ef8619
Goto Top

Cisco ISR 1921 - VPN Einrichtung klappt nicht

Hallo,

ich versuche über unseren Cisco 1921 Router einen VPN-Server einzurichten, der die Einwahl mittels PPTP von außen ermöglicht. Leider klappt das Ganze nicht so richtig. Getestet habe ich bisher allerdings nur mit Apple iPhone 5 und MacBook Pro (die OS eigenen VPN Clients). Anbei mal meine Konfiguration des Routers:

Current configuration : 6588 bytes
!
! Last configuration change at 13:28:44 UTC Thu Aug 8 2013
! NVRAM config last updated at 12:44:46 UTC Wed Aug 7 2013
! NVRAM config last updated at 12:44:46 UTC Wed Aug 7 2013
version 15.1
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Cisco1921
!
boot-start-marker
boot-end-marker
!
!
logging buffered 51200 warnings
enable secret 4 <secret>
enable password cisco
!
no aaa new-model
!
!
no ipv6 cef
ip source-route
ip cef
!
!
!
ip dhcp excluded-address 10.80.1.1 10.80.1.15
ip dhcp excluded-address 10.80.1.200 10.80.1.254
!
ip dhcp pool local
 network 10.80.1.0 255.255.255.0
 default-router 10.80.1.254
 dns-server 10.80.1.254
 domain-name <name>
!
!
ip name-server <ns1>
ip name-server <ns2>
ip name-server 8.8.8.8
!
multilink bundle-name authenticated
!
vpdn enable
!
vpdn-group 1
 ! Default PPTP VPDN group
 accept-dialin
  protocol pptp
  virtual-template 1
 l2tp tunnel timeout no-session 15
!
crypto pki token default removal timeout 0
!
crypto pki trustpoint TP-self-signed-2083690069
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-2083690069
 revocation-check none
 rsakeypair TP-self-signed-2083690069
!
!
crypto pki certificate chain TP-self-signed-2083690069
 certificate self-signed 01
  3082022B 30820194 A0030201 02020101 300D0609 2A864886 F70D0101 05050030
  31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
  69666963 6174652D 32303833 36393030 3639301E 170D3133 30313232 31393338
  33395A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
  4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D32 30383336
  39303036 3930819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
  8100D274 E1A0DE74 34991BDA 2EF2B9A4 BC80511C 09A5ACE8 419DD6C9 7FDB1E36
  2ABA600A 43F71021 26808FD3 1C514566 5E2FBA5A 60A90015 1DA5D43E B3406124
  2BD20ACD 5E6D3D56 12C2EC89 7560733D 1F1A2B20 BD7B9275 1CEFB5CD CF40C960
  71A79316 F6A992FB 7A4D572E 5ED548A9 4F70048F 8F1F394B 04E8067B 2E08F658
  7F210203 010001A3 53305130 0F060355 1D130101 FF040530 030101FF 301F0603
  551D2304 18301680 14C612DF 06D8F371 1DF1AA57 16A569F6 10FCE451 82301D06
  03551D0E 04160414 C612DF06 D8F3711D F1AA5716 A569F610 FCE45182 300D0609
  2A864886 F70D0101 05050003 8181000F 780A0FD4 D1CB31B8 AE123816 A0D94868
  65887115 D99B05BB AF41D8D0 CE2DDA8F CF288948 822CC63A EBC79A5E 793393D8
  553CE8FC 53F45CB9 6E7BC6B5 A7777C89 641B4DAC 268C89AA 03290ADC 7594E4B9
  5BC61B72 FBB83101 3C06B422 BBD115A9 084BAE46 55E01397 725A64FE 1C752A6C
  1684BA28 65D91FE5 E26639D1 DFDB04
  	quit
license udi pid CISCO1921/K9 sn FGL1704224A
license boot module c1900 technology-package securityk9
license boot module c1900 technology-package datak9
!
!
username admin privilege 15 secret 4 <secret>
username NVE password 0 <password>
!
redundancy
!
!
!
!
!
!
!
!
!
!
!
interface Embedded-Service-Engine0/0
 no ip address
 shutdown
!
interface GigabitEthernet0/0
 description Lokales LAN
 ip address 10.80.1.254 255.255.255.0
 ip flow ingress
 ip flow egress
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1452
 duplex auto
 speed auto
!
interface GigabitEthernet0/1
 description VDSL Internet Verbindung$ETH-WAN$
 ip address dhcp
 no ip redirects
 no ip proxy-arp
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto
!
interface Virtual-Template1
 description PPTP Einwahl Interface fuer VPN-Zugang
 no ip address
 peer default ip address pool pptp_dialin
 no keepalive
 ppp encrypt mppe 128 required
 ppp authentication ms-chap-v2
!
ip forward-protocol nd
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip dns server
ip nat inside source list 101 interface GigabitEthernet0/1 overload
!
access-list 1 remark INSIDE_IF=GigabitEthernet0/0

Content-ID: 213759

Url: https://administrator.de/forum/cisco-isr-1921-vpn-einrichtung-klappt-nicht-213759.html

Ausgedruckt am: 23.12.2024 um 14:12 Uhr

ef8619
ef8619 09.08.2013 aktualisiert um 10:20:59 Uhr
Goto Top
Es wird besser.

Folgenden Konfigurationsausschnitte habe ich nun für die PPTP-Einwahl verwendet:

<code style="php">
aaa new-model
!
!
aaa authentication ppp default local
!
!
!
!
!
aaa session-id common

<code style="php">
vpdn enable
!
vpdn-group group1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
l2tp tunnel timeout no-session 15


interface Virtual-Template1
 ip unnumbered GigabitEthernet0/0
 peer default ip address pool PPTP
 ppp encrypt mppe auto required
 ppp authentication ms-chap ms-chap-v2
!
ip local pool PPTP 10.80.1.10 10.80.1.19

und die dazugehörigen User-Accounts.

Ich kann mich nun problemlos mit meinem MacBook zuhause im Firmennetz über eine PPTP-Verbindung einloggen und auf die Netzwerkgeräte zugreifen und habe auch Internetzugriff.

Leider klappt das aber nicht für Windows-Rechner (Windows 7, Windows 8). Hier bekomme ich ständig Fehler 619 (MS-CHAP2 Protokoll eingestellt).

Mit dem iPhone kann ich mich zwar einwählen, aber dann habe ich keinerlei Zugriff ins Netzwerk, also weder auf Geräte noch ins Internet.

Weiß jemand Rat?
aqui
aqui 09.08.2013 aktualisiert um 15:14:35 Uhr
Goto Top
Ja, das ist klar, denn ein die neueren Winblows Versionen erzwingen eine 128 Bit Verschlüsselung !
Die folgende Konfig:

Interface Virtual-Template1
ip unnumbered GigabitEthernet0/0
no keepalive
no cdp enable
peer default ip address pool PPTP
ppp encrypt mppe 128 required
ppp authentication ms-chap-v2


löst dein Problem sofort. Wärst du auch sicher selber draufgekommen wenn du nur einmal ein Blick in dieses Tutorial geworfen hättest, dort ist das explizit erklärt.
L2TP ist natürlich Blödsinn in der Cisco Konfig, denn das nutzt du ja gar nicht. Besser also mit "no ..." entfernen !
Ggf. zusätzlich noch hier was die Client Settings angeht, denn hier sollte der Client dediziert im PPTP Mode stehen und NICHT "auto".

Beachte zudem das bei den neueren Windows Versionen das VPN als öffentliches Netzwerk in den Firewall Settings deklariert wird. Zugriffe auf Clients ohne aktive Session sind so nicht möglich.
Benötigst du vermutlich auch nicht für nur remoten Zugriff ?!
Sinnvoll wäre zur PPTP Einwahl auch ein Auszug aus dem Cisco Log was du mit "show logg" einsehen kannst !
Noch sinnvoller wäre es mal den Debugger mit "debug pptp xyz" zu aktivieren um zu sehen was der Cisco zur Client Einwahl denn so zu sagen hat.
Die o.a. Konfig funktioniert aber fehlerfrei mit einem aktuellen Win 7 Client und auch einem aktuellen iPhone 5.
ef8619
ef8619 12.08.2013 um 17:05:58 Uhr
Goto Top
Hallo,

erstmal vielen Dank für deine Antwort. Ich habe die Verschlüsselung wie oben auf 128 Bit umgestellt und das normale ms-chap verfahren entfernt. Leider weiß ich nicht, wie ich das l2tp entfernen kann??

Aktueller Stand ist, dass ich mich auf jeden Fall mit einem iPhone einwählen kann. Ich bekomme sogar Zugriff auf Netzwerkressourcen. Allerdings habe ich keine Internetverbindung mehr. Auf dem MacBook habe ich dieses Problem nicht, dort habe ich WAN Zugriff.

Die Geschichte mit Windows 8 habe ich noch immer nicht hinbekommen. Stets Fehler 619.
aqui
aqui 12.08.2013 um 18:52:17 Uhr
Goto Top
Entfernen der l2tp Konfig Einträge:
conf t
vpdn-group group1
no l2tp tunnel timeout no-session 15
<ctrl z>
wr

Fertig, dann ist es weg !

Wenn du keine Internet Verbindung hast dann hast du den VPN Client so eingestellt das sein VPN Tunnel auch gleich das Default Gateway ist !!
Das muss man natürlich abschalten !
Bitte sieh in dies Tutorial:
VPNs einrichten mit PPTP
Dort ist das explizit in den "Client Einstellungen" mit roten Lettern erwähnt.
Gleiche Konfig oben funktioniert hier mit iPhone und iPad und neuestem iOS vollkommen problemlos !

Was den Win 8 Client anbetrifft ist Error 619 so gut wie immer ein Firewall Problem ! D.h. Teile des Protokoll (meist ist es der GRE Tunnel) kommen nicht durch und dann kommt der PPTP Tunnel nicht zustande !
Wenn du einen mobilen Adapter für das Mobilfunknetz hast und einen billigen Surf Account dann blockieren in der Regel alle Provider die gängigen VPN Protokolle:
PPTP Fehler beim Verbinden 619
Da bleibt dann nichts anderes als in einen teureren Business Account zu wechseln.
Ansonsten musst du checken welches Firewall Profil Win 8 auf den VPN Link legt !! Vermutlich ist es das öffentliche, damit sind dann alle eingehenden Verbindungen blockiert.
Pass das also an dann klappt das.
Das es generell geht siehst du ja an der Tatsache das der rest der Welt damit funktioniert nur Winblows nicht !
ef8619
ef8619 14.08.2013 um 14:58:24 Uhr
Goto Top
Hallo,

leider funktioniert der Befehl zum Entfernen des l2tp tunnels nicht:

Cisco1921(config-vpdn)#no l2tp tunnel timeout no-session 15
                           ^
% Invalid input detected at '^' marker.  
aqui
aqui 15.08.2013 um 14:39:44 Uhr
Goto Top
Mmmhhh...komisch ?! Lösch sonst die ganze vpdn-group 1 nochmal, reboote den Router und lege die neu an mit
vpdn-group 1
accept-dialin
protocol pptp
virtual-template 1
!

Dann sollte das aber sicher weg sein !
ef8619
ef8619 19.08.2013 um 16:00:01 Uhr
Goto Top
So hat's funktioniert. Danke.
aqui
aqui 19.08.2013 um 16:56:59 Uhr
Goto Top
Alles wird gut ! face-smile

Wenns das denn war bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !