10
Problem mit Cisco Router für IPSEC mit VPN Client einzuwählen
Hallo Forum-Gemeinde,
ich probiere schon seit einigen Tagen, aber irgendwo hängt das Problem.............
ich will vom VPN-Client auf einem Cisco 881 Router einwählen. Das Einwählen funktioniert auch, der Router vergibt mir eine VPN IP. Ich kann aber Router Netzwerk nicht anpingen. z.B. 192.168.17.2 Woran liegt das? Ich habe schon verschiedene ACL´s versucht, aber immer ohne Lösung. Wie kann ich das auf den Router debuggen?
hier meine aktuelle config:
version 15.0
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname cccccccccccccccc
!
boot-start-marker
boot-end-marker
!
enable secret 5 xxxxxxxxxxx
enable password 7 yyyyyyyyyyyyy
!
aaa new-model
!
!
aaa group server radius rad_eap
!
aaa group server radius rad_mac
!
aaa group server radius rad_acct
!
aaa group server radius rad_admin
!
aaa group server tacacs+ tac_admin
!
aaa group server radius rad_pmip
!
aaa group server radius dummy
!
aaa authentication login eap_methods group rad_eap
aaa authentication login mac_methods local
aaa authentication login ciscocp_vpn_xauth_ml_1 local
aaa authorization network ciscocp_vpn_group_ml_1 local
aaa accounting network acct_methods
action-type start-stop
group rad_acct
!
!
!
!
!
!
aaa session-id common
memory-size iomem 15
!
crypto pki trustpoint TP-self-signed-1251739774
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1251739774
revocation-check none
rsakeypair TP-self-signed-1251739774
!
!
crypto pki certificate chain TP-self-signed-1251739774
certificate self-signed 01
30820254 308201BD A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 31323531 37333937 3734301E 170D3132 30363038 30383330
32365A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 32353137
33393737 3430819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100BAF6 4E9F8EF9 67018550 7502504B 12B49801 8D813103 ED20E236 DDC5738E
34048CB2 D980D816 5EFDC76F 4261164F 0616C075 75E1D1BB 16AB88C6 57A1BFA2
7047A153 83814716 6EFB71C5 E037AC61 44A79889 472F1312 CF68E16E DC0234BF
D6CDA8F9 0CBCE8C2 BC0E57B7 45A4EA1E 90AAE632 E3811F66 6097E2C0 F1DC9E9B
FF290203 010001A3 7C307A30 0F060355 1D130101 FF040530 030101FF 30270603
551D1104 20301E82 1C636973 636F5F62 61757374 65747465 6E2E6178 73756E2E
6C6F6361 6C301F06 03551D23 04183016 801406EE 822198A4 2B7B6A43 1091D008
110A690F 5DA2301D 0603551D 0E041604 1406EE82 2198A42B 7B6A4310 91D00811
0A690F5D A2300D06 092A8648 86F70D01 01040500 03818100 289BC424 C13B6CC1
168F7C4B 6150B89B 57D44A0C 1B1C0EB0 B3E3F37A 9D5D6E4E 61110FF6 8FE407EA
7B4AB1AC 56047C27 CB6CD479 AC63A236 E605A93B 2F119AFA E8B24225 E7DC17CC
109B6E2F 413999D0 61A48020 7925FDE1 EE183D11 700D0492 2E110851 94BCA00D
BD7910FA 52CDC995 444A1EF7 A6CE6BB1 90C72424 400395DA
quit
ip source-route
!
!
!
!
ip cef
no ip bootp server
ip domain name test.local
ip name-server 194.25.2.129
no ipv6 cef
!
!
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
l2tp tunnel timeout no-session 15
!
license udi pid CISCO881-K9 sn FCZ145290S6
!
!
username yyyyyyyy privilege 15 password 7 dddddddddddd
username cccccccccc password 7 rrrrrrrrrrrrrrrrr
username cccccc privilege 15 secret 5 cccccccccccccccc
!
!
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh version 1
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group test
key yyyyyyyyyyyyyyy
dns 10.0.0.10
pool vpnpool
acl 120
netmask 255.255.255.0
crypto isakmp profile ciscocp-ike-profile-1
match identity group test
isakmp authorization list ciscocp_vpn_group_ml_1
client configuration address respond
virtual-template 2
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
!
crypto ipsec profile CiscoCP_Profile1
set transform-set ESP-3DES-SHA
set isakmp-profile ciscocp-ike-profile-1
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description Modem-Port
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
pppoe-client dial-pool-number 1 dial-on-demand
!
interface Virtual-Template2 type tunnel
description VPN-Tunnel extern
ip unnumbered Vlan1
tunnel mode ipsec ipv4
tunnel protection ipsec profile CiscoCP_Profile1
interface Vlan1
description internes LAN
ip address 192.168.17.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1412
!
interface Dialer0
description T-DSL-Line
ip address negotiated
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip flow ingress
ip nat outside
ip virtual-reassembly
encapsulation ppp
ip tcp adjust-mss 1452
no ip split-horizon
dialer pool 1
dialer hold-queue 10
dialer vpdn
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname yyyyyyyyyyyyyyyyyyy
ppp chap password 7 yyyyyyyyyyyy
ppp pap sent-username xxxxxxxxxxxx password 7 yyyyyyyyyyyy
no cdp enable
!
ip local pool vpnpool 192.168.17.240 192.168.17.242
ip forward-protocol nd
ip http server
ip http authentication local
ip http secure-server
!
ip nat inside source static tcp 192.168.17.2 443 interface Dialer0 443
ip nat inside source static tcp 192.168.17.2 1723 interface Dialer0 1723
ip nat inside source static tcp 192.168.17.2 25 interface Dialer0 25
ip nat inside source static tcp 192.168.17.2 80 interface Dialer0 80
ip nat inside source static tcp 192.168.17.2 987 interface Dialer0 987
ip nat inside source static tcp 192.168.17.9 7578 interface Dialer0 7578
ip nat inside source list 1 interface Dialer0 overload
ip route 0.0.0.0 0.0.0.0 Dialer0
!
access-list 120 permit ip any host 192.168.17.0
dialer-list 1 protocol ip permit
!
!
!
!
!
radius-server attribute 32 include-in-access-req format %h
radius-server vsa send accounting
!
control-plane
!
!
line con 0
logging synchronous
no modem enable
line aux 0
line vty 0 4
privilege level 15
logging synchronous
transport input telnet ssh
!
scheduler max-task-time 50000
end
ich probiere schon seit einigen Tagen, aber irgendwo hängt das Problem.............
ich will vom VPN-Client auf einem Cisco 881 Router einwählen. Das Einwählen funktioniert auch, der Router vergibt mir eine VPN IP. Ich kann aber Router Netzwerk nicht anpingen. z.B. 192.168.17.2 Woran liegt das? Ich habe schon verschiedene ACL´s versucht, aber immer ohne Lösung. Wie kann ich das auf den Router debuggen?
hier meine aktuelle config:
version 15.0
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname cccccccccccccccc
!
boot-start-marker
boot-end-marker
!
enable secret 5 xxxxxxxxxxx
enable password 7 yyyyyyyyyyyyy
!
aaa new-model
!
!
aaa group server radius rad_eap
!
aaa group server radius rad_mac
!
aaa group server radius rad_acct
!
aaa group server radius rad_admin
!
aaa group server tacacs+ tac_admin
!
aaa group server radius rad_pmip
!
aaa group server radius dummy
!
aaa authentication login eap_methods group rad_eap
aaa authentication login mac_methods local
aaa authentication login ciscocp_vpn_xauth_ml_1 local
aaa authorization network ciscocp_vpn_group_ml_1 local
aaa accounting network acct_methods
action-type start-stop
group rad_acct
!
!
!
!
!
!
aaa session-id common
memory-size iomem 15
!
crypto pki trustpoint TP-self-signed-1251739774
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1251739774
revocation-check none
rsakeypair TP-self-signed-1251739774
!
!
crypto pki certificate chain TP-self-signed-1251739774
certificate self-signed 01
30820254 308201BD A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 31323531 37333937 3734301E 170D3132 30363038 30383330
32365A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 32353137
33393737 3430819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100BAF6 4E9F8EF9 67018550 7502504B 12B49801 8D813103 ED20E236 DDC5738E
34048CB2 D980D816 5EFDC76F 4261164F 0616C075 75E1D1BB 16AB88C6 57A1BFA2
7047A153 83814716 6EFB71C5 E037AC61 44A79889 472F1312 CF68E16E DC0234BF
D6CDA8F9 0CBCE8C2 BC0E57B7 45A4EA1E 90AAE632 E3811F66 6097E2C0 F1DC9E9B
FF290203 010001A3 7C307A30 0F060355 1D130101 FF040530 030101FF 30270603
551D1104 20301E82 1C636973 636F5F62 61757374 65747465 6E2E6178 73756E2E
6C6F6361 6C301F06 03551D23 04183016 801406EE 822198A4 2B7B6A43 1091D008
110A690F 5DA2301D 0603551D 0E041604 1406EE82 2198A42B 7B6A4310 91D00811
0A690F5D A2300D06 092A8648 86F70D01 01040500 03818100 289BC424 C13B6CC1
168F7C4B 6150B89B 57D44A0C 1B1C0EB0 B3E3F37A 9D5D6E4E 61110FF6 8FE407EA
7B4AB1AC 56047C27 CB6CD479 AC63A236 E605A93B 2F119AFA E8B24225 E7DC17CC
109B6E2F 413999D0 61A48020 7925FDE1 EE183D11 700D0492 2E110851 94BCA00D
BD7910FA 52CDC995 444A1EF7 A6CE6BB1 90C72424 400395DA
quit
ip source-route
!
!
!
!
ip cef
no ip bootp server
ip domain name test.local
ip name-server 194.25.2.129
no ipv6 cef
!
!
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
l2tp tunnel timeout no-session 15
!
license udi pid CISCO881-K9 sn FCZ145290S6
!
!
username yyyyyyyy privilege 15 password 7 dddddddddddd
username cccccccccc password 7 rrrrrrrrrrrrrrrrr
username cccccc privilege 15 secret 5 cccccccccccccccc
!
!
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh version 1
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group test
key yyyyyyyyyyyyyyy
dns 10.0.0.10
pool vpnpool
acl 120
netmask 255.255.255.0
crypto isakmp profile ciscocp-ike-profile-1
match identity group test
isakmp authorization list ciscocp_vpn_group_ml_1
client configuration address respond
virtual-template 2
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
!
crypto ipsec profile CiscoCP_Profile1
set transform-set ESP-3DES-SHA
set isakmp-profile ciscocp-ike-profile-1
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description Modem-Port
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
pppoe-client dial-pool-number 1 dial-on-demand
!
interface Virtual-Template2 type tunnel
description VPN-Tunnel extern
ip unnumbered Vlan1
tunnel mode ipsec ipv4
tunnel protection ipsec profile CiscoCP_Profile1
interface Vlan1
description internes LAN
ip address 192.168.17.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1412
!
interface Dialer0
description T-DSL-Line
ip address negotiated
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip flow ingress
ip nat outside
ip virtual-reassembly
encapsulation ppp
ip tcp adjust-mss 1452
no ip split-horizon
dialer pool 1
dialer hold-queue 10
dialer vpdn
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname yyyyyyyyyyyyyyyyyyy
ppp chap password 7 yyyyyyyyyyyy
ppp pap sent-username xxxxxxxxxxxx password 7 yyyyyyyyyyyy
no cdp enable
!
ip local pool vpnpool 192.168.17.240 192.168.17.242
ip forward-protocol nd
ip http server
ip http authentication local
ip http secure-server
!
ip nat inside source static tcp 192.168.17.2 443 interface Dialer0 443
ip nat inside source static tcp 192.168.17.2 1723 interface Dialer0 1723
ip nat inside source static tcp 192.168.17.2 25 interface Dialer0 25
ip nat inside source static tcp 192.168.17.2 80 interface Dialer0 80
ip nat inside source static tcp 192.168.17.2 987 interface Dialer0 987
ip nat inside source static tcp 192.168.17.9 7578 interface Dialer0 7578
ip nat inside source list 1 interface Dialer0 overload
ip route 0.0.0.0 0.0.0.0 Dialer0
!
access-list 120 permit ip any host 192.168.17.0
dialer-list 1 protocol ip permit
!
!
!
!
!
radius-server attribute 32 include-in-access-req format %h
radius-server vsa send accounting
!
control-plane
!
!
line con 0
logging synchronous
no modem enable
line aux 0
line vty 0 4
privilege level 15
logging synchronous
transport input telnet ssh
!
scheduler max-task-time 50000
end
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 233419
Url: https://administrator.de/contentid/233419
Ausgedruckt am: 23.11.2024 um 05:11 Uhr
10 Kommentare
Neuester Kommentar
Dieses Tutorial hat die Lösung:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Leider finde ich dem Tutorial die Lösung nicht! Ich habe mittlerweile einige andere Lösungen durchgearbeitet, leider funktioniert das "pingen" immer noch nicht
Hi,
vielleicht blockt da die Firewall ab.
Hast Du ICMP`s da erlaubt ?
Gruß orcape
vielleicht blockt da die Firewall ab.
Hast Du ICMP`s da erlaubt ?
Gruß orcape
Leider finde ich dem Tutorial die Lösung nicht!
Schon komisch, denn dort sind lauffähige Konfigs zum Abtippen geschildert.Hilfreich für uns wäre noch wenn du uns aufklären könntest welchen VPN Client du verwendest ?! Und....
Wenn du einmal einen Logg (show logg) des Ciscos postetst bei Einwahl. Dort steht explizit was schiefläuft bei dir. Für Details hilft es den Debugger auf dem Router zu aktivieren (debug xyz) um zu sehen wo der Fehler im Detail liegt !
Nach deiner Konfig zu urteilen machst du gar kein IPsec sondern PPTP (GRE Protokoll und TCP 1723) !?!
Für IPsec fehlen komplett die dazu korrespondierenden Ports (ESP Protokoll, UDP 500 und UDP 4500) in der Firewall.
Irgendwas ist also Murks in deiner Router Konfig ?!
Vielleicht orientierst du dich vorab einmal an dem folgenden Forums Tutorial, das solch eine wasserdichte funktionierende Konfig beschreibt:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Hallo zusammen,
leider habe ich es immer noch nicht hinbekommen, eine Vollständige VPN Verbindung herzustellen. Daher habe ich mich sehr gut in Cisco Router eingearbeitet und meinen Router komplett neu konfiguriert. Der Router läuft soweit, bis auf die VPN Verbindung.
Problem:
- ich kann die VPN-Verbindung aufbauen.
- aber ich kann nichts anpingen, bzw. es läuft kein traffic über die VPN-Verbindung
ich habe schon alles probiert, finde den Fehler aber nicht. Bitte schaut euch mal meine Konfiguration an und helft mir.
Vielen Dank
version 15.0
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname router
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 3 log
security passwords min-length 6
logging buffered 51200
logging console critical
enable secret 5 xxxxxxxxxxxxxxxxxxx
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication login userauthen local
aaa authentication login vpn_xauth_ml_1 local
aaa authentication login vpn_xauth_ml_2 local
aaa authorization exec default local
aaa authorization network groupauthor local
aaa authorization network vpn_group_ml_1 local
aaa authorization network vpn_group_ml_2 local
!
!
!
!
!
aaa session-id common
memory-size iomem 15
clock timezone PCTime 1
clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00
!
crypto pki trustpoint TP-self-signed-270748986
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-270748986
revocation-check none
rsakeypair TP-self-signed-270748986
!
!
no ip source-route
!
!
ip dhcp excluded-address 192.168.17.1 192.168.17.49
!
ip dhcp pool intLAN
import all
network 192.168.17.0 255.255.255.0
default-router 192.168.17.1
dns-server 192.168.17.1
domain-name test.local
!
ip dhcp pool gastLAN
import all
network 172.16.17.0 255.255.255.0
default-router 172.16.17.1
dns-server 172.16.17.1
domain-name test.extern
!
!
ip cef
no ip bootp server
ip domain name test.intern
no ipv6 cef
!
!
license udi pid CISCO881-K9 sn FCZ14529130
!
!
username test privilege 15 secret 5 xxxxxxxxxxxxxxxxxxxxxxxxxxx
!
!
ip tcp synwait-time 10
no ip ftp passive
ip ssh time-out 60
ip ssh authentication-retries 2
!
!
crypto isakmp policy 3
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group testVPN
key xxxxxxxxxxxxxxxxxx
dns 192.168.17.1
pool vpnPool
acl 101
crypto isakmp profile ciscocp-ike-profile-1
match identity group testVPN
client authentication list vpn_xauth_ml_2
isakmp authorization list vpn_group_ml_2
client configuration address respond
virtual-template 1
!
!
crypto ipsec transform-set myset esp-3des esp-md5-hmac
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-3DES-SHA1 esp-3des esp-sha-hmac
!
crypto ipsec profile Profile1
set transform-set ESP-3DES-SHA1
set isakmp-profile ciscocp-ike-profile-1
!
!
!
!
!
!
interface Loopback0
ip address 10.10.10.10 255.255.255.0
!
interface FastEthernet0
description LAN intern Port
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
description LAN Gast Port
switchport access vlan 2
!
interface FastEthernet4
description WAN
no ip address
no ip redirects
no ip unreachables
ip flow ingress
duplex auto
speed auto
pppoe-client dial-pool-number 1
!
interface Virtual-Template1 type tunnel
ip unnumbered Loopback0
tunnel mode ipsec ipv4
tunnel protection ipsec profile Profile1
!
interface Vlan1
description internes LAN
ip address 192.168.17.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1412
!
interface Vlan2
description Gast LAN
ip address 172.16.17.1 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1412
!
interface Dialer0
description $FW_OUTSIDE$
ip address negotiated
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1452
ip flow ingress
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname xxxxxxxxxxxxxxxxxx
ppp chap password 7 xxxxxxxxxxxxxxxx
ppp pap sent-username xxxxxxxxxxxxxxxxxxx
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
no cdp enable
!
ip local pool vpnPool 192.168.18.20 192.168.18.21
ip forward-protocol nd
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip dns server
ip nat inside source list 1 interface Dialer0 overload
ip route 0.0.0.0 0.0.0.0 Dialer0 2
!
logging trap debugging
access-list 1 permit 192.168.17.0 0.0.0.255
access-list 1 permit 172.16.17.0 0.0.0.255
access-list 1 permit 192.168.18.0 0.0.0.255
access-list 101 permit ip 192.168.18.0 0.0.0.255 any
dialer-list 1 protocol ip permit
no cdp run
!
!
!
!
!
control-plane
!
line con 0
no modem enable
transport output telnet
line aux 0
transport output telnet
line vty 0 4
transport input telnet ssh
!
scheduler max-task-time 5000
scheduler allocate 4000 1000
scheduler interval 500
end
leider habe ich es immer noch nicht hinbekommen, eine Vollständige VPN Verbindung herzustellen. Daher habe ich mich sehr gut in Cisco Router eingearbeitet und meinen Router komplett neu konfiguriert. Der Router läuft soweit, bis auf die VPN Verbindung.
Problem:
- ich kann die VPN-Verbindung aufbauen.
- aber ich kann nichts anpingen, bzw. es läuft kein traffic über die VPN-Verbindung
ich habe schon alles probiert, finde den Fehler aber nicht. Bitte schaut euch mal meine Konfiguration an und helft mir.
Vielen Dank
version 15.0
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname router
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 3 log
security passwords min-length 6
logging buffered 51200
logging console critical
enable secret 5 xxxxxxxxxxxxxxxxxxx
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication login userauthen local
aaa authentication login vpn_xauth_ml_1 local
aaa authentication login vpn_xauth_ml_2 local
aaa authorization exec default local
aaa authorization network groupauthor local
aaa authorization network vpn_group_ml_1 local
aaa authorization network vpn_group_ml_2 local
!
