gelöst Cisco 2951 VPN Problem

Mitglied: Serial90

Serial90 (Level 1) - Jetzt verbinden

26.02.2017, aktualisiert 18:18 Uhr, 1153 Aufrufe, 20 Kommentare

Moin Moin,

ich habe folgendes Problem mit meinem Cisco:

Wir haben einen VPN-Tunnel via SVTI Config zu einem anderen Router (Bintec-elmeg) aufgebaut.
Der Tunnel steht auch siehe unten, ABER es geht keinerlei Traffic hindurch? Auf der Gegenseite wird auch alles normal ohne Fehler angezeigt aber wie gesagt keinerlei Traffic möglich?!
Für mich ist die SVTI-Konfig ziemliches Neuland und ich hoffe mir kann hier jemand den entscheidenden Tipp geben.

Hier erstmal die Router-Konfig:
Hier noch die ausgabe von sh interface tunnel0:
Kommentar vom Moderator Dani am 26.02.2017 um 18:17:48 Uhr
a) Password Hashes entfernt
b) Formatierung der Konfiguration hinzugefügt
Mitglied: aqui
27.02.2017, aktualisiert um 10:27 Uhr
Die Frage die sich stellt ist warum du das mit einem Tunnel machst ? Das macht nur Sinn wenn du dynamische Routing Protokolle benutzt oder benutzen willst. Bei einer normalen statischen IPsec VPN Konfig ist das eigentlich überflüssiger Overhead.
Die Frage ist auch in heterogenen Umgebungen ob dein anderes Endgerät das versteht, was eher fraglich ist.
Besser ist da immer eine klassische, Standard basierte Site to Site IPsec Konfig, da die weniger proprietäre Gefahren birgt zu fremden VPN Systemen.
Das hiesige IPsec Tutorial hat eine kommentierte Cisco Beispielkonfig für sowas:
https://www.administrator.de/wissen/ipsec-vpn-praxis-standort-kopplung-c ...
Da es da auch für 8 verschiedene IPsec Systeme rennt sollte das beim Bintec ebenfalls fehlerlos laufen.
Bitte warten ..
Mitglied: Serial90
27.02.2017 um 21:46 Uhr
OK.
Ich habe es nun nach dem Tutorial gemacht welches es hier im Forum gibt.

Leider gleiches Bild. Der Tunnel baut sich einwandfrei auf aber es geht kein Traffic durch.

Die Gegenseite meldet (also der Bintec) no Proposal choosen?! für Phase1 und Phase2. Allerdings zeigt er den Tunnel ebenfalls als hergestellt an?

Bin ratlos.

p.s. zu Cisco-Routern gehen mit diesem Router alle Tunnel bestens bis dato.

Hier nochmals die neue Crypto-map Konfig.:
Bitte warten ..
Mitglied: aqui
28.02.2017 um 08:36 Uhr
no Proposal choosen?!
Das sieht nicht gut aus. Das bedeutet das die beiden Enden sich auf KEIN gemeinsames Schlüsselverfahren einigen konnten. Was wiederum bedeutet das die Verfahren an beiden Enden unterschiedlich konfiguriert sind.
3DES und MD5 ist auch eher die Ausnahme. SHA ist da eher die Regel. Was verwendet denn der Bintec ??
Und WAS sagt der Cisco Debugger beim Verbindungsaufbau wenn du IPsec mal debuggst.
Im Cisco Debugger (debug isakmp usw.) kannst du haarklein sehen wo beim Verbindungsaufbau der Fehler liegt.
Genua dieser Output fehlt hier
Bitte warten ..
Mitglied: Serial90
28.02.2017 um 19:18 Uhr
Der Bintec verwendet AES128 und sha in beiden phasen.

Hier der fehlende Debug vom cisco:

Bitte warten ..
Mitglied: aqui
01.03.2017 um 14:26 Uhr
Was sagt ein sh crypto isakmp sa ??
Da muss dann wenn der Tunnel steht sowas stehen:
So muss das aussehen wenn der Tunnel sauber aufgebaut ist !
Ist das bei dir der Fall ?
Bitte warten ..
Mitglied: Serial90
01.03.2017 um 15:15 Uhr
Ja genau so steht es bei mir da.
Bitte warten ..
Mitglied: aqui
01.03.2017, aktualisiert um 15:47 Uhr
OK, dann steht der Tunnel, dann kann es nur noch eine ACL sein die da nicht spurt.
Dann die Frage ob der Bintec von einer dynamischen oder festen IP Adresse auf den Cisco kommt.

