Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst [Prob] Site-to-Site VPN Cisco 876 vs NS50

Mitglied: 38697

38697 (Level 1)

06.02.2007, aktualisiert 08.02.2007, 8422 Aufrufe, 4 Kommentare

Hallo,

ich habe folgendes Problem und sehe den Fehler nicht. Ich möchte ein Site-to-Site VPN mittels Cisco 876 und einer Juniper NetScreen 50 aufbauen.
Eckdaten der Verbindung sind:
Verwenden von Pre-Share-Key, DH-Gruppe 2, 3DES und MD5, kein PFS. NS50 hat eine feste IP, mit anderen Geräten klappt der Tunnel auch. Ist allerdings mein erster Cisco-VPN-Versuch.
Der 876 hängt an einem ADSL-Anschluss mit dyn. IP, der wählt sich soweit auch ein, es hängt auch nur ein Rechner dran, der auch surfen kann.
Allerdings unternimmt er nicht mal den Versuch einen Tunnel aufzubauen (kein Eintrag im Log in der NS).
Die Konfig des 876 ist wie folgt:

(schnipp)
Current configuration : 2607 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
no aaa new-model
!
resource policy
!
ip subnet-zero
no ip cef
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.1.1
!
ip dhcp pool dhcppool
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
dns-server xxx.xxx.xxx.xxx
!
ip name-server xxx.xxx.xxx.xxx
ip name-server xxx.xxx.xxx.xxx
!
crypto isakmp policy 3
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key geheim address IPNS50
!
crypto isakmp peer address IPNS50
set aggressive-mode password geheim
set aggressive-mode client-endpoint user-fqdn cisco@test.de
!
crypto ipsec security-association lifetime seconds 86400
!
crypto ipsec transform-set 3des-md5 esp-3des esp-md5-hmac
!
crypto map VPN 30 ipsec-isakmp
set peer IPNS50
set transform-set 3des-md5
match address 130
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
!
interface ATM0
description ADSL Interface$ES_WAN$
no ip address
no ip redirects
no ip route-cache
no ip mroute-cache
load-interval 30
timeout absolute 71582 0
no atm ilmi-keepalive
pvc 1/32
pppoe-client dial-pool-number 1
!
dsl operating-mode auto
!
interface FastEthernet0
no cdp enable
crypto map VPN
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
ip address 192.168.1.1 255.255.255.0
ip access-group 101 in
ip nat inside
ip virtual-reassembly
!
interface Dialer1
ip address negotiated
no ip redirects
ip mtu 1492
ip nat outside
no ip virtual-reassembly
encapsulation ppp
no ip route-cache
ip tcp adjust-mss 1420
no ip mroute-cache
load-interval 30
dialer pool 1
dialer idle-timeout 0
dialer persistent
dialer-group 1
no cdp enable
ppp authentication pap callin
ppp chap refuse
ppp pap sent-username geheim password 7 geheim
ppp ipcp dns request
crypto map VPN
!
interface Dialer0
no ip address
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
!
ip http server
no ip http secure-server
ip nat inside source list 100 interface Dialer1 overload
!
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 100 remark SDM_ACL Category=2
access-list 100 permit ip 192.168.1.0 0.0.0.255 any
access-list 101 permit ip any any
access-list 130 permit ip 192.168.1.0 0.0.0.255 192.168.10.0 0.0.0.255
dialer-list 1 protocol ip permit
!
control-plane
!
line con 0
no modem enable
line aux 0
line vty 0 4
!
scheduler max-task-time 5000
end

(schnapp)

Das "crypto map VPN" hatte ich jetzt schon auf jedem Interface. Wie gestalte ich die Route?
Vielleicht kann mir ja jemand helfen.
Danke und beste Grüße
Schramme
Mitglied: 38697
06.02.2007 um 16:11 Uhr
Die Zeilen mit bevorstehendem ! sind nicht auskommentiert - das hat hier das Forum gemacht. Also zwischen '!' und dem Rest der Zeile ist ein neuer Zeilenanfang.
Bitte warten ..
Mitglied: aqui
06.02.2007 um 17:49 Uhr
Hier kannst du sehen wie das zu einer Checkpoint FW funktioniert. Die Router Config auf einen Juniper Netscreen dürfte identisch sein, da das gleiche Protokoll (IPsec) verwendet wird....
Bitte warten ..
Mitglied: 38697
07.02.2007 um 15:32 Uhr
Hallo,

so das Problem wäre schon gelöst. Danke für den guten Link. Mit dieser Konfig hat's geklappt:

01.
Router#sh run
02.
Building configuration...
03.

04.
Current configuration : 2435 bytes
05.
!
06.
version 12.4
07.
no service pad
08.
service timestamps debug datetime msec
09.
service timestamps log datetime msec
10.
no service password-encryption
11.
!
12.
hostname Router
13.
!
14.
boot-start-marker
15.
boot-end-marker
16.
!
17.
!
18.
no aaa new-model
19.
!
20.
resource policy
21.
!
22.
ip subnet-zero
23.
ip cef
24.
no ip dhcp use vrf connected
25.
!
26.
ip dhcp pool dhcppool
27.
   network 192.168.1.0 255.255.255.0
28.
   default-router 192.168.1.1 
29.
   dns-server DNS_IP1 
30.
!
31.
!
32.
no ip domain lookup
33.
ip name-server DNS_IP2 
34.
ip name-server DNS_IP3
35.
!
36.
!
37.
!
38.
!
39.
! 
40.
!
41.
crypto isakmp policy 1
42.
 encr 3des
43.
 hash md5
44.
 authentication pre-share
45.
 group 2
46.
crypto isakmp key GEHEIM address GEGENSTELLE_IP
47.
!
48.
crypto isakmp peer address GEGENSTELLE_IP
49.
 set aggressive-mode password GEHEIM
50.
 set aggressive-mode client-endpoint user-fqdn cisco@test.de 
51.
!
52.
crypto ipsec security-association lifetime seconds 28800
53.
!
54.
crypto ipsec transform-set rtpset esp-3des esp-md5-hmac 
55.
!
56.
crypto map rtp 1 ipsec-isakmp 
57.
 set peer GEGENSTELLE_IP
58.
 set transform-set rtpset 
59.
 match address 115
60.
!
61.
!
62.
!
63.
interface BRI0
64.
 no ip address
65.
 encapsulation hdlc
66.
 shutdown
67.
!
68.
interface ATM0
69.
 description ADSL Interface$ES_WAN$
70.
 no ip address
71.
 no ip redirects
72.
 no ip route-cache cef
73.
 no ip route-cache
74.
 no ip mroute-cache
75.
 load-interval 30
76.
 timeout absolute 71582 0
77.
 no atm ilmi-keepalive
78.
 pvc 1/32 
79.
  pppoe-client dial-pool-number 1
80.
 !
81.
 dsl operating-mode auto 
82.
!
83.
interface FastEthernet0
84.
!
85.
interface FastEthernet1
86.
!
87.
interface FastEthernet2
88.
!
89.
interface FastEthernet3
90.
!
91.
interface Vlan1
92.
 ip address 192.168.1.1 255.255.255.0
93.
 ip access-group 101 in
94.
 ip nat inside
95.
 ip virtual-reassembly
96.
!
97.
interface Dialer1
98.
 ip address negotiated
99.
 no ip redirects
100.
 ip mtu 1492
101.
 ip nat outside
102.
 no ip virtual-reassembly
103.
 encapsulation ppp
104.
 no ip route-cache cef
105.
 no ip route-cache
106.
 ip tcp adjust-mss 1420
107.
 no ip mroute-cache
108.
 load-interval 30
109.
 dialer pool 1
110.
 dialer idle-timeout 0
111.
 dialer persistent
112.
 dialer-group 1
113.
 no cdp enable
114.
 ppp authentication pap callin
115.
 ppp chap refuse
116.
 ppp pap sent-username GEHEIM password 7 GEHEIM
117.
 ppp ipcp dns request
118.
 crypto map rtp
119.
!
120.
ip classless
121.
ip route 0.0.0.0 0.0.0.0 Dialer1
122.
!
123.
no ip http server
124.
no ip http secure-server
125.
ip nat inside source route-map nonat interface Dialer1 overload
126.
!
127.
access-list 115 permit ip 192.168.1.0 0.0.0.255 any
128.
dialer-list 1 protocol ip permit
129.
route-map nonat permit 10
130.
 match ip address 120
131.
!
132.
!
133.
control-plane
134.
!
135.
!
136.
line con 0
137.
 no modem enable
138.
line aux 0
139.
line vty 0 4
140.
!
141.
scheduler max-task-time 5000
142.
end
Wenn das mal keine schnelle Problemlösung war...
Viele Grüße
Schramme
Bitte warten ..
Mitglied: aqui
08.02.2007 um 01:33 Uhr
Dann kannst du den Thread ja als "gelöst" markieren !
Bitte warten ..
Ähnliche Inhalte
Outlook & Mail

Outlook 2016 beim Senden einer Mail sit die Liste unter "Datei anfügen" ausgegraut

Frage von spiky123Outlook & Mail1 Kommentar

Hallo Zusammen, ich habe mit einem frisch installierten Outlook 2016 mit Zugriff auf den Cloud-Exchange-Server von Microsoft ein Problem. ...

Netzwerke

NAP vs NAC (Cisco)

Frage von madridistaNetzwerke2 Kommentare

Kann mir jemand der Vorteil der NAC Methode von Cisco gegenüber der NAC Methode von Microsoft (Network Access Protection) ...

Firewall

Site-to-Site-VPN und Cisco VPN-Client von gleicher IP

gelöst Frage von TripleDoubleFirewall2 Kommentare

Hallo Forum und Cisco-ASA-Spezialisten, ich habe folgendes Szenario (und im Internet leider nichts Passendes gefunden): zwei Standorte A und ...

Router & Routing

Cisco 5505 kein Internet nach Site-to-Site VPN

gelöst Frage von dz1987Router & Routing3 Kommentare

Hallo, über die Suche habe ich leider zu diesem spezifischen Problem nichts finden können. (Oder ich bin zu blöd) ...

Neue Wissensbeiträge
Windows 10

Windows 10 - Programme laufen schneller, wenn Sie mit Administratorrechten ausgeführt werden

Erfahrungsbericht von 1Werner1 vor 20 StundenWindows 107 Kommentare

Moin, das wollte ich erst nicht glauben, aber es ist so. Wenn Ihr ein Programm mit Administratorrechten unter Windows ...

Sicherheits-Tools
Putty hat heftige Bugs korrigiert!
Information von Lochkartenstanzer vor 1 TagSicherheits-Tools5 Kommentare

Moin, Wie man aus herauslesen kann, sind in den Versionen vor 0.71 gravierende Bugs, die es angeraten erscheinen lassen, ...

Off Topic
Sachen die die Welt nicht braucht - Platz 1
Tipp von brammer vor 4 TagenOff Topic21 Kommentare

Hallo, ich habs als Tipp angelegt als Erfahrungsbericht nein Danke brammer

Humor (lol)
Spirit of Health-Kongress in Berlin
Information von AnkhMorpork vor 4 TagenHumor (lol)6 Kommentare

tgif! Beim dritten Spirit of Health-Kongress trafen sich am Wochenende Alternativmediziner und Naturheilkundler im Maritim Hotel Berlin, um sich ...

Heiß diskutierte Inhalte
Hardware
Telefonanlagen - Welche gibt es
Frage von Xaero1982Hardware23 Kommentare

Nabend Zusammen, ich suche eine neue TK Anlage und mein Auftraggeber will jetzt was völlig neues - State of ...

Windows Server
Eingeschränkte Gruppen - Spezielle Benutzergruppe hinzufügen
Frage von killtecWindows Server17 Kommentare

Hallo, ich möchte gerne folgendes Realisieren: Ich habe bei mir Eingeschränkte Gruppen via GPO aktiv und möchte nun der ...

Microsoft Office
Videodateien auf Windows Server 2008 R2 öffnen schlägt fehl
Frage von SchroediMicrosoft Office15 Kommentare

Hallo zusammen, wir haben das Problem das embedded Videos in PowerPoint (O365) auf unserer Citrix Farm (6.5) nicht abgespielt ...

LAN, WAN, Wireless
Intel(R) PRO Wireless 3945ABG
gelöst Frage von Leon509LAN, WAN, Wireless15 Kommentare

Hallo, habe ein Laptop Fujitsu (Intel, 4GB, 2GHz, Windos10, Intel(R) PRO/Wireless 3945ABG ) ein O2 DSL Anschluss Home50. Leider ...