flogge
Goto Top

VPDN zwischen Cisco 1600 IOS 11.2 und 2600 IOS 12.1

Hallo Community

Ich habe ein Cisco Konfigurationsproblem das ich leider nicht alleine lösen kann.
Ich habe 2 Cisco 1600er Router welche sich über eine Telefonanlage auf einem Cisco 2600 Router über ISDN einwählen. Der 2600 besitzt dazu 2 Bri Schnittstellen. Jeder ClientRouter (1600) wählt sich auf einer eigenen Nummer Bri beim AccessRouter (2600) ein. Dies klappt auch zuverlässig. (Vorweg, es handelt sich um einen Testaufbau, da ich keine Internetanschlüsse nutzen kann simuliert meine Telofonanlage das Internet face-wink) Die PC´s an den Clientroutern nutzen den RDP Terminaldienst auf einem Server hinter dem Access Router.

Nun zu meinem Problem
Da dies natürlich nicht in Klartext über das Internet (Telefonanlage ) übertragen werden soll habe ich mich für VPN entschieden. In diesem Fall für vpdn. Ich habe die betreffenden Zeilen in den Konfigurationen markiert, denn die Einwahl klappt hervorragend, aber es wird die vpnd Anweisung einfach ignoriert. Die VPDN Strecke soll nur zwischen den Routern existieren und nicht bis zum Server gehen.

Was mache ich falsch? Ich hoffe ihr wisst Rat.


Konfiguration eines Client Routers (Cisco 1600) Die Konfiguration des Client-2Router ist sinngemäß identisch
!
version 11.2
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
no service udp-small-servers
no service tcp-small-servers
!
hostname Client-1Router
!
enable secret 5 $1$n.rg$2xkrdsPVtvjOZY5GEI1S/0
!
username AccessRouter password 0 Passwort
ip subnet-zero
no ip domain-lookup
vpdn enable
vpdn outgoing e-sirius.com AccessRouter ip 192.168.2.1
isdn switch-type basic-net3
!
interface Ethernet0
 ip address 192.168.3.1 255.255.255.0
 no ip directed-broadcast
 no ip proxy-arp
 no logging event subif-link-status
 media-type 10BaseT
!
interface Serial0
 no ip address
 no logging event subif-link-status
 shutdown
!
interface BRI0
 no ip address
 no ip directed-broadcast
 encapsulation ppp
 no logging event subif-link-status
 dialer pool-member 1
 ppp authentication chap callin
!
interface Dialer1
 description Verbindung zu Router AccessRouter
 ip address 192.168.4.2 255.255.255.0
 no ip directed-broadcast
 no ip proxy-arp
 encapsulation ppp
 no logging event subif-link-status
 dialer remote-name AccessRouter
 dialer string 21
 dialer load-threshold 100 either
 dialer pool 1
 dialer-group 1
 no fair-queue
 ppp authentication chap callin
 ppp multilink
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.4.1
ip route 192.168.1.0 255.255.255.0 192.168.4.1
ip route 192.168.2.0 255.255.255.0 192.168.4.1
access-list 102 permit tcp host 192.168.3.2 host 192.168.1.1 eq 3389
access-list 102 deny   ip any any
dialer-list 1 protocol ip list 102
!
line con 0
 transport input none
 stopbits 1
line vty 0 4
 login local
!
End

Konfiguration des Cisco 2600er Routers

!
version 12.1
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname AccessRouter
!
enable secret 5 $1$n.rg$2xkrdsPVtvjOZY5GEI1S/0
!
username Client-1Router password 0 Passwort
username Client-2Router password 0 Passwort
!
!
!
!
no ip subnet-zero
no ip finger
no ip domain-lookup
!
vpdn enable
no vpdn logging remote
no vpdn logging user
!
vpdn-group 1
 accept-dialin
  protocol l2f
  virtual-template 1
 terminate-from hostname Client-1Router
 local name AccessRouter
!
isdn switch-type basic-net3
isdn voice-call-failure 0
partition flash 2 8 8
!
!
!
!
!
!
interface Ethernet0/0
 ip address 192.168.2.1 255.255.255.0
 no ip proxy-arp
!
interface TokenRing0/0
 no ip address
 shutdown
 ring-speed 16
!
interface BRI1/0
 no ip address
 encapsulation ppp
 dialer pool-member 1
 isdn switch-type basic-net3
 isdn send-alerting
 ppp authentication chap callin
!
interface BRI1/1
 no ip address
 shutdown
 isdn switch-type basic-net3
!
interface BRI1/2
 no ip address
 encapsulation ppp
 dialer pool-member 2
 isdn switch-type basic-net3
 isdn send-alerting
 ppp authentication chap callin
!
interface BRI1/3
 no ip address
 shutdown
 isdn switch-type basic-net3
!
interface Virtual-Template1
 ip unnumbered Ethernet0/0
 ppp authentication chap
!
interface Dialer1
 description Verbindung zu Router Client-1Router
 ip address 192.168.4.1 255.255.255.0
 no ip proxy-arp
 encapsulation ppp
 dialer pool 1
 dialer remote-name Client-1Router
 dialer idle-timeout 120 either
 dialer string 11
 dialer load-threshold 100 either
 dialer-group 1
 ppp authentication chap callin
 ppp multilink
!
interface Dialer2
 description Verbindung zu Router Client-2Router
 ip address 192.168.6.1 255.255.255.0
 no ip proxy-arp
 encapsulation ppp
 dialer pool 2
 dialer remote-name Client-2Router
 dialer idle-timeout 120 either
 dialer string 12
 dialer load-threshold 100 either
 dialer-group 2
 ppp authentication chap callin
 ppp multilink
!
ip classless
ip route profile
ip route 0.0.0.0 0.0.0.0 192.168.2.254
ip route 192.168.1.0 255.255.255.0 192.168.2.254
ip route 192.168.3.0 255.255.255.0 192.168.4.2
ip route 192.168.4.0 255.255.255.0 Dialer1
ip route 192.168.5.0 255.255.255.0 192.168.6.2
ip route 192.168.6.0 255.255.255.0 Dialer2
no ip http server
!
access-list 102 permit tcp host 192.168.3.2 host 192.168.1.1 eq 3389
access-list 102 deny   ip any any
access-list 103 permit tcp host 192.168.5.2 host 192.168.1.1 eq 3389
access-list 103 deny   ip any any
dialer-list 1 protocol ip list 102
dialer-list 2 protocol ip list 103
!
line con 0
 transport input none
 stopbits 1
line aux 0
line vty 0 4
 login local
!
end

IP,s und Telefonnummern

Client PC1 192.168.3.2
Client PC2 192.168.5.2
Client-1Router Ethernet 0 192.168.3.1
Client-1Router Bri0 192.168.4.2 Tel: 11
Client-2Router Ethernet 0 192.168.5.1
Client-2Router Bri0 192.168.6.2 Tel: 12
AccessRouter Bri1/0 192.168.4.1 Tel: 21
AccessRouter Bri1/2 192.168.6.1 Tel: 22
AccessRouter Ethernet0/0 192.168.2.1
IP-Cop Firewall Rote Schnittstelle 192.168.2.254
IP-Cop Firewall Grüne Schnittstelle 192.168.1.254
Terminal Server 192.168.1.1

Gruß Flogge

Content-ID: 41096

Url: https://administrator.de/contentid/41096

Ausgedruckt am: 23.11.2024 um 02:11 Uhr

aqui
aqui 07.10.2006 um 18:24:44 Uhr
Goto Top
Was sagt den ein "debug vpdn event/errors/packet" etc. beim Verbindungsaufbau ??

