serial90
Goto Top

Cisco SVTI - Tunnel

Moin, moin.

ich habe folgendes Problem:

Ich möchte ein SVTI Tunnel zwischen zwei Cisco-Router aufbauen. (Multicast notwendig geworden)

Gibt es hier jemanden der so etwas schon einmal erfolgreich getan hat?

Nach dieser Anleitung habe ich es schon versucht:

http://www.cisco.com/en/US/technologies/tk583/tk372/technologies_white_ ...

allerdings ohne erfolgreich zu sein?! (Tunnel baut sich nicht auf und es gibt bei jedem Debug einen anderen Error)

Content-ID: 332230

Url: https://administrator.de/contentid/332230

Ausgedruckt am: 02.11.2024 um 22:11 Uhr

aqui
aqui 15.03.2017 um 17:15:25 Uhr
Goto Top
Du solltest strategisch vorgehen:
  • Erstmal eine funktionierende IPsec Verbindung zwischen den beiden Ciscos zum laufen bringen. Das sollte mithilfe der hiesigen Tutorials eine Lachnummer sein.
  • Dann etablierst du den Tunnellink

Wenn sich der Tunnel nicht aufbaut hast du schon ein generelles Problem das vermutlich auch dein IPsec nicht funktioniert.
Hast du 1 zu 1 diesen Testaufbau gemacht ? (Der funktioniert fehlerlos) oder hast du ein Live Szenario über das Internet.
Beachte das im oben zitierten Beispiel kein NAT zum tragen kommt was bei Internet Verbindungen sonst üblich ist.
Mit NAT sind ein paar Besonderheiten verbunden. Weisst du aber vermutlich selber anhand deiner hiersigen anderen IPsec Threads ?! face-wink
aqui
aqui 16.03.2017, aktualisiert am 01.04.2017 um 14:21:00 Uhr
Goto Top
So, das Problem ist in der Tat das NAT was du vermutlich nicht bedacht hast.
Hier ein funktionsfähiger Testaufbau mit der Lösung:

2routervti

Um den VTI Tunnel zu testen rennt auf beiden Seiten ein RIP Ver2 Prozess der die Routen dynamisch über den Tunnel propagiert (Multicast Adresse 224.0.0.2)

Konfig Router 1, Cisco 831:
service timestamps log datetime localtime
no service password-encryption
!
hostname Cisco-831
!
clock timezone CET 1
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
ip dhcp binding cleanup interval 600
ip dhcp excluded-address 172.32.7.1 172.32.7.100
ip dhcp excluded-address 172.32.7.110 172.32.7.254
!
ip dhcp pool c831
   network 172.32.7.0 255.255.255.0
   default-router 172.32.7.1
   dns-server 192.168.7.254
   domain-name test2.intern
!
ip inspect name myfw tcp
ip inspect name myfw udp
!
crypto isakmp policy 10
 encr 3des
 authentication pre-share
 group 2
crypto isakmp key geheim123 address 0.0.0.0 0.0.0.0
!
crypto ipsec transform-set tunneltest esp-3des esp-sha-hmac
!
crypto ipsec profile VTI
 set transform-set tunneltest
!
!
interface Tunnel0
 description VTI Tunnel remote Location
 ip address 192.168.99.2 255.255.255.0
 tunnel source Ethernet1
 tunnel destination 10.1.1.88
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile VTI
!
interface Ethernet0
 description Lokales LAN
 ip address 172.32.7.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
!
interface Ethernet1
 description Test WAN Internet
 ip address dhcp hostname cisco831
 ip access-group 111 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip inspect myfw out
 ip virtual-reassembly
 duplex auto
!
!
router rip
 version 2
 passive-interface Ethernet1
 network 172.32.0.0
 network 192.168.99.0
 no auto-summary
!
!
ip nat inside source list 101 interface Ethernet1 overload
!
access-list 101 permit ip 172.32.7.0 0.0.0.255 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq bootps any
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp any any eq non500-isakmp
access-list 111 permit esp any any
access-list 111 permit udp any eq ntp any
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 deny   ip any any 

Konfig Router 2, Cisco 886:
service timestamps log datetime localtime
no service password-encryption
!
hostname Cisco886
!
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
ip dhcp binding cleanup interval 600
ip dhcp excluded-address 172.16.7.1 172.16.7.150
ip dhcp excluded-address 172.16.7.160 172.16.7.254
!
ip dhcp pool local
 network 172.16.7.0 255.255.255.0
 default-router 172.16.7.1
 dns-server 192.168.7.254
 domain-name test.intern
!
ip inspect name myfw ftp
ip inspect name myfw tcp
ip inspect name myfw udp
ip inspect name myfw https
ip inspect name myfw http
!
crypto isakmp policy 10
 encr aes
 authentication pre-share
 group 2
!
crypto isakmp policy 15
 encr 3des
 authentication pre-share
 group 2
crypto isakmp key geheim123 address 0.0.0.0
!
!
crypto ipsec transform-set testset esp-aes esp-sha-hmac
 mode tunnel
crypto ipsec transform-set testset2 esp-3des esp-sha-hmac
 mode tunnel
!
crypto ipsec profile VTI
 set transform-set testset2
!
!
interface Tunnel0
 decription VTI Tunnel Hauptstandort
 ip address 192.168.99.1 255.255.255.0
 tunnel source 10.1.1.88
 tunnel mode ipsec ipv4
 tunnel destination 10.99.1.109
 tunnel protection ipsec profile VTI
!
interface FastEthernet0
 switchport access vlan 99
 no ip address
!
interface Vlan1
 description Lokales LAN
 ip address 172.16.7.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
!
interface Vlan99
 description Test WAN Internet
 ip address 10.1.1.88 255.255.255.0
 ip access-group 111 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip inspect myfw out
 ip virtual-reassembly in
!
router rip
 version 2
 passive-interface vlan 99
 network 172.16.0.0
 network 192.168.99.0
 no auto-summary
!
!
ip nat inside source list 101 interface Vlan99 overload
ip route 0.0.0.0 0.0.0.0 10.1.1.254
!
!
access-list 101 permit ip 172.16.7.0 0.0.0.255 any
access-list 111 permit icmp any host 10.1.1.88 administratively-prohibited
access-list 111 permit icmp any host 10.1.1.88 echo-reply
access-list 111 permit icmp any host 10.1.1.88 packet-too-big
access-list 111 permit icmp any host 10.1.1.88 time-exceeded
access-list 111 permit icmp any host 10.1.1.88 unreachable
access-list 111 permit udp any host 10.1.1.88 eq isakmp
access-list 111 permit udp any host 10.1.1.88 eq non500-isakmp
access-list 111 permit esp any host 10.1.1.88
access-list 111 permit udp any eq ntp host 10.1.1.88
access-list 111 permit udp any eq domain host 10.1.1.88
access-list 111 permit tcp any eq domain host 10.1.1.88
access-list 111 deny   ip any any
!
end 
Tip: Es macht Sinn die Tunnel Source Adressen auf lokale /32er Loopback Interfaces zu legen um vom physischen Status der hier jetzt verwendeten WAN IP Adressen unabhängig zu sein.

Tunnel Interface geht dann auf UP und anhand der Routing Tabelle und Traceroute über den VTI Tunnel kannst du sehen das Multicasting (RIP v2 nutzt 224.0.0.2) über das VTI Interface fehlerlos funktioniert:
Cisco886vaw_Test#sh ip rou
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
       a - application route
       + - replicated route, % - next hop override

Gateway of last resort is 10.1.1.254 to network 0.0.0.0

S*    0.0.0.0/0 [1/0] via 10.1.1.254
      10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C        10.1.1.0/24 is directly connected, Vlan99
L        10.1.1.88/32 is directly connected, Vlan99
      172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks
C        172.16.7.0/24 is directly connected, Vlan1
L        172.16.7.1/32 is directly connected, Vlan1
      172.32.0.0/24 is subnetted, 1 subnets
R        172.32.7.0 [120/1] via 192.168.99.2, 00:00:14, Tunnel0          <== RIP Routing
      192.168.99.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.99.0/24 is directly connected, Tunnel0
L        192.168.99.1/32 is directly connected, Tunnel0

Cisco886#ping 172.32.7.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.32.7.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/5/8 ms

Cisco886#traceroute 172.32.7.1
Type escape sequence to abort.
Tracing the route to 172.32.7.1
VRF info: (vrf in name/id, vrf out name/id)
  1 192.168.99.2 4 msec *  4 msec 

Ebenso dann von der anderen Seite:
Cisco-831-16m#sh ip rou
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is 10.99.1.254 to network 0.0.0.0

     172.16.0.0/24 is subnetted, 1 subnets
R       172.16.7.0 [120/1] via 192.168.99.1, 00:00:20, Tunnel0          <== RIP Routing
     172.32.0.0/24 is subnetted, 1 subnets
C       172.32.7.0 is directly connected, Ethernet0
C    192.168.99.0/24 is directly connected, Tunnel0
     10.0.0.0/24 is subnetted, 1 subnets
C       10.99.1.0 is directly connected, Ethernet1
S*   0.0.0.0/0 [254/0] via 10.99.1.254

Cisco-831#ping 172.16.7.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.7.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/4 ms

Cisco-831#traceroute 172.16.7.1
Type escape sequence to abort.
Tracing the route to 172.16.7.1
  1 192.168.99.1 4 msec *  4 msec 

Fazit: Alles perfekt und Works as designed wie immer bei Cisco !! face-smile
Serial90
Serial90 17.03.2017 um 11:42:31 Uhr
Goto Top
Moin, Moin.

Danke für die Super Anleitung!

Ich habe wohl allerdings ein ganz anderes Problem mit den beiden Geräten:

Ich habe heute versucht zu nächst einmal eine IPSEC-Verbindung zwischen den beiden Geräten via Crypto-Map herzustellen.

Leider erfolglos. Die beiden Geräte (2951 und 887V) habe ich nach deinem Tutorial von hier konfiguriert.

Config 2951:

crypto keyring MK  
  pre-shared-key hostname dynaccount2.org key
!
crypto isakmp policy 1
 encr 3des
 hash md5
 authentication pre-share
 group 2
!
crypto isakmp policy 3
 encr aes 256
 authentication pre-share
 group 5
!
crypto isakmp policy 10
 encr aes
 authentication pre-share
 group 2

crypto isakmp profile DynAddress
   description VPN for dyn.IP
   keyring MK
   match identity address 0.0.0.0 
   match identity host dynaccount2.org

crypto ipsec transform-set MK esp-aes esp-sha-hmac 
 mode tunnel
!
crypto ipsec profile MK
 set transform-set MK 

crypto dynamic-map dynmap 30
 description Tunnel CISCO887V
 set security-association lifetime seconds 86400
 set transform-set MK 
 set isakmp-profile DynAddress
 match address VPNMK3
!
!
!
crypto map vpnmk 20 ipsec-isakmp dynamic dynmap

interface GigabitEthernet0/0
 ip ddns update hostname dynaccount1.org
 ip ddns update dyndns
 ip address dhcp
 ip access-group 111 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip inspect myfw out
 ip virtual-reassembly in
 no ip route-cache
 duplex auto
 speed auto
 no cdp enable
 crypto map vpnmk

ip nat inside source route-map cable-nat interface GigabitEthernet0/0 overload
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/0 dhcp

ip access-list extended VPNMK3
 permit ip 192.168.83.0 0.0.0.255 192.168.66.0 0.0.0.255

access-list 102 deny   ip 192.168.83.0 0.0.0.255 192.168.66.0 0.0.0.255
access-list 102 permit ip 192.168.83.0 0.0.0.255 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp any any eq non500-isakmp
access-list 111 permit esp any any
access-list 111 permit udp any eq ntp any
access-list 111 permit ip host 204.13.248.111 any log-input DynDNS_perm
access-list 111 permit udp any eq bootpc any
access-list 111 permit udp any eq bootps any
access-list 111 permit icmp any any echo

887V:
crypto keyring MK  
  pre-shared-key hostname dynaccount1.org key
!
crypto isakmp policy 1
 encr 3des
 hash md5
 authentication pre-share
 group 2
!
crypto isakmp policy 3
 encr aes 256
 authentication pre-share
 group 5

crypto isakmp profile DynAddress
   description VPN for dyn.IP
   match identity address 0.0.0.0 
   match identity host dynaccount1.org
!
!
crypto ipsec transform-set MK esp-aes esp-sha-hmac 
!
crypto ipsec profile Mk
 set transform-set MK

crypto dynamic-map dynmap 10
 description Tunnel CISCO2951
 set transform-set MK 
 set isakmp-profile DynAddress
 match address VPNMK1
!
!
crypto map vpnmk 20 ipsec-isakmp dynamic dynmap

interface Dialer1
 ip ddns update hostname dynaccount2.org
 ip ddns update dyndns
 ip address negotiated
 ip access-group 111 in
 no ip redirects
 no ip unreachables
 ip mtu 1452
 ip flow ingress
 ip nat outside
 ip inspect myfw out
 ip virtual-reassembly in
 encapsulation ppp
 dialer pool 2
 dialer-group 2
 ppp authentication chap callin
 ppp chap hostname 
 ppp chap password 
 no cdp enable
 crypto map vpnmk

ip nat inside source route-map ADSL2+-DTAG interface Dialer1 overload

ip route 0.0.0.0 0.0.0.0 Dialer1

ip access-list extended VPNMK1
 permit ip 192.168.66.0 0.0.0.255 192.168.83.0 0.0.0.255
!
access-list 101 deny   ip 192.168.66.0 0.0.0.255 192.168.83.0 0.0.0.255
access-list 101 permit ip 192.168.66.0 0.0.0.255 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp any any eq non500-isakmp
access-list 111 permit esp any any
access-list 111 permit udp any eq ntp any
access-list 111 permit ip host 204.13.248.111 any log-input DynDNS_perm
access-list 111 permit udp any eq bootpc any
access-list 111 permit udp any eq bootps any
access-list 111 permit icmp any any echo
access-list 111 permit tcp any any eq ftp
access-list 111 permit udp any eq 5060 any 

Wenn ich nun an beiden Routern mit sh crypto isamkp sa und ipsec sa schaue steht da nichts drin?!? Lasse ich ein debug laufen sehe ich nichts was die Kommunikation der beiden Routern betrifft?! An dem 2951 laufen allerdings noch 2 andere Cryptomap Tunnel zu Bintec und Juniper Geräten einwandfrei bis dato?! Ebenso kann ich mich mobil enwählen in den 887V ohne Probleme nur dieser statische Tunnel möchte nicht?! Habe beide Router schon neugestartet hat aber nichts gebracht!?

Bin völlig ratlos?
aqui
aqui 17.03.2017 aktualisiert um 16:49:18 Uhr
Goto Top
Mmmhhh hier die gleiche Konfig mit einem 2951 und einem 831.
Funktioniert auf Anhieb !!!
Lass zum Troubleshooting immer den Debugger mitlaufen !! debug crypto isakmp und debug crypto ipsec
Dann machst du einen Extended Ping (ping <ret> dann menügeführt und extended commands auf y) indem du die lokalen Source und Destination IPs pingst um den VPN Tunnel zu triggern.
Der Debugger sagt dir doch sofort wo dein Fehler ist !!
term mon vorher nicht vergessen solltest du mit Telnet oder SSH drauf sein face-wink

Standard IPsec Konfig Router 1 (831):
Cisco-831#sh run
Building configuration...

service timestamps log datetime localtime
no service password-encryption
!
hostname Cisco-831
!
no aaa new-model
clock timezone CET 1
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
ip dhcp binding cleanup interval 600
ip dhcp excluded-address 172.32.7.1 172.32.7.100
ip dhcp excluded-address 172.32.7.110 172.32.7.254
!
ip dhcp pool c831
   network 172.32.7.0 255.255.255.0
   default-router 172.32.7.1
   dns-server 192.168.7.254
   domain-name test2.intern
!
ip inspect name myfw tcp
ip inspect name myfw udp
!
crypto keyring Labtest
  pre-shared-key address 10.1.1.88 key geheim123
!
crypto isakmp policy 10
 encr 3des
 authentication pre-share
 group 2
crypto isakmp profile Cisco2951
   description IPsec VPN Cisco2951
   keyring Labtest
   match identity address 10.1.1.88 255.255.255.255
!
!
crypto ipsec transform-set tunneltest esp-3des esp-sha-hmac
!
crypto map tunneltest 10 ipsec-isakmp
 description Tunnel Dynamic Cisco2951
 set peer 10.1.1.88
 set transform-set tunneltest
 set isakmp-profile Cisco2951
 match address tunneltest
!
interface Ethernet0
 description Lokales LAN
 ip address 172.32.7.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
!
interface Ethernet1
 description Test WAN
 ip address dhcp hostname cisco831
 ip access-group 111 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip inspect myfw out
 ip virtual-reassembly
 duplex auto
 crypto map tunneltest
!
ip nat inside source list 101 interface Ethernet1 overload
!
!
ip access-list extended tunneltest
 permit ip 172.32.7.0 0.0.0.255 172.16.7.0 0.0.0.255
access-list 101 deny   ip 172.32.7.0 0.0.0.255 172.16.7.0 0.0.0.255
access-list 101 permit ip 172.32.7.0 0.0.0.255 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq bootps any
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp any any eq non500-isakmp
access-list 111 permit esp any any
access-list 111 permit udp any eq ntp any
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 deny   ip any any
!
end 

Der 2te Router macht gleichzeitig noch ein IPsec Client Dialin und ist konfiguriert mit dynamischen IPs so das der 831 sich mit wechselnder IP einwählen kann.

Standard IPsec Konfig Router 2 (2951):
Cisco2951#sh run
Building configuration...

service timestamps log datetime localtime
!
hostname Cisco2951
!
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
aaa authentication login default local
aaa authentication login clientauth local
aaa authorization network groupauth local
!
ip dhcp binding cleanup interval 600
ip dhcp excluded-address 172.16.7.1 172.16.7.150
ip dhcp excluded-address 172.16.7.160 172.16.7.254
!
ip dhcp pool local
 network 172.16.7.0 255.255.255.0
 default-router 172.16.7.1
 dns-server 192.168.7.254
 domain-name test.intern
!
ip inspect name myfw sip
ip inspect name myfw icmp
ip inspect name myfw rtsp
ip inspect name myfw esmtp
ip inspect name myfw tcp
ip inspect name myfw udp
ip inspect name myfw https
ip inspect name myfw http
!
username vpntest password 0 test123
!
crypto keyring Labtest
  pre-shared-key address 0.0.0.0 0.0.0.0 key geheim123
!
crypto isakmp policy 10
 encr aes
 authentication pre-share
 group 2
!
crypto isakmp policy 15
 encr 3des
 authentication pre-share
 group 2
!
crypto isakmp client configuration group VPNdialin
 key cisco321
 dns 192.168.7.254
 domain vpn.test.intern
 pool VPNPool
 save-password
 max-logins 3
 banner ^C Willkommen im Test VPN (Cisco2951) ^C
!
crypto isakmp profile VPNclient
   description VPN clients profile
   match identity group VPNdialin
   client authentication list clientauth
   isakmp authorization list groupauth
   client configuration address respond
   virtual-template 2
crypto isakmp profile DynDialin
   description VPNs mit dyn. IP
   keyring Labtest
   match identity address 0.0.0.0
!
crypto ipsec transform-set testset esp-aes esp-sha-hmac
 mode tunnel
crypto ipsec transform-set testset2 esp-3des esp-sha-hmac
 mode tunnel
!
!
crypto ipsec profile test-vti2
 set transform-set testset
!
!
crypto dynamic-map dynmap 10
 description Tunnel dyn.IP Cisco 831
 set transform-set testset2
 set isakmp-profile DynDialin
 match address vpndyn1
!
crypto map vpntest 20 ipsec-isakmp dynamic dynmap
!
!
interface FastEthernet0
 switchport access vlan 99
 no ip address
!
interface Virtual-Template2 type tunnel
 ip unnumbered Vlan1
 ip virtual-reassembly in
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile test-vti2
!
interface Vlan1
 description Lokales LAN
 ip address 172.16.7.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
!
interface Vlan99
 description WAN Port Internet
 ip address 10.1.1.88 255.255.255.0
 ip access-group 111 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip inspect myfw out
 ip virtual-reassembly in
 crypto map vpntest
!
!
ip local pool VPNPool 172.16.7.70 172.16.7.73
!
ip nat inside source list 101 interface Vlan99 overload
ip route 0.0.0.0 0.0.0.0 10.1.1.254
!
ip access-list extended vpnaccess
 permit ip any host 172.16.7.70
 permit ip any host 172.16.7.71
 permit ip any host 172.16.7.72
 permit ip any host 172.16.7.73
ip access-list extended vpndyn1
 permit ip 172.16.7.0 0.0.0.255 172.32.7.0 0.0.0.255
!
access-list 101 deny   ip 172.16.7.0 0.0.0.255 172.32.7.0 0.0.0.255
access-list 101 permit ip 172.16.7.0 0.0.0.255 any
access-list 111 permit icmp any host 10.1.1.88 administratively-prohibited
access-list 111 permit icmp any host 10.1.1.88 echo-reply
access-list 111 permit icmp any host 10.1.1.88 packet-too-big
access-list 111 permit icmp any host 10.1.1.88 time-exceeded
access-list 111 permit icmp any host 10.1.1.88 unreachable
access-list 111 permit udp any host 10.1.1.88 eq isakmp
access-list 111 permit udp any host 10.1.1.88 eq non500-isakmp
access-list 111 permit esp any host 10.1.1.88
access-list 111 permit udp any eq ntp host 10.1.1.88
access-list 111 permit udp any eq domain host 10.1.1.88
access-list 111 permit tcp any eq domain host 10.1.1.88
access-list 111 deny   ip any any
! 
Lasse ich ein debug laufen sehe ich nichts was die Kommunikation der beiden Routern betrifft?!
Wie gesagt das liegt daran das du vermutlich keinen Traffic für den Tunnel hast. Mach nicht den Denkfehler das du annimmst das sich der Tunnel selber aufbaut !!
Das macht er nur wenn du auch relevanten Wirktraffic erzeugst der die Crypto Map ACL matched und der den Tunnel dann triggert.
Das machst du wie gesagt mit einem Extended Ping Kommando, sprich mit ping <return> und dann gibst du menügeführt die IP Adressen (Lokales LAN) ein, nickst alles per Default ertsmal ab und antwortest beim Menüpunkt Extended Commands mit "Y"
Dann sie Source IP eingeben und den Rest wieder abnicken.
Das erzeugt dann Traffic der den Tunnel sofort triggert. Das siehst du dann auch sofort im Debugger und mit show crypto isakmp sa !!
Alternativ kannst du einen Keepalive konfigurieren, der hält den Tunnel dann auch offen.
Serial90
Serial90 22.03.2017 um 16:28:30 Uhr
Goto Top
Moin, moin.

ich kam leider erst heute zu einem Test. (viel Stress auf Arbeit momentan)

Ich habe nun alles so gemacht wie oben beschrieben aber es baut sich keinerlei Tunnel?! Bin völlig ratlos?

Hier der Debug:

CISCO887V#debug crypto is
CISCO887V#debug crypto isakmp 
Crypto ISAKMP debugging is on
CISCO887V#debu
CISCO887V#debug cry
CISCO887V#debug crypto ip
CISCO887V#debug crypto ips
CISCO887V#debug crypto ipsec 
Crypto IPSEC debugging is on
CISCO887V#term
CISCO887V#terminal mon
CISCO887V#terminal monitor 
CISCO887V#ping
Protocol [ip]: 
Target IP address: 192.168.83.254
Repeat count [5]: 
Datagram size [100]: 
Timeout in seconds [2]: 
Extended commands [n]: 
Sweep range of sizes [n]: 
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.83.254, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
aqui
aqui 23.03.2017 aktualisiert um 11:05:49 Uhr
Goto Top
Da hast du aber ziemliche Tomaten auf den Augen !!! Sieh dir mal deinen extended Ping an oben !
Das springt einem ja förmlich in die Augen....
Also bitte die Threads und insbesondere den oben GENAU lesen.

Was wurde oben gebetsmühlenartig immer und immer wieder gesagt ???
Extended Commands bitte mit YES beantworten und die lokale Absender IP verwenden die die Tunnel ACL matched !!
So ohne das nimmt er irgendwas und matched die Tunnel ACL nicht und folglich kommen keine Daten die den Tunnel triggern... Logo das das nicht klappen kann...dzzzzz
Da merkt man aber wirklich deinen Stress ! Nimm mal Urlaub oder relax mal auf der Couch !! face-smile
Serial90
Serial90 23.03.2017 um 13:28:43 Uhr
Goto Top
Oh maaaan.... Entschuldigung!

Ich habe es jetzt vermeintlich richtig gemacht:

CISCO887V#ping          
Protocol [ip]: 
Target IP address: 192.168.83.254
Repeat count [5]: 
Datagram size [100]: 
Timeout in seconds [2]: 
Extended commands [n]: y
Source address or interface: 192.168.66.254
Type of service : 
Set DF bit in IP header? [no]: 
Validate reply data? [no]: 
Data pattern [0xABCD]: 
Loose, Strict, Record, Timestamp, Verbose[none]: 
Sweep range of sizes [n]: 
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.83.254, timeout is 2 seconds:
Packet sent with a source address of 192.168.66.254 
.....
Success rate is 0 percent (0/5)
CISCO887V#

ABER keinerlei Anzeige im Debug? Sollte das irgendwann funktionieren brauche ich dringend Urlaub...
aqui
aqui 23.03.2017 aktualisiert um 16:25:37 Uhr
Goto Top
Mmmmhhh...
Nochmal nachgefragt: Testest du jetzt eine standard IPsec Konfig oder die VTI Konfig ??
Wenn es die Standard Konfig von oben ist ist die soweit OK und richtig.
Was aber auffällt ist das keinerlei IP Pakete rausgehen.
Hast du nochmals die Route Maps usw. kontrolliert und die NAT Statements das das alles passt ?
Irgendwo MUSS da zwangsläufig ein Flüchtigkeitsfehler in der Konfig sein.
Serial90
Serial90 24.03.2017 um 15:55:26 Uhr
Goto Top
Ich teste die standard IPsec Konfig.

Ich habe nochmals alles kontrolliert aber ich kann keinen Fehler finden?!

Ein Tunnel zu einem Bintec router (auch über die routemaps usw.) läuft einwandfrei seit Tagen?!

CISCO887V# sh crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id status
217.228.217.140 188.195.207.152 QM_IDLE           2109 ACTIVE DynAddress

IPv6 Crypto ISAKMP SA

Nur der Cisco-Cisco Tunnel will nicht....

Hier nochmals die komplette router Config. :

Building configuration...

Current configuration : 7667 bytes
!
! Last configuration change at 19:37:00 CET Wed Mar 22 2017 by admin-mk
!
version 15.1
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
service timestamps log datetime localtime
service password-encryption
!
hostname CISCO887V
!
boot-start-marker
boot-end-marker
!
!
enable secret 
enable password  
!
no aaa new-model
memory-size iomem 10
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
crypto pki token default removal timeout 0
!
!
ip source-route
!
!
!
ip dhcp excluded-address 192.168.66.1
!         
ip dhcp pool local
   import all
   network 192.168.66.0 255.255.255.0
   default-router 192.168.66.254 
   dns-server 192.168.66.254 
!
!
ip cef
ip domain lookup source-interface Dialer1
ip name-server 216.146.35.35
ip name-server 216.146.36.36
ip name-server 8.8.8.8
ip inspect name myfw tcp
ip inspect name myfw udp
ip inspect name myfw sip
ip inspect name myfw rtsp
ip ddns update method dyndns
 HTTP
  add http://@members.dyndns.org/nic/update?system=dyndns&hostname=<h>&myip=<a>
 interval maximum 0 0 5 0
!
no ipv6 cef
!
!
chat-script gsm "" "atdt*98*1#" TIMEOUT 180 "CONNECT"  
license udi pid CISCO887VGW-GNE-K9 sn FCZ1608C0FW
license boot module c880-data level advsecurity
!
!
username 
!
!
!
!         
controller VDSL 0
 firmware filename flash:VA_A_39m_B_38h3_24h_o.bin
 shutdown
!
controller Cellular 0
!
! 
crypto keyring MK  
  pre-shared-key address 146.52.214.191 key 
  pre-shared-key hostname ncpho.dyndns.org key 
  pre-shared-key hostname blbs1-media-kontor.dyndns.org key 
!
crypto isakmp policy 1
 encr 3des
 hash md5
 authentication pre-share
 group 2
!
crypto isakmp policy 2
 encr aes 256
 authentication pre-share
 group 5
!
crypto isakmp policy 10
 encr aes
 authentication pre-share
 group 2
!
crypto isakmp client configuration group VPNMK
 key 
 dns 192.168.66.254
 pool vpnpool
 save-password
 max-users 5
 banner ^C
Welcome Christoph!         ^C
crypto isakmp profile VPNclients
   description VPN Client Profil
   match identity group VPNMK
   client authentication list clientauth
   isakmp authorization list groupauth
   client configuration address respond
   virtual-template 2
crypto isakmp profile DynAddress
   description VPN for dyn.IP
   keyring MK
   self-identity fqdn ru1.dyndns.org
   match identity address 0.0.0.0 
   match identity host blbs1-media-kontor.dyndns.org
   match identity host ncpho.dyndns.org
   match identity address 146.52.214.191 255.255.255.255 
   keepalive 10 retry 5
!
!
crypto ipsec transform-set MK esp-3des esp-sha-hmac 
crypto ipsec transform-set HOF esp-aes esp-sha-hmac 
!
crypto ipsec profile Mk
 set transform-set MK 
!
!
crypto dynamic-map dynmk 1
 description Tunnel to BLBS
 set peer 146.52.214.191
 set security-association lifetime seconds 86400
 set transform-set MK 
 match address VPNMK1
crypto dynamic-map dynmk 2
 description Tunnel to Hof
 set peer 188.195.207.152
 set security-association lifetime seconds 86400
 set transform-set HOF 
 match address VPNMK2
!
!
crypto map vpnmk 10 ipsec-isakmp dynamic dynmk 
!
!
!
!
!
interface Ethernet0
 no ip address
 no ip route-cache cef
 no ip route-cache
!
interface Ethernet0.180
 encapsulation dot1Q 180
 ip address dhcp
 ip access-group 111 in
 ip nat outside
 ip inspect myfw out
 ip virtual-reassembly in
 no ip route-cache
 ip tcp adjust-mss 1280
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!         
interface FastEthernet3
 switchport access vlan 10
!
interface Virtual-Template2 type tunnel
 description IPsec VPN Dialin
 ip unnumbered Vlan1
 no ip unreachables
 ip flow ingress
 ip virtual-reassembly in
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile Mk
!
interface wlan-ap0
 description internal service interface for Wifi management
 ip unnumbered Vlan1
 arp timeout 0
!
interface Wlan-GigabitEthernet0
 description Internal switch interface connecting to the embedded AP
!
interface Cellular0
 no ip address
 ip nat outside
 ip virtual-reassembly in
 encapsulation ppp
 dialer in-band
 dialer pool-member 1
!
interface Vlan1
 ip address 192.168.66.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
!
interface Vlan10
 no ip address
 ip nat outside
 ip virtual-reassembly in
 pppoe-client dial-pool-number 2
!
interface Dialer0
 ip address negotiated
 ip access-group 111 in
 ip nat outside
 ip inspect myfw out
 ip virtual-reassembly in
 encapsulation ppp
 dialer pool 1
 dialer idle-timeout 0
 dialer string gsm
 dialer persistent
 ppp chap hostname 
 ppp chap password 7 
 no cdp enable
!
interface Dialer1
 ip ddns update hostname ru1.dyndns.org
 ip ddns update dyndns
 ip address negotiated
 ip access-group 111 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip inspect myfw out
 ip virtual-reassembly in
 encapsulation ppp
 dialer pool 2
 dialer-group 2
 ppp authentication chap callin
 ppp chap hostname 
 ppp chap password 7 
 no cdp enable
 crypto map vpnmk
!
ip local pool vpnpool 192.168.66.10 192.168.66.15
ip forward-protocol nd
no ip http server
no ip http secure-server
!
ip dns server
no ip nat service sip udp port 5060
ip nat inside source route-map 3g-nat interface Dialer0 overload
ip nat inside source route-map ADSL2+-DTAG interface Dialer1 overload
ip nat inside source route-map VDSL-NK interface Ethernet0.180 overload
ip route 0.0.0.0 0.0.0.0 Dialer1
ip route 0.0.0.0 0.0.0.0 Dialer0 49
ip route 0.0.0.0 0.0.0.0 Ethernet0.180 dhcp 50
!
ip access-list extended VPNMK1
 permit ip 192.168.66.0 0.0.0.255 192.168.83.0 0.0.0.255
ip access-list extended VPNMK2
 permit ip 192.168.66.0 0.0.0.255 192.168.36.0 0.0.0.255
!
logging esm config
access-list 101 deny   ip 192.168.66.0 0.0.0.255 192.168.36.0 0.0.0.255
access-list 101 deny   ip 192.168.66.0 0.0.0.255 192.168.83.0 0.0.0.255
access-list 101 permit ip 192.168.66.0 0.0.0.255 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp any any eq non500-isakmp
access-list 111 permit esp any any
access-list 111 permit udp any eq ntp any
access-list 111 permit ip host 204.13.248.111 any log-input DynDNS_perm
access-list 111 permit udp any eq bootpc any
access-list 111 permit udp any eq bootps any
access-list 111 permit icmp any any echo
access-list 111 permit tcp any any eq ftp
access-list 111 permit udp any eq 5060 any
!
!
!
!
route-map 3g-nat permit 10
 match ip address 101
 match interface Dialer0
!
route-map VDSL-NK permit 10
 match ip address 101
 match interface Ethernet0.180
!
route-map ADSL2+-DTAG permit 10
 match ip address 101
 match interface Dialer1
!
!
line con 0
 no modem enable
line aux 0
 script dialer gsm
line 2
 no activation-character
 no exec
 transport preferred none
 transport input all
line 3
 script dialer gsm
 no exec
 rxspeed 7200000
 txspeed 5760000
line vty 0 4
 access-class 23 in
 privilege level 15
 login local
 transport input ssh
!
scheduler max-task-time 5000
ntp server 130.149.17.8 source Dialer1
end
aqui
aqui 24.03.2017 aktualisiert um 17:43:17 Uhr
Goto Top
Nur der Cisco-Cisco Tunnel will nicht....
Da ist ja gravierend das scheinbar keinerlei Traffic erzeugt wird der den IPsec Tunnel triggert, denn sonst würdest du ausgehendende IPsec Pakete mit debug crypto isakmp und debug crypto ipsec sehen.
Das zeigt das irgendwas mit der Crypto Map die den relevanten Traffic klassifiziert nicht stimmt, denn der Router sendet keinerlei IPsec Requests aus.
Übrigens noch ein gut gemeinter Tip:
Vom Google DNS Server 8.8.8.8 solltest du besser die Finger lassen, denn die erzeugen ein Profil von dir mit deinem DNS Verhalten und verwerten das zur Ausschnüffelei face-sad

Folgende Sachen sind auffällig und solltest du entfernen:
  • leerer "username" string (887)
  • Im DHCP Server excludest du die ausschliesslich nur die .66.1. Der Router selber hat aber die .66.254. Da nur die .1 excluded ist wird die .254 im DHCP Prozess vergeben was tödlich sein kann. (IP Doppelung) Wenn dann sowas wie
ip dhcp binding cleanup interval 600
ip dhcp excluded-address 192.168.66.1 192.168.66.10
ip dhcp excluded-address 192.168.66.200 192.168.66.254

Das lässt dann den Bereich von .11 bis .199 für DHCP Adressen !
  • access-list 111 permit udp any eq bootpc any ist überflüssig und auch kontraproduktiv in der ACL 111 und solltest du besser entfernen. access-list 111 permit udp any eq bootps any reicht damit das Interface 0.180 ein IP bekommt. pc brauchst du nur wenn der Router auch selber DHCP IPs vergeben soll auf dem Interface was er aber da niemals tut.
  • Das vlan 10 Interface ist eine Konfig Leiche und solltest du besser entfernen !
  • Die MSS Begrenzung ip tcp adjust-mss 1280 gehört immer aufs lokale LAN niemals auf das Provider Interface
  • Gar nicht geht dein isakmp profile DynAddress denn das ist vermutlich das Profil für das Dialin von Site2Site Routern mit dynamischen IP Adressen.
Hier kannst du nicht mixen mit statischen IPs ! Dort darf nur sowas stehen wie:
crypto isakmp profile DynAddress
description VPNs mit dyn. IP
keyring MK
match identity address 0.0.0.0
!

Das fackelt ALLE VPN Connections mit dynamischen IP Adressen ab !! Die einzelnen Teilnehmer definierst du dann mit der crypto dynamic-map !
Also dann:
crypto dynamic-map vpnmk 10
description Tunnel dyn.IP Cisco 2950
set transform-set HOF
set isakmp-profile DynAddress
match address VPNMK2

dann noch die Map Zuweisung:
crypto map vpntest 20 ipsec-isakmp dynamic vpnmk

Und dann auf dem Outpoing Provider Interface (Dialer) die Zuweisung: crypto map vpnmk was letztlich richtig ist bei dir.

Da ist ziemliches Kuddelmuddel in deiner IPsec Konfigauch mit überflüssigen Peers und Hosts !!
Du solltest auch erstmal die nichtbenutzte VTI Konfig da komplett rausschmeissen und Peers auf IP Adressen entfernen die der 887 nicht bedient.
Niemals VTI und standard IPsec mischen.
Also die gesamte Konfig ganz schlank machen und wirklich nur das konfigurieren was du auch brauchst ohne irgendwelche Reste von Konfig Basteleien.
Das verbessert die Übersicht und das Troubleshooting.

In der aktuellen Konfig geht ja alles über den Dialer 1 nach draußen solange der aktiv ist. Ggf. solltest du testweise die Backup Interfaces alle mal auf shutdown setzen um hier erstmal eine laufende Minimalkonfig zu schaffen.
Das Troubleshooting wird erschwert durch eine paralele Backup oder Balancing Konfig.
Also alles mal entwanzen und auf Vorderman bringen und überflüssige VPN Peers und den anderen Klumpatsch löschen in der Konfig.

Noch eine Frage: Der obige 887 würde ja dann nur 2 VPN Peers bedienen. Einmal den Bintec und einmal den Cisco 2950, richtig ?
Haben der Cisco 2950 und der Bintec auch dynamische IPs oder hat einer oder beiden feste IPs ?
Serial90
Serial90 25.03.2017 um 08:50:57 Uhr
Goto Top
Moin, moin.

Vielen Dank zu nächst einmal für die guten Tipps!

Ich habe jetzt alles was Backup ist auf shutdown gesetzt und nur den Dialer 1 mit der wie oben beschriebenen Konfig genutzt.

Allerdings wieder selbes Spiel, mit dem exten. Ping keinerlei debug sichtbar.

Der Cisco 887 soll nur den Cisco 2950 und den Bintec bedienen.

Beide haben dynamische IPs, bekomme erst ab mitte Mai feste an allen Anschlüssen.
aqui
aqui 25.03.2017 aktualisiert um 14:46:49 Uhr
Goto Top
So sähe dann deine gereinigte und funktionsfähig getestete Konfig von dem Router aus:
!
hostname Cisco
!
aaa authentication login default local
aaa authentication login clientauth local
aaa authorization network groupauth local
!
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
ip dhcp binding cleanup interval 600
ip dhcp excluded-address 192.168.66.1 192.168.66.99
ip dhcp excluded-address 192.168.66.150 192.168.66.254
!
ip dhcp pool local
network 192.168.66.0 255.255.255.0
default-router 192.168.66.254
dns-server 192.168.66.254
!
!
ip inspect name myfw tcp
ip inspect name myfw udp
ip inspect name myfw isakmp
ip inspect name myfw https
ip inspect name myfw http
!
!
username admin password 0 admin
username vpntest password 0 test123
!
!
crypto keyring MK
pre-shared-key address 0.0.0.0 0.0.0.0 key geheim123
!
crypto isakmp policy 10
encr aes
authentication pre-share
group 2
!
crypto isakmp policy 15
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group VPNdialin
key cisco321
dns 192.168.66.254
domain clientvpn.test.intern
pool VPNPool
save-password
max-logins 3
banner ^C Welcome to Christophs VPN ^C
!
crypto isakmp profile VPNclient
description VPN clients Profil
match identity group VPNdialin
client authentication list clientauth
isakmp authorization list groupauth
client configuration address respond
virtual-template 2
!
crypto isakmp profile DynAddress
description Router VPNs mit dyn. IP
keyring MK
match identity address 0.0.0.0
!
!
crypto ipsec transform-set testset esp-aes esp-sha-hmac
mode tunnel
!
crypto ipsec profile test-vti2
set transform-set testset
!
!
crypto dynamic-map dynmk 10
description Tunnel dyn.IP Bintec
set transform-set testset
set isakmp-profile DynAddress
match address vpnbintec
!
crypto dynamic-map dynmk 15
description Tunnel dyn.IP Cisco2950
set transform-set testset
set isakmp-profile DynAddress
match address vpn2950
!
crypto map vpnmk 10 ipsec-isakmp dynamic dynmk
!
!
interface Cellular0
no ip address
encapsulation ppp
dialer in-band
dialer pool-member 1
!
interface Dialer1
ip address negotiated
ip access-group 111 in
no ip redirects
no ip proxy-arp
ip nat outside
ip inspect myfw out
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap callin
ppp chap hostname xyz
ppp chap password xyz
no cdp enable
crypto map vpnmk
!
!
interface Virtual-Template2 type tunnel
ip unnumbered Vlan1
ip virtual-reassembly in
tunnel mode ipsec ipv4
tunnel protection ipsec profile test-vti2
!
interface Vlan1
description Lokales LAN
ip address 172.16.66.254 255.255.255.0
no ip redirects
no ip proxy-arp
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1452
!
ip local pool VPNPool 192.168.66.70 192.168.66.73
!
ip nat inside source list 101 interface Dialer1 overload
ip route 0.0.0.0 0.0.0.0 interface Dialer1
!
ip access-list extended vpnbintec
permit ip 192.168.66.0 0.0.0.255 192.168.83.0 0.0.0.255
ip access-list extended vpn2950
permit ip 192.168.66.0 0.0.0.255 192.168.36.0 0.0.0.255
!
access-list 101 deny ip 192.168.66.0 0.0.0.255 192.168.83.0 0.0.0.255
access-list 101 deny ip 192.168.66.0 0.0.0.255 192.168.36.0 0.0.0.255
access-list 101 permit ip 192.168.66.0 0.0.0.255 any
!
access-list 111 permit icmp any host any administratively-prohibited
access-list 111 permit icmp any host any echo-reply
access-list 111 permit icmp any host any packet-too-big
access-list 111 permit icmp any host any time-exceeded
access-list 111 permit icmp any host any unreachable
access-list 111 permit udp any host any eq isakmp
access-list 111 permit udp any host any eq non500-isakmp
access-list 111 permit esp any host any
access-list 111 permit udp any eq ntp host any
access-list 111 permit udp any eq domain host any
access-list 111 permit tcp any eq domain host any
access-list 111 deny ip any any
!
end
Serial90
Serial90 25.03.2017, aktualisiert am 26.03.2017 um 03:03:41 Uhr
Goto Top
ERFOLG!

Nachdem ich nun aus lauter Wut und Verzweiflung beide Router zurückgesetzt habe und die Firmware aktualisiert habe.

Vielen Dank bis hier! Du bist der beste !!!

CISCO2951#sh crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id status
217.228.209.163 146.52.213.231  QM_IDLE           9018 ACTIVE
146.52.213.231  188.195.207.152 QM_IDLE           9016 ACTIVE
146.52.213.231  79.246.219.22   QM_IDLE           9013 ACTIVE

IPv6 Crypto ISAKMP SA


CISCO887V#sh crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id status
217.228.209.163 146.52.213.231  QM_IDLE           2019 ACTIVE


Nur leider habe ich jetzt noch das kleine Problemchen das ich zwar die beiden Router gegeneinander Pingen kann aber keinen im Netzwerk dahinter? z.b. Router1 : 192.168.66.254 ping geht. 192.168.66.100 ping geht nicht?! Komme auch per RDP nicht auf die entsprechenden Geräte drauf.

Und wie bewerkstellige ich es mit den Crypto Maps das wenn man bei windows auf netzwerk geht, die Netzwerkgeräte angezeigt werden? Quasi als wäre man im selben Netz? GRE?
aqui
aqui 26.03.2017 aktualisiert um 13:24:45 Uhr
Goto Top
Tadaaa!!! Klasse. Das wäre jetzt auch mein allerletzter Vorschlag gewesen und du hast intuitiv mitgedacht face-big-smile
das ich zwar die beiden Router gegeneinander Pingen kann aber keinen im Netzwerk dahinter?
Nicht das du wieder den Ping mit den extended Commands vergessen hast !!!
Wenn du lokale Endgeräte vom remoten Router pingen willst, dann MUSST du den extended Ping verwenden und als Absenderadresse der Pings immer das lokale LAN Interface wählen !! Vergiss das nicht.
Ansonsten nimmt der Cisco eine falsche Absender IP die dann die Crypto ACL nicht matcht und gar nicht erst remote ankommt weil sie ins Nirwana geht.

OK, und das am remoten Endgerät natürlich die lokale Firewall entsprechend angepasst werden muss, Gateway sollte der VPN Router sein oder eine Route dahin haben und Bla und Blub ist auch immer die gleiche Leier.
Denk dran wenn das angepingte Endgerät Winblows ist das du dann ICMP (Ping) freigeben musst !
https://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
wenn man bei windows auf netzwerk geht, die Netzwerkgeräte angezeigt werden? Quasi als wäre man im selben Netz? GRE?
Da hast du mit Cisco 2 Optionen.
Zuerst mal die Feststellung das man deine Frage wie immer nicht beantworten kann da du nicht schilderst WIE dein DNS rennt im Winblows Netz.
Wenn du einen lokalen Winblows DNS Server hast, dann ist es einfach, denn dann musst du lediglich diese IP an den Clients vergeben.
Du hast aber vermutlich keinen DNS und dann basiert die Netzwerk Erkennung immer auf lokalen UDP Broadcasts des Windows Naming Services.
Jedes Windows Gerät bläst also ins lokale Netzwerk einen UDP Broadcast mit dem Inhalt "Hallo hier bin ich mit Namen xyz" so das alle anderen Endgeräte das sehen und entsprechend anzeigen.

Wie du aber als gut informierter Netzwerker weisst, forwarden Router generell keine Broadcasts über geroutete Interfaces und VPNs sind ja geroutet. Die Winblows Kisten sehen sich also so mit UDP Broadcast nur gegenseitig in einer L2 Domain in einem Segment.
Sprich also am anderen gerouteten Ende kommt nix an. Das wird auch ein GRE Tunnel nicht ändern, da TCP/IP Standard. face-wink
Hier hast du nun 2 Optionen:
  • Einmal trägst du die Hostnamen und IPs der jeweiligen remoten Endgeräte statisch in die Datei hosts oder lmhosts bei Winblows ein und löst das Problem damit: XP-Home mit 2 Kabelgebundenen und WLAN PCs
  • Oder du nutzt an den lokalen LAN Interfaces eine sog. IP Helper Adresse. Mit der Helper Adresse kannst du UDP Broadcasts forwarden. In der Hauptsache nutzt man das für DHCP um DHCP Broadcasts in gerouteten Netzen auf einen zentralen DHCP Server zu bringen. Cisco hat den Vorteil das du bei den Helper Adressen auch ganze Netzwerke angeben kannst. Das kannst du machen und dann forwardet der Router diese Windows Naming UDP Broadcasts. Das klappt dann auch auf VTI bzw. GRE Tunnels problemlos.
Serial90
Serial90 27.03.2017 um 13:24:14 Uhr
Goto Top
Moin, Moin!

Ich habe nun denke ich auch den VTI Tunnel laufen! Vielen Dank nochmals!

Cisco 2951
CISCO2951#sh interfaces tunnel 0
Tunnel0 is up, line protocol is up 
  Hardware is Tunnel
  Internet address is 192.168.99.1/24
  MTU 17878 bytes, BW 100 Kbit/sec, DLY 50000 usec, 
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation TUNNEL, loopback not set
  Keepalive not set
  Tunnel linestate evaluation up
  Tunnel source 146.52.232.204 (GigabitEthernet0/0), destination 91.22.84.239
   Tunnel Subblocks:
      src-track:
         Tunnel0 source tracking subblock associated with GigabitEthernet0/0
          Set of tunnels with source GigabitEthernet0/0, 1 member (includes iterators), on interface <OK>

CISCO2951#sh ip route 
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
       a - application route
       + - replicated route, % - next hop override

Gateway of last resort is 146.52.232.254 to network 0.0.0.0

S*    0.0.0.0/0 [1/0] via 146.52.232.254, GigabitEthernet0/0
      83.0.0.0/32 is subnetted, 1 subnets
S        83.169.186.2 [254/0] via 146.52.232.254, GigabitEthernet0/0
      146.52.0.0/16 is variably subnetted, 2 subnets, 2 masks
C        146.52.232.0/24 is directly connected, GigabitEthernet0/0
L        146.52.232.204/32 is directly connected, GigabitEthernet0/0
R     192.168.66.0/24 [120/1] via 192.168.99.2, 00:00:17, Tunnel0
      192.168.83.0/24 is variably subnetted, 3 subnets, 2 masks
C        192.168.83.0/24 is directly connected, GigabitEthernet0/1
S        192.168.83.101/32 is directly connected, Virtual-Access1
L        192.168.83.254/32 is directly connected, GigabitEthernet0/1
      192.168.99.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.99.0/24 is directly connected, Tunnel0
L        192.168.99.1/32 is directly connected, Tunnel0

Cisco887V

CISCO887V#sh interfaces tunnel 0
Tunnel0 is up, line protocol is up 
  Hardware is Tunnel
  Internet address is 192.168.99.2/24
  MTU 17878 bytes, BW 100 Kbit/sec, DLY 50000 usec, 
     reliability 255/255, txload 2/255, rxload 2/255
  Encapsulation TUNNEL, loopback not set
  Keepalive not set
  Tunnel source 91.22.84.239 (Dialer1), destination 146.52.232.204
   Tunnel Subblocks:
      src-track:
         Tunnel0 source tracking subblock associated with Dialer1
          Set of tunnels with source Dialer1, 1 member (includes iterators), on interface <OK>

CISCO887V#sh ip route 
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
       + - replicated route, % - next hop override

Gateway of last resort is 0.0.0.0 to network 0.0.0.0

S*    0.0.0.0/0 is directly connected, Dialer1
      91.0.0.0/32 is subnetted, 1 subnets
C        91.22.84.239 is directly connected, Dialer1
      192.168.66.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.66.0/24 is directly connected, Vlan1
L        192.168.66.254/32 is directly connected, Vlan1
R     192.168.83.0/24 [120/1] via 192.168.99.1, 00:00:16, Tunnel0
      192.168.99.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.99.0/24 is directly connected, Tunnel0
L        192.168.99.2/32 is directly connected, Tunnel0
      217.0.117.0/32 is subnetted, 1 subnets
C        217.0.117.138 is directly connected, Dialer1

Nur eine kleinigkeit habe ich noch die nicht will:

Ich kann von dem Cisco 887V (192.168.66.254) zu dem Cisco 2951 (192.168.83.254) zwar alles pingen (interne Geräte z.b. 83.1 oder 83.100) aber nicht umgekehrt?! Ist das ein Denkfehler oder fehlt da eine Freigabe?

Cisco 887V
CISCO887V#ping 192.168.83.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.83.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 48/52/64 ms
CISCO887V#trace
CISCO887V#traceroute 192.168.83.1

Type escape sequence to abort.
Tracing the route to 192.168.83.1

  1 192.168.99.1 48 msec 48 msec 52 msec
  2 192.168.83.1 56 msec 52 msec 52 msec
CISCO887V#


Cisco 2951

CISCO2951#ping 192.168.66.100
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.66.100, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
CISCO2951#trac
CISCO2951#traceroute 192.168.66.100
Type escape sequence to abort.
Tracing the route to 192.168.66.100
VRF info: (vrf in name/id, vrf out name/id)
  1 192.168.99.2 48 msec 48 msec 52 msec
  2  *  *  * 
aqui
aqui 27.03.2017 aktualisiert um 15:20:09 Uhr
Goto Top
ich habe nun denke ich auch den VTI Tunnel laufen! Vielen Dank nochmals!
Klasse ! Das sieht schon mal sehr gut aus.
Richtig wissen tust du das nur aber wenn du mal einen Routing Prozess wie RIPv2 oder OSPF aktivierst, denn dann kannst du sehen ob auch z.B. Multicast Traffic durch den Tunnel geht.
Ist das der Fall dann rennt alles wie es soll face-wink
Also mal schnell
router rip
version 2
network 192.168.99.0
network 192.168.83.0
no auto-summary

eingeben auf beiden Seiten und testen. (Die LAN IP anpassen)
Ooops, sehe gerade hast du gemacht. Die Routing Tabelle sagt "R" vor der Route und das ist RIPv2 face-wink
zwar alles pingen (interne Geräte z.b. 83.1 oder 83.100) aber nicht umgekehrt?! Ist das ein Denkfehler oder fehlt da eine Freigabe?
Eigentlich nicht.
Ein sicheres Indiz das es geht ist IMMER wenn du mit dem Extended Ping die jeweils beiden gegenüberliegenden lokalen LAN Interfaces der Ciscos pingen kannst.
Also Absender IP = lokales LAN IP und Ziel IP = remotes lokales LAN Interface.
Klappt der Ping von beiden Routern nach dem Schema ist alles OK.

Oben kannst du sehen das du leider wieder KEIN extended Ping gemacht hast ! face-sad
Der Cisco nimmt ohne das als Absender IP die niedrigste IP die er hat und dann matched die VPN ACL Regel nicht und der Ping schlägt fehl. Das alte Thema....du weist?!
Genau deshalb musst du bei VPN Pings vom Router immer explizit die Absender- und Ziel IP mit dem Extended Ping Tool angeben ! Ansonsten geht das immer schief.
Das gilt im Übrigen AUCH wenn du vom Router remote Endgeräte im remoten lokalen LAN anpingst.
Auch hier immer Extended Ping und als Absender IP immer die lokale LAN IP.
Du wirst sehen, damit klappt es sofort face-wink

Wenn nicht, dann sind es zu 98% wie immer die zwei üblichen Fehlerquellen:
  • 1. Fehlendes Gateway oder Route auf den Endgeräten
  • 2. Lokale Firewall dort die fremde IP und/oder ICMP blockt.
Letzteres ist das häufigstes.
Wir hatten gerade so ein Firewall Drama hier kürzlich und das noch nichtmal mit VPN:
Routingproblem in Homerouter-Kaskade mit Raspi
Serial90
Serial90 29.03.2017 aktualisiert um 13:19:35 Uhr
Goto Top
Moin, Moin!

Du hattest wie immer recht! Es war die lokale Firewall am Gerät! DANKE!

Ich habe aber nun ein ganz anderes Porblem bekommen nach einem Netzausfall verbindet sich der VTI-Tunnel nicht mehr? (Die IPs Stimmen)

Das kommt im debug raus am Cisco 887:


Mar 29 11:14:54.744: ISAKMP (2015): received packet from 146.52.213.70 dport 500 sport 500 Global (R) QM_IDLE      
Mar 29 11:14:54.744: ISAKMP: set new node -1665304201 to QM_IDLE      
Mar 29 11:14:54.744: ISAKMP:(2015): processing HASH payload. message ID = -1665304201
Mar 29 11:14:54.744: ISAKMP:(2015): processing SA payload. message ID = -1665304201
Mar 29 11:14:54.744: ISAKMP:(2015):Checking IPSec proposal 1
Mar 29 11:14:54.744: ISAKMP: transform 1, ESP_AES 
Mar 29 11:14:54.744: ISAKMP:   attributes in transform:
Mar 29 11:14:54.744: ISAKMP:      encaps is 1 (Tunnel)
Mar 29 11:14:54.744: ISAKMP:      SA life type in seconds
Mar 29 11:14:54.744: ISAKMP:      SA life duration (basic) of 3600
Mar 29 11:14:54.744: ISAKMP:      SA life type in kilobytes
Mar 29 11:14:54.744: ISAKMP:      SA life duration (VPI) of  0x0 0x46 0x50 0x0 
Mar 29 11:14:54.744: ISAKMP:      authenticator is HMAC-SHA
Mar 29 11:14:54.744: ISAKMP:      key length is 256
Mar 29 11:14:54.744: ISAKMP:(2015):atts are acceptable.
Mar 29 11:14:54.744: ISAKMP:(2015): IPSec policy invalidated proposal with error 64
Mar 29 11:14:54.744: ISAKMP:(2015): phase 2 SA policy not acceptable! (local 217.228.195.48 remote 146.52.213.70)
Mar 29 11:14:54.744: ISAKMP: set new node -937052356 to QM_IDLE      
Mar 29 11:14:54.744: ISAKMP:(2015):Sending NOTIFY PROPOSAL_NOT_CHOSEN protocol 3
	spi 2243352880, message ID = -937052356
Mar 29 11:14:54.744: ISAKMP:(2015): sending packet to 146.52.213.70 my_port 500 peer_port 500 (R) QM_IDLE      
Mar 29 11:14:54.744: ISAKMP:(2015):Sending an IKE IPv4 Packet.
Mar 29 11:14:54.744: ISAKMP:(2015):purging node -937052356
Mar 29 11:14:54.744: ISAKMP:(2015):deleting node -1665304201 error TRUE reason "QM rejected"  
Mar 29 11:14:54.744: ISAKMP:(2015):Node -1665304201, Input = IKE_MESG_FROM_PEER, IKE_QM_EXCH
Mar 29 11:14:54.744: ISAKMP:(2015):Old State = IKE_QM_READY  New State = IKE_QM_READY


Und das am 2951:

Mar 29 11:18:25.917: ISAKMP: (9001):set new node 0 to QM_IDLE      
Mar 29 11:18:25.917: ISAKMP: (9001):SA has outstanding requests  (local 146.52.213.70 port 500, remote 217.228.195.48 port 500)
Mar 29 11:18:25.917: ISAKMP: (9001):sitting IDLE. Starting QM immediately (QM_IDLE      )
Mar 29 11:18:25.917: ISAKMP: (9001):beginning Quick Mode exchange, M-ID of 1560737529
Mar 29 11:18:25.917: ISAKMP: (9001):QM Initiator gets spi
Mar 29 11:18:25.917: ISAKMP-PAK: (9001):sending packet to 217.228.195.48 my_port 500 peer_port 500 (I) QM_IDLE      
Mar 29 11:18:25.917: ISAKMP: (9001):Sending an IKE IPv4 Packet.
Mar 29 11:18:25.917: ISAKMP: (9001):Node 1560737529, Input = IKE_MESG_INTERNAL, IKE_INIT_QM
Mar 29 11:18:25.917: ISAKMP: (9001):Old State = IKE_QM_READY  New State = IKE_QM_I_QM1
Mar 29 11:18:25.969: ISAKMP-PAK: (9001):received packet from 217.228.195.48 dport 500 sport 500 Global (I) QM_IDLE      
Mar 29 11:18:25.969: ISAKMP: (9001):set new node -323721254 to QM_IDLE      
Mar 29 11:18:25.969: ISAKMP: (9001):processing HASH payload. message ID = 3971246042
Mar 29 11:18:25.969: ISAKMP: (9001):processing NOTIFY PROPOSAL_NOT_CHOSEN protocol 3
	spi 2855112237, message ID = 3971246042, sa = 0x2D50660
Mar 29 11:18:25.969: ISAKMP: (9001):deleting spi 2855112237 message ID = 1560737529
Mar 29 11:18:25.969: ISAKMP-ERROR: (9001):deleting node 1560737529 error TRUE reason "Delete Larval"  
Mar 29 11:18:25.969: ISAKMP: (9001):deleting node -323721254 error FALSE reason "Informational (in) state 1"  
Mar 29 11:18:25.969: ISAKMP: (9001):Input = IKE_MESG_FROM_PEER, IKE_INFO_NOTIFY
Mar 29 11:18:25.969: ISAKMP: (9001):Old State = IKE_P1_COMPLETE  New State = IKE_P1_COMPLETE
aqui
aqui 29.03.2017 um 15:14:24 Uhr
Goto Top
Ich habe aber nun ein ganz anderes Porblem bekommen nach einem Netzausfall verbindet sich der VTI-Tunnel nicht mehr?
Hast du vergessen ein wr einzugeben und deine Konfigs nicht gesichert ?? (Hoffentlich nicht ?!)

Problem kann die Tunnel Source IP sein wenn du dynamsiche IPs hast am WAN Port.
Ich sagte oben schon das die auf die WAN IPs gemappt sind. Das ist nicht sehr gut, besser wären hier /32er Loopback Adressen und die man dann mit RIPv2 oder statisch auf der anderen Seite bekannt macht.
Dann sind die Tunnel an lokale feste IPs gebunden die nichts mit dem Status des WAN Ports zu tun haben.
Ist konfigtaktisch besser.
Serial90
Serial90 29.03.2017 um 15:42:07 Uhr
Goto Top
Nein habe glücklicherweise alles gesichert.

Das Problem liegt in der Tat an den IPs. Habe soeben auf beiden Seiten die tunnel destination erneuert und sofort war er wieder da?!

Nur wie soll ich das bewerkstelligen mit Dyndns Namen anstelle von festen IPs? Gar nicht oder gibt es da ein Weg?

Meinst du mit den /32er Loopback Adressen ein Loopbackinterface welches dann die Dyndns namen inne hat? Und die Tunnelsource dann dieses Loopbackinterface?
aqui
aqui 30.03.2017 um 18:56:33 Uhr
Goto Top
Du kannst in der VTI Konfig global ein Interface angeben statt IP und bindest dann die Tunnel Interfaces auf /32er Loopback Adressen.
Das müsste klappen und das Problem fixen.
Serial90
Serial90 01.04.2017 um 12:20:15 Uhr
Goto Top
OK.

Das würde dann so aussehen?

Loopback interface 0
ip address 10.10.10.1 255.255.255.255

Aber wie binde ich das an den Tunnel anstelle der 192.168.99.2(1) IP?
Wenn ich am Cisco versuche das Loopback zu setzen an dem Tunnel dann geht es nicht er nimmt in dem Tunnelinterface nur IPs?

Oder habe ich hier ein Grundsatzproblem?!
aqui
aqui 01.04.2017 um 14:19:14 Uhr
Goto Top
Ja, das wäre richtig. Aber sorry, ich hatte einen kleinen Denkfehler gemacht und war auf die Tunnel Source fixiert.
Als Tunnel Destination (remotes Ziel) kannst du natürlich kein Interface global angeben sondern nur eine entsprechende Ziel IP oder Hostnamen.

Bei dynamischen IP WAN Adressen bist du dann auf DynDNS Hostnamen verhaftet, klar. Das ist letztlich so wie bei klassischem VPN Tunnel IPs ja auch.

Die Loopback Empfehlung bezieht sich dann natürlich auf die Source. Wenn man da ein lokales Ethernet angibt, dann bricht der Tunnel auch ab wenn dieses Ethernet mal auf DOWN geht. Das verhindert man eben mit der Verwendung der Loopback IP, denn die ist immer UP solange der Router strom hat und hält dann den Tunnel egal welchen Status lokale Interfaces haben.
Wenn man natürlich nur ein lokales LAN hat oder Interface macht das Loopback keinen wirklichen Sinn und man kann es auch auf die lokale LAN IP mappen.

Sorry für die Verwirrung !
Serial90
Serial90 07.04.2017, aktualisiert am 08.04.2017 um 11:50:36 Uhr
Goto Top
Moin moin!

ich habe jetzt die ganze Geschichte mit dem Loopback interface gemacht wie oben beschrieben.

Es lief auch alles super und sehr stabil.

Allerdings gab es heute einen IP-Change auf der Seite des 887V (Telekom mit Dyn IP), seit dem habe ich keinen Tunnel mehr.
Das Protokoll ist down und im Log des 2951 sehe ich nur das hier:

Apr  7 18:47:00.800: ISAKMP:(9025): IPSec policy invalidated proposal with error 32
Apr  7 18:47:00.800: ISAKMP:(9025): phase 2 SA policy not acceptable! (local 24.134.24.189 remote 217.228.199.11)
Apr  7 18:47:00.800: ISAKMP: set new node -971479871 to QM_IDLE       
Apr  7 18:47:00.800: ISAKMP:(9025):Sending NOTIFY PROPOSAL_NOT_CHOSEN protocol 3
	spi 363986048, message ID = 3323487425
Apr  7 18:47:00.800: ISAKMP:(9025): sending packet to 217.228.199.11 my_port 500 peer_port 500 (R) QM_IDLE      
Apr  7 18:47:00.800: ISAKMP:(9025):Sending an IKE IPv4 Packet.
Apr  7 18:47:00.800: ISAKMP:(9025):purging node -971479871
Apr  7 18:47:00.800: ISAKMP:(9025):deleting node 1222804260 error TRUE reason "QM rejected"  
Apr  7 18:47:00.800: ISAKMP:(9025):Node 1222804260, Input = IKE_MESG_FROM_PEER, IKE_QM_EXCH
Apr  7 18:47:00.800: ISAKMP:(9025):Old State = IKE_QM_READY  New State = IKE_QM_READY
Apr  7 18:47:30.799: ISAKMP (9025): received packet from 217.228.199.11 dport 500 sport 500 Global (R) QM_IDLE      
Apr  7 18:47:30.799: ISAKMP: set new node 1317244725 to QM_IDLE      
Apr  7 18:47:30.799: ISAKMP:(9025): processing HASH payload. message ID = 1317244725
Apr  7 18:47:30.799: ISAKMP:(9025): processing SA payload. message ID = 1317244725
Apr  7 18:47:30.799: ISAKMP:(9025):Checking IPSec proposal 1
Apr  7 18:47:30.799: ISAKMP: transform 1, ESP_AES 
Apr  7 18:47:30.799: ISAKMP:   attributes in transform:
Apr  7 18:47:30.799: ISAKMP:      encaps is 1 (Tunnel)
Apr  7 18:47:30.799: ISAKMP:      SA life type in seconds
Apr  7 18:47:30.799: ISAKMP:      SA life duration (VPI) of  0x0 0x1 0x51 0x80 
Apr  7 18:47:30.799: ISAKMP:      SA life type in kilobytes
Apr  7 18:47:30.799: ISAKMP:      SA life duration (VPI) of  0x0 0x46 0x50 0x0 
Apr  7 18:47:30.799: ISAKMP:      authenticator is HMAC-SHA
Apr  7 18:47:30.799: ISAKMP:      key length is 128
Apr  7 18:47:30.799: ISAKMP:(9025):atts are acceptable.
Apr  7 18:47:30.799: ISAKMP:(9025): IPSec policy invalidated proposal with error 32
Apr  7 18:47:30.799: ISAKMP:(9025): phase 2 SA policy not acceptable! (local 24.134.24.189 remote 217.228.199.11)
Apr  7 18:47:30.799: ISAKMP: set new node 1214639335 to QM_IDLE      
Apr  7 18:47:30.799: ISAKMP:(9025):Sending NOTIFY PROPOSAL_NOT_CHOSEN protocol 3
	spi 363986048, message ID = 1214639335
Apr  7 18:47:30.799: ISAKMP:(9025): sending packet to 217.228.199.11 my_port 500 peer_port 500 (R) QM_IDLE      
Apr  7 18:47:30.799: ISAKMP:(9025):Sending an IKE IPv4 Packet.
Apr  7 18:47:30.799: ISAKMP:(9025):purging node 1214639335
Apr  7 18:47:30.799: ISAKMP:(9025):deleting node 1317244725 error TRUE reason "QM rejected"  
Apr  7 18:47:30.799: ISAKMP:(9025):Node 1317244725, Input = IKE_MESG_FROM_PEER, IKE_QM_EXCH
Apr  7 18:47:30.799: ISAKMP:(9025):Old State = IKE_QM_READY  New State = IKE_QM_READY
Apr  7 18:47:50.805: ISAKMP:(9025):purging node 1222804260
Apr  7 18:48:20.804: ISAKMP:(9025):purging node 1317244725

Ich verstehe es allerdings nicht? Da sich an den Proposals nichts geändert hat? Nur die blöde IP auf der eine Seite ist nun ne andere? Und eigentlich ist doch am Cisco 2951 mit crypto iskamp key XXXXXXX address 0.0.0.0 0.0.0.0 gesagt das er alles annimmt egal woher?
Oder habe ich hier einen groben Denkfehler noch immer drin?


Mir ist auch aufgefallen das mein Problem wahrscheinlich daran liegt das der 2951 bei tunnel Destination die IP nicht aktualisiert trotz das ich den Hostname von dyndns angeben habe statt IP? Mache ich dies per hand indem ich einfach nochmals tunnel des..... usw. eingebe löst er kurz auf und sofort steht der tunnel wieder wie ne 1.

Und ich habe noch ein etwas kompliziertes Problem mit dem SVTI Tunnel:

Ich habe auf dem Cisco 887V ein PBR laufen welches ihm sagt: Es gibt 2 Netze (192.168.77.0 und 192.168.66.0) die 77.0 soll via dialer 0 raus und die 66.0 soll via dialer 1 raus. ---> Bis hier klappt auch alles wunderbar soweit.

Nun habe ich auf dem 66.0 Netz - 3 IPSEC-Tunnel laufen. 1. Tunnel und 2. Tunnel gehen via Crypto map und dyn IPS zu zwei Bintec Routern (Netze 36.0 und 10.0) und der 3. Tunnel geht via SVTI Tunnel zu dem o.g Cisco 2951. Über die Bintec Tunnel geht alles wunderbar. (Ping RDP usw.) ABER über den SVTI tunnel bekomme ich von einem client PC keinen Ping oder sonst was in das 83er Netz rein?

Mache ich am Cisco 887V ein: ping 192.168.83.254 source interface vlan1, geht dieser auch fehlerfrei zum Cisco 2951 durch.

Was habe ich hier in meiner Konfig. falsch gemacht? Router - Router ping geht aber nicht Client -Client?

Hier die Konfig. vom Cisco887 :

CISCO887V#sh run
Building configuration...

Current configuration : 8133 bytes
!
version 15.1
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
service timestamps log datetime localtime
service password-encryption
!
hostname CISCO887V
!
boot-start-marker
boot-end-marker
!
!
enable secret
enable password

aaa new-model
!
!
aaa authentication login default local
aaa authentication login clientauth local
aaa authorization network groupauth local 
!
!
!
!
!
aaa session-id common
memory-size iomem 10
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
crypto pki token default removal timeout 0
!
!
no ip source-route
!
!
!
ip dhcp excluded-address 192.168.66.100
ip dhcp excluded-address 192.168.66.1 192.168.66.10
ip dhcp excluded-address 192.168.66.200 192.168.66.254
ip dhcp excluded-address 192.168.77.200 192.168.77.254
!
ip dhcp pool local
 import all
 network 192.168.66.0 255.255.255.0
 default-router 192.168.66.254 
 dns-server 192.168.66.254 
!
ip dhcp pool local-77er Netz
 import all
 network 192.168.77.0 255.255.255.0
 default-router 192.168.77.254 
 dns-server 192.168.77.254 
!
!
ip cef
ip domain lookup source-interface Dialer1
ip name-server 216.146.35.35
ip name-server 216.146.36.36
ip inspect name myfw tcp
ip inspect name myfw udp
ip inspect name myfw http
ip inspect name myfw https
ip ddns update method dyndns
 HTTP
  add http://@members.dyndns.org/nic/update?system=dyndns&hostname=<h>&myip=<a>
 interval maximum 0 0 5 0
!
no ipv6 cef
!
!
chat-script gsm "" "atdt*98*1#" TIMEOUT 180 "CONNECT"  
license udi pid CISCO887VGW-GNE-K9 sn FCZ1608C0FW
license boot module c880-data level advsecurity
!
!
username admin-mk privilege 15 secret 5
!
!
!
!
controller VDSL 0
 firmware filename flash:VA_A_39m_B_38h3_24h_o.bin
 shutdown 
!
controller Cellular 0
!
! 
!
crypto isakmp policy 1
 encr 3des
 hash md5
 authentication pre-share
 group 2
!
crypto isakmp policy 2
 encr aes 256
 authentication pre-share
 group 5
crypto isakmp key XXX address 0.0.0.0 0.0.0.0
crypto isakmp key  XXX hostname XXXXXXXX
crypto isakmp key XXX hostname XXXXXXXXXX
!
crypto isakmp client configuration group VPNMK
 key XXXXX
 dns 192.168.66.254
 pool vpnpool
 save-password
 max-users 5
 banner ^C
Welcome Christoph!                 ^C
crypto isakmp profile VPNclients
   description VPN Client Profil
   match identity group VPNMK
   client authentication list clientauth
   isakmp authorization list groupauth
   client configuration address respond
   virtual-template 2
!
!
crypto ipsec transform-set MK esp-aes esp-sha-hmac 
!
crypto ipsec profile Mk
 set security-association lifetime seconds 86400
 set transform-set MK 
!
!
crypto dynamic-map dynmk 10
 set security-association lifetime seconds 86400
 set transform-set MK 
!
!
crypto map MKVPN 10 ipsec-isakmp 
 set peer XXXXXX dynamic
 set security-association lifetime seconds 86400
 set transform-set MK 
 match address VPNMK1
crypto map MKVPN 20 ipsec-isakmp 
 set peer XXXXXXX dynamic
 set security-association lifetime seconds 86400
 set transform-set MK 
 match address VPNMK2
!
crypto map VPNMKDYN 65535 ipsec-isakmp dynamic dynmk 
!
!
!
!
!
interface Loopback0
 ip address 192.168.99.2 255.255.255.0
!
interface Tunnel0
 ip unnumbered Loopback0
 keepalive 10 5
 tunnel source Dialer1
 tunnel mode ipsec ipv4
 tunnel destination 24.131.99.99
 tunnel protection ipsec profile Mk
!
interface Ethernet0
 no ip address
 no ip route-cache
!
interface FastEthernet0
 no ip address
!
interface FastEthernet1
 switchport access vlan 2
 no ip address
!
interface FastEthernet2
 no ip address
!
interface FastEthernet3
 switchport access vlan 10
 no ip address
!
interface Virtual-Template2 type tunnel
 description IPsec VPN Dialin
 ip unnumbered Vlan1
 no ip unreachables
 ip flow ingress
 ip nat inside
 ip virtual-reassembly in
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile Mk
!
interface wlan-ap0
 description internal service interface for Wifi management
 ip unnumbered Vlan1
 arp timeout 0
!
interface Wlan-GigabitEthernet0
 description Internal switch interface connecting to the embedded AP
 no ip address
!
interface Cellular0
 no ip address
 ip nat outside
 ip virtual-reassembly in
 encapsulation ppp
 dialer in-band
 dialer pool-member 1
!
interface Vlan1
 ip address 192.168.66.254 255.255.255.0
 no ip redirects
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1452
 ip policy route-map ADSL2+-DTAG
!
interface Vlan2
 ip address 192.168.77.254 255.255.255.0
 no ip redirects
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1452
 ip policy route-map 3g-nat
!
interface Vlan10
 no ip address
 ip nat outside
 ip virtual-reassembly in
 pppoe-client dial-pool-number 2
!
interface Dialer0
 ip address negotiated
 ip access-group 111 in
 ip nat outside
 ip inspect myfw out
 ip virtual-reassembly in
 encapsulation ppp
 dialer pool 1
 dialer idle-timeout 0
 dialer string gsm
 dialer persistent
 ppp chap hostname XXXXXX
 ppp chap password XXXXX
 no cdp enable
!
interface Dialer1
 ip ddns update hostname XXXXX
 ip ddns update dyndns
 ip address negotiated
 ip access-group 111 in
 no ip redirects
 no ip unreachables
 ip flow ingress
 ip nat outside
 ip inspect myfw out
 ip virtual-reassembly in
 encapsulation ppp
 dialer pool 2
 dialer-group 2
 ppp authentication chap callin
 ppp chap hostname XXXXX
 ppp chap password XXXXX
 no cdp enable
 crypto map VPNMKDYN
!
router rip
 version 2
 network 192.168.66.0
 network 192.168.99.0
!         
ip local pool vpnpool 192.168.66.10 192.168.66.15
ip forward-protocol nd
no ip http server
no ip http secure-server
!
ip dns server
no ip nat service sip udp port 5060
ip nat inside source route-map 3g-nat interface Dialer0 overload
ip nat inside source route-map ADSL2+-DTAG interface Dialer1 overload
ip route 0.0.0.0 0.0.0.0 Dialer1
!
ip access-list extended VPNMK1
 permit ip 192.168.66.0 0.0.0.255 10.250.10.0 0.0.0.255
ip access-list extended VPNMK2
 permit ip 192.168.66.0 0.0.0.255 192.168.36.0 0.0.0.255
!
access-list 101 deny   ip 192.168.66.0 0.0.0.255 192.168.36.0 0.0.0.255
access-list 101 deny   ip 192.168.66.0 0.0.0.255 10.250.10.0 0.0.0.255
access-list 101 permit ip 192.168.66.0 0.0.0.255 any
access-list 102 permit ip 192.168.77.0 0.0.0.255 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp any any eq non500-isakmp
access-list 111 permit esp any any
access-list 111 permit udp any eq ntp any
access-list 111 permit ip host 204.13.248.111 any log-input DynDNS_perm
access-list 111 permit udp any eq bootps any
access-list 111 permit icmp any any echo
access-list 111 permit tcp any any eq ftp
access-list 111 permit udp any eq 5060 any
access-list 111 deny   ip any any
!
!
!
!
route-map 3g-nat permit 10
 match ip address 102
 set interface Dialer0
!
route-map ADSL2+-DTAG permit 10
 match ip address 101
 set interface Dialer1
!
!
!
!
line con 0
 no modem enable
line aux 0
 script dialer gsm
line 2
 no activation-character
 no exec
 transport preferred none
 transport input all
line 3
 script dialer gsm
 no exec
 rxspeed 7200000
 txspeed 5760000
line vty 0 4
 access-class 23 in
 privilege level 15
 transport input ssh
!
scheduler max-task-time 5000
ntp server 130.149.17.8 source Dialer1
end
aqui
aqui 09.04.2017 um 11:46:22 Uhr
Goto Top
Allerdings gab es heute einen IP-Change auf der Seite des 887V (Telekom mit Dyn IP), seit dem habe ich keinen Tunnel mehr.
Eigentlich klar, weil die Tunnel IP darauf gemappt ist. Es sei denn du arbeitest mit DynDNS Hostadressen. Dann muss aber der Tunnel Prozess neu discovern und das kann etwas dauern. Bzw. der Tunnel wird ja nur getriggert wenn auch Produktivtraffic da ist der den IPsec Filter matcht und den Tunnel triggert.
Ggf. solltest du hier das RIPv2 weiter laufen lassen, denn RIP sorgt quasi wie ein Keepalive dafür das da immer Daten kommen.
Und eigentlich ist doch am Cisco 2951 mit crypto iskamp key XXXXXXX address 0.0.0.0 0.0.0.0 gesagt das er alles annimmt egal woher?
Das ist absolut richtig für den IPsec Prozess. Die Tunnel Source und Destination mappen aber auf die WAN IPs und damit ist für IPsec zwar alles bella aber der Tunnel bricht zusammen wenn diese IPs nicht mehr matchen. Das Tunnel Interface ist vermutlich dann auch auf down bei dir, richtig ? (show ip int brief)
das der 2951 bei tunnel Destination die IP nicht aktualisiert trotz das ich den Hostname von dyndns angeben habe statt IP?
Genau DAS ist ganz sicher das Grundproblem. Dann müsstest du erstmal rausbekommen woran das liegt.
Möglich das der DynDNS Prozess auf dem Router nur getriggert wird wenn das Interface physisch auf Down geht. Das passiert aber beim Dialer ggf. nicht. Hier müsste man auch einen Keepalive im DynDNS setzen der das zyklisch macht ohne Interface status. Müsste mal nachlesen in der Konfig ob das geht.
ABER über den SVTI tunnel bekomme ich von einem client PC keinen Ping oder sonst was in das 83er Netz rein?
Dann stimmt was mit deinem IP Routing nicht !
Was sagt denn ein sh ip route ??
Wird das 83er netz denn in den Tunnel geroutet ?? Wenn nicht geht es zum Provider ins Nirwana, was vermutlich bei dir der Fall ist.
Wenn du RIPv2 laufen lässt, dann trägst du das auf der 83er Seite einfach ein und das wird dann automatisch rüberpropagiert. Ohne RIP musst du das zwingend statisch machen ! Hast du vermutlich vergessen, oder ?
Hier sit sh ip route und Traceroute immer dein bester Freund face-smile
Habs hier im Testaufbau mal probiert und es rennt wie erwartet fehlerlos.
Serial90
Serial90 09.04.2017 aktualisiert um 15:51:59 Uhr
Goto Top
So also ich habe jetzt mein IP Routing Problem gelöst.

Es lag an fehlenden denys in den ACLs:

access-list 101 deny   ip 192.168.66.0 0.0.0.255 192.168.83.0 0.0.0.255

Diesen gesetzt und schon kam ich auf den 2951 und in das Netz hinter Ihm! DANKE!

Ja mein Tunnnel interface ist auf down.

OK. Dann werde ich mich da mal durchforsten. Danke für den Tipp!

Eine letzte Sache habe ich dann doch noch.

Und zwar komme ich an eine 1921 ebenfalls nicht weiter mit einem Client-login (eigentlich das einfachste der Welt)
Das Problem ist das auch hier ein PBR läuft und ich auch soweit alles am laufen habe, allerdings können keine Clients ins interne Lan pingen via client-tunnel?! (Virtual-Template 10 z.b.) Habe ich hier etwas ganz einfaches übersehen!?

Hier die Konfig:

crypto isakmp policy 1
 encr 3des
 hash md5
 authentication pre-share
 group 2
!
crypto isakmp policy 2
 encr aes 256
 authentication pre-share
 group 5
crypto isakmp key XXXXXXXX address 0.0.0.0        
crypto isakmp key XXXXXXXXX hostname DYN3.dyndns.org
!
crypto isakmp client configuration group VPNMK
 key XXXXX
 dns 192.168.36.1
 domain lenny.media-kontor.com
 pool VPNclients
 save-password
 max-users 5
 banner ^C
Welcome to the VPN of MEDIA-KONTOR! ^C
!
crypto isakmp client configuration group VPNMKMEET
 key XXXXXXXX
 dns 192.168.36.1
 domain lenny.media-kontor.com
 pool vpnpoolMEET
 save-password
 max-users 5
crypto isakmp profile MK
   description Client-login for XXXX
   match identity group VPNMK
   client authentication list clientauth
   isakmp authorization list groupauth
   client configuration address respond
   virtual-template 1
crypto isakmp profile MEET
   match identity group VPNMKMEET
   client authentication list clientauth
   isakmp authorization list groupauth
   client configuration address respond
   virtual-template 10
!
!
crypto ipsec transform-set iPhone esp-aes esp-sha-hmac 
 mode tunnel
crypto ipsec transform-set MKBLBS esp-aes esp-sha-hmac 
 mode tunnel
!
crypto ipsec profile MKBLBS
 set transform-set MKBLBS 
!
!
crypto ipsec profile iPhone
 set transform-set iPhone 
!
!
!
!
!
!
interface Loopback0
 ip address 192.168.98.2 255.255.255.0
!
interface Tunnel0
 ip unnumbered Loopback0
 keepalive 10 5
 tunnel source GigabitEthernet0/0
 tunnel mode ipsec ipv4
 tunnel destination 99.99.99.99
 tunnel protection ipsec profile MKBLBS
!
interface Embedded-Service-Engine0/0
 no ip address
 shutdown
!
interface GigabitEthernet0/0
 ip ddns update hostname DYN2.dyndns.biz
 ip ddns update dyndns
 ip address dhcp
 ip access-group 111 in
 no ip redirects
 no ip unreachables
 ip nat outside
 ip inspect myfw out
 ip virtual-reassembly in
 no ip route-cache
 duplex auto
 speed auto
 no cdp enable
!
interface GigabitEthernet0/1
 ip address 192.168.36.254 255.255.255.0
 no ip redirects
 ip nat inside
 ip inspect myfw in
 ip virtual-reassembly in
 ip policy route-map cable-nat
 duplex auto
 speed auto
!
interface GigabitEthernet0/1.40
 encapsulation dot1Q 40
 ip address 192.168.40.254 255.255.255.0
 no ip redirects
 ip nat inside
 ip inspect myfw in
 ip virtual-reassembly in
 ip policy route-map VDSL2-nat
!
interface ATM0/0/0
 no ip address
 shutdown
 no atm ilmi-keepalive
!
interface Ethernet0/0/0
 no ip address
!
interface Ethernet0/0/0.7
 description VDSL Internet Verbindung - VLAN 7 tagged
 encapsulation dot1Q 7
 pppoe enable group global
 pppoe-client dial-pool-number 1
!
interface Virtual-Template1 type tunnel
 description Client-Login IPSEC
 ip unnumbered GigabitEthernet0/1
 no ip unreachables
 ip flow ingress
 ip virtual-reassembly in
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile iPhone
!
interface Virtual-Template10 type tunnel
 ip unnumbered GigabitEthernet0/1
 no ip unreachables
 ip flow ingress
 ip virtual-reassembly in
 ip policy route-map cable-nat
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile MKBLBS
!
interface Dialer0
 ip ddns update hostname DNY1.dyndns.org
 ip ddns update dyndns
 ip address negotiated
 ip access-group 111 in
 no ip redirects
 no ip unreachables
 ip flow ingress
 ip nat outside
 ip inspect myfw out
 ip virtual-reassembly in
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 ppp authentication chap callin
 ppp chap hostname vdsl/@congstar.de
 ppp chap password 
 no cdp enable
!
router rip
 version 2
 network 192.168.36.0
 network 192.168.40.0
 network 192.168.98.0
 network 192.168.99.0
!
ip local pool vpnpoolMEET 192.168.36.181 192.168.36.182
ip local pool VPNclients 192.168.36.110 192.168.36.115
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
no ip nat service sip udp port 5060
ip nat inside source route-map VDSL2-nat interface Dialer0 overload
ip nat inside source route-map cable-nat interface GigabitEthernet0/0 overload
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/0 dhcp
!
access-list 101 permit ip 192.168.40.0 0.0.0.255 any
access-list 102 deny   ip 192.168.36.0 0.0.0.255 192.168.66.0 0.0.0.255
access-list 102 deny   ip 192.168.36.0 0.0.0.255 192.168.83.0 0.0.0.255
access-list 102 permit ip 192.168.36.0 0.0.0.255 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp any any eq non500-isakmp
access-list 111 permit esp any any
access-list 111 permit udp any eq ntp any
access-list 111 permit ip host 204.13.248.111 any log-input DynDNS_perm
access-list 111 permit udp any eq bootps any
access-list 111 permit icmp any any echo
access-list 111 permit tcp any any eq ftp
access-list 111 permit udp any eq 5060 any
access-list 111 permit tcp any any eq 50000
access-list 111 permit tcp any any eq 50001
access-list 111 permit tcp any any eq 50002
access-list 111 permit tcp any any eq 50003
access-list 111 permit tcp any any eq 50004
access-list 111 permit tcp any any eq 50005
access-list 111 permit tcp any any eq 50006
access-list 111 permit tcp any any eq 50007
access-list 111 permit tcp any any eq 50008
access-list 111 permit tcp any any eq 50009
access-list 111 permit udp any eq 554 any
access-list 111 permit tcp any eq 554 any
access-list 111 permit tcp any any eq smtp
access-list 111 permit tcp any any eq 995
access-list 111 permit tcp any any eq 443
access-list 111 deny   ip any any
!
route-map cable-nat permit 10
 match ip address 102
 set interface GigabitEthernet0/0
!
route-map VDSL2-nat permit 10
 match ip address 101
 set interface Dialer0
!
aqui
aqui 09.04.2017 aktualisiert um 21:36:30 Uhr
Goto Top
Es lag an fehlenden denys in den ACLs:
Wie vermutet face-wink
Das Client Problem sehe ich mir morgen mal an.... Bestimmt auch wieder ein Flüchtigkeitsfehler face-wink
aqui
aqui 10.04.2017 um 19:09:25 Uhr
Goto Top
Mehrere Dinge zu deiner Client konfig:
1.)
Es fehlt oben die User und Gruppenauthentisierung mit den lokalen Usern / Passowrd: //
!
aaa new-model
!
aaa authentication login clientauth local
aaa authorization network groupauth local
!
username vpntest password Geheim123

2.)
Zwei Identische Transform Sets aber mit gleichen Parametern zu haben ist Unsinn. Einen kannst du löschen und nur immer den anderen verwenden.

3.)
Deine 2 Client Profile sind etwas wirr und man versteht nicht was das soll, da viele einfach doppelt ist was erstmal sinnfrei aussieht.
Du solltest hier erstmal den 2ten komplett entfernen und das erstmal sauber nur mit einem einzigen zum Laufen bringen.
Erst dann den zweiten aufsetzen wenn man den denn unbedingt braucht. Vermutlich nicht aber dann müsste man verstehen was du damit bezwecken willst oder wolltest.

Der Rest ist soweit OK
Serial90
Serial90 22.04.2017, aktualisiert am 23.04.2017 um 06:51:00 Uhr
Goto Top
Moin moin!

Ich habe nun endlich weiter machen können am Cisco!

Ich habe die VPN-Config gesäubert und festgestellt das es mit den 2 Internetanschlüssen zusammen hängt und dem PBR.

ip policy route-map cable-nat 

nehme ich das vom Interface GE0/0 weg gehen meine VPN Clients sofort durch mit einem Ping.

Nur wenn ich das weg nehme geht doch immer nur einer von beiden Internetanschlüsse?!

Die Frage wäre nun wie ich es konfigurieren kann das über das 36er Netz alle Geräte ins Internet kommen via GE 0/0 und über das vlan 40 alle Geräte aus dem 40er Netz via dialer0 ins Netz.

Zudem ist mir aufgefallen das wenn ich einen Ping zu der VDSL Schnittstelle sende von extern mit nichts antwortet?!

Hilfe?!
aqui
aqui 23.04.2017 aktualisiert um 14:48:35 Uhr
Goto Top
Zudem ist mir aufgefallen das wenn ich einen Ping zu der VDSL Schnittstelle sende von extern mit nichts antwortet?!
Das ist normal wenn du eine CBAC Accessliste konfiguriert hast. Die lässt keine Sessions von außen durch wenn du es nicht explizit erlaubst mit ICMP echo requests auf die inbound Dialer 0 IP !!

Eine Beispiel für das Policy Routing über die unterschiedlichen Interfaces findest du hier:
Cisco Router 2 Gateways für verschiedene Clients
http://www.cisco.com/c/en/us/support/docs/ip/network-address-translatio ...
Serial90
Serial90 21.05.2017 aktualisiert um 10:12:07 Uhr
Goto Top
Moin, moin!

Also ich habe nun das PBR hinbekommen und beide Internetanschlüsse kommen sauber nach draußen.

Allerdings habe ich nun ein massives VPN-Problem?! Sobald beide default Routen aktiv sind, geht VPN-mäßig gar nichts mehr. Die VPN-Tunnel sind zwar nach wie vor aufgebaut aber es geht keinerlei packet mehr durch?! Wenn ich versuche eine Client-Verbindung aufzubauen meldet er mir host nicht gefunden.

Ich weis mir nun langsam keinerlei Rat mehr. Ich habe es schon mit IP SLA und Track probiert aber diese Funktion ist ja mehr oder weniger nur ein Failover.

Das Problem ist einfach das er zwar von innen nach außen die beiden verschiedenen Default-Routen nutzt aber nicht von außen nach innen?

Hier die momentane Konfig:
version 15.1
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
service timestamps log datetime localtime
service password-encryption
!
hostname CISCO887V
!
boot-start-marker
boot-end-marker
!
!
enable secret 5 XXX
enable password 7 XXX
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication login clientauth local
aaa authentication login sslvpn local
aaa authorization network groupauth local 
!
!
!
!
!
aaa session-id common
memory-size iomem 10
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
crypto pki token default removal timeout 0
!
crypto pki trustpoint my-trustpoint
 enrollment selfsigned
 serial-number
 ip-address  87.139.163.57
 subject-name CN=MEDIA-KONTOR certificate
 revocation-check crl
 rsakeypair my-rsa-keys
!
!
crypto pki certificate chain my-trustpoint
 certificate self-signed 01

no ip source-route
!
!
!
ip dhcp excluded-address 192.168.66.100
ip dhcp excluded-address 192.168.66.1 192.168.66.10
ip dhcp excluded-address 192.168.66.200 192.168.66.254
ip dhcp excluded-address 192.168.77.200 192.168.77.254
!
ip dhcp pool local
 import all
 network 192.168.66.0 255.255.255.0
 default-router 192.168.66.254 
 dns-server 216.146.35.35 
!
ip dhcp pool local-77er Netz
 import all
 network 192.168.77.0 255.255.255.0
 default-router 192.168.77.254 
 dns-server 216.146.35.35 
!
!
ip cef
ip name-server 4.2.2.5
ip name-server 4.2.2.6
ip inspect name myfw tcp
ip inspect name myfw udp
no ipv6 cef
!
!
chat-script gsm "" "atdt*98*1#" TIMEOUT 180 "CONNECT"  
license udi pid CISCO887VGW-GNE-K9 sn FCZ1608C0FW
license boot module c880-data level advsecurity
!
!
username admin-mk privilege 15 secret 5 XXX
username XXXX password 7 XXX
!
!
!
!
controller VDSL 0
 firmware filename flash:VA_A_39m_B_38h3_24h_o.bin
!
controller Cellular 0
 gsm radio off
!
! 
!
crypto isakmp policy 1
 encr 3des
 hash md5
 authentication pre-share
 group 2
!
crypto isakmp policy 2
 encr aes 256
 authentication pre-share
 group 5
crypto isakmp key XXX address 0.0.0.0 0.0.0.0
crypto isakmp keyXXX hostname DYNNAME
!
crypto isakmp client configuration group VPNMK
 key XXX
 dns 192.168.66.254
 pool vpnpool
 save-password
 max-users 5
 banner ^C
Welcome !                    ^C
crypto isakmp profile VPNclients
   description VPN Client Profil
   match identity group VPNMK
   client authentication list clientauth
   isakmp authorization list groupauth
   client configuration address respond
   virtual-template 2
!
!
crypto ipsec transform-set MK esp-aes esp-sha-hmac 
!
crypto ipsec profile Mk
 set security-association lifetime seconds 86400
 set transform-set MK 
!
!
crypto dynamic-map dynmk 10
 set security-association lifetime seconds 86400
 set transform-set MK 
!
!
crypto map MKVPN 10 ipsec-isakmp 
 set peer DYNNAME dynamic
 set security-association lifetime seconds 86400
 set transform-set MK 
 match address VPNMK1
!
crypto map VPNMKDYN 65535 ipsec-isakmp dynamic dynmk 
!
!
!
!
!
interface Loopback0
 ip address 192.168.99.2 255.255.255.0
!
interface Tunnel0
 ip unnumbered Loopback0
 keepalive 10 5
 tunnel source Dialer1
 tunnel mode ipsec ipv4
 tunnel destination 26.137.24.199
 tunnel protection ipsec profile Mk
!
interface Ethernet0
 no ip address
!
interface Ethernet0.180
 description VDSL Internet Verbindung - VLAN 180 tagged
 encapsulation dot1Q 180
 ip address dhcp
 ip access-group 111 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip inspect myfw out
 ip virtual-reassembly in
 ip tcp adjust-mss 1280
!
interface FastEthernet0
 no ip address
!
interface FastEthernet1
 switchport access vlan 2
 no ip address
!
interface FastEthernet2
 no ip address
!
interface FastEthernet3
 switchport access vlan 10
 no ip address
!
interface Virtual-Template2 type tunnel
 description IPsec VPN Dialin
 ip unnumbered Vlan1
 no ip unreachables
 ip flow ingress
 ip nat inside
 ip virtual-reassembly in
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile Mk
!
interface wlan-ap0
 description internal service interface for Wifi management
 ip unnumbered Vlan1
 arp timeout 0
!
interface Wlan-GigabitEthernet0
 description Internal switch interface connecting to the embedded AP
 no ip address
!
interface Cellular0
 no ip address
 ip virtual-reassembly in
 encapsulation ppp
 shutdown
 dialer in-band
 dialer pool-member 1
!
interface Vlan1
 ip address 192.168.66.254 255.255.255.0
 no ip redirects
 ip dns view-group internallist
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1452
 ip policy route-map ADSL2+-DTAG
!
interface Vlan2
 ip address 192.168.77.254 255.255.255.0
 no ip redirects
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1452
 ip policy route-map VDSLV-nat
!
interface Vlan10
 no ip address
 ip nat outside
 ip virtual-reassembly in
 pppoe-client dial-pool-number 2
!
interface Dialer0
 ip address negotiated
 ip access-group 111 in
 ip nat outside
 ip virtual-reassembly in
 encapsulation ppp
 shutdown
 dialer pool 1
 dialer idle-timeout 0
 dialer string gsm
 dialer persistent
 ppp chap hostname X
 ppp chap password 7 
 no cdp enable
!
interface Dialer1
 ip address negotiated
 ip access-group 111 in
 no ip redirects
 no ip unreachables
 ip mtu 1472
 ip flow ingress
 ip nat outside
 ip inspect myfw out
 ip virtual-reassembly in
 encapsulation ppp
 ip tcp adjust-mss 1280
 dialer pool 2
 dialer-group 2
 ppp authentication chap callin
 ppp chap hostname XXXX
 ppp chap password  XXX
 no cdp enable
 crypto map VPNMKDYN
!
ip local pool vpnpool 192.168.66.10 192.168.66.15
ip local pool webvpn-pool 192.168.66.210 192.168.66.215
no ip classless
ip forward-protocol nd
no ip http server
ip http secure-server
!
ip dns server
no ip nat service sip udp port 5060
ip nat inside source route-map ADSL2+-DTAG interface Dialer1 overload
ip nat inside source route-map VDSLV-nat interface Ethernet0.180 overload
ip route 0.0.0.0 0.0.0.0 Dialer1
ip route 0.0.0.0 0.0.0.0 Ethernet0.180 dhcp
!
ip access-list extended VPNMK1
 permit ip 192.168.66.0 0.0.0.255 10.250.10.0 0.0.0.255
!
access-list 101 deny   ip 192.168.66.0 0.0.0.255 10.250.10.0 0.0.0.255
access-list 101 permit ip 192.168.66.0 0.0.0.255 any
access-list 102 permit ip 192.168.77.0 0.0.0.255 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp any any eq non500-isakmp
access-list 111 permit esp any any
access-list 111 permit udp any eq ntp any
access-list 111 permit ip host 204.13.248.111 any log-input DynDNS_perm
access-list 111 permit udp any eq bootps any
access-list 111 permit icmp any any echo
access-list 111 permit tcp any any eq ftp
access-list 111 permit udp any eq 5060 any
access-list 111 permit tcp any any eq 443
access-list 111 deny   ip any any
!
!
!
!
route-map VDSLV-nat permit 10
 match ip address 102
 set interface Ethernet0.180
!
route-map ADSL2+-DTAG permit 10
 match ip address 101
 set interface Dialer1
!
snmp-server community public RO
!
!
!
line con 0
 no modem enable
line aux 0
 script dialer gsm
line 2
 no activation-character
 no exec
 transport preferred none
 transport input all
line 3
 script dialer gsm
 no exec  
line vty 0 4
 access-class 23 in
 privilege level 15
 transport input ssh
!
scheduler max-task-time 5000
ntp server 130.149.17.8 source Dialer1
!
webvpn gateway Cisco-WebVPN-Gateway
 ip address  87.139.163.57 port 443  
 ssl encryption aes-sha1
 ssl trustpoint my-trustpoint
 inservice
 !
webvpn install svc flash:/webvpn/anyconnect-macosx-i386-3.1.14018-k9.pkg sequence 1
 !
webvpn context Cisco-WebVPN
 title "MEDIA-KONTOR WebVPN - Powered By Cisco"  
 ssl authenticate verify all
 !
 url-list "rewrite"  
 !        
 acl "ssl-acl"  
   permit ip 192.168.66.0 255.255.255.0 192.168.66.0 255.255.255.0
   permit ip 192.168.66.0 255.255.255.0 192.168.83.0 255.255.255.0
   permit ip 192.168.66.0 255.255.255.0 192.168.36.0 255.255.255.0
   permit ip 192.168.66.0 255.255.255.0 10.250.10.0 255.255.255.0
 !
 login-message "Cisco Secure WebVPN"  
 !
 policy group webvpnpolicy
   functions svc-enabled
   filter tunnel ssl-acl
   svc address-pool "webvpn-pool" netmask 255.255.255.0  
   svc rekey method new-tunnel
   svc split include 192.168.66.0 255.255.255.0
   svc split include 192.168.83.0 255.255.255.0
   svc split include 192.168.36.0 255.255.255.0
 default-group-policy webvpnpolicy
 aaa authentication list sslvpn
 gateway Cisco-WebVPN-Gateway
 max-users 2
 inservice
!
end  
Gateway of last resort is 91.137.63.254 to network 0.0.0.0

S*    0.0.0.0/0 [1/0] via 91.137.63.254, Ethernet0.180
                is directly connected, Dialer1
      87.0.0.0/32 is subnetted, 1 subnets
C        87.139.163.57 is directly connected, Dialer1
      91.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C        91.137.32.0/19 is directly connected, Ethernet0.180
L        91.137.62.94/32 is directly connected, Ethernet0.180
      192.168.66.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.66.0/24 is directly connected, Vlan1
L        192.168.66.254/32 is directly connected, Vlan1
      192.168.77.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.77.0/24 is directly connected, Vlan2
L        192.168.77.254/32 is directly connected, Vlan2
      192.168.99.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.99.0/24 is directly connected, Loopback0
L        192.168.99.2/32 is directly connected, Loopback0
      217.0.117.0/32 is subnetted, 1 subnets
C        217.0.117.231 is directly connected, Dialer1
sh ip route 0.0.0.0
Routing entry for 0.0.0.0/0, supernet
  Known via "static", distance 1, metric 0 (connected), candidate default path  
  Routing Descriptor Blocks:
    91.137.63.254, via Ethernet0.180
      Route metric is 0, traffic share count is 1
  * directly connected, via Dialer1
      Route metric is 0, traffic share count is 1
aqui
aqui 21.05.2017 um 12:13:11 Uhr
Goto Top
Wenn ich versuche eine Client-Verbindung aufzubauen meldet er mir host nicht gefunden.
Du hast ganz sicher den VPN Traffic vom NAT beider Internet PBR Verbindungen excludet ???
Hört sich etwas an ob das nicht komplett passiert ist ?!
Default-Routen nutzt aber nicht von außen nach innen?
Nee, das geht ja auch nicht...logisch !!
Eine Verbindung von außen die die WAN IP X nutzt darfst du dann niemals mehr balancen das die z.B, mit einer Absender IP von Y antowrtet. Dann bricht die Verbindung sofort ab.
Die VPN Tunnel musst du also sticky betreiben und auf eine Verbindung festnageln.
Oder....du machst immer 2 Tunnel auf und nutzt einen im Failover Falle. (Split Tunnel)
https://networkology.net/2013/03/08/site-to-site-vpn-with-dual-isp-for-b ...
Einfach mal nach cisco ios VPN redundancy suchen...
Ich checke deine Konfig mal...
Serial90
Serial90 21.05.2017 aktualisiert um 17:08:45 Uhr
Goto Top
Also das excluden habe ich gemacht für beide - denke ich:
access-list 101 deny   ip 192.168.66.0 0.0.0.255 10.250.10.0 0.0.0.255
access-list 101 deny   ip 192.168.66.0 0.0.0.255 192.168.83.0 0.0.0.255
access-list 101 deny   ip 192.168.66.0 0.0.0.255 192.168.36.0 0.0.0.255
access-list 101 deny   ip 192.168.66.0 0.0.0.255 192.168.40.0 0.0.0.255
access-list 101 permit ip 192.168.66.0 0.0.0.255 any
access-list 102 deny   ip 192.168.77.0 0.0.0.255 10.250.10.0 0.0.0.255
access-list 102 deny   ip 192.168.77.0 0.0.0.255 192.168.83.0 0.0.0.255
access-list 102 deny   ip 192.168.77.0 0.0.0.255 192.168.36.0 0.0.0.255
access-list 102 deny   ip 192.168.77.0 0.0.0.255 192.168.40.0 0.0.0.255
access-list 102 permit ip 192.168.77.0 0.0.0.255 any


OK. Das heist also das es am Cisco niemals möglich ist 2 ISP Anbindungen zu haben? Oder liegt mein Fehler lediglich im PBR? Weil balancen soll da eigentlich gar nix. Kann aber sein das meine Konfig doch einige Fehler hat?!

Lösche ich eine von beiden Default-routen raus, geht sofort alles wieder im VPN?! Dann allerdings bin ich ja wieder am Anfang da ich dann wieder nur einen ISP nutzen kann statt beide.
aqui
aqui 21.05.2017 aktualisiert um 18:18:04 Uhr
Goto Top
Das heist also das es am Cisco niemals möglich ist 2 ISP Anbindungen zu haben?
Nein, natürlich nicht. Das wäre ja Blödsinn wenn dem so wäre.
Nur du schreibst ja explizit INBOUND Sessions. Und da ist es dann klar, denn eine inbound Session die also von extern mit einer bestimmten Absender IP auf eine der WAN Port IPs gemacht wird muss zwingend auf diese WAN Port IP bleiben.
Der Router kann von sich aus nicht mit der anderen WAN IP antworten. Macht er das kommt es zu einem Absneder IP Mismatch und dem Closen der Session. Das ist übliches TCP/IP verhalten und hat nichts mit Routern oder Hersteller zu tun.
Inbound Sessions sollten also immer sticky sein. Gerade bei IPsec. Das ist auch zwingend wenn du die Phase 1 über die IP machen lässt sofern du statische IPs hast. Bei FQDN ist es dann nicht mehr so schlimm aber bei IP dürfen siech die Absender und Ziel IPs dann nicht ändern, was aber passiert wenn du die VPN Protokolle nicht vom PBR excluded hast.
Das Löschen der PBR Route spricht dafür das es dieser Fehler ist. Vermutlich versucht er ddas VPN über die andere verbindung aufzubauen was dann fehlschlägt.
Sieh doch einfach mal ins Log !!!
Was steht denn da wenn der VPN Verbindungsaufbau mit aktivem PBR passiert ??? Woran scheitert es...? Vorher am besten clear logg machen face-wink
Serial90
Serial90 22.05.2017 um 21:02:00 Uhr
Goto Top
So also ich habe nun das Balance verworfen, da zum einen ja das TCP/IP verhalten dagegenspricht und zum anderen der CPU des 887 eh nicht soviel bandbreite schafft mit NAT,ACL usw.

Nun habe ich versucht ganz einfach und simpel ein Backup via ADSL2+ mit dem Dialer 1(Telekom) bereitzustellen und via ethernet 0.180 (VLAN IP-Verbindung zu lokalen Anbieter) die Hauptleitung. (25Mbit Upload)

Nun habe ich allerdings das Problem wenn ich versuche auf
ip route 0.0.0.0 0.0.0.0 Ethernet0.180 dhcp 

ein Track zu setzen dies nicht geht am Cisco?
Wenn ich nun allerdings einfach die default Route via dialer 1 auf metric 20 setze, dann geht es auch nicht da der cisco dann trotzdem wieder alles über die ethernet 0.180 dhcp route sendet?!

Das IP SLA wollte ich nach dieser Anleitung einrichten: Firewall.cx

Bin nun völlig ratlos?! Bei einem anderen 887 habe ich 2 ADSL2+ modems davor und zwei Dialer interfaces (Telekom/Vodafone) da geht es einwandfrei auf die Art.

Setze ich das ethernet 0.180 auf down geht alles sofort wieder wunderbar. (VPN/INET)
aqui
aqui 23.05.2017 um 11:27:20 Uhr
Goto Top
dann geht es auch nicht da der cisco dann trotzdem wieder alles über die ethernet 0.180 dhcp route sendet?!
Ja, das ist klar, denn dann geht er immer nach der Metrik und der Link mit der schlechteren Metrik wird dann nie genommen nur wenn der Link mit der besseren Metrik ausgefallen ist.
Das ist simple IP Routing Logik face-wink
Du musst die Metriken gleich halten, damit beide Links gleichwertig sind.
Eigentlich müsstest du nur inbound Traffic über eine ACL klassifizieren und die auf einen festen Link festnageln. Das wärst schon zur Lösung.
Bei einem anderen 887 habe ich 2 ADSL2+ modems davor und zwei Dialer interfaces (Telekom/Vodafone) da geht es einwandfrei auf die Art.
Dann MUSS es auch auf dem anderen gehen. Die Modems sind ja nur Layer 1. Also nur die Übertragungsebene.
Die hat nie und nimmer nicht irgendeinen Einfluss auf die L3 Forwarding Entscheidung !
Haben beide Router die gleiche IOS Version geflasht ??
Serial90
Serial90 23.05.2017 aktualisiert um 18:19:23 Uhr
Goto Top
OK! Also ich habe jetzt folgendes getan:

ACL 112 erstellt und inbound auf interface ethernet 0.180 gelegt.
ACL 111 ist weiterhin inbound auf interface Dialer 1.

PBR auf beiden LAN-interfaces gemacht

Vlan 1
ip policy route-map ADSL2+-DTAG

Vlan 2
ip policy route-map VDSLV-nat

Route-maps erstellt für beide IP-Bereiche:

route-map VDSLV-nat permit 10
 match ip address 102
 set interface Ethernet0.180
!
route-map ADSL2+-DTAG permit 10
 match ip address 101
 set interface Dialer1

NAT
ip nat inside source route-map ADSL2+-DTAG interface Dialer1 overload
ip nat inside source route-map VDSLV-nat interface Ethernet0.180 overload

Soo dann habe ich zwei default routen:

ip route 0.0.0.0 0.0.0.0 Dialer1
ip route 0.0.0.0 0.0.0.0 Ethernet0.180 dhcp


Nun komme ich mit beiden ISPs einwandfrei raus:
ADSL2+ 16mbit/2 Mbit
VDSLVec 63mbit/33 Mbit

ABER ich weis nicht was du mit dem Festnageln der ACL meinst, sodass ich mein VPN auf ISP1 habe (client Zugriff via Any Connect) und VPN auf ISP2 (Static Multicast Tunnel via tunnel interface 0)

Bin zu blöde irgendwie?!

Die Tunnel bauen sich auch einwandfrei auf ohne Fehler im Log und stehen dann so da:
CISCO887V#sh crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id status
24.134.24.189   87.139.163.57   QM_IDLE           2003 ACTIVE
87.139.163.57   84.177.193.42   QM_IDLE           2002 ACTIVE


Allerdings geht keinerlei ping vom interface vlan 1 da durch?

Und baue ich via Anyconnect ein Tunnel auf kann ich wunderbar den Cisco pingen aber nichts dahinter?!
aqui
aqui 24.05.2017 um 11:09:10 Uhr
Goto Top
Nichts dahinter ist klar, denn das ist die alte Leier mit der lokalen Firewall wenn es Winblows Clients sind, denn die blocken per se ICMP:
https://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen

Nur mal doof nachgefragt:
Hast du beim Pingen an den extended Ping gedacht beim Cisco ??
Was immer gehen muss ist ein extended Ping vom lokalen Ethernet Interface des Routers auf das remote Ethernet Interface der LANs bzw. IPs die du im VPN Tunnel erlaubst über die dazu korrespondierende ACL.
Macht du keinen extended Ping dann nimmt der Cisco eine zufällige Absender IP und der Ping schlägt dann fehl...
Nur um dir das nochmal in Erinnerung zu bringen !
Serial90
Serial90 25.05.2017 aktualisiert um 11:24:38 Uhr
Goto Top
Soooo ich habe nun den Multicast-Tunnel am laufen und kann vom 192.168.77.0 Netz alles erreichen in 36.0/83.0/10.0! DANKE!
Das Problem war das sich der ISP mit der reinen IP-Anbindung immer vor die PPPOE-Anbindung gestellt hat und somit dort die Ports tot waren und somit kein Tunnelaufbau möglich war-Habe das dann Tunnelmäßig alles auf die im Upload schnellere VDSV Verbindung umgemünzt und schon ging es.


ABER ich kann nicht von den Anyconnect-Clients irgendwas im 77.0 Netz erreichen?! (Außer den Cisco selbst also die 77.254 und die 83.0/36.0/10.0)
Habe ich hier einen Denkfehler? Oder was fehlt dem Cisco da ?

Die beiden Internetanschlüsse laufen wie gewollt.
ADSL2+ DTAG ist online und wird nur genutzt um Daten raus zusenden und nicht für VPN oder Portweiterl.
VDSLV ist online und wird genutzt für VPN Static Tunnel und Anyconnect Client Zugriff. (Habe nur noch das o.g. Problem)

Hier nochmals die Konfig wie sie nun ist und scheinbar läuft:

ersion 15.1
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
service timestamps log datetime localtime
service password-encryption
!
hostname CISCO887V
!
boot-start-marker
boot-end-marker
!
!
enable secret XXX
enable password XXX
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication login clientauth local
aaa authentication login sslvpn local
aaa authorization network groupauth local 
!
!
!
!
!
aaa session-id common
memory-size iomem 10
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
crypto pki token default removal timeout 0
!         
crypto pki trustpoint my-trustpoint
 enrollment selfsigned
 serial-number
 subject-name CN=MEDIA-KONTOR certificate
 revocation-check crl
 rsakeypair my-rsa-keys
!
!
crypto pki certificate chain my-trustpoint
 certificate self-signed 01

no ip source-route
!
!
!
ip dhcp excluded-address 192.168.66.100
ip dhcp excluded-address 192.168.66.1 192.168.66.10
ip dhcp excluded-address 192.168.66.200 192.168.66.254
ip dhcp excluded-address 192.168.77.100
ip dhcp excluded-address 192.168.77.50
!
ip dhcp pool local
 import all
 network 192.168.66.0 255.255.255.0
 default-router 192.168.66.254 
 dns-server 216.146.35.35 
!
ip dhcp pool local -77
 import all
 network 192.168.77.0 255.255.255.0
 default-router 192.168.77.254 
 dns-server 216.146.35.35 
!
!
ip cef
ip name-server 4.2.2.5
ip name-server 4.2.2.6
ip inspect name myfw tcp
ip inspect name myfw udp
ip inspect name myfw isakmp
no ipv6 cef
!
!
chat-script gsm "" "atdt*98*1#" TIMEOUT 180 "CONNECT"  
license udi pid CISCO887VGW-GNE-K9 sn FCZ1608C0FW
license boot module c880-data level advsecurity
!
!
username admin-mk privilege 15 secret XXX
username Christoph password XXX
!
!
!
!
controller VDSL 0
 firmware filename flash:VA_A_39m_B_38h3_24h_o.bin
!
controller Cellular 0
 gsm radio off
!         
! 
!
crypto isakmp policy 1
 encr 3des
 hash md5
 authentication pre-share
 group 2
!
crypto isakmp policy 2
 encr aes 256
 authentication pre-share
 group 5
crypto isakmp key XXXX address 0.0.0.0 0.0.0.0
crypto isakmp key XXXX hostname rkbuero.dyndns.org
!
crypto isakmp client configuration group VPNMK
 keyXXXX
 dns 192.168.66.254
 pool vpnpool
 save-password
 max-users 5
 banner ^C
          
Welcome Christoph!                        ^C
crypto isakmp profile VPNclients
   description VPN Client Profil
   match identity group VPNMK
   client authentication list clientauth
   isakmp authorization list groupauth
   client configuration address respond
   virtual-template 2
!
!
crypto ipsec transform-set MK esp-aes esp-sha-hmac 
!
crypto ipsec profile Mk
 set security-association lifetime seconds 86400
 set transform-set MK 
!
!
crypto dynamic-map dynmk 10
 set security-association lifetime seconds 86400
 set transform-set MK 
!
!
crypto map MKVPN 10 ipsec-isakmp 
 set peer DYNAddress
 set security-association lifetime seconds 86400
 set transform-set MK 
 match address VPNMK1
!
crypto map VPNMKDYN 65535 ipsec-isakmp dynamic dynmk 
!
!
!
!
!
interface Loopback0
 ip address 192.168.99.2 255.255.255.0
!
interface Tunnel0
 ip unnumbered Loopback0
 keepalive 10 5
 tunnel source Ethernet0.180
 tunnel mode ipsec ipv4
 tunnel destination 24.134.24.189
 tunnel protection ipsec profile Mk
!
interface Ethernet0
 no ip address
!
interface Ethernet0.180
 description VDSL Internet Verbindung - VLAN 180 tagged
 encapsulation dot1Q 180
 ip address dhcp
 ip access-group 112 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip inspect myfw out
 ip virtual-reassembly in
 ip tcp adjust-mss 1280
!
interface FastEthernet0
 switchport access vlan 2
 no ip address
!
interface FastEthernet1
 switchport access vlan 2
 no ip address
!
interface FastEthernet2
 no ip address
!
interface FastEthernet3
 switchport access vlan 10
 no ip address
!
interface Virtual-Template2 type tunnel
 description IPsec VPN Dialin
 ip unnumbered Vlan1
 no ip unreachables
 ip flow ingress
 ip nat inside
 ip virtual-reassembly in
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile Mk
!
interface wlan-ap0
 description internal service interface for Wifi management
 ip unnumbered Vlan1
 arp timeout 0
!
interface Wlan-GigabitEthernet0
 description Internal switch interface connecting to the embedded AP
 no ip address
!
interface Cellular0
 no ip address
 ip virtual-reassembly in
 encapsulation ppp
 shutdown
 dialer in-band
 dialer pool-member 1
!
interface Vlan1
 ip address 192.168.66.254 255.255.255.0
 no ip redirects
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1452
 ip policy route-map ADSL2+-DTAG
!
interface Vlan2
 ip address 192.168.77.254 255.255.255.0
 no ip redirects
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1452
 ip policy route-map VDSLV-nat
!
interface Vlan10
 no ip address
 ip nat outside
 ip virtual-reassembly in
 pppoe-client dial-pool-number 2
!
interface Dialer0
 ip address negotiated
 ip access-group 111 in
 ip nat outside
 ip virtual-reassembly in
 encapsulation ppp
 shutdown
 dialer pool 1
 dialer idle-timeout 0
 dialer string gsm
 dialer persistent
 ppp chap hostname tm
 ppp chap password 
 no cdp enable
!
interface Dialer1
 ip address negotiated
 ip access-group 111 in
 no ip redirects
 no ip unreachables
 ip mtu 1472
 ip flow ingress
 ip nat outside
 ip inspect myfw out
 ip virtual-reassembly in
 encapsulation ppp
 ip tcp adjust-mss 1280
 dialer pool 2
 dialer-group 2
 ppp authentication chap callin
 ppp chap hostname@t-online.de
 ppp chap password
 no cdp enable
 crypto map VPNMKDYN
!         
router rip
 version 2
 network 192.168.77.0
 network 192.168.99.0
!
ip local pool vpnpool 192.168.77.10 192.168.77.15--- normal pool
ip local pool webvpn-pool 192.168.77.210 192.168.77.215 ----Anyconnect-pool
no ip classless
ip forward-protocol nd
no ip http server
ip http secure-server
!
ip dns server
no ip nat service sip udp port 5060
ip nat inside source route-map ADSL2+-DTAG interface Dialer1 overload
ip nat inside source route-map VDSLV-nat interface Ethernet0.180 overload
ip route 0.0.0.0 0.0.0.0 Dialer1 dhcp
ip route 0.0.0.0 0.0.0.0 Ethernet0.180 dhcp
!
ip access-list extended VPNMK1
 permit ip 192.168.77.0 0.0.0.255 10.250.10.0 0.0.0.255
!
access-list 101 deny   ip 192.168.66.0 0.0.0.255 192.168.83.0 0.0.0.255
access-list 101 deny   ip 192.168.66.0 0.0.0.255 192.168.36.0 0.0.0.255
access-list 101 deny   ip 192.168.66.0 0.0.0.255 10.250.10.0 0.0.0.255
access-list 101 permit ip 192.168.66.0 0.0.0.255 any
access-list 102 deny   ip 192.168.77.0 0.0.0.255 192.168.83.0 0.0.0.255
access-list 102 deny   ip 192.168.77.0 0.0.0.255 192.168.36.0 0.0.0.255
access-list 102 deny   ip 192.168.77.0 0.0.0.255 10.250.10.0 0.0.0.255
access-list 102 permit ip 192.168.77.0 0.0.0.255 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp any any eq non500-isakmp
access-list 111 permit esp any any
access-list 111 permit udp any eq ntp any
access-list 111 permit ip host 204.13.248.111 any log-input DynDNS_perm
access-list 111 permit udp any eq bootps any
access-list 111 permit icmp any any echo
access-list 111 permit tcp any any eq ftp
access-list 111 permit udp any eq 5060 any
access-list 111 permit tcp any any eq 443
access-list 111 deny   ip any any
access-list 112 permit icmp any any administratively-prohibited
access-list 112 permit icmp any any echo-reply
access-list 112 permit icmp any any packet-too-big
access-list 112 permit icmp any any time-exceeded
access-list 112 permit icmp any any unreachable
access-list 112 permit udp any eq domain any
access-list 112 permit tcp any eq domain any
access-list 112 permit udp any any eq isakmp
access-list 112 permit udp any any eq non500-isakmp
access-list 112 permit esp any any
access-list 112 permit udp any eq ntp any
access-list 112 permit udp any eq bootps any
access-list 112 permit udp any eq 5060 any
access-list 112 permit tcp any any eq 443
access-list 112 deny   ip any any
!
!
!
!
route-map VDSLV-nat permit 10
 match ip address 102
 set interface Ethernet0.180
!
route-map ADSL2+-DTAG permit 10
 match ip address 101
 set interface Dialer1
!
snmp-server community public RO
!
!
!
line con 0
 no modem enable
line aux 0
 script dialer gsm
line 2
 no activation-character
 no exec
 transport preferred none
 transport input all
line 3
 script dialer gsm
 no exec
line vty 0 4
 access-class 23 in
 privilege level 15
 transport input ssh
!
scheduler max-task-time 5000
ntp server 130.149.17.8 source Dialer1
!
webvpn gateway Cisco-WebVPN-Gateway
 ip address 91.137.62.94 port 443  
 ssl encryption aes-sha1
 ssl trustpoint my-trustpoint
 inservice
 !
webvpn install svc flash:/webvpn/anyconnect-macosx-i386-3.1.14018-k9.pkg sequence 1
 !
webvpn context Cisco-WebVPN
 title "MEDIA-KONTOR WebVPN - Powered By Cisco"  
 ssl authenticate verify all
 !
 url-list "rewrite"  
 !
 acl "ssl-acl"  
   permit ip 192.168.77.0 255.255.255.0 192.168.77.0 255.255.255.0
   permit ip 192.168.77.0 255.255.255.0 192.168.83.0 255.255.255.0
   permit ip 192.168.77.0 255.255.255.0 192.168.36.0 255.255.255.0
   permit ip 192.168.77.0 255.255.255.0 10.250.10.0 255.255.255.0
 !
 login-message "Cisco Secure WebVPN"  
 !
 policy group webvpnpolicy
   functions svc-enabled
   filter tunnel ssl-acl
   svc address-pool "webvpn-pool" netmask 255.255.255.0  
   svc rekey method new-tunnel
   svc split include 192.168.77.0 255.255.255.0
   svc split include 192.168.83.0 255.255.255.0
   svc split include 192.168.36.0 255.255.255.0
 default-group-policy webvpnpolicy
 aaa authentication list sslvpn
 gateway Cisco-WebVPN-Gateway
 max-users 2
 inservice
!
end
aqui
aqui 25.05.2017 aktualisiert um 12:52:11 Uhr
Goto Top
Das hört sich ja schon mal gut an....
Habe ich hier einen Denkfehler? Oder was fehlt dem Cisco da ?
Nein einen Denkfehler hast du nicht.
Da du den Cisco selber mit der .77.254 erreichen kannst ist das ein sicheres Indiz dafür das du das gesamte .77.0er Netz generell erreichen kannst.
Wenn Komponenten dahinter nicht pingbar sind, dann ist das zu 98% ein Problem der dortigen lokalen Firewall oder eines vergessenen Gateway Eintrags.
Ein extended Ping auf eine Endgeräte IP im .77.0er Netz muss dann auch fehlerfrei funktionieren.
Sehr hilfreich ist es hier mal auf so einem Endgerät einen Wireshark Sniffer mitlaufen zu lassen !!
Wenn du dann dort eingehende ICMP (Ping) Pakete sehen kannst weisst du das die da sauber ankommen und der Fehler dann nicht an deiner Router Konfig liegen !!
Also Wireshark ist hier dein Freund damit wir das letzte "Problemchen" auch noch fixen... face-wink

Einen ziemlichen Kardinalsfehler hast du übrigens noch in der Konfig !!!
Und das gerade im betroffenen .77.0er Netz.
Deine DHCP Konfig mit dem Excluden der beiden einzigen Adressen
ip dhcp excluded-address 192.168.77.100
ip dhcp excluded-address 192.168.77.50

Ist natürlich vollkommen falsch.
Allein dein Router hat ja die .77.254 und die müsste zwingend excluded werden damit es hier niemals zu einer Überschneidung kommt. Ggf. liegt hier auch das Problem.
Der Cisco vergibt immer von oben nach unten und hat die .254 vermutlich an einen Client vergeben was dann zu Chaos führt.
Eigentlich vollkommen unverständlich das dir das nicht aufgefallen ist ?!
Du solltest das dringend besser in:
ip dhcp excluded-address 192.168.77.1 192.168.77.49
ip dhcp excluded-address 192.168.77.101 192.168.77.254

abändern.
Damit ist dann alles excluded (ausgenommen) bis auf den Adress Pool Bereich .77.50 bis .77.100 der dann den Clients dynamisch zugewiesen wird.
Statische Adressen sollten natürlich dann nicht im bereich 50 bis 100 liegen !! Falls doch musst du den Bereich eben etwas schieben.
Hilfreich hier auch noch das Global Kommando:
ip dhcp binding cleanup interval 600
Serial90
Serial90 26.05.2017 um 07:39:08 Uhr
Goto Top
OK. Also ich habe nun den DHCP-Fehler behoben und den Wireshark auf den Geräten am laufen.

Es kommt allerdings keinerlei icmp an dem Gerät an? Allerdings an den Geräten in den VPN Netzen schon und da geht er ja auch sauber durch.

Verstehe ich nicht wieso die VPN-Netze funktionieren und das eigene (77.0) nicht sondern nur der Cisco?!

Wenn ich am Cisco den crypto Debug laufen lasse kommt auch keinerlei fehler oder sontiges?
aqui
aqui 26.05.2017 aktualisiert um 15:55:18 Uhr
Goto Top
Nochmal ganz langsam....
Du bist an dem Cisco, der auch das .77.0er Netz hält und pingst dort vom Cisco CLI ein Endgerät in eben diesem lokalem Netz und das geht nicht ??
Das kann niemals sein.
Auch hier gilt wenn du vom Cisco pingst wieder Extended Ping ansonsten nimmt der Cisco wieder ne falsche Absender IP. Auch wenn das Netzwerk bei ihm lokal ist !
Wenn dann debugst du icmp aber kein Crypto. VPN geht ja ....
Serial90
Serial90 26.05.2017 um 16:30:01 Uhr
Goto Top
Nein. Ich bin via VPN-Anyconnect Client und WebVPN von Cisco---> an dem Cisco.

Diese Clients sollten das 77.0 Netz erreichen können. Dies tun Sie aber nicht.
Schaue ich dann an den jeweiligen Endgeräten mit Wireshark kommt dort nichts an von meinen VPN Geräten?! Also kein ICMP.

Versuche ich nun aber von dem VPN-Anyconnect Client eins der anderen Netze, die wiederrum via VPN-Multicast Tunnel angebunden sind zu erreichen, geht dies wunderbar.

Nur das Netz vom dem Cisco erreiche ich von den VPN-Clients aus nicht, diese können lediglich den Cisco-887V selbst erreichen via ICMP (192.168.77.254)
aqui
Lösung aqui 27.05.2017 aktualisiert um 11:50:48 Uhr
Goto Top
Mmmhhh... Wie sieht deine Routing Tabelle aus bei aktivem VPN-Anyconnect Client und WebVPN ?? (route print)
Routest du mit einem Gateway Redirect, also alles dann in den Tunnel oder mit Split VPN also nur die spezifischen IP Netze in den Tunnel ??
Bei letzterem könnte der Fehler sein das das .77.0er Netz nicht an den Client distribuiert wird ?!

Komisch allerdings ist das die Clients den Cisco mit der .77.254er Adresse erreichen können. Zeigt dann sicher das .77.x Pakete sauber und richtig im VPN geforwardet werden.
Und...lässt dann doch wieder auf ein Firewall Problem lokaler (Windows) Endgeräte im .77.0er Netz schliessen.
Hast du ggf. ein Endgerät im .77.0er Netz das ganz sicher KEINE Firewall hat wie NAS, Drucker, VoIP Telefon, WLAN Accesspoint oder sowas ??
Serial90
Serial90 04.06.2017, aktualisiert am 21.06.2017 um 08:28:47 Uhr
Goto Top
Vielen Dank für deine Hilfe!

Ich habe es jetzt rausgefunden was mein Fehler war:

230.
interface Vlan2 
 ip address 192.168.77.254 255.255.255.0 
 no ip redirects 
 ip nat inside 
 ip virtual-reassembly in 
 ip tcp adjust-mss 1452 
 ip policy route-map VDSLV-nat 
----> 08. musste ich weglassen und schon lief alles Prima! alle 66er via dialer 1 raus und alle 77er via ethernet 0.180 und der Anyconnect kam auch sauber durch auf das 77er. face-smile

DANKE!