Cisco Router VPN Config - Probleme mit Outside Traffic
hallo miteinander,
bin grad am tüfteln ein router mit vpn einzurichten. die vpn funktioniert und ich kann mit einem client der per ipSEC-client eingewählt ist
im netz die server erreichen nur der traffic nach außen, also wenn ich mit dem eingewählten client webseiten aufrufen will bekomme ich
keine rückmeldung.
ein client im netz drin, der über den router geht kann aber z.B. google erreichen.
ich hab mal meine config angefügt. kann es sein, daß für VPN verbindungen noch extra für outside traffic was eingetragen werden muss!?
danke!
bin grad am tüfteln ein router mit vpn einzurichten. die vpn funktioniert und ich kann mit einem client der per ipSEC-client eingewählt ist
im netz die server erreichen nur der traffic nach außen, also wenn ich mit dem eingewählten client webseiten aufrufen will bekomme ich
keine rückmeldung.
ein client im netz drin, der über den router geht kann aber z.B. google erreichen.
ich hab mal meine config angefügt. kann es sein, daß für VPN verbindungen noch extra für outside traffic was eingetragen werden muss!?
danke!
Using 6801 out of 245752 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Router01
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
logging buffered 4096 notifications
enable secret 5 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
!
aaa new-model
!
!
aaa authentication login clientauth local
aaa authorization network groupauthor local
!
!
aaa session-id common
clock timezone GMT 1
!
dot11 syslog
ip source-route
!
!
ip cef
!
!
ip name-server 192.168.10.10
no ipv6 cef
!
multilink bundle-name authenticated
!
vpdn enable
!
vpdn-group 1
request-dialin
protocol pppoe
!
voice-card 0
!
username xxxxxx privilege 15 password 7 xxxxxxxxxxxxxxxxxxxxxxxxxx
archive
log config
hidekeys
!
crypto keyring spokes
pre-shared-key address 0.0.0.0 0.0.0.0 key cisco123
!
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group testgroup
key cisco321
dns 194.25.0.54 192.168.10.10
wins 192.168.10.10
domain wr
pool ippool
crypto isakmp profile VPNclient
description VPN clients profile
match identity group testgroup
client authentication list clientauth
isakmp authorization list groupauthor
client configuration address respond
!
!
crypto ipsec transform-set myset esp-3des esp-sha-hmac
!
crypto dynamic-map dynmap 5
set transform-set myset
set isakmp-profile VPNclient
!
!
crypto map mymap 10 ipsec-isakmp dynamic dynmap
!
interface Loopback0
description VPN_ROUTER
ip address 192.168.5.1 255.255.255.255
!
interface Port-channel1
no ip address
hold-queue 150 in
!
interface Port-channel1.1
encapsulation dot1Q 1 native
!
interface Port-channel1.100
encapsulation dot1Q 100
ip address 192.168.10.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface Port-channel1.120
description server
encapsulation dot1Q 120
ip address 192.168.15.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface GigabitEthernet0/0
no ip address
duplex full
speed 1000
channel-group 1
!
interface GigabitEthernet0/1
no ip address
duplex full
speed 1000
channel-group 1
!
interface FastEthernet0/3/0
description ADSL Business
switchport access vlan 800
pppoe enable group global
!
interface FastEthernet0/3/1
description ADSL Schulen ans Netz
switchport access vlan 801
pppoe enable group global
pppoe-client dial-pool-number 2
!
interface FastEthernet0/3/2
!
interface FastEthernet0/3/3
!
interface FastEthernet0/2/0
no ip address
shutdown
duplex auto
speed auto
!
interface Vlan1
no ip address
!
interface Vlan800
no ip address
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface Vlan801
no ip address
pppoe enable group global
pppoe-client dial-pool-number 2
!
interface Dialer1
mtu 1492
ip address xxx.xxx.xxx.xxx 255.255.255.0
ip dns view-group 1
ip nat outside
ip virtual-reassembly
encapsulation ppp
no ip mroute-cache
dialer pool 1
dialer watch-group 1
dialer-group 1
no cdp enable
ppp authentication pap callin
ppp chap hostname xxxxxxxxxxxxxx
ppp pap sent-username xxxxxxxxxxxxxx password xxxxxxxxxxxxxxxx
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
ppp ipcp address accept
!
interface Dialer2
mtu 1492
ip address negotiated
ip dns view-group 2
ip nat outside
ip virtual-reassembly
encapsulation ppp
no ip mroute-cache
dialer pool 2
dialer watch-group 1
dialer-group 2
no cdp enable
ppp authentication pap callin
ppp chap hostname xxxxxxxxxxxxxxxxxxxxxxxxxxx
ppp chap password xxxxxxxxxxxxxxxxxxxxx
ppp pap sent-username xxxxxxxxxxxxxxxxxxx password xxxxxxxxxxxxxxxxxxxxxxxx
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
ppp ipcp address accept
crypto map mymap
!
ip local pool ippool 192.168.80.1 192.168.80.128
no ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer2
no ip http server
no ip http secure-server
!
!
ip dns server
ip nat inside source route-map backup interface Dialer2 overload
ip nat inside source route-map primary interface Dialer1 overload
!
access-list 10 permit 192.168.10.0 0.0.0.255
access-list 10 permit 192.168.80.0 0.0.0.255
dialer-list 1 protocol ip permit
dialer-list 2 protocol ip permit
!
route-map backup permit 10
match ip address 10
!
route-map primary permit 10
match ip address 10
!
control-plane
!
ccm-manager fax protocol cisco
!
!
line con 0
logging synchronous
login authentication clientauth
escape-character 27
line aux 0
line vty 0 4
logging synchronous
login authentication clientauth
transport input ssh
!
scheduler allocate 20000 1000
ntp server 192.168.10.10
end
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 149484
Url: https://administrator.de/forum/cisco-router-vpn-config-probleme-mit-outside-traffic-149484.html
Ausgedruckt am: 23.12.2024 um 20:12 Uhr
9 Kommentare
Neuester Kommentar
Hi,
das sieht so aus als wenn der Router auch die Verbindung ins Internet herstellt und ich glaube mich erinnern zu können, das das, was Du machen willst, nicht geht.
Wenn Du in Deinem Netzwerk einen Proxy hast, dann sollte Surfen gehen. Wenn im Netzwerk - also nicht auf dem Router - ein weiteres NAT-Device steht, dann sollte das auch machbar sein (verschobene Default Gateways und so'n Kram, doch direkt auf dem Gerät den VPN terminieren und gleichzeitig ins Internet gehen, geht glaube ich nicht.
Im Cisco Client ist ein Haken der sagt, dass man das lokale Netzwerk erreichen kann oder eben nicht. Wenn man hier sagt, dass der Zugriff ins lokale Netz möglich ist, dann wird der VPN aufgebaut und man kann z.B. über sein heimisches DSL ins Internet.
Falls es doch geht, dann sorry für die Fehlinformation und ich würde die Konfig dann auch bitte gerne haben wollen .
CU
das sieht so aus als wenn der Router auch die Verbindung ins Internet herstellt und ich glaube mich erinnern zu können, das das, was Du machen willst, nicht geht.
Wenn Du in Deinem Netzwerk einen Proxy hast, dann sollte Surfen gehen. Wenn im Netzwerk - also nicht auf dem Router - ein weiteres NAT-Device steht, dann sollte das auch machbar sein (verschobene Default Gateways und so'n Kram, doch direkt auf dem Gerät den VPN terminieren und gleichzeitig ins Internet gehen, geht glaube ich nicht.
Im Cisco Client ist ein Haken der sagt, dass man das lokale Netzwerk erreichen kann oder eben nicht. Wenn man hier sagt, dass der Zugriff ins lokale Netz möglich ist, dann wird der VPN aufgebaut und man kann z.B. über sein heimisches DSL ins Internet.
Falls es doch geht, dann sorry für die Fehlinformation und ich würde die Konfig dann auch bitte gerne haben wollen .
CU
Hi 1x1speed,
versuch mal vom Router über die 192.168.5.1 einen Ping ins Internet zu schicken und kontrolliere danach mal die Counter der IP-Accesslisten. Falls notwenig einfach mal diese auf "Null" setzen und nochmals versuchen.
Grüße,
Dani
versuch mal vom Router über die 192.168.5.1 einen Ping ins Internet zu schicken und kontrolliere danach mal die Counter der IP-Accesslisten. Falls notwenig einfach mal diese auf "Null" setzen und nochmals versuchen.
ich glaube mich erinnern zu können, das das, was Du machen willst, nicht geht.
Ist machbar wenn ich alles richtig verstanden habe.Grüße,
Dani
Das wäre cool, hast Du irgendwo ein Stück Config?
Na kla... ich habe die Konfiguration oben mal ein bisschen modifiziert:
Schaust euch mal in Ruhe an...
Grüße,
Dani
Using 6801 out of 245752 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Router01
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
logging buffered 4096 notifications
enable secret 5 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
!
aaa new-model
!
!
aaa authentication login clientauth local
aaa authorization network groupauthor local
!
!
aaa session-id common
clock timezone GMT 1
!
dot11 syslog
ip source-route
!
!
ip cef
!
!
ip name-server 192.168.10.10
no ipv6 cef
!
multilink bundle-name authenticated
!
vpdn enable
!
vpdn-group 1
request-dialin
protocol pppoe
!
voice-card 0
!
username xxxxxx privilege 15 password 7 xxxxxxxxxxxxxxxxxxxxxxxxxx
archive
log config
hidekeys
!
crypto keyring spokes
pre-shared-key address 0.0.0.0 0.0.0.0 key cisco123
!
