8
Cisco 851W mit IPSec VPN Probleme
Keine Verbindung ins Interne Netz möglich.
--- HABE DEN ROUTER NUN gerested ---
Hier die neue Konfig
Hallo zusammmen,
also ich habe eine VPN Verbindung zu meinem Cisco 851W per IPSec -> EasyVPN Server per SDM eingerichtet. Die Clients sind mittels Cisco VPN-Client drauf.
Die Anmeldung und Auth. funkt. nach anfänglichen Startschwiriegkeiten. Die Clients bekommen auch IP`s vom vpn.pool zugeweisen in dem Fall. 192.168.5.0/24.
Das Intranet ist mit 192.168.10.0/24 konfiguriert.
So nun das Prob.
Wie kann ich nun mit meinen vpn Clients auf das Interen Netz zugreifen?
Welche Einstellungen muß ich noch vornehmen?
Mit der bitte um Unterstützung.
mfg
hkjwj
P.S. Es sind noch einige Konfigs von einem vorigen Versuch drinnen einen vpn per PPTP herzustellen, werd ich nach der jetztigen Problemsösung ausmisten.
Hier die Cisco konfig.
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
hostname cisco
boot-start-marker
boot-end-marker
logging buffered 51200 debugging
logging console critical
enable secret 5 $1$mPyx$lu6Z5wUTRvJHKK7ypbVL61
username Besitzer51 privilege 15 secret 5 $1$Am4v$F2Z6YNdd6hMvyz2UT1afi/
clock timezone PCTime 1
clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00
aaa new-model
aaa authentication login default local
aaa authentication login sdm_vpn_xauth_ml_1 local
aaa authorization exec default local
aaa authorization network sdm_vpn_group_ml_1 local
aaa session-id common
ip subnet-zero
no ip source-route
ip cef
ip tcp synwait-time 10
no ip bootp server
ip domain name fodt.local
ip name-server 192.168.10.20
ip name-server 192.168.10.21
ip ssh time-out 60
ip ssh authentication-retries 2
no ftp-server write-enable
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp xauth timeout 15
crypto isakmp client configuration group fodt.local.vpn
key IERvbWFpbiBUZWNobmljcyAmIElUMRQwEgYDVQQDEwtuczEuZm9kdC5p
dns 192.168.5.20
domain fodt.local
pool SDM_POOL_1
netmask 255.255.255.0
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto dynamic-map SDM_DYNMAP_1 1
set transform-set ESP-3DES-SHA
reverse-route
crypto map SDM_CMAP_1 client authentication list sdm_vpn_xauth_ml_1
crypto map SDM_CMAP_1 isakmp authorization list sdm_vpn_group_ml_1
crypto map SDM_CMAP_1 client configuration address respond
crypto map SDM_CMAP_1 65535 ipsec-isakmp dynamic SDM_DYNMAP_1
bridge irb
interface FastEthernet0
no ip address
no cdp enable
interface FastEthernet1
no ip address
no cdp enable
interface FastEthernet2
no ip address
no cdp enable
interface FastEthernet3
no ip address
no cdp enable
interface FastEthernet4
description $ES_WAN$$FW_OUTSIDE$
ip address 86.59.*.* 255.255.*.*
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
ip route-cache flow
duplex auto
speed auto
no cdp enable
crypto map SDM_CMAP_1
interface Dot11Radio0
no ip address
ssid 1071CiscoWLan
authentication open
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
no cdp enable
bridge-group 1
bridge-group 1 spanning-disabled
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$FW_INSIDE$
no ip address
bridge-group 1
interface BVI1
description $ES_LAN$
ip address 192.168.10.1 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
ip local pool SDM_POOL_1 192.168.5.10 192.168.5.15
ip classless
ip route 0.0.0.0 0.0.0.0 86.59.*.*
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 5 life 86400 requests 10000
ip nat inside source route-map SDM_RMAP_1 interface FastEthernet4 overload
logging trap debugging
access-list 1 remark INSIDE_IF=BVI1
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 192.168.10.0 0.0.0.255
access-list 100 remark SDM_ACL Category=2
access-list 100 deny ip any host 192.168.5.10
access-list 100 deny ip any host 192.168.5.11
access-list 100 deny ip any host 192.168.5.12
access-list 100 deny ip any host 192.168.5.13
access-list 100 deny ip any host 192.168.5.14
access-list 100 deny ip any host 192.168.5.15
access-list 100 permit ip 192.168.10.0 0.0.0.255 any
no cdp run
route-map SDM_RMAP_1 permit 1
match ip address 100
control-plane
bridge 1 protocol ieee
bridge 1 route ip
banner login ^CAuthorized access only!
Disconnect IMMEDIATELY if you are not an authorized user!^C
line con 0
no modem enable
transport preferred all
transport output telnet
line aux 0
transport preferred all
transport output telnet
line vty 0 4
transport preferred all
transport input telnet ssh
transport output all
scheduler max-task-time 5000
scheduler allocate 4000 1000
scheduler interval 500
-
Auszug aus ipconfig des Client
Verbindungsspezifisches DNS-Suffix: fodt.local
Beschreibung: Cisco Systems VPN Adapter
Physikalische Adresse: 00-05-9A-3C-78-00
DHCP aktiviert.: Nein
IP-Adresse: 192.168.5.15
Subnetzmaske: 255.255.255.0
Standardgateway : 192.168.5.15
DNS-Server.: 192.168.5.20
-
Auszug aus ipconfig des Servers im 192.168.10.0/24
Ethernet-Adapter fodt.local.2:
...
IP-Adresse : 192.168.5.21
Subnetzmaske: 255.255.255.0
IP-Adresse: 192.168.10.21
Subnetzmaske: 255.255.255.0
Standardgateway: 192.168.10.1
DNS-Server : 127.0.0.1
Ethernet-Adapter fodt.local:
IP-Adresse: 192.198.5.20
Subnetzmaske: 255.255.255.0
IP-Adresse: 192.168.10.20
Subnetzmaske: 255.255.255.0
Standardgateway:
DNS-Server: 127.0.0.1
Ich denke nicht das es an den ACL`s liegt da ja nun keine vorhanden sind, ich denke eher das es am Routing liegt, den nach meinem Verständniss ist jtzt die 192.168.5.* er Adresse im Cisco gekapselt.
Ich brauche eigentlich nur eine Konfigurationshilfe das die gekapselte IP weiter nach 192.168.10. geroutet wird nur bring ich das nicht zusammen.
--- HABE DEN ROUTER NUN gerested ---
Hier die neue Konfig
Hallo zusammmen,
also ich habe eine VPN Verbindung zu meinem Cisco 851W per IPSec -> EasyVPN Server per SDM eingerichtet. Die Clients sind mittels Cisco VPN-Client drauf.
Die Anmeldung und Auth. funkt. nach anfänglichen Startschwiriegkeiten. Die Clients bekommen auch IP`s vom vpn.pool zugeweisen in dem Fall. 192.168.5.0/24.
Das Intranet ist mit 192.168.10.0/24 konfiguriert.
So nun das Prob.
Wie kann ich nun mit meinen vpn Clients auf das Interen Netz zugreifen?
Welche Einstellungen muß ich noch vornehmen?
Mit der bitte um Unterstützung.
mfg
hkjwj
P.S. Es sind noch einige Konfigs von einem vorigen Versuch drinnen einen vpn per PPTP herzustellen, werd ich nach der jetztigen Problemsösung ausmisten.
Hier die Cisco konfig.