3 Parameter und ACLs musst du checken:
ip access-list extended vpnbintec
permit ip 172.16.7.0 0.0.0.255 192.168.188.0 0.0.0.255

Diese ACL bestimmt zu verschlüsselnden Traffic der beiden loakeln LANs Cisco Seite und Bintec Seite für VPN mit dem Bintec und referenziert auf die Crypto Map für den Bintec (Beispiel hier Einwahl von dyn. IP)
crypto dynamic-map dynmap 20
description Tunnel dyn.IP Bintec
set transform-set testset2
set isakmp-profile DynDialin
match address vpnbintec
!


Desweiteren MUSS der VPN Traffic zum Bintec vom NAT Prozess am Internet Port ausgenommen werden:
access-list 101 deny ip 172.16.7.0 0.0.0.255 192.168.188.0 0.0.0.255
!
ip nat inside source list 101 interface <InternetIF> overload
!

Passt das alles bei dir ?
Was sagt das Bintec Log auf der anderen Seite ??
Bitte warten ..
Mitglied: Serial90
01.03.2017 um 17:25 Uhr
Ja im Cisco passt das alles bei mir. Es sieht aus als würde der Bintec nicht raffen das der Cisco mit Aes128 und sha läuft in Phase 1 und 2?! Obwohl es definitiv am Bintec so eingestellt ist in der Konfig.

Hier der Log vom Bintec RS353jw:

Bitte warten ..
Mitglied: Serial90
01.03.2017, aktualisiert um 19:37 Uhr
Wenn ich das ganze mit IP-Adressen mache dann Funktioniert es, was relativ unpraktisch ist bei zwei Dyn-ISPs an beiden Standorten.

Es hat also nur mit dem Dyn-Hostnamen zu tun denke ich ?
Bitte warten ..
Mitglied: Serial90
04.03.2017 um 12:46 Uhr
Ich habe die Lösung gefunden um den Cisco erfolgreich mit dem Bintec zu verbinden und es läuft sogar sehr stabil.




Jetzt habe ich nur noch das Problem das wenn ich :

eingebe um von Extern auf unseren Exchange zu kommen, es zwar von Extern geht aber von keinerlei internem VPN mehr möglich ist?!
Bitte warten ..
Mitglied: aqui
04.03.2017 um 15:20 Uhr
Ich habe die Lösung gefunden um den Cisco erfolgreich mit dem Bintec zu verbinden
Stimmt ! Da war ich zu spät Mit der match identity kann man umschlaten ob IP Adressen oder Hostname verwendet werden. Das war sehr wahrscheinlich unterschiedlich.
Aber klasse wenns nun klappt wie es soll.
von Extern geht aber von keinerlei internem VPN mehr möglich ist?!
Das liegt dann daran das du den Host nicht vom NAT ausgenommen hast.
In die NAT Overload ACL muss dann rein:
!
access-list 101 deny ip host 192.168.83.4 any
access-list 101 deny ip 192.168.83.0 0.0.0.255 x.y.z.0 0.0.0.255
!

Wobei x.y.z.0 alle remoten VPN Netze sind. Ggf. mehr Einträge wenn du mehrere VPN Netze hast.
Bitte warten ..
Mitglied: Serial90
04.03.2017, aktualisiert um 19:04 Uhr
Danke aber dennoch für deine Hilfe!

Mir ist auch aufgefallen das sich gerade der Dyn-Name Tunnel verabschiedet hat mit der Meldung im Cisco 2951:

Der Tunnel ist auch nicht mehr im sh crypto iskamp sa zu sehen

Ist wohl doch besser einen Cisco anstelle von diesem Bintec einzusetzen.

Das mit dem Zugriff via Tunnel auf den Exchange will allerdings leider immer noch nicht!?

Kann man das irgendwie in einem Debug sehen wo er hängen bleibt wenn jemand aus dem z.b 36.0 Netz kommt?

ich habe es so gemacht jetzt:

Bitte warten ..
Mitglied: aqui
04.03.2017 um 21:15 Uhr
Auf dem Exchange mal einen Wireshark starten und sehen mit welchen IPs die Endgeräte dort ankommen bzw. was der Exchange raussendet.
Vermutlich ein NAT Fehler oder interne Winblows Firewall.
Bitte warten ..
Mitglied: Serial90
05.03.2017 um 20:00 Uhr
Die Trennung des Tunnels war schuld des Bintecs der hatte Firmwareprobleme ......laut Support ....


