haurg1
17.09.2015
view2517
view2
0
Goto Top

Cisco 886va Ports (UDP 500, 4500) weiterleiten und VPN parallel

FrageNetzwerkeRouter, Routing
Guten Abend zusammen,

ich sitze momentan noch in der Firma und bin mit meinem Latein leider so gut wie am Ende..

Wir müssen die Ports (UDP 500, 4500) freigeben, damit der Hersteller auf eine Maschine (10.77.50.104) remote zugreifen kann.

Wir benutzen auch die VPN funktionalitäten dieses Routers, daher meine Frage, kann ich diese Ports freigeben und gleichzeitig VPN benutzen. Meines Wissens sind das die selben Ports wie sie beim VPN benutzt werden, oder? Woher weiß der Router, ob er an die Maschine durchleiten soll, oder eine VPN-Verbindung aufbauen soll?

Ich habe entsprechend folgendem Post: Cisco 886va VDSL Ports Weiterleiten ???
die Nats eingerichtet
ip nat source static udp 10.77.50.104 500 interface Dialer0 500
ip nat source static udp 10.77.50.104 4500 interface Dialer0 4500

und auch die access-lists angepasst
access-list 101 deny   ip host 10.77.50.104 any
access-list 101 permit ip 10.77.50.0 0.0.0.255 any

Die Techniker haben momentan schon die Maschine ausgeschalten. Kann ich dennoch testen, ob die Portweiterleitung funktioniert über Webseiten wie: http://www.yougetsignal.com/tools/open-ports/

Die aktuelle Konfiguration:
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname CISCO886VA
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$bRM3$ZtGko5n248ARtOU6EmX.X.
enable password 7 013D0310411C031D2A1D
!
aaa new-model
!
aaa authentication login default local
aaa authentication login ciscocp_vpn_xauth_ml_1 local
aaa authorization exec default local
aaa authorization network ciscocp_vpn_group_ml_1 local
!
aaa session-id common
memory-size iomem 10
clock timezone CET 1 0
crypto pki token default removal timeout 0
!
crypto pki trustpoint TP-self-signed-781234201
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-781234201
 revocation-check none
 rsakeypair TP-self-signed-781234201
!
crypto pki certificate chain TP-self-signed-781234201
 certificate self-signed 01 nvram:IOS-Self-Sig#1.cer
!
ip cef
no ipv6 cef
!
license udi pid CISCO886VA-K9 sn FCZ1620C7J7
!
username xxx privilege 15 secret 5 $1$WhUz$65ehc6rgv70A5u9lwnbyV/
!
controller VDSL 0
!
crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 2
!
crypto isakmp policy 2
 encr aes
 hash md5
 authentication pre-share
 group 2
!
crypto isakmp client configuration group ak-energievpn
 key SCS2013vpn!$
 pool SDM_POOL_1
 acl 100
crypto isakmp profile ciscocp-ike-profile-1
   match identity group ak-energievpn
   client authentication list ciscocp_vpn_xauth_ml_1
   isakmp authorization list ciscocp_vpn_group_ml_1
   client configuration address respond
   virtual-template 1
!
crypto ipsec transform-set ESP-AES128-MD5 esp-aes esp-md5-hmac
!
crypto ipsec profile CiscoCP_Profile1
 set security-association idle-time 3540
 set transform-set ESP-AES128-MD5
 set isakmp-profile ciscocp-ike-profile-1
!
interface Ethernet0
 no ip address
 shutdown
!
interface BRI0
 no ip address
 encapsulation hdlc
 shutdown
 isdn termination multidrop
!
interface ATM0
 no ip address
 no ip redirects
 no ip unreachables
 no atm ilmi-keepalive
!
interface ATM0.1 point-to-point
 description ATMPTP
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 pvc 1/32
  pppoe-client dial-pool-number 1
 !
interface FastEthernet0
 no ip address
!
interface FastEthernet1
 no ip address
!
interface FastEthernet2
 no ip address
!
interface FastEthernet3
 no ip address
!
interface Virtual-Template1 type tunnel
 ip unnumbered Vlan90
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile CiscoCP_Profile1
!
interface Vlan1
 description Network_def
 ip address 10.77.10.12 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1452
!
interface Vlan90
 ip address 10.77.90.12 255.255.255.0
!
interface Dialer0
 description DSL Einwahl
 ip address negotiated
 ip access-group 111 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip mtu 1452
 ip nbar protocol-discovery
 ip nat outside
 ip virtual-reassembly in
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 ppp authentication chap pap callin
 ppp chap hostname festXXX
 ppp chap password 7 060704721E1B0C175D
 ppp pap sent-username feste-XXX.de password 7 XXX
 no cdp enable
!
ip local pool SDM_POOL_1 10.77.90.100 10.77.90.110
no ip forward-protocol nd
ip http server
ip http secure-server
!
ip dns server
ip nat source static udp 10.77.50.104 500 interface Dialer0 500
ip nat source static udp 10.77.50.104 4500 interface Dialer0 4500
ip nat inside source list 101 interface Dialer0 overload
ip route 0.0.0.0 0.0.0.0 Dialer0
ip route 10.77.20.0 255.255.255.0 10.77.10.254
ip route 10.77.30.0 255.255.255.0 10.77.10.254
ip route 10.77.40.0 255.255.255.0 10.77.10.254
ip route 10.77.50.0 255.255.255.0 10.77.10.254
ip route 10.77.100.0 255.255.255.0 10.77.10.254
!
access-list 23 permit 10.77.100.0 0.0.0.255
access-list 23 permit 10.77.10.0 0.0.0.255
access-list 23 permit 10.77.30.0 0.0.0.255
access-list 100 remark CCP_ACL Category=4
access-list 100 permit ip 10.77.0.0 0.0.255.255 any
access-list 101 permit ip 10.77.10.0 0.0.0.255 any
access-list 101 permit ip 10.77.20.0 0.0.0.255 any
access-list 101 permit ip 10.77.30.0 0.0.0.255 any
access-list 101 permit ip 10.77.40.0 0.0.0.255 any
access-list 101 permit ip 10.77.100.0 0.0.0.255 any
access-list 101 deny   ip host 10.77.50.104 any
access-list 101 permit ip 10.77.50.0 0.0.0.255 any
dialer-list 1 protocol ip list 101
!
line con 0
line aux 0
line vty 0 4
 password 7 153C0E181E3D2E362362
 transport input all
!
ntp server 10.77.20.3
end

Vielen Dank schon mal für eure Hilfe und noch einen schönen Abend,
Joerg
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 283186

Url: https://administrator.de/contentid/283186

Ausgedruckt am: 22.11.2024 um 02:11 Uhr

2 Kommentare
Neuester Kommentar
Goto Top
aqui
aqui 18.09.2015 aktualisiert um 09:54:08 Uhr
Goto Top
Das Tutorial dazu hier im Forum hast du gelesen ??
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV

Dort steht genau was du machen musst ! Essentiell wichtig ist zu wissen of du CBAC Accesslisten hast in Verbindung mit dem Firewall Image oder Standard ACLs.
Das Tutorial zeigt dir auch ein paar kosmetische Fehler die deinen Konfig hat und die du besser noch korrigieren solltest. (Default Route bei PPP usw. )

Noch eine zusätzlich Frage:
1.)
UDP 500 und UDP 4500 "riecht" danach das du IPsec durchleiten willst, richtig ?
IPsec besteht zusätzlich zu diesen Ports im wesentlichen aus ESP ("Encapsulation Security Payload", IP Protokoll 51) das die Nutzdaten im Tunnel transportiert. Ohne ESP Forwarding also kein IPsec, das sollte dir klar sein ?!
2.)
Warum terminierst du IPsec nicht direkt auf dem Cisco ? Der kann das sicher besser als dein Device dahinter und du ersparst dir die Frickelei mit Port Forwarding.
Das beides solltest du auch mal klären bevor wir ins Eingemachte gehen hier...?!
aqui
aqui 22.09.2015 um 10:14:28 Uhr
Goto Top
Ein weiteres KO Kriterium ! Im Dialer Interface steht:
ip access-group 111 in

WO ist diese Access List 111 ?? In der Konfig existiert sie nicht !! Damit gilt dann deny any any inbound auf dem Dialer Interface.
Irgendwie ist zu befürchten das hier ein ziemlicher Konfig Fehler begangen wurde was die ACLs anbetrifft.
Richte dich nach dem o.a. Tutorial zum Cisco 886va dort steht genau beschrieben wie so einen ACL auf dem Dialer Interface umzusetzen ist.
Richtig sähe eine inbound ACL die IPsec (fett) durchlässt so aus:
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any eq ntp any
access-list 111 permit udp any any eq 500
access-list 111 permit udp any any eq 4500
access-list 111 permit esp any any
access-list 111 deny ip any any

Das ist aber nur die halbe Miete. Du musst IPsec ja auch noch intern forwarden. Dazu musst du dann auch noch ein Port Forwarding einrichten:
ip nat inside source static int dialer0 10.77.1.1 extendable
FrageNetzwerkeRouter, Routing
Mehr von haurg1haurg1Cisco VPN (IPSec) mit Firewall konfigurieren 886VAhaurg1 - 2 Kommentarehaurg1Layer 3 und Layer 2 Switch in Netzwerkhaurg1 - 10 Kommentarehaurg1Unterschied CISCO881-SEC-K9 und CISCO887VA-K9 abgesehen vom Modemhaurg1 - 3 Kommentarehaurg1Cisco887VA-k9 auch andere Internetverbindungsart möglich?haurg1 - 4 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 23 KommentarecseLaufwege erfassen in großer Hallecse - 20 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareaufdemmarsHP Z620 USB hat kein Strom beim Startenaufdemmars - 17 KommentareYan2021Nachricht an mehrere PCs im Netzwerk sendenYan2021 - 17 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 14 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareadmtechEntwicklertagebuch: Release 6.4 - Filteradmtech - 13 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 12 Kommentare