!
!
!
!
aaa session-id common
memory-size iomem 15
clock timezone PCTime 1
clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00
!
crypto pki trustpoint TP-self-signed-270748986
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-270748986
revocation-check none
rsakeypair TP-self-signed-270748986
!
!
no ip source-route
!
!
ip dhcp excluded-address 192.168.17.1 192.168.17.49
!
ip dhcp pool intLAN
import all
network 192.168.17.0 255.255.255.0
default-router 192.168.17.1
dns-server 192.168.17.1
domain-name test.local
!
ip dhcp pool gastLAN
import all
network 172.16.17.0 255.255.255.0
default-router 172.16.17.1
dns-server 172.16.17.1
domain-name test.extern
!
!
ip cef
no ip bootp server
ip domain name test.intern
no ipv6 cef
!
!
license udi pid CISCO881-K9 sn FCZ14529130
!
!
username test privilege 15 secret 5 xxxxxxxxxxxxxxxxxxxxxxxxxxx
!
!
ip tcp synwait-time 10
no ip ftp passive
ip ssh time-out 60
ip ssh authentication-retries 2
!
!
crypto isakmp policy 3
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group testVPN
key xxxxxxxxxxxxxxxxxx
dns 192.168.17.1
pool vpnPool
acl 101
crypto isakmp profile ciscocp-ike-profile-1
match identity group testVPN
client authentication list vpn_xauth_ml_2
isakmp authorization list vpn_group_ml_2
client configuration address respond
virtual-template 1
!
!
crypto ipsec transform-set myset esp-3des esp-md5-hmac
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-3DES-SHA1 esp-3des esp-sha-hmac
!
crypto ipsec profile Profile1
set transform-set ESP-3DES-SHA1
set isakmp-profile ciscocp-ike-profile-1
!
!
!
!
!
!
interface Loopback0
ip address 10.10.10.10 255.255.255.0
!
interface FastEthernet0
description LAN intern Port
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
description LAN Gast Port
switchport access vlan 2
!
interface FastEthernet4
description WAN
no ip address
no ip redirects
no ip unreachables
ip flow ingress
duplex auto
speed auto
pppoe-client dial-pool-number 1
!
interface Virtual-Template1 type tunnel
ip unnumbered Loopback0
tunnel mode ipsec ipv4
tunnel protection ipsec profile Profile1
!
interface Vlan1
description internes LAN
ip address 192.168.17.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1412
!
interface Vlan2
description Gast LAN
ip address 172.16.17.1 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1412
!
interface Dialer0
description $FW_OUTSIDE$
ip address negotiated
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1452
ip flow ingress
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname xxxxxxxxxxxxxxxxxx
ppp chap password 7 xxxxxxxxxxxxxxxx
ppp pap sent-username xxxxxxxxxxxxxxxxxxx
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
no cdp enable
!
ip local pool vpnPool 192.168.18.20 192.168.18.21
ip forward-protocol nd
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip dns server
ip nat inside source list 1 interface Dialer0 overload
ip route 0.0.0.0 0.0.0.0 Dialer0 2
!
logging trap debugging
access-list 1 permit 192.168.17.0 0.0.0.255
access-list 1 permit 172.16.17.0 0.0.0.255
access-list 1 permit 192.168.18.0 0.0.0.255
access-list 101 permit ip 192.168.18.0 0.0.0.255 any
dialer-list 1 protocol ip permit
no cdp run
!
!
!
!
!
control-plane
!
line con 0
no modem enable
transport output telnet
line aux 0
transport output telnet
line vty 0 4
transport input telnet ssh
!
scheduler max-task-time 5000
scheduler allocate 4000 1000
scheduler interval 500
end
Erstmal ein paar kosmetische Anmerkungen zur Router konfig:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Für den zweiten Schritt wäre es wichtig zu wissen mit WELCHEM VPN Client du arbeitest ?? Shrew ??
Bedenke das dein VPN Client eine zum lokalen LAN fremde IP Adresse hat !! Damit verhindern die lokalen Firewalls auf den Endgeräten wie PCs usw. eine Zugriff, da sie alles blocken was NICHT aus dem lokalen LAN kommt.
Vergiss das nicht !
Pingen musst du aber IMMER die lokale Router IP können also die 192.168.17.1 und die 172.16.17.1 !! Das muss in jedem Falle klappen.
Für ein tieferes Troubleshooting wäre es äußerst hilfreich für die Community hier wenn du mit show logg auf dem Cisco mal einen VPN Login Vorgang hier postest. Ggf. das Logg vorher mit clear logg löschen um überflüssigen Overhead zu entfernen !
Noch viel sinnvoller wäre es den IPsec Debugger mit "debug ipces xyz" mal zu aktivieren auf dem Cisco und so detailiert mal den VPN Dialin Vorgang mitzutracen.
Dort sieht man dann sofort inenrhalb von 3 Sekunden WO es kneift !!
Achtung: Wenn du mit einer Telnet oder SSH Session drauf bist statt der Konsole musst du ein "term mon" vorher eingeben !
Nach dem Debuggen unbedingt ein undebug all nicht vergessen, denn sonst rennt der Router im Schneckentempo !
Bitte lies dir nochmals das IPsec Tutorial hier durch:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Dort ist eine wasserdichte und lauffähige IPsec VPN Client Konfig inklusive das Setup für den Shrew Client abtippfertig dokumentiert !
Eigentlich ist das ein Kinderspiel auf dem Cisco und rennt fehlerlos auf Anhieb !
- Flow Controll solltest du generell abschalten auf einem Router und Switch ! Solltest du besser entfernen !
- Wenn du sinnvollerweise ppp ipcp route default konfigurierst dann ist ein ip route 0.0.0.0 0.0.0.0 Dialer0 2 überflüssiger Unsinn und macht den Vorteil des ppp ipcp Kommandos wieder
- Kein .local als DNS Rootdomains, denn das kollidiert mit mDNS Multicast DNS die diese Domain im Default benutzt !
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Für den zweiten Schritt wäre es wichtig zu wissen mit WELCHEM VPN Client du arbeitest ?? Shrew ??
Bedenke das dein VPN Client eine zum lokalen LAN fremde IP Adresse hat !! Damit verhindern die lokalen Firewalls auf den Endgeräten wie PCs usw. eine Zugriff, da sie alles blocken was NICHT aus dem lokalen LAN kommt.
Vergiss das nicht !
Pingen musst du aber IMMER die lokale Router IP können also die 192.168.17.1 und die 172.16.17.1 !! Das muss in jedem Falle klappen.
Für ein tieferes Troubleshooting wäre es äußerst hilfreich für die Community hier wenn du mit show logg auf dem Cisco mal einen VPN Login Vorgang hier postest. Ggf. das Logg vorher mit clear logg löschen um überflüssigen Overhead zu entfernen !
Noch viel sinnvoller wäre es den IPsec Debugger mit "debug ipces xyz" mal zu aktivieren auf dem Cisco und so detailiert mal den VPN Dialin Vorgang mitzutracen.
Dort sieht man dann sofort inenrhalb von 3 Sekunden WO es kneift !!
Achtung: Wenn du mit einer Telnet oder SSH Session drauf bist statt der Konsole musst du ein "term mon" vorher eingeben !
Nach dem Debuggen unbedingt ein undebug all nicht vergessen, denn sonst rennt der Router im Schneckentempo !
Bitte lies dir nochmals das IPsec Tutorial hier durch:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Dort ist eine wasserdichte und lauffähige IPsec VPN Client Konfig inklusive das Setup für den Shrew Client abtippfertig dokumentiert !
Eigentlich ist das ein Kinderspiel auf dem Cisco und rennt fehlerlos auf Anhieb !
Hallo aqui,
Vielen Dank für deine Tipps,
ich habe es versucht nach deinem IPsec Tutorial hinzu bekommen, leider nicht ganz aber mit Erfolg. Aber aus einer mit Mischung deiner Beschreibung, debugging und der von http://www.firewall.cx/cisco-technical-knowledgebase/cisco-routers/809- ... Beschreibung habe ich es hinbekommen die VPN aufzubauen.
Aber ich habe nun noch ein kleines Problem:
die Einwahl mit dem
Cisco VPN-Client funktioniert, dann kann ich vom Client zum Router, Router zum Client -> pingen
aber
mit dem Shrew Client klappt nur der Ping vom Client zum Router, nicht aber Router zum Client.
Woran kann das liegen? Warum klappt das mit dem Shrew Client nicht? Ich habe schon verschiedene Einstellungen getestet.
hier noch die Shrew Einstellungen:
hier noch meine aktuelle Router Konfiguration die nun funktioniert:
version 15.0
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname test-router
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 3 log
security passwords min-length 6
logging buffered 51200
logging console critical
enable secret 5 $1$rH/G$8dOscJBjxfaULugDN84sk0
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication login vpn_xauth_ml_1 local
aaa authentication login sslvpn local
aaa authorization network vpn_group_ml_1 local
!
!
!
!
!
aaa session-id common
memory-size iomem 15
clock timezone PCTime 1
clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00
!
crypto pki trustpoint TP-self-signed-270748986
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-270748986
revocation-check none
rsakeypair TP-self-signed-270748986
!
!
no ip source-route
!
!
ip dhcp excluded-address 192.168.17.1 192.168.17.49
!
ip dhcp pool gastLAN
import all
network 172.16.17.0 255.255.255.0
default-router 172.16.17.1
!
ip dhcp pool intLAN
import all
network 192.168.17.0 255.255.255.0
default-router 192.168.17.1
!
!
ip cef
no ip bootp server
no ip domain lookup
ip domain name test.local
no ipv6 cef
!
!
!
username test privilege 15 secret 5 xxxxxxxxxxxxx
!
!
ip tcp synwait-time 10
ip ssh time-out 60
ip ssh authentication-retries 2
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
!
crypto isakmp policy 2
encr 3des
hash md5
authentication pre-share
group 2
!
crypto isakmp client configuration group vpntest
key cisco123
pool VPN-Pool
acl 120
max-users 5
!
crypto isakmp profile vpn-ike-profile-1
match identity group vpntest
client authentication list vpn_xauth_ml_1
isakmp authorization list vpn_group_ml_1
client configuration address respond
virtual-template 1
!
!
crypto ipsec transform-set encrypt-method-1 esp-3des esp-sha-hmac
!
crypto ipsec profile VPN-Profile-1
set transform-set encrypt-method-1
!
!
!
!
!
!
interface FastEthernet0
description LAN intern Port
!
interface FastEthernet1
description LAN intern Port
!
interface FastEthernet2
description LAN intern Port
!
interface FastEthernet3
description LAN Gast Port
switchport access vlan 2
!
interface FastEthernet4
description WAN-Port
no ip address
no ip redirects
no ip unreachables
duplex auto
speed auto
pppoe-client dial-pool-number 1
!
interface Virtual-Template1 type tunnel
ip unnumbered FastEthernet4
tunnel mode ipsec ipv4
tunnel protection ipsec profile VPN-Profile-1
!
interface Vlan1
description LAN-intern
ip address 192.168.17.1 255.255.255.0
ip access-group intLAN in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1412
!
interface Vlan2
description Gast LAN
ip address 172.16.17.1 255.255.255.0
ip access-group GastLAN in
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1412
!
interface Dialer0
description $FW_OUTSIDE$
ip address negotiated
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1452
ip flow ingress
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname xxxxxxxxxxx
ppp chap password 7 xxxxxxxxxxx
ppp pap sent-username xxxxxxxxxxxxxxxxx
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
no cdp enable
!
ip local pool VPN-Pool 192.168.2.20 192.168.2.21
ip forward-protocol nd
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip dns server
ip nat inside source list 100 interface Dialer0 overload
!
ip access-list extended GastLAN
deny ip 172.16.17.0 0.0.0.255 192.168.17.0 0.0.0.255
permit ip any any
ip access-list extended intLAN
deny ip 192.168.17.0 0.0.0.255 172.16.17.0 0.0.0.255
permit ip any any
!
logging trap debugging
access-list 10 permit 192.168.2.0 0.0.0.255
access-list 10 permit 192.168.17.0 0.0.0.255
access-list 10 permit 172.16.17.0 0.0.0.255
access-list 100 deny ip 192.168.17.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 100 permit ip 192.168.17.0 0.0.0.255 any
access-list 100 permit ip 172.16.17.0 0.0.0.255 any
access-list 120 permit ip 192.168.17.0 0.0.0.255 192.168.2.0 0.0.0.255
dialer-list 1 protocol ip permit
no cdp run
!
!
!
!
!
control-plane
!
banner login ^CCAuthorized access only!
Disconnect IMMEDIATELY if you are not an authorized user!^C
!
line con 0
no modem enable
transport output telnet
line aux 0
transport output telnet
line vty 0 4
privilege level 15
transport input telnet ssh
!
scheduler max-task-time 5000
scheduler allocate 4000 1000
scheduler interval 500
end
Vielen Dank für deine Tipps,
ich habe es versucht nach deinem IPsec Tutorial hinzu bekommen, leider nicht ganz aber mit Erfolg. Aber aus einer mit Mischung deiner Beschreibung, debugging und der von http://www.firewall.cx/cisco-technical-knowledgebase/cisco-routers/809- ... Beschreibung habe ich es hinbekommen die VPN aufzubauen.
Aber ich habe nun noch ein kleines Problem:
die Einwahl mit dem
Cisco VPN-Client funktioniert, dann kann ich vom Client zum Router, Router zum Client -> pingen
aber
mit dem Shrew Client klappt nur der Ping vom Client zum Router, nicht aber Router zum Client.
Woran kann das liegen? Warum klappt das mit dem Shrew Client nicht? Ich habe schon verschiedene Einstellungen getestet.
hier noch die Shrew Einstellungen:
hier noch meine aktuelle Router Konfiguration die nun funktioniert:
version 15.0
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname test-router
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 3 log
security passwords min-length 6
logging buffered 51200
logging console critical
enable secret 5 $1$rH/G$8dOscJBjxfaULugDN84sk0
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication login vpn_xauth_ml_1 local
aaa authentication login sslvpn local
aaa authorization network vpn_group_ml_1 local
!
!
!
!
!
aaa session-id common
memory-size iomem 15
clock timezone PCTime 1
clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00
!
crypto pki trustpoint TP-self-signed-270748986
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-270748986
revocation-check none
rsakeypair TP-self-signed-270748986
!
!
no ip source-route
!
!
ip dhcp excluded-address 192.168.17.1 192.168.17.49
!
ip dhcp pool gastLAN
import all
network 172.16.17.0 255.255.255.0
default-router 172.16.17.1
!
ip dhcp pool intLAN
import all
network 192.168.17.0 255.255.255.0
default-router 192.168.17.1
!
!
ip cef
no ip bootp server
no ip domain lookup
ip domain name test.local
no ipv6 cef
!
!