Also ich habe mal den Wireshark angeworfen und von einem VPN Rechner aus 10.250.10.21 versucht bei aktiver Freigabe auf den Exchange zu kommen als die OWA.

Die 192.168.83.9 natürlich vorher in die ACL aufgenommen ebenso wie die 83.4. Ich muss die 83.9 nehmen da die 4 Produktivbetrieb ist und zum testen etwas schlecht.

Das sieht dann im wireshark so aus:
Und im Firefox kommt ein Ladefehler.
bildschirmfoto 2017-03-05 um 19.55.06 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
06.03.2017 um 14:11 Uhr
Der Trace ist ja eindeutig....
Die 10.250.10.21 versucht verzweifelt TCP Frames an die 192.168.83.9 zu senden aber es kommen niemals irgendwelche ACKs zurück.
Deshalb sendet sie immer und immer wieder Retransmissions und versucht den TCP Frame loszuwerden. So wie es eben sein soll bei TCP
Nun gilt es rauszufinden warum die 192.168.83.9 nicht mit ACKs antwortet...??
Fazit: Wireshark auf 192.168.83.9 anschmeissen und checken ob die TCP Retransmission Requests dort überhaupt ankommen
Bitte warten ..
Mitglied: Serial90
08.03.2017 um 13:53 Uhr
Sooo ich habe jetzt mal auf den Exchange geschaut und zusätzlich einen IIS auf nem win7 pro installiert zum testen.

Mir ist aufgefallen:

sobald ich den Eintrag:
setze hat der entsprechende Host kein WAN mehr?! Und ich komme weder von extern noch via VPN drauf?

Kann es sein das hier grundsätzlich was nicht passt mit dem NAT?
unbenannt - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
08.03.2017 um 14:14 Uhr
und zusätzlich einen IIS auf nem win7 pro installiert zum testen.
Sinnfrei und mit Kanonen auf Spatzen !
Viel sinnvoller wäre ein kleiner Webserver zum Testen den du vom USB Stick oder direkt aus dem Verzeichnis starten kannst wie der HFS Webserver:
http://www.rejetto.com/hfs/
Aber egal...warum einfach machen wenn es umständlich mit Riesenaufwand auch geht

Hier käme es jetzt auf das "x" an !!
Die Hosts .4, .9 und .200 musst du auf alle Fälle von der ACL 102 excluden, denn für die hast du ja ein dediziertes NAT konfiguriert. Da darfst du mit dem Overload NAT das nicht überbügeln.

Wenn es jetzt ein Host ist für den kein statische NAT definiert ist darfst du den nicht excluden, sonst kommt der nicht mehr ins Internet. Klar wenn du das machst macht der gar kein NAT und da 192.168er IP geht das dann ins Nirwana.
Bitte warten ..
Mitglied: Serial90
08.03.2017, aktualisiert um 14:25 Uhr
Oook.

Momentan sieht es mit dem Nat so aus:

Und die ACLs so:

Die Extended so:

So ist es doch richtig oder nicht? Nur so komme ich zwar von extern auf die 83.97 aber nicht via VPN und von der 83.97 nicht ins Internet?! stehe gerade auf dem Schlauch!?
Bitte warten ..
Mitglied: Serial90
10.03.2017 um 10:10 Uhr
Keiner eine Idee?
Bitte warten ..
Mitglied: aqui
LÖSUNG 10.03.2017, aktualisiert 11.03.2017
Nur so komme ich zwar von extern auf die 83.97 aber nicht via VPN und von der 83.97 nicht
Das kann nicht ganz richtig sein !
Die .83.97 ist durch die ACL 102 richtigerweise komplett vom NAT aus genommen, da es ja ein 1:1 NAT Statement gibt. Diese gilt aber nur für den Port TCP 443. Die .83.97 kommt also nur mit Port TCP 443 ins Internet. Alle anderen Ports werden durch die ACL 102 NICHT mehr geNATet. Soll sie mit weiteren Ports ins Internet, dann musst du diese logischerweise auch in deiner statischen NAT Definition eintragen, andernfalls ist es doch logisch das das nicht klappt.
Vermutlich liegt hier auch der Fehler das der VPN Zugang nicht möglich ist.

