dani
16.01.2009, aktualisiert am 18.01.2009 um 20:31:27 Uhr
view7525
view15
0
Beitrags-Menü
  • Ausdrucken
  • Internen Beitrags-Link kopieren
  • Externen Beitrags-Link kopieren

VPN-Client hat keinen Internetzugang über VPN-Router

gelöstFrageNetzwerkeRouter, Routing
Guten Abend liebe Admins,

ich habe einen Cisco Router 1812er als DSL- & VPN-Router konfiguriert. Die Einwahl mittels Cisco VPN-Client ist problemlos möglich. Diese Clients bekommen auch aus einem extra Pool eine IP-Adresse zugeteilt (192.168.11.0 255.255.255.248).

Die Struktur sieht folgendermaßen aus:
9465efa2d581f2a61aa4d792aff0a602-struktur


Was funktioniert:
  • Jeder VPN-Client jeden Client im LAN anpingen.
  • Jeder Rechner im LAN kann den VPN-Client anpingen.

Was nicht funktioniert:
  1. VPN-Clients können nicht über den Router ins Internet.
  2. VPN-Clients können z..B. kein http://192.168.10.4:8080 aufrufen. Folgendes habe ich bereits gemacht: Portscan im LAN, zeigt mit am 192.168.10.4 den offenen Port an. Mache das ganze über den VPN-Client sind alle Ports geschlossen.

Router-Konfiguration:
u10acfb802#sh run
Building configuration...

Current configuration : 7310 bytes
!
! Last configuration change at 14:06:36 UTC Fri Jan 16 2009 by admin
! NVRAM config last updated at 14:21:51 UTC Fri Jan 16 2009 by admin
!
version 12.4
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname u10acfb802
!
boot-start-marker
boot-end-marker
!
enable secret 5 password
!
aaa new-model
!
!
aaa authentication login clientauth local
aaa authorization network groupauthor local
!
!
aaa session-id common
clock summer-time MEST recurring last Sun Mar 2:00 last Sun Oct 2:00
!
!
dot11 syslog
no ip source-route
!
!
ip cef
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.10.1 192.168.10.20
!
ip dhcp pool VLAN20
   network 192.168.10.0 255.255.255.0
   default-router 192.168.10.1
   dns-server 192.168.10.1
   netbios-node-type h-node
!
!
no ip bootp server
ip domain name test
ip name-server 217.237.148.70
ip name-server 217.237.149.142
!
multilink bundle-name authenticated
vpdn enable
!
isdn switch-type basic-net3
!
!
!
spanning-tree portfast bpduguard
username admin password 7 password
username benutzer password 7 password
username benutzer password 7 password
username benutzer password 7 password
!
!
crypto isakmp policy 10
 encr 3des
 authentication pre-share
 group 2
crypto isakmp fragmentation
!
crypto isakmp client configuration group versuch
 key testtesttest
 dns 192.168.10.1
 domain test.local
 pool vpn1
 banner ^C
Any unauthorized access is strictly prohibited and will be
prosecuted to the fill extent of applicable and international law.  ^C
crypto isakmp profile VPNclient
   description VPN clients profile
   match identity group versuch
   client authentication list clientauth
   isakmp authorization list groupauthor
   client configuration address respond
!
!
crypto ipsec transform-set myset esp-3des esp-sha-hmac
!
crypto dynamic-map dynmap 5
 set transform-set myset
 set isakmp-profile VPNclient
!
!
crypto map mymap 10 ipsec-isakmp dynamic dynmap
!
archive
 log config
  hidekeys
!
!
ip ssh version 2
!
!
bba-group pppoe global
 virtual-template 1
!
!
interface FastEthernet0
 description *** Physical WAN 0 Interface ***
 no ip address
 duplex auto
 speed auto
 pppoe enable group global
 pppoe-client dial-pool-number 1
 no cdp enable
!
interface FastEthernet1
 description *** Physical WAN 1 Interface ***
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface BRI0
 description *** Physical BRI (ISDN) Interface ***
 bandwidth 128
 no ip address
 encapsulation ppp
 shutdown
 dialer pool-member 2
 isdn switch-type basic-net3
 isdn point-to-point-setup
 no fair-queue
 no cdp enable
 ppp authentication pap callin
!
interface FastEthernet2
 description *** VLAN10 ***
 switchport access vlan 10
 shutdown
!
interface FastEthernet3
 description *** VLAN20 ***
 switchport access vlan 20
!
interface FastEthernet4
 description *** VLAN30 ***
 switchport access vlan 30
!
interface FastEthernet5
 description *** VLAN1 ***
 shutdown
!
interface FastEthernet6
 description *** VLAN1 ***
 shutdown
!
interface FastEthernet7
 description *** VLAN1 ***
 shutdown
!
interface FastEthernet8
 description *** VLAN1 ***
 shutdown
!
interface FastEthernet9
 description *** VLAN1 ***
!
interface Virtual-Template1
 mtu 1492
 no ip address
 peer default ip address dhcp-pool PPPoE
 ppp authentication pap
!
interface Vlan1
 description *** Default - VLAN ***
 no ip address
 ip virtual-reassembly
!
interface Vlan10
 description *** LAN - 1 ***
 ip address 192.168.100.1 255.255.255.252
 ip access-group 105 in
!
interface Vlan20
 description *** LAN - 2 ***
 ip address 192.168.178.1 255.255.255.0 secondary
 ip address 192.168.10.1 255.255.255.0
 ip access-group 106 in
 ip nat inside
 ip virtual-reassembly
!
interface Vlan30
 description *** LAN - 3 ***
 ip address 10.207.184.2 255.255.255.0
 ip access-group 104 in
!
interface Dialer1
 description *** Primaer / xxxx / T-Systems ***
 ip address negotiated
 ip mtu 1492
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 ip tcp adjust-mss 1452
 no ip mroute-cache
 dialer pool 1
 dialer-group 1
 no cdp enable
 ppp authentication chap callin
 ppp chap hostname xxxxx
 ppp chap password 7 xxx
 ppp ipcp dns request
 crypto map mymap
!
interface Dialer2
 description *** Backup / ISDN (2x64k) / T-Systems ***
 ip address negotiated
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 dialer pool 2
 dialer idle-timeout 60
 dialer string 0191011
 dialer load-threshold 150 either
 dialer watch-group 1
 dialer-group 2
 compress mppc
 no cdp enable
 ppp authentication pap callin
 ppp pap sent-username xxx
 ppp ipcp dns request
 ppp multilink
!
ip local pool vpn1 192.168.11.1 192.168.11.6
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 217.5.98.10 50
ip route 0.0.0.0 0.0.0.0 Dialer2 80
ip route 10.198.246.108 255.255.255.255 Vlan30
!
!
no ip http server
no ip http secure-server
ip dns server
ip nat inside source route-map backup interface Dialer2 overload
ip nat inside source route-map primary interface Dialer1 overload
!
access-list 99 permit xxxx
access-list 99 remark *** SSH Zugriff auf Router ***
access-list 99 permit xxxx
access-list 99 permit xxxx
access-list 99 permit xxxx
access-list 99 permit xxxx
access-list 99 permit xxxx
access-list 99 deny   any
access-list 103 remark *** Internetzugang ***
access-list 103 permit ip host 192.168.178.149 any
access-list 103 permit ip host 192.168.10.4 any
access-list 103 permit ip host 192.168.10.10 any
access-list 103 permit ip host 192.168.10.19 any
access-list 103 permit ip 192.168.11.0 0.0.0.7 any
access-list 103 deny   icmp any any
access-list 103 deny   ip any any
access-list 104 remark *** Zugang 3-Netzwerk ***
access-list 105 remark *** Zugang 2-Netzwerk ***
access-list 106 remark *** Zugang 1-Netzwerk ***
access-list 107 remark *** VPN - Clients ***
access-list 107 deny   ip 192.168.11.0 0.0.0.7 192.168.11.0 0.0.0.7
dialer watch-list 1 ip 0.0.0.0 0.0.0.0
dialer-list 1 protocol ip permit
no cdp run
!
!
!
route-map backup permit 10
 match ip address 103
!
route-map primary permit 10
 match ip address 103
!
!
!
!
control-plane
!
banner login ^CC

^C
!
line con 0
 exec-timeout 0 0
 password 7 xxx
line aux 0
line vty 0 4
 access-class 99 in
 exec-timeout 0 0
 transport input ssh
!
ntp clock-period 17180511
ntp server 192.53.103.104
end

u10acfb802#
Als DNS-Server bekommen die Clients den Router zugeteilt. Was habe ich übersehen? Die Clients sollen nur über den VPN-Router ins Internet dürfen. Meine Vermutung liegt am NAT auf dem FastEthernet.


Viele Grüsse,
Dani
Share articleTeilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilen

Content-ID: 106299

Url: https://administrator.de/forum/vpn-client-hat-keinen-internetzugang-ueber-vpn-router-106299.html

Ausgedruckt am: 13.05.2025 um 15:05 Uhr

15 Kommentare
Neuester Kommentar
Goto Top
Rafiki
Rafiki 17.01.2009 um 13:22:48 Uhr
Goto Top
187. interface Vlan20
188. description * LAN - 2 *
189. ip address 192.168.178.1 255.255.255.0 secondary
190. ip address 192.168.10.1 255.255.255.0
191. ip access-group 106 in
192. ip nat inside
193. ip virtual-reassembly
194. !

237. ip local pool vpn1 192.168.11.1 192.168.11.6

Ich habe gerade keinen Router um das selber auszuprobieren und bin mir deshalb nicht sicher. Allerdings fällt mir auf das dein NAT inside anscheinend nicht die Adressen beinhaltet die für den VPN pool vorgesehen sind.

Gruß Rafiki
aqui
aqui 17.01.2009 um 13:56:12 Uhr
Goto Top
Doch hat er drin :

access-list 103 permit ip 192.168.11.0 0.0.0.7 any

Warum er das allerdings so umständlich über eine Route Map macht ist schleierhaft wo es eine banale ACL mit
ip nat inside source-list 103 interface Dialer1 overload
auch tut ???

Dani mach mal ein debug ip nat und sieh dir mal an was mit den Internet Paketen des VPNs passiert !
Der Debug sollte dir sofort sagen wo das Problem ist !!
Rafiki
Rafiki 17.01.2009 um 14:40:54 Uhr
Goto Top
@aqui
auf der PIX/ASA benötigt man den Befehl split tunnel damit die Pakete in der Firewall wieder auf das gleiche Interface hinaus dürfen. Ich habe den Eindruck das es soetwas auf dem IOS 12.4 nicht gibt oder nicht nötig ist. Kannst du das bestätigen?
aqui
aqui 18.01.2009 um 12:25:14 Uhr
Goto Top
Nicht 100% da müsste ich auch mal die Rel Notes konsultieren.... Früher musste man das de facto nicht.
Wie gesagt, einfach mal das debugging fürs NAT anwerfen, das sollte Dani eigentlich sofort auf die richtige Fährte führen face-wink
Dani
Dani 18.01.2009 um 12:28:09 Uhr
Goto Top
Hi aqui,
wenn ich "debug ip nat" mache und auf 212.75.35.3 einen Ping oder "www.google.de" im IE eingebe, sehe ich nichts im CLI.

Was seit Freitag seltsam ist: Am Freitag konnte ich per VPN-Client alle LAN Clients pingen. Nun verbinde ich mich heute wieder und kann nur zufällig einzele Clients erreichen. Sprich vom Router kann ich die Clients 192.168.10.6, 12 & 19 per Ping erreichen. Wenn ich das Ganze per VPN versuche, erreiche ich nur 192.168.10.19.

Auszug von "debug ip nat":
u10acfb802#
00:30:18: NAT*: s=192.168.10.19->80.153.65.50, d=192.168.11.4 [16187]
00:30:19: NAT*: s=192.168.10.19->80.153.65.50, d=192.168.11.4 [16200]
00:30:20: NAT*: s=192.168.10.19->80.153.65.50, d=192.168.11.4 [16214]
00:30:21: NAT*: s=192.168.10.19->80.153.65.50, d=192.168.11.4 [16227]
Seltsam oder?! Denn 192.168.10.0 ist "DirectConnect" laut Routing-Table:
u10acfb802#sh ip route
C       217.5.98.10 is directly connected, Dialer1
     80.0.0.0/32 is subnetted, 1 subnets
C       80.153.67.50 is directly connected, Dialer1
C    192.168.178.0/24 is directly connected, Vlan20
C    192.168.10.0/24 is directly connected, Vlan20
     10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
S       10.198.246.108/32 is directly connected, Vlan30
C       10.207.184.0/24 is directly connected, Vlan30
S*   0.0.0.0/0 [50/0] via 217.5.98.10

Grüsse,
Dani
aqui
aqui 18.01.2009 um 12:47:54 Uhr
Goto Top
...sehe ich nichts im CLI..."

Bist du über Telnet oder SSH drauf ?? Dann solltest du natürlich ein term mon nicht vergessen face-wink

Du musst mal sehen mit "?" ob es noch sowas wie debug ip nat events, traffic usw. gibt was den Output etwas ausführlicher macht.

Ggf. ist das auch ein Bug im IOS also mal die Release Notes ansehen !!
Dani
Dani 18.01.2009 um 13:02:18 Uhr
Goto Top
Daran habe ich natürlich gedacht, sonst würde ich sicher die obigen NAT-Zeilen nicht sehen. face-smile
Ich sehe von dem VPN-Client rein gar nix - das ist echt verrückt. Von LAN-Clients sehe ich was. *grübel*

In 1. Linie frage ich mich gerade, warum ich die Clients nicht mehr pingen kann?! Das hat schließlich schon mal funktioniert.
Zufällig habe ich mal ein Beispiel von Cisco gefunden. Leider schaffe ich es nicht, das Ganze für mich anzupassen. Was mich verwirrst ist z.b. das LoopbackInterface. Denn die IP-Adresse taucht nur am dem Interface auf.
aqui
aqui 18.01.2009 um 15:23:46 Uhr
Goto Top
Hast du mal statt mit einem separaten IP Netz fürs VPN testweise mit unnumbered und dem lokalen LAN gearbeitet ??
Wie verhält es sich da ??
Dani
Dani 18.01.2009 um 16:08:57 Uhr
Goto Top
Ähm, entschuldige die Frage: Aber macht unnumbered auf nem FaEth überhaupt sinn?!
Und zum Anderen auf welches Interface soll ich den Befehl konfigurieren und mit welchem Interface?

conf t
int ???
 ip unnumbered ???
Dani
Dani 18.01.2009 um 20:36:24 Uhr
Goto Top
Guten Abend,
zu meinem 2. Problem fällt mit gerade so auf, dass jedlicher Traffic von VPN-Clients ins LAN bzw. umgekehrt durch "NAT" läuft. Um das zu umgehen, müsste ich doch die ACL103 wie folgt erweitern:
access-list 103 remark *** Internetzugang *** 
access-list 103 permit ip host 192.168.178.149 any 
access-list 103 permit ip host 192.168.10.4 any 
access-list 103 permit ip host 192.168.10.10 any 
access-list 103 permit ip host 192.168.10.19 any 
--> access-list 103 deny 192.168.10.0 0.0.0.255 192.168.11.0 0.0.0.7 
--> access-list 103 deny 192.168.11.0 0.0.0.7 192.168.10.0 0.0.0.255
access-list 103 permit ip 192.168.11.0 0.0.0.7 any 
access-list 103 deny   icmp any any 
access-list 103 deny   ip any any
Lieg ich damit richtig?


Grüsse,
Dani
aqui
aqui 19.01.2009 um 17:22:00 Uhr
Goto Top
Hi Dani,
Vermutlich hast du das falsch verstanden. Ich meinte das das VPN per unnumbered IPs aus dem lokalen LAN nimmt wie z.B. bei dier PPTP VPN Konfig:

interface Virtual-Template1
description PPTP Dialin Interface fuer VPN Zugang
ip unnumbered Ethernet0/1 (bei dir dann vlan 20)
no keepalive
peer default ip address pool pptp_dialin
ppp encrypt mppe auto
ppp authentication pap chap ms-chap

Damit erspartst du dir das separate NAT Statement in der NAT ACL denn die VPN Clients bekommen .10er IPs. Das klappt aber nur wenn da noch was frei ist und diese IPs musst du natürlich im DHCP Server excluden...logo !!

Was noch auffällig ist: du hast eine inbound ACL an VLAN 20 mit Nummer 106 aber ohne konfigurierte Statements.
Damit gilt für diese ACL deny any any so das vom LAN nix durchkommt...Ist das so gewollt ??
Deine 103er ACL hat auch einen Fehler. bedenke das bei Cisco ACL immer gilt: "First match wins" und danach nichts mehr ausgeführt wird. In sofern stimmt deine Reihenfolge auch in der korrigierten Version nicht !!
Richtig ist es so:

access-list 103 remark * Internetzugang *
access-list 103 permit ip host 192.168.178.149 any
access-list 103 permit ip host 192.168.10.4 any
access-list 103 permit ip host 192.168.10.10 any
access-list 103 permit ip host 192.168.10.19 any
access-list 103 permit ip 192.168.11.0 0.0.0.7 any
access-list 103 deny 192.168.10.0 0.0.0.255 192.168.11.0 0.0.0.7
access-list 103 deny 192.168.11.0 0.0.0.7 192.168.10.0 0.0.0.255
access-list 103 deny icmp any any
access-list 103 deny ip any any

Und nochwas:
Dein Interface Virtual-Template1 korrespondiert ja zum VPN Netzwerk. Hier fehlt ip nat inside damit es über den NAT Prozess ins Internet klappt.
Ferner hast du hier einen IP Pool PPPoE konfiguriert den es gar nicht gibt ! face-sad
Richtig wäre laut deiner Konfig
peer default ip address dhcp-pool vpn1

Dein NAT über die Route Maps ist auch unglücklich, das kann man, wie oben bereits bemerkt, besser über ACLs lösen....
Dani
Dani 21.01.2009 um 13:03:06 Uhr
Goto Top
Hi aqui,
das bisherige "VirtualTemplate1" wird benötigt für den DSLer. Du erinnerst dich noch an das Thema mit den Fehler beim Booten des Routers. Das in dere PPPoE Konfiguration ein L2TP aufgetaucht ist - damit habe ich das Problem doch gelöst.

Was noch auffällig ist: du hast eine inbound ACL an VLAN 20 mit Nummer 106 aber ohne konfigurierte Statements.
Damit gilt für diese ACL deny any any so das vom LAN nix durchkommt...Ist das so gewollt ??
Das ist im Moment so gewollt, da dort später über ein 2. VLAN noch ein extra LAN dazu kommt und dann über die ACL der Zugriff geregelt wird. Die Clients kommen ja trotzdem ins Internet.

Aber wenn ich deine ACL103 nun einspiele, dann werden die 192.168.11.0 immer über NAT gehen?!

Ferner hast du hier einen IP Pool PPPoE konfiguriert den es gar nicht gibt !
Richtig wäre laut deiner Konfig
Die Frage ist, ob ich die Zeile dort überhaupt brauche...muss ich mal testen.


Grüsse,
Dani
aqui
aqui 22.01.2009 um 12:53:05 Uhr
Goto Top
...Aber wenn ich deine ACL103 nun einspiele, dann werden die 192.168.11.0 immer über NAT gehen?!...

Nein, nur wenn sie über ein Interface mit ip nat outside gehen müssen. Bei aller anderen Kommunikation werden sie nicht genattet...

Kannst du mit debug ip nat auch genau sehen face-wink
Dani
Dani 30.01.2009 um 17:20:14 Uhr
Goto Top
Hi aqui,
so...ich hab's nun hinbekommen. Der Trick dabei ist, über eine Policy-Map das Interface für die Clients zu definieren. So sieht die Konfiguration nun aus:
test#sh run
Building configuration...
!
version 12.4
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname test
!
boot-start-marker
boot-end-marker
!
enable secret 5 test
!
aaa new-model
!
!
aaa authentication login clientauth local
aaa authorization network groupauthor local
!
!
aaa session-id common
clock summer-time MEST recurring last Sun Mar 2:00 last Sun Oct 2:00
!
!
dot11 syslog
no ip source-route
!
!
ip cef
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.10.1 192.168.10.20
ip dhcp excluded-address 192.168.50.1
!
ip dhcp pool VLAN20
   network 192.168.10.0 255.255.255.0
   default-router 192.168.10.1
   dns-server 192.168.10.1
   netbios-node-type h-node
!
ip dhcp pool VLAN50
   network 192.168.50.0 255.255.255.0
   default-router 192.168.50.1
   dns-server 192.168.50.1
   netbios-node-type h-node
!
!
no ip bootp server
ip domain name test
ip name-server 217.237.148.70
ip name-server 217.237.149.142
!
multilink bundle-name authenticated
vpdn enable
!
isdn switch-type basic-net3
!
!
!
spanning-tree portfast bpduguard
username admin password 7 test
!
!
crypto isakmp policy 10
 encr 3des
 authentication pre-share
 group 2
crypto isakmp fragmentation
!
crypto isakmp client configuration group admins
 key hausaufkopf
 dns 192.168.10.1
 domain test.local
 pool vpn1
 banner ^C
Any unauthorized access is strictly prohibited and will be
prosecuted to the fill extent of applicable and international law.     ^C
crypto isakmp profile VPNclient
   description VPN clients profile
   match identity group admins
   client authentication list clientauth
   isakmp authorization list groupauthor
   client configuration address respond
!
!
crypto ipsec transform-set myset esp-3des esp-sha-hmac
!
crypto dynamic-map dynmap 5
 set transform-set myset
 set isakmp-profile VPNclient
 reverse-route
!
!
crypto map mymap 10 ipsec-isakmp dynamic dynmap
!
archive
 log config
  hidekeys
!
!
ip ssh version 2
!
!
bba-group pppoe global
 virtual-template 1
!
!
interface Loopback0
 ip address 192.168.5.1 255.255.255.255
 ip nat inside
 ip virtual-reassembly
!
interface FastEthernet0
 description *** Physical WAN 0 Interface ***
 no ip address
 duplex auto
 speed auto
 pppoe enable group global
 pppoe-client dial-pool-number 1
 no cdp enable
!
interface FastEthernet1
 description *** Physical WAN 1 Interface ***
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface BRI0
 description *** Physical BRI (ISDN) Interface ***
 bandwidth 128
 no ip address
 encapsulation ppp
 shutdown
 dialer pool-member 2
 isdn switch-type basic-net3
 isdn point-to-point-setup
 no fair-queue
 no cdp enable
 ppp authentication pap callin
!
interface FastEthernet2
 description *** VLAN10 ***
 switchport access vlan 10
 shutdown
!
interface FastEthernet3
 description *** VLAN20 ***
 switchport access vlan 20
!
interface FastEthernet4
 description *** VLAN30 ***
 switchport access vlan 30
!
interface FastEthernet5
 description *** VLAN1 ***
 switchport access vlan 40
!
interface FastEthernet6
 description *** VLAN1 ***
 switchport access vlan 50
!
interface FastEthernet7
 description *** VLAN1 ***
 shutdown
!
interface FastEthernet8
 description *** VLAN1 ***
 shutdown
!
interface FastEthernet9
 description *** VLAN1 ***
!
interface Virtual-Template1
 mtu 1492
 no ip address
 peer default ip address dhcp-pool PPPoE
 ppp authentication pap
!
interface Vlan1
 description *** Default - VLAN ***
 no ip address
 ip virtual-reassembly
!
interface Vlan10
 description *** LAN -  ***
 ip address 192.168.100.1 255.255.255.252
 ip access-group 105 in
!
interface Vlan20
 description *** LAN -  ***
 ip address 192.168.10.1 255.255.255.0
 ip access-group 106 in
 ip nat inside
 ip virtual-reassembly
!
interface Vlan30
 description *** LAN -  ***
 ip address 10.207.184.2 255.255.255.0
 ip access-group 104 in
!
interface Vlan40
 ip address 192.168.178.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
!
interface Vlan50
 ip address 192.168.50.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
!
interface Dialer1
 description *** Primaer  ***
 ip address negotiated
 ip mtu 1492
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 ip tcp adjust-mss 1452
 ip policy route-map VPN-Client
 no ip mroute-cache
 dialer pool 1
 dialer-group 1
 no cdp enable
 ppp authentication chap callin
 ppp chap hostname feste-ip5/xxxx
 ppp chap password 7 password
 ppp ipcp dns request
 crypto map mymap
!
interface Dialer2
 description *** Backup ***
 ip address negotiated
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 dialer pool 2
 dialer idle-timeout 60
 dialer string 0191011
 dialer load-threshold 150 either
 dialer watch-group 1
 dialer-group 2
 compress mppc
 no cdp enable
 ppp authentication pap callin
 ppp pap sent-username xxx password 7 password
 ppp ipcp dns request
 ppp multilink
!
ip local pool vpn1 192.168.11.1 192.168.11.6
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 xxx.xxx.xxx.xxx 50
ip route 0.0.0.0 0.0.0.0 Dialer2 80
ip route 10.198.246.108 255.255.255.255 Vlan30
ip route 192.168.11.0 255.255.255.0 Dialer1
!
!
no ip http server
no ip http secure-server
ip dns server
ip nat inside source route-map primary interface Dialer1 overload
!
access-list 99 permit 10.198.246.108
access-list 99 remark *** SSH Zugriff auf Router ***
access-list 99 permit 10.207.184.16
access-list 99 permit 10.207.184.152
access-list 99 permit 10.207.184.151
access-list 99 permit 10.207.184.134
access-list 99 permit 192.168.11.0 0.0.0.7
access-list 99 deny   any
access-list 103 remark *** Internetzugang ***
access-list 103 deny   icmp any 192.168.11.0 0.0.0.7
access-list 103 permit icmp 192.168.5.0 0.0.0.255 any
access-list 103 permit icmp host 192.168.10.4 any
access-list 103 permit icmp host 192.168.10.10 any
access-list 103 permit icmp host 192.168.10.19 any
access-list 103 permit icmp 192.168.11.0 0.0.0.7 any
access-list 103 permit icmp 192.168.50.0 0.0.0.255 any
access-list 103 permit icmp host 192.168.178.149 any
access-list 103 deny   ip any 192.168.11.0 0.0.0.7
access-list 103 permit ip 192.168.5.0 0.0.0.255 any
access-list 103 permit ip host 192.168.10.4 any
access-list 103 permit ip host 192.168.10.10 any
access-list 103 permit ip host 192.168.10.19 any
access-list 103 permit ip 192.168.11.0 0.0.0.7 any
access-list 103 permit ip 192.168.50.0 0.0.0.255 any
access-list 103 permit ip host 192.168.178.149 any
access-list 103 deny   icmp any any
access-list 103 deny   ip any any
access-list 104 remark *** Zugang -Netzwerk ***
access-list 105 remark *** Zugang -Netzwerk ***
access-list 106 remark *** Zugang -Netzwerk ***
access-list 107 remark *** VPN - Clients ***
access-list 107 permit ip 192.168.11.0 0.0.0.7 any
dialer watch-list 1 ip 0.0.0.0 0.0.0.0
dialer-list 1 protocol ip permit
no cdp run
!
!
!
route-map backup permit 10
 match ip address 103
!
route-map VPN-Client permit 10
 match ip address 107
 set interface Loopback0
!
route-map primary permit 10
 match ip address 103
!
!
!
!
control-plane
!
!
line con 0
 exec-timeout 0 0
 password 7 password
line aux 0
line vty 0 4
 access-class 99 in
 exec-timeout 0 0
 transport input ssh
!
ntp clock-period 17180501
end

test#
VPN-Client sieht nun alle Ports und kommt über den Router ins Internet! Juhhuuu

Leider habe ich daraus noch ein Problem. Ich musste aus diesen Zeilen
ip nat inside source route-map backup interface Dialer2 overload
ip nat inside source route-map primary interface Dialer1 overload
diese machen
ip nat inside source route-map primary interface Dialer1 overload
Somit habe ich keine Backupfunktion mehr, was nicht so gut ist. face-sad


Grüße,
Dani
Dani
Dani 30.01.2009 um 19:24:18 Uhr
Goto Top
So, klar...aqui hat mich doch schon draufhingewießen. Ich habe die Route-Maps ersetzt und siehe da, es geht.
ip nat inside source 102 interface d2 overload
ip nat inside source 103 interface d1 overload
Durch die getrennten ACL's funktioniert das Internet an den VPN-Clients weiterhin und ich habe mein Backup wieder.

Hier noch der Link für die Cisco - Dokumentation.


Grüße,
Dani
gelöstFrageNetzwerkeRouter, Routing
Mehr von DaniDaniAlternative zu git cherry-pick?Dani - 2 KommentareDaniPasswordless RDP Authentication with Smart Cards (FIDO2 Security Key)Dani - 2 KommentareDaniZoom im Benutzerprofil zurücksetzenDani - 6 KommentareDaniOPNsense - Wo finde ich die IPv6 Präfix Länge?Dani - 9 Kommentare
Heiß diskutiert
MysticFoxDEWindows 11 - Unerträgliche Ressourcenverschwendung - grotesker RAM und CPU VerbrauchMysticFoxDE - 55 KommentareMondragorWindows Server 2025 friert komplett nach Reboot und Zugriff auf iSCSI-Target einMondragor - 30 KommentareCCHEK33Kein Remote Zugriff mit meiner IP AdresseCCHEK33 - 28 KommentareSchottenrockSchlankster Server für MS-DomäneSchottenrock - 28 KommentareAbstrackterSystemimperatorRealtek 2.5GbE LAN chip (2.5 Gbps-1 Gbps 100 Mbps) hängt bei 10mbitsAbstrackterSystemimperator - 25 KommentareitebobPagefile.sys und hiberfil.sys für die Verkleinerung der Partition löschenitebob - 25 KommentareHolgerLuchsEmpfehlung: Besserer WLAN-AC für VereinHolgerLuchs - 25 KommentarejohapauNameserver von selbst verwaltet auf kommerziellen Anbieter umstellen?johapau - 24 KommentareJudgelgOneDrive FreigabeJudgelg - 21 KommentarePMackeWindows - Automatische Passworteingabe in Anmeldebildschirm und UAC PromptPMacke - 20 KommentareMysticFoxDEWindows 11 24H2 - Der neue Defender HorrorMysticFoxDE - 20 KommentarecoltseaversExchange 2019 auf gekauftes Zertifikat umstellencoltseavers - 18 KommentaremarkaurelTP-Link Routerkonfigurationmarkaurel - 16 Kommentare