VPN auf einem Cisco Router einrichten... Immer noch kein Erfolg
VPN Tunnel und RDP Zugang mit Cisco 876-SEC-I-K9
Hallo,
ich bin beauftragt worden ein Cisco 876 bei einer Firma zu installieren.
Mein Problem ist - ich bin kein Administrator und habe nur soviel Ahnung von der Materia, die ich im Inet finden konnte.
Ich habe zwar, mehrere Anleitungen auf der Cisco Seite gefunden, kann aber nicht abschätzen, was ich von alldem wirklich brauche.
Die Situation:
1. Ein Netzwerk mit w2k8 Server(DC, DNS, DHCP)
2. Alle Rechner haben eine feste IP Adresse (Software Voraussetzung)
3. Internet Zugang über Cisco Router 876-SEC-I-K9
4. Firma hat keine feste öffentliche IP. es wurde ein dyndns Account eingerichtet - funktioniert (ping)
Aufgabe:
1. RDP Zugang auf den Server und auf einen anderen Rechner im LAN zu ermöglichen
2. VPN Tunnel aufzubauen, damit die Mitarbeiter sich von Zuhause aus in Netz einlogen können.
Bis jetzt habe ich geschaft die Internetverbindung einzurichten.
Es wurden keine weitere Einstellungen vorgenommen.
Da wir keinen Smart-net Vertrag haben, weigert sich Cisco uns i.welchen technischen Support zu gewähren.
Das Gerät wurde mit SDM 2.4 ausgeliefert.
Auf der Cisco Seite habe ich folgende Dokumente gefunden:
Zu Aufgabe 1: http://www.cisco.com/en/US/products/sw/secursw/ps5318/products_configur ...
Zu Aufgabe 2: http://www.cisco.com/en/US/products/sw/secursw/ps5318/products_configur ...
Reicht es um die o.g. Probleme zu lösen, oder muss ich zusätzlich oder was danz anderes machen?
Da ich wie gesagt keine Erfahrung mit Cisco habe, würde ich nur ungern iwas in der Konsole programmieren, sondern am liebsten einfach nach diesen Screenshots step by step die Oberfläche einstellen.
Leider gehen diese Anleitungen nicht auf das Model ein, das wir haben.
Darüber hinaus habe ich nicht gefunden, wie ich mit der dynamischen IP Adresse(von dyndns umgehen soll)
Ein weiteres Problem ist, das ich keine Möglichkeit habe den Cisco VPN Cleient herunterzuladen.
Würde an dieser Stelle standard Windows Lösung bzw. iwelche Freeware Software funktionieren?
Über jede Hilfe würde ich mich sehr freuen und
bedanke mich im Voraus
Spatz75
Hallo,
ich bin beauftragt worden ein Cisco 876 bei einer Firma zu installieren.
Mein Problem ist - ich bin kein Administrator und habe nur soviel Ahnung von der Materia, die ich im Inet finden konnte.
Ich habe zwar, mehrere Anleitungen auf der Cisco Seite gefunden, kann aber nicht abschätzen, was ich von alldem wirklich brauche.
Die Situation:
1. Ein Netzwerk mit w2k8 Server(DC, DNS, DHCP)
2. Alle Rechner haben eine feste IP Adresse (Software Voraussetzung)
3. Internet Zugang über Cisco Router 876-SEC-I-K9
4. Firma hat keine feste öffentliche IP. es wurde ein dyndns Account eingerichtet - funktioniert (ping)
Aufgabe:
1. RDP Zugang auf den Server und auf einen anderen Rechner im LAN zu ermöglichen
2. VPN Tunnel aufzubauen, damit die Mitarbeiter sich von Zuhause aus in Netz einlogen können.
Bis jetzt habe ich geschaft die Internetverbindung einzurichten.
Es wurden keine weitere Einstellungen vorgenommen.
Da wir keinen Smart-net Vertrag haben, weigert sich Cisco uns i.welchen technischen Support zu gewähren.
Das Gerät wurde mit SDM 2.4 ausgeliefert.
Auf der Cisco Seite habe ich folgende Dokumente gefunden:
Zu Aufgabe 1: http://www.cisco.com/en/US/products/sw/secursw/ps5318/products_configur ...
Zu Aufgabe 2: http://www.cisco.com/en/US/products/sw/secursw/ps5318/products_configur ...
Reicht es um die o.g. Probleme zu lösen, oder muss ich zusätzlich oder was danz anderes machen?
Da ich wie gesagt keine Erfahrung mit Cisco habe, würde ich nur ungern iwas in der Konsole programmieren, sondern am liebsten einfach nach diesen Screenshots step by step die Oberfläche einstellen.
Leider gehen diese Anleitungen nicht auf das Model ein, das wir haben.
Darüber hinaus habe ich nicht gefunden, wie ich mit der dynamischen IP Adresse(von dyndns umgehen soll)
Ein weiteres Problem ist, das ich keine Möglichkeit habe den Cisco VPN Cleient herunterzuladen.
Würde an dieser Stelle standard Windows Lösung bzw. iwelche Freeware Software funktionieren?
Über jede Hilfe würde ich mich sehr freuen und
bedanke mich im Voraus
Spatz75
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 97189
Url: https://administrator.de/forum/vpn-auf-einem-cisco-router-einrichten-immer-noch-kein-erfolg-97189.html
Ausgedruckt am: 27.04.2025 um 21:04 Uhr
7 Kommentare
Neuester Kommentar
Das wichtigste hast du leider nicht geschrieben nämlich WELCHES der zahlreichen VPN Protokolle du denn auf dem Cisco betreiben willst 
Hier findest du eine laufende Konfig:
Cisco 800, 900, ISR1100 Router Konfiguration mit xDSL, Kabel, FTTH Anschluss und VPN
Nun artet das hier leider mal wieder in wilde Raterei aus...
Raten wir für einen ersten Schrotschuss mal das du ggf. das PPTP Protokoll für dein VPN benutzen willst, was Windows, Mac-OSX, Linux und diverse PDAs von sich aus mit an Bord haben und wo du keine zusätzliche VPN Client SW benötigst.
Dann sähe eine Konfiguration auf deinem Router so aus:
Du solltest dringend darauf achten, das der PPTP IP Adresspool den die VPN Clients bekommen bei der Einwahl (172.16.1.200 bis 172.16.1.210) nicht mit einem lokalen DHCP Server oder anderen statisch vergebenen IP Adressen kollidieren im IP Netz an Eth0 !!!
Ansonsten kannst du das Beispiel so abtippen, musst aber ggf. auf deine eigene IP Adressen achten und das ggf. anpassen.
Den VPN Client richtest du unter XP analog so ein wie hier im Abschnitt "Einrichtung des Clients" beschrieben:
http://www.wintotal.de/Artikel/vpnxp/vpnxp.php
Unter MacOSX bzw. Linux geht das analog so...
http://www.vpn.fh-trier.de/howto/index.phtml?BACK=&RFTLOOK=&BOO ...
Damit der Cisco DynDNS fähig wird fügst du folgendes Konfig Kommando hinzu:
Username und Password musst du mit dem deines DynDNS Accounts natürlich ersetzen
Hier findest du eine laufende Konfig:
Cisco 800, 900, ISR1100 Router Konfiguration mit xDSL, Kabel, FTTH Anschluss und VPN
Nun artet das hier leider mal wieder in wilde Raterei aus...
Raten wir für einen ersten Schrotschuss mal das du ggf. das PPTP Protokoll für dein VPN benutzen willst, was Windows, Mac-OSX, Linux und diverse PDAs von sich aus mit an Bord haben und wo du keine zusätzliche VPN Client SW benötigst.
Dann sähe eine Konfiguration auf deinem Router so aus:
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
!
username VPNuser password GeHeim
!
interface Ethernet0
description Lokales Ethernet
ip address 172.16.1.254 255.255.255.0
!
interface Virtual-Template1
description PPTP Dialin Interface fuer VPN Zugang
ip unnumbered Ethernet0
no keepalive
peer default ip address pool pptp_dialin
ppp encrypt mppe auto
ppp authentication pap chap ms-chap
!
ip local pool pptp_dialin 172.16.1.200 172.16.1.210Du solltest dringend darauf achten, das der PPTP IP Adresspool den die VPN Clients bekommen bei der Einwahl (172.16.1.200 bis 172.16.1.210) nicht mit einem lokalen DHCP Server oder anderen statisch vergebenen IP Adressen kollidieren im IP Netz an Eth0 !!!
Ansonsten kannst du das Beispiel so abtippen, musst aber ggf. auf deine eigene IP Adressen achten und das ggf. anpassen.
Den VPN Client richtest du unter XP analog so ein wie hier im Abschnitt "Einrichtung des Clients" beschrieben:
http://www.wintotal.de/Artikel/vpnxp/vpnxp.php
Unter MacOSX bzw. Linux geht das analog so...
http://www.vpn.fh-trier.de/howto/index.phtml?BACK=&RFTLOOK=&BOO ...
Damit der Cisco DynDNS fähig wird fügst du folgendes Konfig Kommando hinzu:
!
ip ddns update method dyndns
HTTP
add http://<username>:<pw>:@members.dyndns.org/nic/update?system=dyndns&hostname=<h>&myip=<a>
interval maximum 1 0 0 0
!
Erstmal vielen Dank.
1. da die Art des VPN Tunnels nicht definiert wurde, werde ich wohl dieses PPTP Protokoll nutzen.
2. Ich habe ein Buch hier liegen, indem ich hoffentlich finde, wo und wie ich diese Codezeilen eintragen kann. Bis jetzt habe ich wie gesagt nur mit CDM gearbeitet.
3. Spielt es eine Rolle an welcher Stelle des Skriptes der neue Code eingetragen wird?
4. was ist mit Remotezugriff, kann ich die NAT Konfiguartion so machen wie unter 1. Link steht.
Noch mal Danke
Spatz75
1. da die Art des VPN Tunnels nicht definiert wurde, werde ich wohl dieses PPTP Protokoll nutzen.
2. Ich habe ein Buch hier liegen, indem ich hoffentlich finde, wo und wie ich diese Codezeilen eintragen kann. Bis jetzt habe ich wie gesagt nur mit CDM gearbeitet.
3. Spielt es eine Rolle an welcher Stelle des Skriptes der neue Code eingetragen wird?
4. was ist mit Remotezugriff, kann ich die NAT Konfiguartion so machen wie unter 1. Link steht.
Noch mal Danke
Spatz75
Mmmhhh, wenn das nicht definiert wurde kann das aber auch noch IPsec(ESP) oder z.B. L2TP sein... ?? Woher willst du denn wissen was du machen sollst ??? Ziemlich blauäugiger Ansatz... aber egal. Da solltest du besser mal nachfragen damit du nicht völlig umsonst konfigurierst, denn eine PPTP Konfig ist natürlich logischerweise für IPsec völlig unbrauchbar.
Der Cisco supportet alle VPN Protokolle mit entsprechender Konfig !
Den Router konfigurierst du so:
Den Router telnetten mit PUTTY oder TERATERM oder dem Winblows eigenen telnet, dann
ena
conf t
..und dann fröhlich die Zeilen eintippen. Mit ctrl z kommst du aus dem Konfig Modus wieder raus und show run zeigt dir die aktuelle Konfig an. (Kannst du so auch sichern !)
Ein ? hilft dir immer weiter bei der Syntax und ein <TAB> komplettiert die Kommandos automatisch.
Am Schluss wr nicht vergessen um die Konfig zu sichern !!!
Eine NAT Konfig mit einem DSL Beispiel sieht so aus:
So, nun musst du nur noch abtippen !!
Der Cisco supportet alle VPN Protokolle mit entsprechender Konfig !
Den Router konfigurierst du so:
Den Router telnetten mit PUTTY oder TERATERM oder dem Winblows eigenen telnet, dann
ena
conf t
..und dann fröhlich die Zeilen eintippen. Mit ctrl z kommst du aus dem Konfig Modus wieder raus und show run zeigt dir die aktuelle Konfig an. (Kannst du so auch sichern !)
Ein ? hilft dir immer weiter bei der Syntax und ein <TAB> komplettiert die Kommandos automatisch.
Am Schluss wr nicht vergessen um die Konfig zu sichern !!!
Eine NAT Konfig mit einem DSL Beispiel sieht so aus:
interface Ethernet1
description DSL Modem Anschluss
no ip address
duplex auto
pppoe enable group global
pppoe-client dial-pool-number 1
no cdp enable
!
interface Dialer0
description DSL Einwahl mit DynDNS
ip ddns update hostname <dyndns hostname>
ip ddns update dyndns
ip address negotiated
ip mtu 1492
ip nat outside
encapsulation ppp
dialer pool 1
dialer idle-timeout 0
dialer persistent
no fair-queue
no cdp enable
ppp authentication chap callin
ppp chap password Geheim
ppp chap hostname <dein user account>
ppp ipcp dns request
ppp ipcp mask request
!
ip route 0.0.0.0 0.0.0.0 Dialer0 permanent
no ip http server
!
ip dns server
ip nat inside source list 1 interface Dialer0 overload
!
access-list 1 permit 172.16.1.0 0.0.0.255
!
no cdp run
!So, nun musst du nur noch abtippen !!
ok
ich fahre jetzt hin und hoffe das beste
vielen dank
ich fahre jetzt hin und hoffe das beste
vielen dank
Tja, die VPN Einrichtung hat leider nicht geklappt.
Ich habe unerwartet Telefonsupport von einem Cisco Techniker bekommmen, der 4 Stundenlang versucht hat einen VPN Tunnel aufzubauen - ohne Erfolg.
Hier ist ein Skript, das vorgeschlagen und eingetragen wurde:
aaa new-model
aaa authentication login userauthen local
aaa authorization network groupauthor local
aaa session-id common
crypto isakmp policy 3
encr 3des
authentication pre-share
group 2
crypto isakmp client configuration group EZVPN_GROUP_1 <------- ist die Group für den VPN Client
key !!!!VPNPASS!!!!! <-------- ist das Passwort für die Gruppe
dns !!!!bitte DNS eintragen!!!!
domain !!!!bitteDoamaineintragen!!!!
pool vpn_clients
crypto ipsec transform-set myset esp-3des esp-md5-hmac
crypto dynamic-map dynmap 10
set transform-set myset
crypto map clientmap client authentication list userauthen
crypto map clientmap isakmp authorization list groupauthor
crypto map clientmap client configuration address respond
crypto map clientmap 10 ipsec-isakmp dynamic dynmap
!
ip local pool vpn_clients 192.168.100.1 192.168.100.254 <----- dhcp server für das vpn netzwerk
ip route 0.0.0.0 0.0.0.0 !!DAILER...!!!!
interface atm 0
crypto map clientmap
username test password test <-------- so wird ein user Angelegt.
Komischerweise war der VPN Server Test im Cisco erfolgreich
Die Clients (weder Windows standard noch Cosco VPN Client ver. 5) konnten den Server erreichen.
Könnten mir jemand helfen und sagen wie ich den Fehler im Skript / Netzwerk / Verkabelung usw. aufspühren könnte?
Gibt es iwelche Tools die die Verbindung von Client Seite testen und aussagekräftige Meldungen geben.
Oder soll ich den Scheißteil einfach in die Tonne werfen und mit Windows VPN Server (Software) probieren?
MfG
Spatz75
Ich habe unerwartet Telefonsupport von einem Cisco Techniker bekommmen, der 4 Stundenlang versucht hat einen VPN Tunnel aufzubauen - ohne Erfolg.
Hier ist ein Skript, das vorgeschlagen und eingetragen wurde:
aaa new-model
aaa authentication login userauthen local
aaa authorization network groupauthor local
aaa session-id common
crypto isakmp policy 3
encr 3des
authentication pre-share
group 2
crypto isakmp client configuration group EZVPN_GROUP_1 <------- ist die Group für den VPN Client
key !!!!VPNPASS!!!!! <-------- ist das Passwort für die Gruppe
dns !!!!bitte DNS eintragen!!!!
domain !!!!bitteDoamaineintragen!!!!
pool vpn_clients
crypto ipsec transform-set myset esp-3des esp-md5-hmac
crypto dynamic-map dynmap 10
set transform-set myset
crypto map clientmap client authentication list userauthen
crypto map clientmap isakmp authorization list groupauthor
crypto map clientmap client configuration address respond
crypto map clientmap 10 ipsec-isakmp dynamic dynmap
!
ip local pool vpn_clients 192.168.100.1 192.168.100.254 <----- dhcp server für das vpn netzwerk
ip route 0.0.0.0 0.0.0.0 !!DAILER...!!!!
interface atm 0
crypto map clientmap
username test password test <-------- so wird ein user Angelegt.
Komischerweise war der VPN Server Test im Cisco erfolgreich
Die Clients (weder Windows standard noch Cosco VPN Client ver. 5) konnten den Server erreichen.
Könnten mir jemand helfen und sagen wie ich den Fehler im Skript / Netzwerk / Verkabelung usw. aufspühren könnte?
Gibt es iwelche Tools die die Verbindung von Client Seite testen und aussagekräftige Meldungen geben.
Oder soll ich den Scheißteil einfach in die Tonne werfen und mit Windows VPN Server (Software) probieren?
MfG
Spatz75
Jetzt würfelst du alles durcheinander !!
Der Cisco Heini hat dir eine IPsec Konfiguration verpasst.
Hast du ihm etwa nicht gesagt das du wie du oben ja selber schreibst:
"1. da die Art des VPN Tunnels nicht definiert wurde, werde ich wohl dieses PPTP Protokoll nutzen..."
machen willst ???
Wenn du ihm nicht präzise sagst was du willst erzählt er dir natürlich irgendwas und das Chaos ist komplett wie jetzt !!!
Du musst dich jetzt endlich mal entscheiden WAS für ein VPN Protokoll du denn nun umsetzen willst ???
IPsec ist nicht PPTP und umgekehrt. Ein IPsec Client musst du separat installieren bzw. erwerben oder was die Cisco Jungs wollen das du natürlich teuer deren VPN Client kaufst, deshalb hat er dir ja auch die IPsec Konfig angedreht !! Da ist Cisco etwas cleverer als du scheinbar
Damit kannst du aber keine Windows VPN Session auf dem Router terminieren mit dem Windows und Mac OS-X bordeigenen VPN Client, das ist klar, denn der spricht ausnahmslos PPTP und eben kein IPsec !!
Ein Italiener und ein Franzose können sich ja auch nicht jeweils in ihrer Mutersprache miteinander unterhalten, oder ???
Wenn du beises willst benötigst du auch BEIDE Konfigs auf dem System, das ist logisch !
Also entscheide erstmal was du genau willst, dann machen wir hier weiter !!!
Bzw. bei PPTP gilt das Konfigbeispiel von oben !
Der Cisco Heini hat dir eine IPsec Konfiguration verpasst.
Hast du ihm etwa nicht gesagt das du wie du oben ja selber schreibst:
"1. da die Art des VPN Tunnels nicht definiert wurde, werde ich wohl dieses PPTP Protokoll nutzen..."
machen willst ???
Wenn du ihm nicht präzise sagst was du willst erzählt er dir natürlich irgendwas und das Chaos ist komplett wie jetzt !!!
Du musst dich jetzt endlich mal entscheiden WAS für ein VPN Protokoll du denn nun umsetzen willst ???
IPsec ist nicht PPTP und umgekehrt. Ein IPsec Client musst du separat installieren bzw. erwerben oder was die Cisco Jungs wollen das du natürlich teuer deren VPN Client kaufst, deshalb hat er dir ja auch die IPsec Konfig angedreht !! Da ist Cisco etwas cleverer als du scheinbar
Damit kannst du aber keine Windows VPN Session auf dem Router terminieren mit dem Windows und Mac OS-X bordeigenen VPN Client, das ist klar, denn der spricht ausnahmslos PPTP und eben kein IPsec !!
Ein Italiener und ein Franzose können sich ja auch nicht jeweils in ihrer Mutersprache miteinander unterhalten, oder ???
Wenn du beises willst benötigst du auch BEIDE Konfigs auf dem System, das ist logisch !
Also entscheide erstmal was du genau willst, dann machen wir hier weiter !!!
Bzw. bei PPTP gilt das Konfigbeispiel von oben !