Diese NAT Fehler hast du übrigens auch mit den anderen NAT Sattements gemacht der Hosts. .4, .9 und .200 die allesamt auch statische 1:1 NAT Einträge haben und die du trotzdem nochmals mit einem PAT (Overload) Statement übermangelst. Auch das ist ein Konfig Fehler, denn auch diese Hosts müssten logischerweise vom PAT Translation ausgenommen sein über die ACL 102.
Du kannst ja logischerweise entweder nur 1:1 NAT oder PAT machen aber niemals beides zusammen. Das resultiert vermutlich alles in deinem Fehlerbild !

Dieses Cisco Dokument erklärt dein Szenario und das excluden der Encryption mit Route Maps realtiv genau:
http://www.cisco.com/c/en/us/support/docs/security-vpn/ipsec-negotiatio ...
Bitte warten ..
Heiß diskutierte Inhalte
Router & Routing
Cisco RIPv1 RIPv2
MrLabelFrageRouter & Routing26 Kommentare

Hallo Zusammen, ich muss nochmal auf eine schon behandelte Frage eingehen. Bitte jemand, der auch den Cisco Paket Tracer ...

LAN, WAN, Wireless
RJ45 Buchsen Verbindung
gelöst DennisAdm1nFrageLAN, WAN, Wireless17 Kommentare

Ich habe als Aufgabe bekommen die LAN-Verbindung in einem Haus zu fixen, dabei ist mir aufgefallen, dass der RJ45-Stecker ...

Windows 10
Windows 7 zu Windows 10 weiterhin kostenlos möglich?
gelöst CubeHDFrageWindows 1012 Kommentare

Guten Abend, ist es möglich einen vorhandenen Windows 7 Key für Windows 10 zu verwenden? Kennt ihr vielleicht andere ...

Windows 10
Windows10 Hilfsprogramme endgültig löschen
istike2FrageWindows 1011 Kommentare

Hallo, wir sind gerade dabei mit Windows OOBE ein Image vorzubereiten. Wir würden gerne Xbox, HP Hilfsprogramme, Cortana usw. ...

LAN, WAN, Wireless
Suche Access Point Wandhalterung
gelöst EZimmerFrageLAN, WAN, Wireless11 Kommentare

Einen schöne guten Tag, wir haben uns bei einer Ausschreibung beteiligt und sind nun auch der Suche nach folgendem ...

Windows 10
Windows 10 NTP Zeitsynchronisation Windows Domäne (local cmos clock) Uhrzeit und Datum synchronisiert nicht
gelöst frunkyFrageWindows 1010 Kommentare

Hallo Zusammen, ich habe in meiner Domäne (Windows Server 2019) mit Windows 10 Pro als Clients Probleme mit der ...

Ähnliche Inhalte
Router & Routing
Cisco 2951 - CME Installation
Serial90FrageRouter & Routing

Moin Moin! ich habe ein Problem mit meinem 2951 und CME bzw. telephony-service. Wenn ich versuche den Befehl einzugeben ...

LAN, WAN, Wireless
Cisco RV180W - Client VPN
MarkowitschFrageLAN, WAN, Wireless3 Kommentare

Hallo lieber Netzwerker, ich habe einen Cisco RV180W Router welcher direkt mit einer öffentlichen statischen IP Adresse im Internet ...

Router & Routing
VPN Cisco Router 886VAJ
gelöst andi.wetzelFrageRouter & Routing5 Kommentare

Hallo liebe Administratoren, seit zwei Wochen versuche ich eine VPN per PPTP oder IPSec einzurichten, leider ohne Erfolg. Ich ...

Router & Routing
Cisco VPN Router 3800
gelöst jarimlimFrageRouter & Routing2 Kommentare

Guten Abend, Vorgestern hatte ich Hardware Probleme mit einem Cisco VPN Router 3800 gehabt. Der zweite Cisco VPN Router ...

Router & Routing
Cisco Asa VPN Fragen
brooksFrageRouter & Routing3 Kommentare

Hallo, ich habe hier mal eine Frage , vielleicht kann mir ja der ein oder andere helfen. Es geht ...

LAN, WAN, Wireless
VPN mit CISCO AnyConnect
MHeinrichFrageLAN, WAN, Wireless2 Kommentare

Hallo zusammen, hat jemand Erfahrung mit dem o.g. VPN-Client von CISCO, am besten in Verbindung mit "Windows Terminal Services"? ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT