Cisco 886va Ports (UDP 500, 4500) weiterleiten und VPN parallel
Guten Abend zusammen,
ich sitze momentan noch in der Firma und bin mit meinem Latein leider so gut wie am Ende..
Wir müssen die Ports (UDP 500, 4500) freigeben, damit der Hersteller auf eine Maschine (10.77.50.104) remote zugreifen kann.
Wir benutzen auch die VPN funktionalitäten dieses Routers, daher meine Frage, kann ich diese Ports freigeben und gleichzeitig VPN benutzen. Meines Wissens sind das die selben Ports wie sie beim VPN benutzt werden, oder? Woher weiß der Router, ob er an die Maschine durchleiten soll, oder eine VPN-Verbindung aufbauen soll?
Ich habe entsprechend folgendem Post: Cisco 886va VDSL Ports Weiterleiten ???
die Nats eingerichtet
und auch die access-lists angepasst
Die Techniker haben momentan schon die Maschine ausgeschalten. Kann ich dennoch testen, ob die Portweiterleitung funktioniert über Webseiten wie: http://www.yougetsignal.com/tools/open-ports/
Die aktuelle Konfiguration:
Vielen Dank schon mal für eure Hilfe und noch einen schönen Abend,
Joerg
ich sitze momentan noch in der Firma und bin mit meinem Latein leider so gut wie am Ende..
Wir müssen die Ports (UDP 500, 4500) freigeben, damit der Hersteller auf eine Maschine (10.77.50.104) remote zugreifen kann.
Wir benutzen auch die VPN funktionalitäten dieses Routers, daher meine Frage, kann ich diese Ports freigeben und gleichzeitig VPN benutzen. Meines Wissens sind das die selben Ports wie sie beim VPN benutzt werden, oder? Woher weiß der Router, ob er an die Maschine durchleiten soll, oder eine VPN-Verbindung aufbauen soll?
Ich habe entsprechend folgendem Post: Cisco 886va VDSL Ports Weiterleiten ???
die Nats eingerichtet
ip nat source static udp 10.77.50.104 500 interface Dialer0 500
ip nat source static udp 10.77.50.104 4500 interface Dialer0 4500
und auch die access-lists angepasst
access-list 101 deny ip host 10.77.50.104 any
access-list 101 permit ip 10.77.50.0 0.0.0.255 any
Die Techniker haben momentan schon die Maschine ausgeschalten. Kann ich dennoch testen, ob die Portweiterleitung funktioniert über Webseiten wie: http://www.yougetsignal.com/tools/open-ports/
Die aktuelle Konfiguration:
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname CISCO886VA
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$bRM3$ZtGko5n248ARtOU6EmX.X.
enable password 7 013D0310411C031D2A1D
!
aaa new-model
!
aaa authentication login default local
aaa authentication login ciscocp_vpn_xauth_ml_1 local
aaa authorization exec default local
aaa authorization network ciscocp_vpn_group_ml_1 local
!
aaa session-id common
memory-size iomem 10
clock timezone CET 1 0
crypto pki token default removal timeout 0
!
crypto pki trustpoint TP-self-signed-781234201
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-781234201
revocation-check none
rsakeypair TP-self-signed-781234201
!
crypto pki certificate chain TP-self-signed-781234201
certificate self-signed 01 nvram:IOS-Self-Sig#1.cer
!
ip cef
no ipv6 cef
!
license udi pid CISCO886VA-K9 sn FCZ1620C7J7
!
username xxx privilege 15 secret 5 $1$WhUz$65ehc6rgv70A5u9lwnbyV/
!
controller VDSL 0
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
!
crypto isakmp policy 2
encr aes
hash md5
authentication pre-share
group 2
!
crypto isakmp client configuration group ak-energievpn
key SCS2013vpn!$
pool SDM_POOL_1
acl 100
crypto isakmp profile ciscocp-ike-profile-1
match identity group ak-energievpn
client authentication list ciscocp_vpn_xauth_ml_1
isakmp authorization list ciscocp_vpn_group_ml_1
client configuration address respond
virtual-template 1
!
crypto ipsec transform-set ESP-AES128-MD5 esp-aes esp-md5-hmac
!
crypto ipsec profile CiscoCP_Profile1
set security-association idle-time 3540
set transform-set ESP-AES128-MD5
set isakmp-profile ciscocp-ike-profile-1
!
interface Ethernet0
no ip address
shutdown
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
isdn termination multidrop
!
interface ATM0
no ip address
no ip redirects
no ip unreachables
no atm ilmi-keepalive
!
interface ATM0.1 point-to-point
description ATMPTP
no ip redirects
no ip unreachables
no ip proxy-arp
pvc 1/32
pppoe-client dial-pool-number 1
!
interface FastEthernet0
no ip address
!
interface FastEthernet1
no ip address
!
interface FastEthernet2
no ip address
!
interface FastEthernet3
no ip address
!
interface Virtual-Template1 type tunnel
ip unnumbered Vlan90
tunnel mode ipsec ipv4
tunnel protection ipsec profile CiscoCP_Profile1
!
interface Vlan1
description Network_def
ip address 10.77.10.12 255.255.255.0
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1452
!
interface Vlan90
ip address 10.77.90.12 255.255.255.0
!
interface Dialer0
description DSL Einwahl
ip address negotiated
ip access-group 111 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1452
ip nbar protocol-discovery
ip nat outside
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname festXXX
ppp chap password 7 060704721E1B0C175D
ppp pap sent-username feste-XXX.de password 7 XXX
no cdp enable
!
ip local pool SDM_POOL_1 10.77.90.100 10.77.90.110
no ip forward-protocol nd
ip http server
ip http secure-server
!
ip dns server
ip nat source static udp 10.77.50.104 500 interface Dialer0 500
ip nat source static udp 10.77.50.104 4500 interface Dialer0 4500
ip nat inside source list 101 interface Dialer0 overload
ip route 0.0.0.0 0.0.0.0 Dialer0
ip route 10.77.20.0 255.255.255.0 10.77.10.254
ip route 10.77.30.0 255.255.255.0 10.77.10.254
ip route 10.77.40.0 255.255.255.0 10.77.10.254
ip route 10.77.50.0 255.255.255.0 10.77.10.254
ip route 10.77.100.0 255.255.255.0 10.77.10.254
!
access-list 23 permit 10.77.100.0 0.0.0.255
access-list 23 permit 10.77.10.0 0.0.0.255
access-list 23 permit 10.77.30.0 0.0.0.255
access-list 100 remark CCP_ACL Category=4
access-list 100 permit ip 10.77.0.0 0.0.255.255 any
access-list 101 permit ip 10.77.10.0 0.0.0.255 any
access-list 101 permit ip 10.77.20.0 0.0.0.255 any
access-list 101 permit ip 10.77.30.0 0.0.0.255 any
access-list 101 permit ip 10.77.40.0 0.0.0.255 any
access-list 101 permit ip 10.77.100.0 0.0.0.255 any
access-list 101 deny ip host 10.77.50.104 any
access-list 101 permit ip 10.77.50.0 0.0.0.255 any
dialer-list 1 protocol ip list 101
!
line con 0
line aux 0
line vty 0 4
password 7 153C0E181E3D2E362362
transport input all
!
ntp server 10.77.20.3
end
Vielen Dank schon mal für eure Hilfe und noch einen schönen Abend,
Joerg
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 283186
Url: https://administrator.de/contentid/283186
Ausgedruckt am: 09.11.2024 um 01:11 Uhr
2 Kommentare
Neuester Kommentar
Das Tutorial dazu hier im Forum hast du gelesen ??
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Dort steht genau was du machen musst ! Essentiell wichtig ist zu wissen of du CBAC Accesslisten hast in Verbindung mit dem Firewall Image oder Standard ACLs.
Das Tutorial zeigt dir auch ein paar kosmetische Fehler die deinen Konfig hat und die du besser noch korrigieren solltest. (Default Route bei PPP usw. )
Noch eine zusätzlich Frage:
1.)
UDP 500 und UDP 4500 "riecht" danach das du IPsec durchleiten willst, richtig ?
IPsec besteht zusätzlich zu diesen Ports im wesentlichen aus ESP ("Encapsulation Security Payload", IP Protokoll 51) das die Nutzdaten im Tunnel transportiert. Ohne ESP Forwarding also kein IPsec, das sollte dir klar sein ?!
2.)
Warum terminierst du IPsec nicht direkt auf dem Cisco ? Der kann das sicher besser als dein Device dahinter und du ersparst dir die Frickelei mit Port Forwarding.
Das beides solltest du auch mal klären bevor wir ins Eingemachte gehen hier...?!
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Dort steht genau was du machen musst ! Essentiell wichtig ist zu wissen of du CBAC Accesslisten hast in Verbindung mit dem Firewall Image oder Standard ACLs.
Das Tutorial zeigt dir auch ein paar kosmetische Fehler die deinen Konfig hat und die du besser noch korrigieren solltest. (Default Route bei PPP usw. )
Noch eine zusätzlich Frage:
1.)
UDP 500 und UDP 4500 "riecht" danach das du IPsec durchleiten willst, richtig ?
IPsec besteht zusätzlich zu diesen Ports im wesentlichen aus ESP ("Encapsulation Security Payload", IP Protokoll 51) das die Nutzdaten im Tunnel transportiert. Ohne ESP Forwarding also kein IPsec, das sollte dir klar sein ?!
2.)
Warum terminierst du IPsec nicht direkt auf dem Cisco ? Der kann das sicher besser als dein Device dahinter und du ersparst dir die Frickelei mit Port Forwarding.
Das beides solltest du auch mal klären bevor wir ins Eingemachte gehen hier...?!
Ein weiteres KO Kriterium ! Im Dialer Interface steht:
ip access-group 111 in
WO ist diese Access List 111 ?? In der Konfig existiert sie nicht !! Damit gilt dann deny any any inbound auf dem Dialer Interface.
Irgendwie ist zu befürchten das hier ein ziemlicher Konfig Fehler begangen wurde was die ACLs anbetrifft.
Richte dich nach dem o.a. Tutorial zum Cisco 886va dort steht genau beschrieben wie so einen ACL auf dem Dialer Interface umzusetzen ist.
Richtig sähe eine inbound ACL die IPsec (fett) durchlässt so aus:
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any eq ntp any
access-list 111 permit udp any any eq 500
access-list 111 permit udp any any eq 4500
access-list 111 permit esp any any
access-list 111 deny ip any any
Das ist aber nur die halbe Miete. Du musst IPsec ja auch noch intern forwarden. Dazu musst du dann auch noch ein Port Forwarding einrichten:
ip nat inside source static int dialer0 10.77.1.1 extendable
ip access-group 111 in
WO ist diese Access List 111 ?? In der Konfig existiert sie nicht !! Damit gilt dann deny any any inbound auf dem Dialer Interface.
Irgendwie ist zu befürchten das hier ein ziemlicher Konfig Fehler begangen wurde was die ACLs anbetrifft.
Richte dich nach dem o.a. Tutorial zum Cisco 886va dort steht genau beschrieben wie so einen ACL auf dem Dialer Interface umzusetzen ist.
Richtig sähe eine inbound ACL die IPsec (fett) durchlässt so aus:
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any eq ntp any
access-list 111 permit udp any any eq 500
access-list 111 permit udp any any eq 4500
access-list 111 permit esp any any
access-list 111 deny ip any any
Das ist aber nur die halbe Miete. Du musst IPsec ja auch noch intern forwarden. Dazu musst du dann auch noch ein Port Forwarding einrichten:
ip nat inside source static int dialer0 10.77.1.1 extendable