Port-Weiterleitung auf Cisco
Ich habe die Config endlich fertig, doch jetzt funktioniert mein OpenSwan nicht mehr.
Hallo,
Ich baue von außerhalb eine OpenSwan Verbindung zu einem Linux Server in meinem Netz auf,
das OpenSwan ist auf die Ports 15015 und 15016 compiliert.
Es hat auch schonmal funktioniert, doch bei den letzten paar änderungen ging irgendetwas schieff ,
und nun kann ich keine Verbindung mehr aufbauen, nach einigen Tests: auf dem Linux-Server
kommt in keinster weise irgendeine Anfrag an?
Es muss mit dem Port Forwarding zu tun haben, jedoch finde ich den Fehler nicht?
Hallo,
Ich baue von außerhalb eine OpenSwan Verbindung zu einem Linux Server in meinem Netz auf,
das OpenSwan ist auf die Ports 15015 und 15016 compiliert.
Es hat auch schonmal funktioniert, doch bei den letzten paar änderungen ging irgendetwas schieff ,
und nun kann ich keine Verbindung mehr aufbauen, nach einigen Tests: auf dem Linux-Server
kommt in keinster weise irgendeine Anfrag an?
Es muss mit dem Port Forwarding zu tun haben, jedoch finde ich den Fehler nicht?
!
version 12.4
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
!
hostname ####
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 3 log
security passwords min-length 4
logging buffered 51200
logging console critical
enable secret 5 ########
enable password 7 #############
!
no aaa new-model
clock timezone MET 1
clock summer-time MEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
crypto pki trustpoint TP-self-signed-3255133010
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-3255133010
revocation-check none
rsakeypair TP-self-signed-3255133010
!
!
crypto pki certificate chain TP-self-signed-3255133010
certificate self-signed 01
#####
quit
dot11 syslog
no ip source-route
!
!
ip cef
!
!
no ip bootp server
ip name-server 217.5.100.185
ip inspect name myfw tcp
ip inspect name myfw udp
!
multilink bundle-name authenticated
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
!
vpdn-group pppoe
request-dialin
protocol pppoe
!
!
!
users ###########
!
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
lifetime 18000
crypto isakmp key ############ address ########
!
!
crypto ipsec transform-set 3des_md5 esp-3des esp-md5-hmac
crypto ipsec df-bit clear
!
crypto map encrypt_daf 1 ipsec-isakmp
set peer ######
set security-association lifetime seconds 18000
set transform-set 3des_md5
set pfs group2
match address vpn-traffic
!
archive
log config
hidekeys
!
!
ip tcp synwait-time 10
ip ssh version 2
!
!
bba-group pppoe global
!
!
interface Null0
no ip unreachables
!
interface FastEthernet0
description local lan
ip address 10.100.100.1 255.255.255.0
no ip redirects
no ip unreachables
ip nbar protocol-discovery
ip flow egress
ip nat inside
ip virtual-reassembly
ip route-cache flow
ip tcp adjust-mss 1452
shutdown
speed auto
full-duplex
!
interface FastEthernet1
description connected to modem
no ip address
ip route-cache flow
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
no keepalive
no cdp enable
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
!
interface FastEthernet2
vlan-id dot1q 1
exit-vlan-config
!
!
interface FastEthernet3
!
interface FastEthernet4
!
interface FastEthernet5
!
interface FastEthernet6
!
interface FastEthernet7
!
interface FastEthernet8
!
interface FastEthernet9
!
interface Virtual-Template1
description PPTP Einwahl Interface fuer VPN Zugang
ip unnumbered Vlan1
no ip redirects
no ip unreachables
peer default ip address pool pptp_dialin
no keepalive
ppp encrypt mppe auto
ppp authentication pap chap ms-chap ms-chap-v2
!
interface Vlan1
description Vlan1
ip address 10.10.2.2 255.255.0.0
ip nbar protocol-discovery
ip flow egress
ip nat inside
ip virtual-reassembly
ip route-cache flow
ip tcp adjust-mss 1452
!
interface Dialer1
description DSL Provider Dialin
ip address negotiated
ip access-group NAT-DIALER in
ip mtu 1492
ip nat outside
ip inspect myfw out
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
no keepalive
no cdp enable
ppp authentication chap callin
ppp chap hostname ######
ppp chap password 7 #######
ppp ipcp dns request
ppp ipcp wins request
crypto map encrypt_daf
!
ip local pool pptp_dialin 10.10.1.1 10.10.1.9
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer1
!