Laut Ciscos Beschreibung www.cisco.com/en/US/products/sw/iosswrel/ps1828/products_configuration_guide_chapter09186a0080087302.html
initiiert ja der Dialin Knoten den Tunnel, da ist es fraglich ob es auch direkt zwischen 2 Routern klappt. Wie gesagt ein debug der vpdn Funktion sollte da schon Licht ins Dunkel bringen...
Flogge
Flogge 09.10.2006 um 11:54:26 Uhr
Goto Top
Danke für deine schnelle Antwort aqui

Habe es natürlich sofort heute morgen ausprobiert, den der Testaufbau steht in der Firma und ich kam am Samstag nicht dran.

Ich habe sowohl im 2600 er als auch im 1600 die Debugfunktionen aktiviert und zusätzlich noch
l2f-events
l2f-errors
l2f-packets

Aber nichts, nicht ein Log erscheint. Da ich noch absoluter Cisco Greenhorn bin und bis dahin diese Funktion noch nicht kannte habe ich sie testweise auf dialer angewant, und siehe da ich bekam einige Meldungen.

Mir drängt sich die Erkenntniss auf das die VPDN Funktion in meiner Config brachliegt und rein gar nichts bewirkt.

Meine Config habe ich nach der Beschreibung die du genannt hast erstellt, konnte das aber nicht 1 zu 1 umsetzen zb. kann ich im 2600er werde im Ethernet Interface noch im virtual-template interface den Befehl encapsulation ppp anwenden. Der Befehl ist zwar vorhanden wird aber nicht in die config geschrieben.

Das Dokument lässt mich denken das es sich dort um eine Verbindung zwischen 2 Routern handelt, ist das nicht so? Ist der 1600er in meinem Fall nicht der Dialin Knoten?
Zum Licht im Dunkeln, noch sehe ich es nicht face-wink ich hoffe du/ihr habt noch ein paar Ideen was bei mir falsch läuft.

Sollte ich komplett auf dem Holzweg sein, bitte sagt es mir kann ich mein Ziel etwas mit einem anderen ansatz besser erreichen? Z.b. mit dem Interface Typ Tunnel leider schweigt sich mein Cisco Buch darüber aus und so weis ich nicht ob das überhaupt mit einer Wählverbindung funktioniert welche ja aus kostengründen nicht immer offen sein soll.

Grüße Flogge
aqui
aqui 13.10.2006 um 20:54:24 Uhr
Goto Top
Debugst du mit einer Telnet Verbindung auf dem Router ????
Da musst du "term mon" eingeben sonst landet der Debug Output an der Konsole im Nirwana. Oder wenn du logging enabled hast im Logg das du mit "show logg" einsehen kannst.

Zeigen sich in der Tat keine debug outputs weder mit term mon in der Telnet Session noch an der Konsole ist überhaupt gar keine irgendgeartete VPN Funktion aktiv.
Da ist dann noch ein großer Kinken in der Konfig vermute ich mal. PPP muss auf dem Dialer Interface unbedingt aktiv sein denn bei HDLC müsstest du sonst immer eine dedizierte Zuweisung aufs Interface machen was die Konfig nur unnötig erschwert. Warum der Encapsulation Mode nicht angezeigt wird ist komisch aber normal wenn dies die default Einstellung ist, denn die wird in der Konfig nie angezeigt.
Vielleicht solltest du als Alternative einfach nur einen einfachen Crypto GRE Tunnel konfigurieren, das erfordert aber ein Crypto fähiges IOS auf den Systemen.
Flogge
Flogge 03.01.2007 um 08:46:31 Uhr
Goto Top
Danke für die Hilfe,
Hatte leider nicht immer Zeit zu antworten, es war sehr stressig in der letzten Zeit.
Das hier beschriebene Problem war meine Projektarbeit für den IHK Abschluss Fachinformatiker Systemintegration. Mittlerweile habe ich alles bestanden und darf mich auch so nennen face-smile.
Bis dato hatte ich noch nie mit Cisco gearbeitet und bin ins kalte Wasser gesprungen. Danke nochmal für die Hilfe, du hast mir sehr geholfen.

Grüße
Florian