPN Gateway und Firewall.

Gibt es auch eine Möglichkeit das ich eine Gruppe im AD anlege

Ja, das geht !
Du kannst ihn mit LDAP ans AD anflanschen:
https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_usr_ldap/configura ...

Hiho,

ich habe das ganze jetzt einmal testen können und habe aber leider immer noch das Problem das ich keine VPN Verbindung zu stande bekomme.

Ich habe aber erfolgreich jetzt LDAP zum laufen bekommen.
Ich habe die Config erstmal soweit zurück gesetzt zu dem Punkt wo es alles sauber funktioniert hat außer VPN.

Eventuell habe ich etwas vergessen oder aber etwas nicht richtig eingestellt.

Könnt Ihr mir bitte noch einmal helfen ?

cerberus#show run
Building configuration...

Current configuration : 4826 bytes
!
! Last configuration change at 13:07:36 GMT Wed Jun 26 2019
! NVRAM config last updated at 13:07:33 GMT Wed Jun 26 2019
!
version 15.6
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname cerberus
!
boot-start-marker
boot-end-marker
!
!
enable secret 
!
aaa new-model
!
!
!
!
!
!
!
aaa session-id common
ethernet lmi ce
clock timezone GMT 1 0
!
!
!
!
!
!
!
!
!
!
!
!
ip domain name my.domain
ip name-server 1.1.1.1
ip name-server 8.8.8.8
ip cef
no ipv6 cef
!
!
flow record nbar-appmon
 match ipv4 source address
 match ipv4 destination address
 match application name
 collect interface output
 collect counter bytes
 collect counter packets
 collect timestamp absolute first
 collect timestamp absolute last
!
!
flow monitor application-mon
 cache timeout active 60
 record nbar-appmon
!
parameter-map type inspect global
 max-incomplete low 18000
 max-incomplete high 20000
 nbar-classify
multilink bundle-name authenticated
!
!
!
!
license udi pid CISCO2921/K9 sn FCZ211140F5
!
!
object-group service INTERNAL_UTM_SERVICE
!
object-group network Others_dst_net
 any
!
object-group network Others_src_net
 any
!
object-group service Others_svc
 ip
!
object-group network Web_dst_net
 any
!
object-group network Web_src_net
 any
!
object-group service Web_svc
 ip
!
object-group network ad_dst_net
 host 192.168.0.2
!
object-group network ad_src_net
 any
!
object-group service ad_svc
 tcp source eq 389 eq 389
!
object-group network local_cws_net
!
object-group network local_lan_subnets
 192.168.0.0 255.255.254.0
!
object-group network vpn_remote_subnets
 any
!
username user privilege 15 password mypassword
!
redundancy
!
!
!
!
!
!
class-map type inspect match-all ad
 match access-group name ad_acl
class-map type inspect match-any INTERNAL_DOMAIN_FILTER
 match protocol msnmsgr
 match protocol ymsgr
class-map type inspect match-any Others_app
 match protocol https
 match protocol smtp
 match protocol pop3
 match protocol imap
 match protocol sip
 match protocol ftp
 match protocol dns
 match protocol icmp
class-map type inspect match-any Web_app
 match protocol http
class-map type inspect match-all Others
 match class-map Others_app
 match access-group name Others_acl
class-map type inspect match-all Web
 match class-map Web_app
 match access-group name Web_acl
!
policy-map type inspect LAN-WAN-POLICY
 class type inspect Web
  inspect
 class type inspect Others
  inspect
 class class-default
  drop log
policy-map type inspect WAN-LAN-POLICY
 class type inspect ad
  inspect
 class type inspect INTERNAL_DOMAIN_FILTER
  inspect
 class class-default
  drop log
!
zone security LAN
zone security WAN
zone security VPN
zone security DMZ
zone-pair security LAN-WAN source LAN destination WAN
 service-policy type inspect LAN-WAN-POLICY
zone-pair security WAN-LAN source WAN destination LAN
 service-policy type inspect WAN-LAN-POLICY
!
!
!
!
!
!
!
!
!
!
interface Embedded-Service-Engine0/0
 no ip address
 shutdown
!
interface GigabitEthernet0/0
 description PrimaryWANExtern
 ip address 38.170.40.21 255.255.255.248
 ip nat outside
 ip virtual-reassembly in
 zone-member security WAN
 duplex auto
 speed auto
!
interface GigabitEthernet0/1
 description Intern
 ip address 192.168.0.254 255.255.254.0
 ip nbar protocol-discovery
 ip flow monitor application-mon input
 ip flow ingress
 ip flow egress
 ip nat inside
 ip virtual-reassembly in
 zone-member security LAN
 load-interval 30
 duplex auto
 speed auto
!
interface GigabitEthernet0/2
 no ip address
 shutdown
 duplex auto
 speed auto
!
ip forward-protocol nd
!
ip http server
ip http access-class 75
no ip http secure-server
!
ip nat inside source list 75 interface GigabitEthernet0/0 overload
ip nat inside source static esp 192.168.0.2 interface GigabitEthernet0/0
ip nat inside source static tcp 192.168.0.2 389 interface GigabitEthernet0/0 389
ip nat inside source static udp 192.168.0.2 1701 interface GigabitEthernet0/0 1701
ip nat inside source static udp 192.168.0.2 500 interface GigabitEthernet0/0 500
ip nat inside source static udp 192.168.0.2 4500 interface GigabitEthernet0/0 4500
ip nat inside source list nat-list interface GigabitEthernet0/0 overload
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/0
!
ip access-list extended Others_acl
 permit object-group Others_svc object-group Others_src_net object-group Others_dst_net
ip access-list extended Web_acl
 permit object-group Web_svc object-group Web_src_net object-group Web_dst_net
ip access-list extended ad_acl
 permit object-group ad_svc object-group ad_src_net object-group ad_dst_net
ip access-list extended nat-list
 permit ip object-group local_lan_subnets any
 deny   ip any any
!
!
!
access-list 75 permit 192.168.0.0 0.0.1.255
access-list 75 deny   any
!
!
!
control-plane
!
!
!
line con 0
line aux 0
line 2
 no activation-character
 no exec
 transport preferred none
 transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
 stopbits 1
line vty 0 4
 transport input telnet ssh
!
scheduler allocate 20000 1000
ntp server time-pnp.cisco.com
!
end

Vielen Dank vorab.

Eventuell habe ich etwas vergessen oder aber etwas nicht richtig eingestellt.

Ganz sicher hast du das !!!
Du solltest zuallererst mal checken ob L2TP Daten an deiner internen IP 192.168.0.2 ankommen.
Das allerbeste dafür ist einen Laptop mit der gleichen IP ins Netzwerk zu hängen auf dem ein Wireshark Sniffer rennt !
Den lässt du laufen und initiierst dann mal die VPN verbindung von außen. Dann solltest du in jedem Falle eingehende L2TP Paket von dieser Session Wireshark sehen.
Das zeigt dir dann erstmal ganz sicher das der Router bzw. dessen Firewall auch eingehenden L2TP Traffic überhaupt per Port Forwarding auf die 192.168.0.2 forwardet.

Zudem hast du gundlegende Fehler in der Firewall gemacht. Vermutlich aus Unwissenheit wie der VPN Paket Flow vonstatten geht.
Dein Cisco Firewall lässt class map type "ad" bestimmt ja was die Firewall vom WAN (Internet) ins lokale LAN passieren lässt. Das wieder um bestimmt die ACL "ad_acl" die aus den Objekten "ad_svc","ad_src_net" und "ad_dst_net" in einer und Verknüpfung besteht.
"ad_svc" lässt IP Pakete passieren mit einem Source oder Destination Port TCP 389. Das bedeutet LDAP darf egal wie passieren...ok
"ad_src_net" ist so oder so der Schrotschuss, dann damit darf alles passieren. Wozu dann eigentlich eine Firewall ??
"ad_dst_net" lässt dann nur Pakete mit 192.168.0.2 durch.
Diese Regel ist irgendwie wirr, denn Pakete von außen können niemals eine 192.168.x.y Adresse irgendwo haben. Das sind IPs die im Internet nicht geroutet werden ! Du arbeitest ja mit Port Forwarding. Externe Zugriffe haben also immer die 38.170.40.21 als Zieladresse niemals aber eine RFC 1918 IP Adresse !
In der Outboud regel der Firewall als LAN zu WAN(Internet) fehlt als letztes das globale UDP und TCP Statement. Es werden dann so als nur eplizit L4 Protokollo Pakete geNATet die in der Liste genannt sind. Etwas außergewöhnlch, es sei denn es ist so gewollt was aber nicht anzunehmen ist.
Lies die also besser nochmal genau das ZFW Firewall Konzept des Csco Tutorials hier durch:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Dort ist das alles explizit erklärt.

Und...mache den Wireshark Test um erstmal grundsätzlich zu klären ob deine L2TP Pakete im Cisco hängen bleiben oder ob sie an die 192.168.0.2 weitergeleitet werden !!

Hallo Aqui,

danke für die Antwort.
Ich möchte das ganze nicht mehr per Portforwarding machen, sondern eher direkt alles über den Router Händeln.
Dafür muss ich aber noch die static nat Einträge wieder entfernen.

Ich will das ganze eher über die Policy regeln.
So das alles direkt vom Router aus verwaltet wird und nicht mehr per durchlassen und dann hinter dem Router.

Für mich ist erstmal wichtig, das alles soweit funktioniert bevor ich dann die Firewall richtig einstelle.
Das ganze soll am ende sicher gestaltet sein aber momentan geht darüber nichts wichtiges.

Deine Anregung mit Wireshark habe ich auch schon versucht und ich konnte den Traffic sehen der nach dem Router kam. Auch die LDAP anfragen habe ich darin sehen können. Nur die VPN anfragen wurden mir nicht angezeigt. Diese sind wohl eher im Router hängen geblieben und nicht mehr raus gekommen in das interne Netz.

Vielen Dank

sondern eher direkt alles über den Router Händeln.

Das wäre auch erheblich sinnvoller, denn dort sollte eigentlich auch das VPN terminiert werden.

Dafür muss ich aber noch die static nat Einträge wieder entfernen.

Richtig !

Für mich ist erstmal wichtig, das alles soweit funktioniert bevor ich dann die Firewall richtig einstelle.

Das ist auch der richtige Weg !
Dann lasse erstmal die Firewall weg oder deaktiviere sie (keine Zonen Zuweisung an den Interfaces !)
Damit hast du dann erstmal keine Hürden und zum Testen schafft das NAT an sich erstmal ausreichend Sicherheit.

Nur die VPN anfragen wurden mir nicht angezeigt.

Das war auch zu vermuten, denn die ZFW Firewall Regeln dazu sahen ziemlich verkehrt aus.
Gut dann "bastel" das mal um von der Konfig und dann machen wir weiter.
Halte dich immer an das hiesige Cisco Tutorial oben.

Hallo Aqui,

Ich habe alles soweit erstmal bereinigt und dann die VPN-Settings so für mich adaptiert wie in der Anleitung drin stand.
Was mir aber noch fehlt bei der Anleitung ist die Integration eines Preshared-Key. Wie kann ich den einsetzen?

Building configuration...

Current configuration : 5792 bytes
!
! Last configuration change at 14:07:34 GMT Tue Jul 2 2019 by 
! NVRAM config last updated at 12:45:18 GMT Tue Jul 2 2019
!
version 15.6
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname cerberus
!
boot-start-marker
boot-end-marker
!
!
enable secret 
!
aaa new-model
!
!
aaa authentication login local_access local
!
!
!
!
!
aaa session-id common
ethernet lmi ce
clock timezone GMT 1 0
!
!
!
!
!
!
!
!
!
!
!
!
ip domain name my.domain
ip name-server 1.1.1.1
ip name-server 8.8.8.8
ip cef
no ipv6 cef
!
!
flow record nbar-appmon
 match ipv4 source address
 match ipv4 destination address
 match application name
 collect interface output
 collect counter bytes
 collect counter packets
 collect timestamp absolute first
 collect timestamp absolute last
!
!
flow monitor application-mon
 cache timeout active 60
 record nbar-appmon
!
parameter-map type inspect global
 max-incomplete low 18000
 max-incomplete high 20000
 nbar-classify
multilink bundle-name authenticated
!
vpdn enable
!
vpdn-group 1
 ! Default L2TP VPDN group
 accept-dialin
  protocol l2tp
  virtual-template 1
!
!
!
!
license udi pid CISCO2921/K9 sn FCZ211140F5
!
!
object-group service INTERNAL_UTM_SERVICE
!
object-group network Others_dst_net
 any
!
object-group network Others_src_net
 any
!
object-group service Others_svc
 ip
!
object-group network Web_dst_net
 any
!
object-group network Web_src_net
 any
!
object-group service Web_svc
 ip
!
object-group network ad_dst_net
 host 192.168.0.2
!
object-group network ad_src_net
 any
!
object-group service ad_svc
 tcp source eq 389 eq 389
!
object-group network local_cws_net
!
object-group network local_lan_subnets
 192.168.0.0 255.255.254.0
!
object-group network vpn_remote_subnets
 any
!
username user privilege 15 password 0 mypassword
username vpnuser password 0 vpntest123!!
!
redundancy
!
!
!
!
!
!
class-map type inspect match-all ad
 match access-group name ad_acl
class-map type inspect match-any INTERNAL_DOMAIN_FILTER
 match protocol msnmsgr
 match protocol ymsgr
class-map type inspect match-any Others_app
 match protocol https
 match protocol smtp
 match protocol pop3
 match protocol imap
 match protocol sip
 match protocol ftp
 match protocol dns
 match protocol icmp
class-map type inspect match-any Web_app
 match protocol http
class-map type inspect match-all Others
 match class-map Others_app
 match access-group name Others_acl
class-map type inspect match-all Web
 match class-map Web_app
 match access-group name Web_acl
!
policy-map type inspect LAN-WAN-POLICY
 class type inspect Web
  inspect
 class type inspect Others
  inspect
 class class-default
  drop log
policy-map type inspect WAN-LAN-POLICY
 class type inspect ad
  inspect
 class type inspect INTERNAL_DOMAIN_FILTER
  inspect
 class class-default
  drop log
!
zone security LAN
zone security WAN
zone security VPN
zone security DMZ
zone-pair security LAN-WAN source LAN destination WAN
 service-policy type inspect LAN-WAN-POLICY
zone-pair security WAN-LAN source WAN destination LAN
 service-policy type inspect WAN-LAN-POLICY
!
!
!
!
!
!
!
!
!
!
interface Embedded-Service-Engine0/0
 no ip address
 shutdown
!
interface GigabitEthernet0/0
 description PrimaryWANDesc_Extern
 ip address 38.170.40.21 255.255.255.248
 ip nat outside
 ip virtual-reassembly in
 zone-member security WAN
 duplex auto
 speed auto
!
interface GigabitEthernet0/1
 description Intern
 ip address 192.168.0.254 255.255.254.0
 ip nbar protocol-discovery
 ip flow monitor application-mon input
 ip flow ingress
 ip flow egress
 ip nat inside
 ip virtual-reassembly in
 zone-member security LAN
 load-interval 30
 duplex auto
 speed auto
!
interface GigabitEthernet0/2
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface Virtual-Template1
 description L2TP Einwahl Interface fuer VPN Zugang
 no ip address
 ip nat inside
 ip virtual-reassembly in
 peer default ip address pool l2tp-dailin
 no keepalive
 ppp encrypt mppe 128 required
 ppp authentication ms-chap-v2
!
ip local pool l2tp-dailin 192.168.1.1 192.168.1.250
ip forward-protocol nd
!
ip http server
ip http upload enable path flash:
ip http upload overwrite
ip http access-class 75
no ip http secure-server
!
ip nat inside source list 75 interface GigabitEthernet0/0 overload
ip nat inside source list nat-list interface GigabitEthernet0/0 overload
ip nat inside source static esp 192.168.0.2 interface GigabitEthernet0/0
ip nat inside source static tcp 192.168.0.2 389 interface GigabitEthernet0/0 389
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/0
!
ip access-list extended Others_acl
 permit object-group Others_svc object-group Others_src_net object-group Others_dst_net
ip access-list extended Web_acl
 permit object-group Web_svc object-group Web_src_net object-group Web_dst_net
ip access-list extended ad_acl
 permit object-group ad_svc object-group ad_src_net object-group ad_dst_net
ip access-list extended nat-list
 permit ip object-group local_lan_subnets any
 deny   ip any any
!
!
!
access-list 75 permit 192.168.0.0 0.0.1.255
access-list 75 deny   any
access-list 111 permit udp any eq 1701 any eq 1701
access-list 111 permit udp any eq isakmp any eq isakmp
access-list 111 permit udp any eq non500-isakmp any eq non500-isakmp
access-list 111 permit esp any any
!
!
!
control-plane
!
!
!
line con 0
 login authentication local_access
line aux 0
line 2
 no activation-character
 no exec
 transport preferred none
 transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
 stopbits 1
line vty 0 4
 access-class 23 in
 privilege level 15
 login authentication local_access
 transport input telnet ssh
!
scheduler allocate 20000 1000
ntp server time-pnp.cisco.com
!
end