!
username test privilege 15 secret 5 xxxxxxxxxxxxx
!
!
ip tcp synwait-time 10
ip ssh time-out 60
ip ssh authentication-retries 2
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
!
crypto isakmp policy 2
encr 3des
hash md5
authentication pre-share
group 2
!
crypto isakmp client configuration group vpntest
key cisco123
pool VPN-Pool
acl 120
max-users 5
!
crypto isakmp profile vpn-ike-profile-1
match identity group vpntest
client authentication list vpn_xauth_ml_1
isakmp authorization list vpn_group_ml_1
client configuration address respond
virtual-template 1
!
!
crypto ipsec transform-set encrypt-method-1 esp-3des esp-sha-hmac
!
crypto ipsec profile VPN-Profile-1
set transform-set encrypt-method-1
!
!
!
!
!
!
interface FastEthernet0
description LAN intern Port
!
interface FastEthernet1
description LAN intern Port
!
interface FastEthernet2
description LAN intern Port
!
interface FastEthernet3
description LAN Gast Port
switchport access vlan 2
!
interface FastEthernet4
description WAN-Port
no ip address
no ip redirects
no ip unreachables
duplex auto
speed auto
pppoe-client dial-pool-number 1
!
interface Virtual-Template1 type tunnel
ip unnumbered FastEthernet4
tunnel mode ipsec ipv4
tunnel protection ipsec profile VPN-Profile-1
!
interface Vlan1
description LAN-intern
ip address 192.168.17.1 255.255.255.0
ip access-group intLAN in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1412
!
interface Vlan2
description Gast LAN
ip address 172.16.17.1 255.255.255.0
ip access-group GastLAN in
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1412
!
interface Dialer0
description $FW_OUTSIDE$
ip address negotiated
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1452
ip flow ingress
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname xxxxxxxxxxx
ppp chap password 7 xxxxxxxxxxx
ppp pap sent-username xxxxxxxxxxxxxxxxx
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
no cdp enable
!
ip local pool VPN-Pool 192.168.2.20 192.168.2.21
ip forward-protocol nd
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip dns server
ip nat inside source list 100 interface Dialer0 overload
!
ip access-list extended GastLAN
deny ip 172.16.17.0 0.0.0.255 192.168.17.0 0.0.0.255
permit ip any any
ip access-list extended intLAN
deny ip 192.168.17.0 0.0.0.255 172.16.17.0 0.0.0.255
permit ip any any
!
logging trap debugging
access-list 10 permit 192.168.2.0 0.0.0.255
access-list 10 permit 192.168.17.0 0.0.0.255
access-list 10 permit 172.16.17.0 0.0.0.255
access-list 100 deny ip 192.168.17.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 100 permit ip 192.168.17.0 0.0.0.255 any
access-list 100 permit ip 172.16.17.0 0.0.0.255 any
access-list 120 permit ip 192.168.17.0 0.0.0.255 192.168.2.0 0.0.0.255
dialer-list 1 protocol ip permit
no cdp run
!
!
!
!
!
control-plane
!
banner login ^CCAuthorized access only!
Disconnect IMMEDIATELY if you are not an authorized user!^C
!
line con 0
no modem enable
transport output telnet
line aux 0
transport output telnet
line vty 0 4
privilege level 15
transport input telnet ssh
!
scheduler max-task-time 5000
scheduler allocate 4000 1000
scheduler interval 500
end
nicht aber Router zum Client.
Das liegt wie immer an der lokalen Winblows Firewall.Die VPN Tunneladapter (kannst du mit ipconfig -all sehen) bekommen bei Windows immer den Status bzw. das Profil Öffentlich / Public und blocken damit jeglichen eingehenden Traffic wie du ja auch bei dir siehst.
Du musst lediglich das Firewall Profil umstellen auf dem virtuellen VPN Adapter und dann klappt das auch sofort
die Firewall hatte ich natürlich testweise ausgeschaltet, leider ohne Erfolg. Habe Shrew in der Firewall dementsprechend freigegeben, leider auch ohne Erfolg.
Dann habe ich festgestellt, das wie gesagt der Pin vom Router zum Client mit Shrew zwar nicht klappt, aber ich kann auf das Netzwerk zu greifen und auch arbeiten. Somit funktioniert es jetzt
Danke für die Tipps
Dann habe ich festgestellt, das wie gesagt der Pin vom Router zum Client mit Shrew zwar nicht klappt, aber ich kann auf das Netzwerk zu greifen und auch arbeiten. Somit funktioniert es jetzt
Danke für die Tipps
der Ping vom Router zum Client mit Shrew zwar nicht klappt
Dann hast du de facto die Firewall NICHT oder nicht koplett deaktiviert. Ping ist ICMP Protokoll. Das muss in der FW am virtuellen TAP VPN Adapter aktiviert sein.Windows setzt das Firewall Profil solcher virtueller Adapter immer auf "Öffentlich" und dann werden alle eingehenden Pakete geblockt...natürlich auch dein Ping.
Sieh dir das Firewall Log an das wird das bestätigen !
Aber egal.... wenns nun klappt ist ja alles gut