!
no ip http server
no ip http secure-server
ip dns server
ip nat pool NAT_VPN ######### ############ netmask 255.255.255.252
ip nat inside source list NAT-DAF pool NAT_VPN overload
ip nat inside source list NAT-INTERNET interface Dialer1 overload
ip nat inside source static udp 10.10.1.250 15015 interface Dialer1 15015
ip nat inside source static udp 10.10.1.250 15016 interface Dialer1 15016
!
ip access-list standard TELNET-ACCESS
permit 10.10.0.0 0.0.255.255
permit 132.147.16.0 0.0.0.255
deny any
!
ip access-list extended NAT-DAF
permit ip host 10.10.1.250 160.69.9.0 0.0.0.255
permit ip host 10.10.1.32 160.69.9.0 0.0.0.255
ip access-list extended NAT-DIALER
permit icmp any any
permit udp any eq domain any
permit tcp any any eq 1723
permit gre any any
permit esp host ######## host #####
permit udp host ########## host ##### eq isakmp
permit udp host ####### eq ntp host ##### eq ntp
deny ip any any
ip access-list extended NAT-INTERNET
permit ip 10.10.0.0 0.0.255.255 any
ip access-list extended vpn-traffic
permit ip 172.29.2.212 0.0.0.3 160.69.9.0 0.0.0.255
!
logging trap debugging
dialer-list 1 protocol ip permit
no cdp run
!
!
!
!
!
!
control-plane
!
banner motd
*****************************************************************
!
line con 0
exec-timeout 30 0
stopbits 1
flowcontrol software
line aux 0
exec-timeout 30 0
stopbits 1
flowcontrol software
line vty 0 4
access-class TELNET-ACCESS in
exec-timeout 30 0
privilege level 15
password 7 ########
login local
transport input telnet ssh
!
scheduler allocate 4000 1000
scheduler interval 500
ntp clock-period 17180146
ntp server 192.53.103.108 source Dialer1 prefer
end
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 130603
Url: https://administrator.de/contentid/130603
Ausgedruckt am: 25.11.2024 um 04:11 Uhr
10 Kommentare
Neuester Kommentar
Cisco NAT Beispiel und Erklärung
http://certcollection.org/forum/thread-2872.html
Overloading
router(config)#access-list acl-number permit source-IP source-wildcard
router(config)#ip nat inside source list acl-number interface interface overload
router(config)#interface fa0/4
router(config-if)#ip nat inside
router(config-if)#exit
router(config)#interface s0
router(config-if)#ip nat outside
http://certcollection.org/forum/thread-2872.html
Overloading
router(config)#access-list acl-number permit source-IP source-wildcard
router(config)#ip nat inside source list acl-number interface interface overload
router(config)#interface fa0/4
router(config-if)#ip nat inside
router(config-if)#exit
router(config)#interface s0
router(config-if)#ip nat outside
Nein deine NAT Konfig ist soweit OK und die wird auch sicher funktionieren oder ?? Das ist also nicht das Problem.
Die Falle liegt vermutlich wie so immer in der incoming ACL versteckt:
ip access-list extended NAT-DIALER
permit icmp any any
permit udp any eq domain any
permit tcp any any eq 1723
permit gre any any
permit esp host ######## host #####
permit udp host ########## host ##### eq isakmp
permit udp host ####### eq ntp host ##### eq ntp
deny ip any any
Wie man unschwer sieht erlaubst du hier auf deim Internet inbound ausschliesslich nur folgenden Traffic:
ICMP, DNS, PPTP, IPsec und NTP und das ist alles. Was PPTP und IPsec da zu suchen haben wenn du eh OpenSwan machst ist eine andere Frage...aber egal.
Du hast zwar eine statische NAT Zuordnung deiner beiden UDP Ports 15015 und 15016 erlaubst diese aber in der NAT-DIALER ACL nicht so das diese ACL die blockt !!
Dort müsste noch sowas stehen wie:
permit udp any any eq 15015
permit udp any any eq 15016
damit die incoming ACL diese Ports auch durchlässt !! (Besser da sicherer ggf. etwas strikter mit Host oder Netzwerk Einschränkungen in der ACL)
Bei solcherlei ACLs am Internet Port macht es immer Sinn die inbound ACL an diesem Port temporär mit dem Log Parameter zu versehen deny ip any any log um im System Logging (show logg) zu sehen wo es an der ACL kneift. Danach kann man das "log" wieder entfernen !
Generell ist deine Konfig nicht gerade schön und effizient. Besser ist es hier immer mit Contend Based ACLs zu arbeiten sofern du ein Firewalling IOS auf der Kiste hast !
Die Falle liegt vermutlich wie so immer in der incoming ACL versteckt:
ip access-list extended NAT-DIALER
permit icmp any any
permit udp any eq domain any
permit tcp any any eq 1723
permit gre any any
permit esp host ######## host #####
permit udp host ########## host ##### eq isakmp
permit udp host ####### eq ntp host ##### eq ntp
deny ip any any
Wie man unschwer sieht erlaubst du hier auf deim Internet inbound ausschliesslich nur folgenden Traffic:
ICMP, DNS, PPTP, IPsec und NTP und das ist alles. Was PPTP und IPsec da zu suchen haben wenn du eh OpenSwan machst ist eine andere Frage...aber egal.
Du hast zwar eine statische NAT Zuordnung deiner beiden UDP Ports 15015 und 15016 erlaubst diese aber in der NAT-DIALER ACL nicht so das diese ACL die blockt !!
Dort müsste noch sowas stehen wie:
permit udp any any eq 15015
permit udp any any eq 15016
damit die incoming ACL diese Ports auch durchlässt !! (Besser da sicherer ggf. etwas strikter mit Host oder Netzwerk Einschränkungen in der ACL)
Bei solcherlei ACLs am Internet Port macht es immer Sinn die inbound ACL an diesem Port temporär mit dem Log Parameter zu versehen deny ip any any log um im System Logging (show logg) zu sehen wo es an der ACL kneift. Danach kann man das "log" wieder entfernen !
Generell ist deine Konfig nicht gerade schön und effizient. Besser ist es hier immer mit Contend Based ACLs zu arbeiten sofern du ein Firewalling IOS auf der Kiste hast !
So sähe eine z.B. CBAL Konfig aus:
service timestamps debug datetime localtime
service timestamps log datetime localtime
!
hostname Router
!
clock timezone MET 1
clock summer-time MEST recurring last Sun Mar 2:00 last Sun Oct 3:00
ip domain name meinedomain.org
!
ip inspect name meinefw tcp
ip inspect name meinefw udp
!
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
!
ip tcp path-mtu-discovery
!
interface Ethernet0
description Internet Anbindung 5 Mbit/s
bandwidth 5000
ip address 1.1.1.1 255.255.255.252
ip access-group 111 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip inspect meinefw out
no cdp enable
!
interface Ethernet1/0
description Lokales Ethernet
ip address 10.1.1.254 255.255.255.0
ip nat inside
!
interface Virtual-Template1
description PPTP Dialin Interface fuer VPN Zugang
ip unnumbered Ethernet1
peer default ip address pool pptp_dialin
no keepalive
ppp encrypt mppe auto
ppp authentication pap chap ms-chap
!
ip local pool pptp_dialin 10.1.1.100 10.1.1.110
ip nat inside source list 101 interface Ethernet0 overload
!
access-list 101 permit ip 10.1.1.0 0.0.0.255 any
access-list 101 deny ip any any
!
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit udp any any eq isakmp
access-list 111 permit tcp any any eq 1723
access-list 111 permit esp any any
access-list 111 permit gre any any
access-list 111 deny ip any any
Fürs Internet Interface musst du entsprechend dein PPPoE Dial Konfig verwenden !
Wenns das war bitte
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
service timestamps debug datetime localtime
service timestamps log datetime localtime
!
hostname Router
!
clock timezone MET 1
clock summer-time MEST recurring last Sun Mar 2:00 last Sun Oct 3:00
ip domain name meinedomain.org
!
ip inspect name meinefw tcp
ip inspect name meinefw udp
!
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
!
ip tcp path-mtu-discovery
!
interface Ethernet0
description Internet Anbindung 5 Mbit/s
bandwidth 5000
ip address 1.1.1.1 255.255.255.252
ip access-group 111 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip inspect meinefw out
no cdp enable
!
interface Ethernet1/0
description Lokales Ethernet
ip address 10.1.1.254 255.255.255.0
ip nat inside
!
interface Virtual-Template1
description PPTP Dialin Interface fuer VPN Zugang
ip unnumbered Ethernet1
peer default ip address pool pptp_dialin
no keepalive
ppp encrypt mppe auto
ppp authentication pap chap ms-chap
!
ip local pool pptp_dialin 10.1.1.100 10.1.1.110
ip nat inside source list 101 interface Ethernet0 overload
!
access-list 101 permit ip 10.1.1.0 0.0.0.255 any
access-list 101 deny ip any any
!
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit udp any any eq isakmp
access-list 111 permit tcp any any eq 1723
access-list 111 permit esp any any
access-list 111 permit gre any any
access-list 111 deny ip any any
Fürs Internet Interface musst du entsprechend dein PPPoE Dial Konfig verwenden !
Wenns das war bitte
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
CBAL macht nur dynmaisch Ports nach außen auf die auch innen geöffnet sind und macht zudem noch eine stateful Inspection dieses Traffics. ACL können das nicht !
Wenns das war
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
Wenns das war
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !