brammer
Goto Top

Nicht alle Geräte im Netz sind erreichbar

Problem wurde ohne Lösung ad acta gelegt. Kunde betrachtet das Problem nicht mehr als Problem.

brammer

Hallo,

mal wieder ein kleines Problem.
Folgende Situation.

Lokales Netz ---- Cisco 3900 als VPN Device ---- Internet ----- Cisco 877 VPN Gegenstelle ----- L2 Cisco 2960 Switch --- entferntes Netz

Also ein klassischer VPN Aufbau wie er wohl tausendfach in Betrieb ist.
Nur, im entfernten Netz sind nicht alle Endgeräte erreichbar.
Ich erreiche per netscan den Cisco 877 sowie einen Teil des entfernten Netzes, mit Ausnahme von 8 IP Adressen (aufeinander folgend) , darunter der Switch, die mitten im Netzwerk liegen.
Auch ein direkter Ping auf die Maschinen ist nicht möglich
Vom Router aus kann ich alle Endgeräte im Netz anpingen, inklusive Switch. Auf allen Geräten ist der Cisco 877 als Gateway eingetragen.
Ein Techniker vor Ort konnte alle Geräte über netscan erreichen.
Die SSH Verbindung vom Router zum Switch funktioniert ebenfalls nicht, allerdings vom Laptop des Technikers auf den Switch, das geht.
Der Router hat die IOS Version (c870-advipservicesk9-mz.150-1.M.bin)
Der Switch die IOS Version (c2960-lanbasek9-tar.122-50.SE.tar)

Auf dem Router sind keinerlei access-lists konfiguriert die irgendwas verbieten.
Es handelt sich um eine isoliertes Netz für das ein eigenständiger Internet Zugang (Marokkanische DSL Anbieter) besteht und das keinen Übergang zum übrigen Kunden Netz hat.
Bei dem DSL Modem handelt es sich um einen der üblichen Kastrierten Baumarkt Router der nur als Modem arbeitet.
Auf keiner der entfernten Geräte läuft eine Firewall.
Es handelt sich im wesentlichen um XP Embedded Systeme und Linux Rechner.

Wieso kann ich die Geräte, die defintiv angeschaltet sind nicht erreichen?

brammer

Content-ID: 156103

Url: https://administrator.de/contentid/156103

Ausgedruckt am: 22.11.2024 um 18:11 Uhr

aqui
aqui 01.12.2010 um 10:11:07 Uhr
Goto Top
Hallo brammer,
Als Profi wirst du ja sicher schon die grundlegenden Dinge wie sh ip route usw. auf beiden Routern gemacht haben um die Routing Tabelle zu checken gepaart mit einem traceroute usw.
Da du vom 877er alle Geräte pingen kannst sieht es ja erstmal so aus als ob lokal soweit alles OK ist. Das SSH nicht klappt ist ggf. ein Konfig Problem ?
Hast du
line vty 0 4
password Geheim
login local
transport input ssh
!

mit
username brammer password geheim
auf dem Switch konfiguriert ?
Ebenfalls sollte natürlich ein ip default gateway <ip_877> oder ip route 0.0.0.0 0.0.0.0 <ip_877> auf dem Switch nicht fehlen !
Bei VPNs hast du ja eine ACL auf dem Router der die entsprechenden IPs in den Tunnel schickt wenn die ACL matched. Wichtig ist hier der Befehl ip ssh source-interface xy , denn sonst kann es passieren das SSH die native WAN Interface IP nimmt und so nicht durch den Tunnel kommt.
Weitere Fragen sind komplett abhängig von der Konfig und ggf. debug outputs auf dem Router und daher schwer hier im Forum zu beantworten.
Ggf. solltest du hier mal ein ip oder icmp packet debugging laufen lassen um zu sehen ob IPs aus dem Tunnel überhaupt ankommen an den Endgeräten und viel wichtiger, ob die Endgeräte auch korrekt darauf antworten.
Sinn macht es auch bei den VPN ACLs einmal ein log dazu einzuschalten um zu checken ob die ACLs korrekt arbeiten.
brammer
brammer 01.12.2010 um 11:17:31 Uhr
Goto Top
Hallo aqui,

die Routing Tabellen inklusive der Netzmasken sind geprüft und passen, es handelt sich im entfernten Netz um ein /25er Netz.
Da ich ja einen Teil des Netzes erreiche kann es an den Routen eigentlich nicht lliegen.

hier einfach mal die Switch Konfig:


Using 5612 out of 65536 bytes
!
version 12.2
no service pad
service timestamps debug datetime msec localtime
service timestamps log datetime msec localtime
service password-encryption
service sequence-numbers
!
hostname xxx
!
boot-start-marker
boot-end-marker
!
logging file flash:logging_errors.txt errors
logging buffered 8192
!
username xxx privilege 15 secret xxxx
username xxxx privilege 15 secret xxxx
!
!
no aaa new-model
system mtu routing 1500
vtp interface VLAN101
authentication mac-move permit
ip subnet-zero
!
!
ip domain-name xxx.com
!
!
crypto pki trustpoint TP-self-signed-yxyxyx
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-yxyxyx
revocation-check none
rsakeypair TP-self-signed-yxyxyx
!
!
crypto pki certificate chain TP-self-signed-yxyxyx
certificate self-signed 01 nvram:IOS-Self-Sig#3839.cer
!
!
!
spanning-tree mode pvst
spanning-tree etherchannel guard misconfig
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
ip ssh version 2
!
!
interface FastEthernet0/1
description Reserve
shutdown
!
interface FastEthernet0/2
description Reserve
shutdown
!
interface FastEthernet0/3
description Reserve
shutdown
!
interface FastEthernet0/4
description Reserve
shutdown
!
interface FastEthernet0/5
description Reserve
shutdown
!
interface FastEthernet0/6
description Reserve
shutdown

!
interface FastEthernet0/7
description machine LAN
switchport access vlan 101
switchport mode access
spanning-tree portfast
!
interface FastEthernet0/8
description machine LAN
switchport access vlan 101
switchport mode access
spanning-tree portfast
!
interface FastEthernet0/9
description machine LAN
switchport access vlan 101
switchport mode access
spanning-tree portfast
!
interface FastEthernet0/10
description machine LAN
switchport access vlan 101
switchport mode access
spanning-tree portfast
!
interface FastEthernet0/11
description machine LAN
switchport access vlan 101
switchport mode access
spanning-tree portfast
!
interface FastEthernet0/12
description machine LAN
switchport access vlan 101
switchport mode access
spanning-tree portfast
!
interface FastEthernet0/13
description machine LAN
switchport access vlan 101
switchport mode access
spanning-tree portfast
!
interface FastEthernet0/14
description machine LAN
switchport access vlan 101
switchport mode access
spanning-tree portfast
!
interface FastEthernet0/15
description machine LAN
switchport access vlan 101
switchport mode access
spanning-tree portfast
!
interface FastEthernet0/16
description machine LAN
switchport access vlan 101
switchport mode access
spanning-tree portfast
!
interface FastEthernet0/17
description machine LAN
switchport access vlan 101
switchport mode access
spanning-tree portfast
!
interface FastEthernet0/18
description machine LAN
switchport access vlan 101
switchport mode access
spanning-tree portfast
!
interface FastEthernet0/19
description machine LAN
switchport access vlan 101
switchport mode access
spanning-tree portfast
!
interface FastEthernet0/20
description machine LAN
switchport access vlan 101
switchport mode access
spanning-tree portfast
!
interface FastEthernet0/21
description Reserve
shutdown
!
interface FastEthernet0/22
description Reserve
shutdown
!
interface FastEthernet0/23
description Reserve
shutdown
!
interface FastEthernet0/24
description connect to Router
switchport access vlan 101
switchport mode access
spanning-tree portfast
!
interface GigabitEthernet0/1
description Reserve
shutdown
!
interface GigabitEthernet0/2
description Reserve
shutdown
!
interface Vlan1
no ip address
no ip route-cache
shutdown
!
interface Vlan101
description machine LAN
ip address 10.17.181.130 255.255.255.128
no ip route-cache
!
ip default-gateway 10.17.181.129
ip http server
ip http authentication local
ip http secure-server
ip sla enable reaction-alerts
snmp-server community public_xxx RO

!
line con 0
logging synchronous
login local
line vty 0 4
logging synchronous
login local
transport preferred ssh
transport input ssh
transport output ssh
line vty 5 15
logging synchronous
login local
transport preferred ssh
transport input ssh
transport output ssh
!
end

die Router Konfig muss ich erstmal aktuell ziehen.

Nachtrag 11:36

hier die Router konfig:


version 15.1
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
no service dhcp
!
hostname r877
!
boot-start-marker
boot-end-marker
!
logging buffered 16384
logging console critical
!
aaa new-model
!
!
aaa group server radius xysxsyxsyx
server yxyxyx auth-port 1812 acct-port 1813
server yxyxyxy auth-port 1812 acct-port 1813
cache expiry 720 failover
cache authorization profile usercache
cache authentication profile usercache
ip radius source-interface Loopback0
deadtime 1
load-balance method least-outstanding
!
aaa authentication login AAA_Auth group xcxvxvxv cache xcxvxvxv local
aaa authorization console
aaa authorization exec AAA_Auth group xcxvxvxv cache xcxvxvxv local if-authenticated
aaa cache profile usercache
all
!
!
aaa session-id common
clock timezone CET 1
!
crypto pki trustpoint TP-self-signed-xxxxx
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-xxxxx
revocation-check none
rsakeypair TP-self-signed-xxxxx
!
!
crypto pki certificate chain TP-self-signed-xxxxx
certificate self-signed 01 nvram:IOS-Self-Sig#8.cer
dot11 syslog
ip source-route
!
!
ip cef
no ip bootp server
ip domain name xxx.com
ip name-server xxxx
ip name-server xxxx
!
!
archive
log config
logging enable
logging size 1000
notify syslog contenttype plaintext
hidekeys
vtp file flash:vtp.dat
vtp domain r877-9
vtp mode transparent
username xxx privilege 15 secret xxx
!
!
vlan 101
name Line1
!
ip tcp synwait-time 10
ip tcp path-mtu-discovery
ip ssh authentication-retries 2
ip ssh version 2
!
!
crypto ipsec client ezvpn xxx
connect auto
ctcp port 443
group r877-9_xxx key xxx
mode network-extension
peer xxx
peer xxx
acl ACL_xxx
nat allow
virtual-interface 1
username r877 password xxx
xauth userid mode local
!
!
interface Loopback0
description Management
ip address xxx 255.255.255.255
ip nat inside
ip virtual-reassembly
crypto ipsec client ezvpn xxx inside
!
interface ATM0
no ip address
shutdown
no atm ilmi-keepalive
!
interface FastEthernet0
description xxx
switchport access vlan 101
!
interface FastEthernet1
description reserve
shutdown
!
interface FastEthernet2
description reserve
shutdown
!
interface FastEthernet3
description Internet Access
!
interface Virtual-Template1 type tunnel
ip nat outside
ip virtual-reassembly
tunnel mode ipsec ipv4
!
interface Vlan1
description Internet Access
ip address dhcp client-id FastEthernet3
ip nat outside
ip virtual-reassembly
no ip route-cache cef
no ip route-cache
crypto ipsec client ezvpn xxx
!
interface Vlan101
description xxx
ip address 10.17.181.129 255.255.255.128
ip nat inside
ip virtual-reassembly
crypto ipsec client ezvpn xxx inside
hold-queue 100 out
!
ip forward-protocol nd
no ip http server
ip http authentication aaa login-authentication AAA_Auth
ip http authentication aaa exec-authorization AAA_Auth
ip http secure-server
ip http secure-port 4444
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip dns server
ip route 0.0.0.0 0.0.0.0 dhcp
!
ip access-list extended ACL_xxx
remark VPN-Tunnel xxx - xxx
permit ip 10.17.181.128 0.0.0.127 xxx 0.0.7.255
permit ip host xxx yyyy 0.0.7.255
permit ip host xxx host yxyxyx
permit ip host xxx host yxyxyxy
permit ip host xxx host xxx
permit ip host xxx host xxxx
permit ip host xxx host xxx
deny ip any any
!
logging source-interface Loopback0
logging xxx
access-list 20 remark SNMP requests
access-list 20 permit xxxx
access-list 20 deny any
!
!
!
snmp-server group xysxsyxsyx v3 priv read xysxsyxsyxView access 20
snmp-server view xysxsyxsyxView iso included
snmp-server location Kunde
snmp-server contact xxx
!
radius-server host yxyxyx auth-port 1812 acct-port 1813 key xcxcxc
radius-server host yxyxyxy auth-port 1812 acct-port 1813 key cxccxcx
radius-server retransmit 2
radius-server timeout 3
!
control-plane
!

!
line con 0
privilege level 15
authorization exec AAA_Auth
logging synchronous
login authentication AAA_Auth
no modem enable
line aux 0
line vty 0 4
privilege level 15
authorization exec AAA_Auth
logging synchronous
login authentication AAA_Auth
transport preferred ssh
transport input ssh
transport output ssh
!
ntp logging
ntp server xxx prefer source Loopback0
ntp server xxx source Loopback0
end

brammer
laster
laster 01.12.2010 um 12:20:56 Uhr
Goto Top
Hallo, wie sieht es mit den Netzwerkeinstellungen der nicht von extern erreichbaren Geräte aus? Haben die das richtigen Standardgateway? Prüfe, ob die Pakete hin gehen, aber nicht zurück kommen.
vG
LS
brammer
brammer 01.12.2010 um 13:18:52 Uhr
Goto Top
Hallo,

die entfernten Geräte habe ich geprüft, zumindest bei zweien direkt und bei den anderen durch einen Techniker vor Ort.

brammer