Grüße

ist die Integration eines Preshared-Key. Wie kann ich den einsetzen?

Das machst du so:

aaa authentication login clientauth local
aaa authorization network groupauth local
!
username finread password Geheim123
username vpngroup password test123
! 

Damit definierst du eine lokale und statische User/Passwort Datenbank auf dem Router mit Gruppenauth (Xauth)

Hallo Zusammen,

ich bin endlich wieder dazu gekommen an dem Cisco Router etwas zu machen.
Ich bin jetzt soweit das ich alles erstmal eingetragen habe aber ohne irgendwelche Firewall Einstellungen.

Hier einmal meine neue Config:

Cerberus#show run
Building configuration...

Current configuration : 6451 bytes
!
! Last configuration change at 13:38:16 GMT Thu Aug 22 2019 by root
! NVRAM config last updated at 14:59:20 GMT Tue Aug 20 2019
!
version 15.6
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Cerberus
!
boot-start-marker
boot-end-marker
!
!
enable secret 5 
!
aaa new-model
!
!
aaa authentication login clientauth local
aaa authentication login local_access local
aaa authorization network groupauth local
!
!
!
!
!
aaa session-id common
ethernet lmi ce
clock timezone GMT 1 0
!
!
!
!
!
!
!
!
!
!
!
!
ip domain name my.domain
ip name-server 1.1.1.1
ip name-server 8.8.8.8
ip cef
no ipv6 cef
!
!
flow record nbar-appmon
 match ipv4 source address
 match ipv4 destination address
 match application name
 collect interface output
 collect counter bytes
 collect counter packets
 collect timestamp absolute first
 collect timestamp absolute last
!
!
flow monitor application-mon
 cache timeout active 60
 record nbar-appmon
!
parameter-map type inspect global
 max-incomplete low 18000
 max-incomplete high 20000
 nbar-classify
multilink bundle-name authenticated
!
vpdn enable
!
vpdn-group 1
 ! Default PPTP VPDN group
 accept-dialin
  protocol pptp
  virtual-template 1
!
!
!
!
license udi pid CISCO2921/K9 sn FCZ211140F5
!
!
object-group service INTERNAL_UTM_SERVICE
!
object-group network Others_dst_net
 any
!
object-group network Others_src_net
 any
!
object-group service Others_svc
 ip
!
object-group network Web_dst_net
 any
!
object-group network Web_src_net
 any
!
object-group service Web_svc
 ip
!
object-group network ldap_dst_net
 host 192.168.0.31
!
object-group network ldap_src_net
 any
!
object-group service ldap_svc
 tcp source eq 389 eq 389
!
object-group network local_cws_net
!
object-group network local_lan_subnets
 any
!
object-group network vpn_remote_subnets
 any
!
username root privilege 15 password 0 *my password*
username vpntest password 0 Geheim123!!
username vpngroup password 0 Test123!!
!
redundancy
!
!
!
!
!
!
class-map type inspect match-any INTERNAL_DOMAIN_FILTER
 match protocol msnmsgr
 match protocol ymsgr
class-map type inspect match-any Others_app
 match protocol https
 match protocol smtp
 match protocol pop3
 match protocol imap
 match protocol sip
 match protocol ftp
 match protocol dns
 match protocol icmp
class-map type inspect match-all ldap
 match access-group name ldap_acl
class-map type inspect match-any Web_app
 match protocol http
class-map type inspect match-all Others
 match class-map Others_app
 match access-group name Others_acl
class-map type inspect match-all Web
 match class-map Web_app
 match access-group name Web_acl
!
policy-map type inspect LAN-WAN-POLICY
 class type inspect Web
  inspect
 class type inspect Others
  inspect
 class class-default
  drop log
policy-map type inspect WAN-LAN-POLICY
 class type inspect ldap
  inspect
 class type inspect INTERNAL_DOMAIN_FILTER
  inspect
 class class-default
  drop log
!
zone security LAN
zone security WAN
zone security VPN
zone security DMZ
zone-pair security LAN-WAN source LAN destination WAN
 service-policy type inspect LAN-WAN-POLICY
zone-pair security WAN-LAN source WAN destination LAN
 service-policy type inspect WAN-LAN-POLICY
!
!
crypto isakmp policy 10
 encr aes 256
 authentication pre-share
 group 14
!
crypto isakmp client configuration group vpngroup
 key *my-pre-shared-key*
 dns 192.168.0.31
 domain my.domain
 pool vpnpool
 save-password
 max-users 252
crypto isakmp profile VPNClient
! This profile is incomplete (no match identity statement)
   description VPN Client Profile
   client authentication list clientauth
   isakmp authorization list groupauth
   client configuration address respond
   virtual-template 2
!
!
crypto ipsec transform-set myset esp-aes esp-sha-hmac
 mode tunnel
!
!
crypto ipsec profile vpn-vti2
 set transform-set myset
!
!
!
!
!
!
interface Loopback10
 ip address 192.168.2.1 255.255.254.0
!
interface Loopback11
 ip address 192.168.1.1 255.255.254.0
!
interface Embedded-Service-Engine0/0
 no ip address
 shutdown
!
interface GigabitEthernet0/0
 description Extern
 ip address 38.170.40.21 255.255.255.248
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto
!
interface GigabitEthernet0/1
 description Intern
 ip address 192.168.0.254 255.255.254.0
 ip nat inside
 ip virtual-reassembly in
 duplex auto
 speed auto
!
interface GigabitEthernet0/2
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface Virtual-Template1
 description PPTP Einwahl Interface fuer VPN Zugang
 ip unnumbered Loopback11
 ip nat inside
 ip virtual-reassembly in
 peer default ip address pool pptp_dialin
 no keepalive
 ppp encrypt mppe 128 required
 ppp authentication ms-chap-v2
!
interface Virtual-Template2 type tunnel
 description IPSec VPN Dialin
 ip unnumbered Loopback10
 ip nat inside
 ip virtual-reassembly in
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile vpn-vti2
!
ip local pool vpnpool 192.168.2.2 192.168.2.253
ip local pool pptp_dailin 192.168.1.2 192.168.1.253
ip forward-protocol nd
!
ip http server
ip http access-class 75
no ip http secure-server
!
!
ip access-list extended Others_acl
 permit object-group Others_svc object-group Others_src_net object-group Others_dst_net
ip access-list extended Web_acl
 permit object-group Web_svc object-group Web_src_net object-group Web_dst_net
ip access-list extended ldap_acl
 permit object-group ldap_svc object-group ldap_src_net object-group ldap_dst_net
ip access-list extended nat-list
 permit ip object-group local_lan_subnets any
!
!
!
access-list 75 permit 192.168.0.0 0.0.1.255
access-list 75 deny   any
access-list 111 permit tcp any any eq 1723
access-list 111 permit gre any any
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp any any eq non500-isakmp
access-list 111 permit esp any any
!
!
!
control-plane
!
!
!
line con 0
 login authentication local_access
line aux 0
line 2
 no activation-character
 no exec
 transport preferred none
 transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
 stopbits 1
line vty 0 4
 access-class 23 in
 privilege level 15
 login authentication local_access
 transport input telnet ssh
!
scheduler allocate 20000 1000
ntp server pool.ntp.org
ntp server time-pnp.cisco.com
ntp server 0.de.pool.ntp.org
ntp server de.pool.ntp.org
ntp server europe.pool.ntp.org
!
end

Leider kann ich mich immer noch nicht mit dem VPN verbinden.
Wenn ich es versuche bekomme ich diese Fehlermeldung:
Der L2TP-Verbindungsversuch ist fehlgeschlagen, da ein Verarbeitungsfehler während der ersten Sicherheitsaushandlung mit dem Remotecomputer aufgetreten ist.

Ich versuche die Verbindung über den Internen Windows 10 VPN Client her zu stellen.

Liegt das am Microsoft VPN oder habe ich noch etwas falsches in der Config?

Vielen Dank für eure Hilfe.

Hallo,

in deiner cisco config heißt der User

username vpnuser password 0 vpntest123!!

im Windows Screenshot aber "vpntest"

brammer

Hallo Brammer,

in der Config die ich mit angehangen habe steht doch vpntest drin.

In der Zeile 128:
username vpntest password 0 Geheim123!!

Die zuletzt gepostet Config ist die Aktuelle.

Grüße

Hallo,

In der falsche config gesucht... sorry.

Lass mal im Passwort die beiden !! weg.
Nicht dass das den Fehler schmeißt...

Brammer

Leider kann ich mich immer noch nicht mit dem VPN verbinden.

Du dürftest auch nichtmal Internet haben auf dem Rouer aus dem lokalen LAN, denn das globale NAT Statement
!
ip nat inside source list 101 interface interface GigabitEthernet0/0 overload
!
access-list 101 permit ip 192.168.0.0 0.0.0.255 any
!
...fehlt völlig in der Konfig.
Oder haben wir das jetzt übersehen... ???
Ohne das geht gar nichts mit RFC 1918 IP Adressen.
Ein show ip nat trans sollte dir das auch zeigen.

Du musst diese Konfig doch bezogen auf deine Interface Namen nur schlicht und eimnfach abtippen:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Wo ist da das Problem ?
Und....zum Wichtigsten sagst du rein gar nix

Was sagt der IPsec VPN Debugger im Cisco mit debug crypto isakmp und dann die Einwahl aktivieren.
(term mon nicht vergessen solltest du per Telnet oder SSH drauf sein sonst siehst du die Debugger Messages nicht !
und u all nach dem Debuggen um den Debugger wieder auszuschalten.)

Frage Netzwerke Router, Routing

Heiß diskutiert