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group testgroup
key cisco321
dns 194.25.0.54 192.168.10.10
wins 192.168.10.10
domain wr
pool ippool
crypto isakmp profile VPNclient
description VPN clients profile
match identity group testgroup
client authentication list clientauth
isakmp authorization list groupauthor
client configuration address respond
!
!
crypto ipsec transform-set myset esp-3des esp-sha-hmac
!
crypto dynamic-map dynmap 5
set transform-set myset
set isakmp-profile VPNclient
!
!
crypto map mymap 10 ipsec-isakmp dynamic dynmap
!
interface Loopback0
description interface for vpn clients
ip address 192.168.5.1 255.255.255.255
!
interface Port-channel1
no ip address
hold-queue 150 in
!
interface Port-channel1.1
encapsulation dot1Q 1 native
!
interface Port-channel1.100
encapsulation dot1Q 100
ip address 192.168.10.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface Port-channel1.120
description server
encapsulation dot1Q 120
ip address 192.168.15.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface GigabitEthernet0/0
no ip address
duplex full
speed 1000
channel-group 1
!
interface GigabitEthernet0/1
no ip address
duplex full
speed 1000
channel-group 1
!
interface FastEthernet0/3/0
description ADSL Business
switchport access vlan 800
pppoe enable group global
!
interface FastEthernet0/3/1
description ADSL Schulen ans Netz
switchport access vlan 801
pppoe enable group global
pppoe-client dial-pool-number 2
!
interface FastEthernet0/3/2
!
interface FastEthernet0/3/3
!
interface FastEthernet0/2/0
no ip address
shutdown
duplex auto
speed auto
!
interface Vlan1
no ip address
!
interface Vlan800
no ip address
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface Vlan801
no ip address
pppoe enable group global
pppoe-client dial-pool-number 2
!
interface Dialer1
mtu 1492
ip address xxx.xxx.xxx.xxx 255.255.255.0
ip dns view-group 1
ip nat outside
ip virtual-reassembly
encapsulation ppp
ip policy route-map VPN-Client
no ip mroute-cache
dialer pool 1
dialer watch-group 1
dialer-group 1
no cdp enable
ppp authentication pap callin
ppp chap hostname xxxxxxxxxxxxxx
ppp pap sent-username xxxxxxxxxxxxxx password xxxxxxxxxxxxxxxx
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
ppp ipcp address accept
!
interface Dialer2
mtu 1492
ip address negotiated
ip dns view-group 2
ip nat outside
ip virtual-reassembly
encapsulation ppp
ip policy route-map VPN-Client
no ip mroute-cache
dialer pool 2
dialer watch-group 1
dialer-group 2
no cdp enable
ppp authentication pap callin
ppp chap hostname xxxxxxxxxxxxxxxxxxxxxxxxxxx
ppp chap password xxxxxxxxxxxxxxxxxxxxx
ppp pap sent-username xxxxxxxxxxxxxxxxxxx password xxxxxxxxxxxxxxxxxxxxxxxx
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
ppp ipcp address accept
crypto map mymap
!
ip local pool ippool 192.168.80.1 192.168.80.128
no ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer2
no ip http server
no ip http secure-server
!
!
ip dns server
ip nat inside source route-map backup interface Dialer2 overload
ip nat inside source route-map primary interface Dialer1 overload
!
access-list 10 remark *** LAN ***
access-list 10 permit 192.168.10.0 0.0.0.127
access-list 110 remark *** VPN - Clients ***
access-list 110 permit ip 192.168.80.0 0.0.0.255 any
dialer-list 1 protocol ip permit
dialer-list 2 protocol ip permit
!
route-map backup permit 10
match ip address 10
!
route-map primary permit 10
match ip address 10
!
route-map VPN-Client permit 10
match ip address110
set interface Loopback0
!
control-plane
!
ccm-manager fax protocol cisco
!
!
line con 0
logging synchronous
login authentication clientauth
escape-character 27
line aux 0
line vty 0 4
logging synchronous
login authentication clientauth
transport input ssh
!
scheduler allocate 20000 1000
ntp server 192.168.10.10
end
Grüße,
Dani
Hi,
schau dir die Links mal an:
http://www.systemengineers.de/cisco/config/dsl-as-backup-line
http://www.systemengineers.de/cisco/config/dsl_backup
Leider habe ich keine Zeit es selber auszuprobieren.
Grüße,
Dani
schau dir die Links mal an:
http://www.systemengineers.de/cisco/config/dsl-as-backup-line
http://www.systemengineers.de/cisco/config/dsl_backup
Leider habe ich keine Zeit es selber auszuprobieren.
Grüße,
Dani