VPDN zwischen Cisco 1600 IOS 11.2 und 2600 IOS 12.1
Hallo Community
Ich habe ein Cisco Konfigurationsproblem das ich leider nicht alleine lösen kann.
Ich habe 2 Cisco 1600er Router welche sich über eine Telefonanlage auf einem Cisco 2600 Router über ISDN einwählen. Der 2600 besitzt dazu 2 Bri Schnittstellen. Jeder ClientRouter (1600) wählt sich auf einer eigenen Nummer Bri beim AccessRouter (2600) ein. Dies klappt auch zuverlässig. (Vorweg, es handelt sich um einen Testaufbau, da ich keine Internetanschlüsse nutzen kann simuliert meine Telofonanlage das Internet ) Die PC´s an den Clientroutern nutzen den RDP Terminaldienst auf einem Server hinter dem Access Router.
Nun zu meinem Problem
Da dies natürlich nicht in Klartext über das Internet (Telefonanlage ) übertragen werden soll habe ich mich für VPN entschieden. In diesem Fall für vpdn. Ich habe die betreffenden Zeilen in den Konfigurationen markiert, denn die Einwahl klappt hervorragend, aber es wird die vpnd Anweisung einfach ignoriert. Die VPDN Strecke soll nur zwischen den Routern existieren und nicht bis zum Server gehen.
Was mache ich falsch? Ich hoffe ihr wisst Rat.
Konfiguration eines Client Routers (Cisco 1600) Die Konfiguration des Client-2Router ist sinngemäß identisch
Konfiguration des Cisco 2600er Routers
IP,s und Telefonnummern
Client PC1 192.168.3.2
Client PC2 192.168.5.2
Client-1Router Ethernet 0 192.168.3.1
Client-1Router Bri0 192.168.4.2 Tel: 11
Client-2Router Ethernet 0 192.168.5.1
Client-2Router Bri0 192.168.6.2 Tel: 12
AccessRouter Bri1/0 192.168.4.1 Tel: 21
AccessRouter Bri1/2 192.168.6.1 Tel: 22
AccessRouter Ethernet0/0 192.168.2.1
IP-Cop Firewall Rote Schnittstelle 192.168.2.254
IP-Cop Firewall Grüne Schnittstelle 192.168.1.254
Terminal Server 192.168.1.1
Gruß Flogge
Ich habe ein Cisco Konfigurationsproblem das ich leider nicht alleine lösen kann.
Ich habe 2 Cisco 1600er Router welche sich über eine Telefonanlage auf einem Cisco 2600 Router über ISDN einwählen. Der 2600 besitzt dazu 2 Bri Schnittstellen. Jeder ClientRouter (1600) wählt sich auf einer eigenen Nummer Bri beim AccessRouter (2600) ein. Dies klappt auch zuverlässig. (Vorweg, es handelt sich um einen Testaufbau, da ich keine Internetanschlüsse nutzen kann simuliert meine Telofonanlage das Internet ) Die PC´s an den Clientroutern nutzen den RDP Terminaldienst auf einem Server hinter dem Access Router.
Nun zu meinem Problem
Da dies natürlich nicht in Klartext über das Internet (Telefonanlage ) übertragen werden soll habe ich mich für VPN entschieden. In diesem Fall für vpdn. Ich habe die betreffenden Zeilen in den Konfigurationen markiert, denn die Einwahl klappt hervorragend, aber es wird die vpnd Anweisung einfach ignoriert. Die VPDN Strecke soll nur zwischen den Routern existieren und nicht bis zum Server gehen.
Was mache ich falsch? Ich hoffe ihr wisst Rat.
Konfiguration eines Client Routers (Cisco 1600) Die Konfiguration des Client-2Router ist sinngemäß identisch
!
version 11.2
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
no service udp-small-servers
no service tcp-small-servers
!
hostname Client-1Router
!
enable secret 5 $1$n.rg$2xkrdsPVtvjOZY5GEI1S/0
!
username AccessRouter password 0 Passwort
ip subnet-zero
no ip domain-lookup
vpdn enable
vpdn outgoing e-sirius.com AccessRouter ip 192.168.2.1
isdn switch-type basic-net3
!
interface Ethernet0
ip address 192.168.3.1 255.255.255.0
no ip directed-broadcast
no ip proxy-arp
no logging event subif-link-status
media-type 10BaseT
!
interface Serial0
no ip address
no logging event subif-link-status
shutdown
!
interface BRI0
no ip address
no ip directed-broadcast
encapsulation ppp
no logging event subif-link-status
dialer pool-member 1
ppp authentication chap callin
!
interface Dialer1
description Verbindung zu Router AccessRouter
ip address 192.168.4.2 255.255.255.0
no ip directed-broadcast
no ip proxy-arp
encapsulation ppp
no logging event subif-link-status
dialer remote-name AccessRouter
dialer string 21
dialer load-threshold 100 either
dialer pool 1
dialer-group 1
no fair-queue
ppp authentication chap callin
ppp multilink
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.4.1
ip route 192.168.1.0 255.255.255.0 192.168.4.1
ip route 192.168.2.0 255.255.255.0 192.168.4.1
access-list 102 permit tcp host 192.168.3.2 host 192.168.1.1 eq 3389
access-list 102 deny ip any any
dialer-list 1 protocol ip list 102
!
line con 0
transport input none
stopbits 1
line vty 0 4
login local
!
End
Konfiguration des Cisco 2600er Routers
!
version 12.1
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname AccessRouter
!
enable secret 5 $1$n.rg$2xkrdsPVtvjOZY5GEI1S/0
!
username Client-1Router password 0 Passwort
username Client-2Router password 0 Passwort
!
!
!
!
no ip subnet-zero
no ip finger
no ip domain-lookup
!
vpdn enable
no vpdn logging remote
no vpdn logging user
!
vpdn-group 1
accept-dialin
protocol l2f
virtual-template 1
terminate-from hostname Client-1Router
local name AccessRouter
!
isdn switch-type basic-net3
isdn voice-call-failure 0
partition flash 2 8 8
!
!
!
!
!
!
interface Ethernet0/0
ip address 192.168.2.1 255.255.255.0
no ip proxy-arp
!
interface TokenRing0/0
no ip address
shutdown
ring-speed 16
!
interface BRI1/0
no ip address
encapsulation ppp
dialer pool-member 1
isdn switch-type basic-net3
isdn send-alerting
ppp authentication chap callin
!
interface BRI1/1
no ip address
shutdown
isdn switch-type basic-net3
!
interface BRI1/2
no ip address
encapsulation ppp
dialer pool-member 2
isdn switch-type basic-net3
isdn send-alerting
ppp authentication chap callin
!
interface BRI1/3
no ip address
shutdown
isdn switch-type basic-net3
!
interface Virtual-Template1
ip unnumbered Ethernet0/0
ppp authentication chap
!
interface Dialer1
description Verbindung zu Router Client-1Router
ip address 192.168.4.1 255.255.255.0
no ip proxy-arp
encapsulation ppp
dialer pool 1
dialer remote-name Client-1Router
dialer idle-timeout 120 either
dialer string 11
dialer load-threshold 100 either
dialer-group 1
ppp authentication chap callin
ppp multilink
!
interface Dialer2
description Verbindung zu Router Client-2Router
ip address 192.168.6.1 255.255.255.0
no ip proxy-arp
encapsulation ppp
dialer pool 2
dialer remote-name Client-2Router
dialer idle-timeout 120 either
dialer string 12
dialer load-threshold 100 either
dialer-group 2
ppp authentication chap callin
ppp multilink
!
ip classless
ip route profile
ip route 0.0.0.0 0.0.0.0 192.168.2.254
ip route 192.168.1.0 255.255.255.0 192.168.2.254
ip route 192.168.3.0 255.255.255.0 192.168.4.2
ip route 192.168.4.0 255.255.255.0 Dialer1
ip route 192.168.5.0 255.255.255.0 192.168.6.2
ip route 192.168.6.0 255.255.255.0 Dialer2
no ip http server
!
access-list 102 permit tcp host 192.168.3.2 host 192.168.1.1 eq 3389
access-list 102 deny ip any any
access-list 103 permit tcp host 192.168.5.2 host 192.168.1.1 eq 3389
access-list 103 deny ip any any
dialer-list 1 protocol ip list 102
dialer-list 2 protocol ip list 103
!
line con 0
transport input none
stopbits 1
line aux 0
line vty 0 4
login local
!
end
IP,s und Telefonnummern
Client PC1 192.168.3.2
Client PC2 192.168.5.2
Client-1Router Ethernet 0 192.168.3.1
Client-1Router Bri0 192.168.4.2 Tel: 11
Client-2Router Ethernet 0 192.168.5.1
Client-2Router Bri0 192.168.6.2 Tel: 12
AccessRouter Bri1/0 192.168.4.1 Tel: 21
AccessRouter Bri1/2 192.168.6.1 Tel: 22
AccessRouter Ethernet0/0 192.168.2.1
IP-Cop Firewall Rote Schnittstelle 192.168.2.254
IP-Cop Firewall Grüne Schnittstelle 192.168.1.254
Terminal Server 192.168.1.1
Gruß Flogge
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 41096
Url: https://administrator.de/contentid/41096
Ausgedruckt am: 23.11.2024 um 02:11 Uhr
4 Kommentare
Neuester Kommentar
Was sagt den ein "debug vpdn event/errors/packet" etc. beim Verbindungsaufbau ??
Laut Ciscos Beschreibung www.cisco.com/en/US/products/sw/iosswrel/ps1828/products_configuration_guide_chapter09186a0080087302.html
initiiert ja der Dialin Knoten den Tunnel, da ist es fraglich ob es auch direkt zwischen 2 Routern klappt. Wie gesagt ein debug der vpdn Funktion sollte da schon Licht ins Dunkel bringen...
Laut Ciscos Beschreibung www.cisco.com/en/US/products/sw/iosswrel/ps1828/products_configuration_guide_chapter09186a0080087302.html
initiiert ja der Dialin Knoten den Tunnel, da ist es fraglich ob es auch direkt zwischen 2 Routern klappt. Wie gesagt ein debug der vpdn Funktion sollte da schon Licht ins Dunkel bringen...
Debugst du mit einer Telnet Verbindung auf dem Router ????
Da musst du "term mon" eingeben sonst landet der Debug Output an der Konsole im Nirwana. Oder wenn du logging enabled hast im Logg das du mit "show logg" einsehen kannst.
Zeigen sich in der Tat keine debug outputs weder mit term mon in der Telnet Session noch an der Konsole ist überhaupt gar keine irgendgeartete VPN Funktion aktiv.
Da ist dann noch ein großer Kinken in der Konfig vermute ich mal. PPP muss auf dem Dialer Interface unbedingt aktiv sein denn bei HDLC müsstest du sonst immer eine dedizierte Zuweisung aufs Interface machen was die Konfig nur unnötig erschwert. Warum der Encapsulation Mode nicht angezeigt wird ist komisch aber normal wenn dies die default Einstellung ist, denn die wird in der Konfig nie angezeigt.
Vielleicht solltest du als Alternative einfach nur einen einfachen Crypto GRE Tunnel konfigurieren, das erfordert aber ein Crypto fähiges IOS auf den Systemen.
Da musst du "term mon" eingeben sonst landet der Debug Output an der Konsole im Nirwana. Oder wenn du logging enabled hast im Logg das du mit "show logg" einsehen kannst.
Zeigen sich in der Tat keine debug outputs weder mit term mon in der Telnet Session noch an der Konsole ist überhaupt gar keine irgendgeartete VPN Funktion aktiv.
Da ist dann noch ein großer Kinken in der Konfig vermute ich mal. PPP muss auf dem Dialer Interface unbedingt aktiv sein denn bei HDLC müsstest du sonst immer eine dedizierte Zuweisung aufs Interface machen was die Konfig nur unnötig erschwert. Warum der Encapsulation Mode nicht angezeigt wird ist komisch aber normal wenn dies die default Einstellung ist, denn die wird in der Konfig nie angezeigt.
Vielleicht solltest du als Alternative einfach nur einen einfachen Crypto GRE Tunnel konfigurieren, das erfordert aber ein Crypto fähiges IOS auf den Systemen.