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
hostname cisco
boot-start-marker
boot-end-marker
logging buffered 51200 debugging
logging console critical
enable secret 5 $1$mPyx$lu6Z5wUTRvJHKK7ypbVL61
username Besitzer51 privilege 15 secret 5 $1$Am4v$F2Z6YNdd6hMvyz2UT1afi/
clock timezone PCTime 1
clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00
aaa new-model
aaa authentication login default local
aaa authentication login sdm_vpn_xauth_ml_1 local
aaa authorization exec default local
aaa authorization network sdm_vpn_group_ml_1 local
aaa session-id common
ip subnet-zero
no ip source-route
ip cef
ip tcp synwait-time 10
no ip bootp server
ip domain name fodt.local
ip name-server 192.168.10.20
ip name-server 192.168.10.21
ip ssh time-out 60
ip ssh authentication-retries 2
no ftp-server write-enable
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp xauth timeout 15
crypto isakmp client configuration group fodt.local.vpn
key IERvbWFpbiBUZWNobmljcyAmIElUMRQwEgYDVQQDEwtuczEuZm9kdC5p
dns 192.168.5.20
domain fodt.local
pool SDM_POOL_1
netmask 255.255.255.0
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto dynamic-map SDM_DYNMAP_1 1
set transform-set ESP-3DES-SHA
reverse-route
crypto map SDM_CMAP_1 client authentication list sdm_vpn_xauth_ml_1
crypto map SDM_CMAP_1 isakmp authorization list sdm_vpn_group_ml_1
crypto map SDM_CMAP_1 client configuration address respond
crypto map SDM_CMAP_1 65535 ipsec-isakmp dynamic SDM_DYNMAP_1
bridge irb
interface FastEthernet0
no ip address
no cdp enable
interface FastEthernet1
no ip address
no cdp enable
interface FastEthernet2
no ip address
no cdp enable
interface FastEthernet3
no ip address
no cdp enable
interface FastEthernet4
description $ES_WAN$$FW_OUTSIDE$
ip address 86.59.*.* 255.255.*.*
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
ip route-cache flow
duplex auto
speed auto
no cdp enable
crypto map SDM_CMAP_1
interface Dot11Radio0
no ip address
ssid 1071CiscoWLan
authentication open
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
no cdp enable
bridge-group 1
bridge-group 1 spanning-disabled
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$FW_INSIDE$
no ip address
bridge-group 1
interface BVI1
description $ES_LAN$
ip address 192.168.10.1 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
ip local pool SDM_POOL_1 192.168.5.10 192.168.5.15
ip classless
ip route 0.0.0.0 0.0.0.0 86.59.*.*
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 5 life 86400 requests 10000
ip nat inside source route-map SDM_RMAP_1 interface FastEthernet4 overload
logging trap debugging
access-list 1 remark INSIDE_IF=BVI1
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 192.168.10.0 0.0.0.255
access-list 100 remark SDM_ACL Category=2
access-list 100 deny ip any host 192.168.5.10
access-list 100 deny ip any host 192.168.5.11
access-list 100 deny ip any host 192.168.5.12
access-list 100 deny ip any host 192.168.5.13
access-list 100 deny ip any host 192.168.5.14
access-list 100 deny ip any host 192.168.5.15
access-list 100 permit ip 192.168.10.0 0.0.0.255 any
no cdp run
route-map SDM_RMAP_1 permit 1
match ip address 100
control-plane
bridge 1 protocol ieee
bridge 1 route ip
banner login ^CAuthorized access only!
Disconnect IMMEDIATELY if you are not an authorized user!^C
line con 0
no modem enable
transport preferred all
transport output telnet
line aux 0
transport preferred all
transport output telnet
line vty 0 4
transport preferred all
transport input telnet ssh
transport output all
scheduler max-task-time 5000
scheduler allocate 4000 1000
scheduler interval 500
-
Auszug aus ipconfig des Client
Verbindungsspezifisches DNS-Suffix: fodt.local
Beschreibung: Cisco Systems VPN Adapter
Physikalische Adresse: 00-05-9A-3C-78-00
DHCP aktiviert.: Nein
IP-Adresse: 192.168.5.15
Subnetzmaske: 255.255.255.0
Standardgateway : 192.168.5.15
DNS-Server.: 192.168.5.20
-
Auszug aus ipconfig des Servers im 192.168.10.0/24
Ethernet-Adapter fodt.local.2:
...
IP-Adresse : 192.168.5.21
Subnetzmaske: 255.255.255.0
IP-Adresse: 192.168.10.21
Subnetzmaske: 255.255.255.0
Standardgateway: 192.168.10.1
DNS-Server : 127.0.0.1
Ethernet-Adapter fodt.local:
IP-Adresse: 192.198.5.20
Subnetzmaske: 255.255.255.0
IP-Adresse: 192.168.10.20
Subnetzmaske: 255.255.255.0
Standardgateway:
DNS-Server: 127.0.0.1
Ich denke nicht das es an den ACL`s liegt da ja nun keine vorhanden sind, ich denke eher das es am Routing liegt, den nach meinem Verständniss ist jtzt die 192.168.5.* er Adresse im Cisco gekapselt.
Ich brauche eigentlich nur eine Konfigurationshilfe das die gekapselte IP weiter nach 192.168.10. geroutet wird nur bring ich das nicht zusammen.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 99856
Url: https://administrator.de/contentid/99856
Ausgedruckt am: 22.11.2024 um 22:11 Uhr
8 Kommentare
Neuester Kommentar
Eigentlich gar keine !!
Der Cisco VPN Client nutzt den VPN Tunnel als default gateway wenn er aktiv ist. D.h. alle Pakete gehen in den Tunnel und werden dann lokal im 851 ins richtige LAN geroutet.
Du hättest dir das aber gar nicht so kompliziert machen müssen mit eine 2ten IP Netz sondern einfach das VPN Interface "unumbered auf eth0" gelegt und im Pool unbenuzte Adressen ausserhalb des DHCP Pools vom eth0 benutzt. Dann wäre das VPN im gleichen IP Netz wie dein lokales LAN !
So oder so bedie Varianten funktionieren aber problemlos !
Der Cisco VPN Client nutzt den VPN Tunnel als default gateway wenn er aktiv ist. D.h. alle Pakete gehen in den Tunnel und werden dann lokal im 851 ins richtige LAN geroutet.
Du hättest dir das aber gar nicht so kompliziert machen müssen mit eine 2ten IP Netz sondern einfach das VPN Interface "unumbered auf eth0" gelegt und im Pool unbenuzte Adressen ausserhalb des DHCP Pools vom eth0 benutzt. Dann wäre das VPN im gleichen IP Netz wie dein lokales LAN !
So oder so bedie Varianten funktionieren aber problemlos !
Danke hat jetzt wunderbar geklappt, Hab ein als vpn pool einen Bereich aus 192.168.10.0/24 genommen. Habe danach noch split tunneling akt.. und jetzt hauts hin. Ohne Split gehts anscheinend nicht. Habe nämlich die 10er Range schonmla vorher prob. und des hat gar nicht geklappt. Da konnte nichteinmal ein Tunnel aufgebaut werden deswegen hab ich mich dann für das 5er entschieden. War aber anscheind bei dem ersten 10er Versuch noch was andere Schuld.
Auf jeden Fall THX für die Hilfe
mfg hkjwj
Auf jeden Fall THX für die Hilfe
mfg hkjwj
hallo, ich habe genau das selbe problem. alles genauso eingestellt, nur kein split tunneling. was meinnt ihr mit "einfach das VPN Interface "unumbered auf eth0" gelegt ". was genau hat das zu bedeuten? ich hoffe ihr könnt mir helfen.
Sorry, das war ein Fehler, denn das macht man bei PPTP VPNs ala:
interface Virtual-Template1
description PPTP Dialin Interface fuer VPN Zugang
ip unnumbered Ethernet0
no keepalive
peer default ip address pool pptp_pool
ppp encrypt mppe auto
ppp authentication pap chap ms-chap
!
interface Ethernet0
description Lokales Ethernet
ip address 192.168.1.254 255.255.255.0
!
ip local pool pptp_pool 192.168.1.240 192.168.1.250
Das ist bei IPsec aber etwas anders und greift dort nicht...sorry für die Verwirrung.
interface Virtual-Template1
description PPTP Dialin Interface fuer VPN Zugang
ip unnumbered Ethernet0
no keepalive
peer default ip address pool pptp_pool
ppp encrypt mppe auto
ppp authentication pap chap ms-chap
!
interface Ethernet0
description Lokales Ethernet
ip address 192.168.1.254 255.255.255.0
!
ip local pool pptp_pool 192.168.1.240 192.168.1.250
Das ist bei IPsec aber etwas anders und greift dort nicht...sorry für die Verwirrung.
Kannst du mir da vielleicht helfen? Meine Code:
[code]crypto pki trustpoint TP-self-signed-1798892120
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1798892120
revocation-check none
rsakeypair TP-self-signed-1798892120
!
!
dot11 syslog
ip source-route
!
ip cef
ip domain name yourdomain.com
ip multicast-routing
ip inspect name SDM_LOW cuseeme
ip inspect name SDM_LOW dns
ip inspect name SDM_LOW ftp
ip inspect name SDM_LOW h323
ip inspect name SDM_LOW https
ip inspect name SDM_LOW icmp
ip inspect name SDM_LOW imap
ip inspect name SDM_LOW pop3
ip inspect name SDM_LOW netshow
ip inspect name SDM_LOW rcmd
ip inspect name SDM_LOW realaudio
ip inspect name SDM_LOW rtsp
ip inspect name SDM_LOW esmtp
ip inspect name SDM_LOW sqlnet
ip inspect name SDM_LOW streamworks
ip inspect name SDM_LOW tftp
ip inspect name SDM_LOW tcp
ip inspect name SDM_LOW udp
ip inspect name SDM_LOW vdolive
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!
license udi pid CISCO1841 sn FCZ1446C30M
object-group network NO_DVPN
description VPN fuer Clienteinwahl
range 192.168.172.20 192.168.172.30
!
object-group network NO_Internet
description Hosts die direkt ins Internet duerfen
host 192.168.172.10
!
crypto isakmp policy 1
encr aes 256
authentication pre-share
group 2
!
crypto isakmp policy 2
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group admin
key lalala
dns 192.168.172.2 192.168.172.3
domain lala.cc
pool SDM_POOL_1
save-password
!
crypto ipsec transform-set ipsec_easyvpn esp-3des esp-sha-hmac
crypto dynamic-map SDM_DYNMAP_1 1
set transform-set ipsec_easyvpn
reverse-route
!
crypto map SDM_CMAP_1 client authentication list ciscocp_vpn_xauth_ml_2
crypto map SDM_CMAP_1 isakmp authorization list ciscocp_vpn_group_ml_2
crypto map SDM_CMAP_1 client configuration address respond
crypto map SDM_CMAP_1 65535 ipsec-isakmp dynamic SDM_DYNMAP_1
!
!
!
!
!
interface FastEthernet0/0
description LAN
ip address 192.168.172.1 255.255.255.0
ip access-group FE00in in
ip pim sparse-dense-mode
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
!
interface FastEthernet0/1
description WAN
ip address *
ip access-group FE01in in
ip verify unicast reverse-path
ip pim sparse-dense-mode
ip nat outside
ip inspect SDM_LOW out
ip virtual-reassembly max-reassemblies 32
duplex auto
speed auto
no cdp enable
crypto map SDM_CMAP_1
!
!
ip local pool SDM_POOL_1 192.168.172.20 192.168.172.30
!
!
ip nat inside source route-map SDM_RMAP_1 interface FastEthernet0/1 overload
ip route 0.0.0.0 0.0.0.0
ip access-list extended FE00in
remark Interner Verkehr
permit ip 192.168.172.0 0.0.0.255 192.168.172.0 0.0.0.255
remark Freigegebene Hosts
permit ip object-group NO_Internet any
remark DVPN
permit ip object-group NO_DVPN any
deny ip 192.168.172.0 0.0.0.255 any
deny ip * 0.0.0.7 any log
deny ip host 255.255.255.255 any
deny ip 127.0.0.0 0.255.255.255 any
permit ip any any
ip access-list extended FE01in
permit ip object-group NO_DVPN any
deny ip 172.16.0.0 0.15.255.255 any
deny ip 127.0.0.0 0.255.255.255 any
deny ip host 255.255.255.255 any
deny ip host 0.0.0.0 any
deny ip any any log
ip access-list extended nat_default
deny ip any object-group NO_DVPN
permit ip 192.168.172.0 0.0.0.255 any
deny ip any any
!
route-map SDM_RMAP_1 permit 100
match ip address nat_default
!
radius-server host * auth-port 1645 acct-port 1646 key **
!
control-plane
!
end
[/]
Ich habe genau das selbe Problem, ich kann das LAN Interface anpingen, nicht aber alle Clients die dahinter hängen
[code]crypto pki trustpoint TP-self-signed-1798892120
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1798892120
revocation-check none
rsakeypair TP-self-signed-1798892120
!
!
dot11 syslog
ip source-route
!
ip cef
ip domain name yourdomain.com
ip multicast-routing
ip inspect name SDM_LOW cuseeme
ip inspect name SDM_LOW dns
ip inspect name SDM_LOW ftp
ip inspect name SDM_LOW h323
ip inspect name SDM_LOW https
ip inspect name SDM_LOW icmp
ip inspect name SDM_LOW imap
ip inspect name SDM_LOW pop3
ip inspect name SDM_LOW netshow
ip inspect name SDM_LOW rcmd
ip inspect name SDM_LOW realaudio
ip inspect name SDM_LOW rtsp
ip inspect name SDM_LOW esmtp
ip inspect name SDM_LOW sqlnet
ip inspect name SDM_LOW streamworks
ip inspect name SDM_LOW tftp
ip inspect name SDM_LOW tcp
ip inspect name SDM_LOW udp
ip inspect name SDM_LOW vdolive
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!
license udi pid CISCO1841 sn FCZ1446C30M
object-group network NO_DVPN
description VPN fuer Clienteinwahl
range 192.168.172.20 192.168.172.30
!
object-group network NO_Internet
description Hosts die direkt ins Internet duerfen
host 192.168.172.10
!
crypto isakmp policy 1
encr aes 256
authentication pre-share
group 2
!
crypto isakmp policy 2
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group admin
key lalala
dns 192.168.172.2 192.168.172.3
domain lala.cc
pool SDM_POOL_1
save-password
!
crypto ipsec transform-set ipsec_easyvpn esp-3des esp-sha-hmac
crypto dynamic-map SDM_DYNMAP_1 1
set transform-set ipsec_easyvpn
reverse-route
!
crypto map SDM_CMAP_1 client authentication list ciscocp_vpn_xauth_ml_2
crypto map SDM_CMAP_1 isakmp authorization list ciscocp_vpn_group_ml_2
crypto map SDM_CMAP_1 client configuration address respond
crypto map SDM_CMAP_1 65535 ipsec-isakmp dynamic SDM_DYNMAP_1
!
!
!
!
!
interface FastEthernet0/0
description LAN
ip address 192.168.172.1 255.255.255.0
ip access-group FE00in in
ip pim sparse-dense-mode
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
!
interface FastEthernet0/1
description WAN
ip address *
ip access-group FE01in in
ip verify unicast reverse-path
ip pim sparse-dense-mode
ip nat outside
ip inspect SDM_LOW out
ip virtual-reassembly max-reassemblies 32
duplex auto
speed auto
no cdp enable
crypto map SDM_CMAP_1
!
!
ip local pool SDM_POOL_1 192.168.172.20 192.168.172.30
!
!
ip nat inside source route-map SDM_RMAP_1 interface FastEthernet0/1 overload
ip route 0.0.0.0 0.0.0.0
ip access-list extended FE00in
remark Interner Verkehr
permit ip 192.168.172.0 0.0.0.255 192.168.172.0 0.0.0.255
remark Freigegebene Hosts
permit ip object-group NO_Internet any
remark DVPN
permit ip object-group NO_DVPN any
deny ip 192.168.172.0 0.0.0.255 any
deny ip * 0.0.0.7 any log
deny ip host 255.255.255.255 any
deny ip 127.0.0.0 0.255.255.255 any
permit ip any any
ip access-list extended FE01in
permit ip object-group NO_DVPN any
deny ip 172.16.0.0 0.15.255.255 any
deny ip 127.0.0.0 0.255.255.255 any
deny ip host 255.255.255.255 any
deny ip host 0.0.0.0 any
deny ip any any log
ip access-list extended nat_default
deny ip any object-group NO_DVPN
permit ip 192.168.172.0 0.0.0.255 any
deny ip any any
!
route-map SDM_RMAP_1 permit 100
match ip address nat_default
!
radius-server host * auth-port 1645 acct-port 1646 key **
!
control-plane
!
end
[/]
Ich habe genau das selbe Problem, ich kann das LAN Interface anpingen, nicht aber alle Clients die dahinter hängen
Folgenders solltest du kontrollieren:
Das sind zu 90% die Fehler die gemacht werden...
Ansonsten Debugger einschalten im Cisco !
- Haben die Clients das korrekte Gateway ?
- Und viel wichtiger: Ist die Firewall entsprechend eingestellt das sie Pakete aus fremden Netzen zulässt ? Normalerweise blockt diese das immer ab
- Ist ICMP aktiviert (Haken bei auf ICMP echos antworten) ICMP = Ping
Das sind zu 90% die Fehler die gemacht werden...
Ansonsten Debugger einschalten im Cisco !
Ich wüsste nicht wo ich am Iphone ein Gateway einstellen könnte.
Dadurch lasse ich zu das von ausserhalb zugegriffen werden darf:
object-group network NO_DVPN
description VPN fuer Clienteinwahl
range 192.168.172.20 192.168.172.30
ip access-list extended FE01in
permit ip object-group NO_DVPN any
Und durch ip inspect name SDM_LOW icmp lasse ich Pings zu.
Daher kann ich keinen Fehler in meiner config finden.
Dadurch lasse ich zu das von ausserhalb zugegriffen werden darf:
object-group network NO_DVPN
description VPN fuer Clienteinwahl
range 192.168.172.20 192.168.172.30
ip access-list extended FE01in
permit ip object-group NO_DVPN any
Und durch ip inspect name SDM_LOW icmp lasse ich Pings zu.
Daher kann ich keinen Fehler in meiner config finden.
OK, wenn du vom Mobilnetz zugreifst dann bekommst du das gateway automatisch zugeteilt.
Es kann sein das du einen Billig Surftarif hast der im Mobilnetz mit RFC 1918 IP Adressen arbeitet dann hast du keinerlei Chance mit einem VPN das der provider NAT macht:
VPN per UMTS Karte - Tunnel steht - aber Netz dahinter nicht anpingbar !?
Es kann sein das du einen Billig Surftarif hast der im Mobilnetz mit RFC 1918 IP Adressen arbeitet dann hast du keinerlei Chance mit einem VPN das der provider NAT macht:
VPN per UMTS Karte - Tunnel steht - aber Netz dahinter nicht anpingbar !?
