Cisco 1700 dynamischer Tunnel auf statischen Tunnel

iphpbb - Forenarchiv: Archivbeitrag des Forums Achtung !!!!!!!!!!!!!

Verfügbare Informationen zu "Cisco 1700 dynamischer Tunnel auf statischen Tunnel"

Qualität des Beitrags:
Beteiligte Poster: krischeu - crisirius
Forum: Achtung !!!!!!!!!!!!!
Forenbeschreibung: Umzug auf www.cisco-forum.net !!!!!
aus dem Unterforum: C1700 Reihe
Antworten: 6
Forum gestartet am: Mittwoch 02.02.2005
Sprache: deutsch
Link zum Originaltopic: Cisco 1700 dynamischer Tunnel auf statischen Tunnel
Letzte Antwort: vor 3 Jahren, 4 Monaten, 16 Tagen, 12 Stunden, 37 Minuten

Alle Beiträge und Antworten

krischeu - 21.04.2005, 09:44
Cisco 1700 dynamischer Tunnel auf statischen Tunnel
Hallo NG,

großes Problem mit Cisco 1751.

2 Filialen mit statischer IP-Adresse und 1 Filiale (neu) mit dynamischer IP-Adresse.

Die Filiale mit dynamischer IP-Adresse hatte vorher eine statische IP-Adresse und die Tunnels funktionierten. Nach wechsel des Providers funktioniert zwar alles mit DSL (Internet+Mail) aber die Tunnels bauen sich nicht auf. Denen fehlt wahrscheinlich ein definierter Start/Endpunkt.

Kann man doch irgendwie mit DynDns lösen, oder?

Hat jemand vielleicht einen heißen Tip?

Wäre echt wichtig.

Danke

crisirius - 21.04.2005, 18:07

hallo Krischeu,

erst mal hallo im Forum.

Der schnellste weg ist es im Ciscoconfigmaker deine Koniguration nachzubilden.

Du brauchst unbedingt 1 statische IP die hast du ja soweit ich das verstanden habe.

So oder änlich sollte dein Config für die außenstelle aussehen:

! Internet Key Exchange (IKE)
!
crypto isakmp enable
crypto isakmp identity address
!
crypto isakmp policy 1
encryption des
hash md5
authentication pre-share
group 1
lifetime 86400
crypto isakmp key eh address 62.15.0.1
!
! IPSec
!
crypto ipsec transform-set cm-transformset-1 ah-md5-hmac esp-des esp-md5-hmac
crypto map cm-cryptomap local-address Dialer 1
!
crypto map cm-cryptomap 1 ipsec-isakmp
match address 100
set peer 62.15.0.1
set transform-set cm-transformset-1
set security-association lifetime seconds 3600
set security-association lifetime kilobytes 46080

Die IP 62.15.0.1 sollte naturlich deine in der Hauptfiliale sein und den key mußt du natürlich auch ändern.

Configmaker:
http://www.cisco.com/en/US/products/sw/netmgtsw/ps754/

Grüße

Crisirius

Außer einer kann die Befehle auswndig ???
Hilfe ist hier im Board erlaubt :-)

crisirius - 21.04.2005, 18:10

Hier noch die Config von der HGS.

! Internet Key Exchange (IKE)
!
crypto isakmp enable
crypto isakmp identity address
!
crypto isakmp policy 1
encryption des
hash md5
authentication pre-share
group 1
lifetime 86400
!
! IPSec
!
crypto ipsec transform-set cm-transformset-1 ah-md5-hmac esp-des esp-md5-hmac
crypto map cm-cryptomap local-address Dialer 1
!
crypto map cm-cryptomap 1 ipsec-isakmp
match address 100
set transform-set cm-transformset-1
set security-association lifetime seconds 3600
set security-association lifetime kilobytes 4608000

Grüße

Crisirius

krischeu - 22.04.2005, 08:35
aktuelle Konfiguration
Internet funktioniert, aber die Tunnels bauen sich nicht auf.

Die Gegenseite benötigt wohl noch den Austrag aus der accessliste und den Eintrag:
cryptoisakmp key asdfasdf address 0.0.0.0 0.0.0.0

Kann das sein?

----------------------------
----------------------------
----------------------------

vpdn-group 1
request-dialin
protocol pppoe
!
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
!
crypto isakmp policy 10
encr 3des
authentication pre-share
crypto isakmp key sharedkey1111 address 196.31.34.62
!
!
crypto ipsec transform-set cry esp-3des esp-sha-hmac
crypto ipsec transform-set cm-transformset-1 ah-sha-hmac esp-3des
!
crypto map cm-cryptomap 1 ipsec-isakmp
set peer 196.31.34.62
set transform-set cry
match address 100
!
!
!
!
interface Tunnel0
description VPN Tunnel nach Frankfurt
ip unnumbered FastEthernet0/0
tunnel source Dialer1
tunnel destination 196.31.34.62
tunnel mode ipip
!
interface Tunnel1
description VPN Tunnel nach Muenchen
ip unnumbered FastEthernet0/0
tunnel source Dialer1
tunnel destination 196.31.64.30
tunnel mode ipip
!
interface Ethernet0/0
description Link nach Alzenau
no ip address
ip nat outside
half-duplex
pppoe enable
pppoe-client dial-pool-number 1
crypto map cm-cryptomap
!
interface FastEthernet0/0
description lokales LAN fuer ea6 in Koeln
ip address 192.168.2.221 255.255.255.0
ip nat inside
no ip route-cache
no ip mroute-cache
speed auto
!
interface Dialer1
description T-DSL
ip address negotiated
ip mtu 1492
ip nat outside
encapsulation ppp
dialer pool 1
dialer idle-timeout 900
dialer string 0191011
dialer hold-queue 10
dialer-group 1
no cdp enable
ppp authentication pap callin
ppp pap sent-username sdfgsdfg@netcologne.de password 7 0257sdfgsdgsdgfB
!
router rip
version 2
redistribute static
passive-interface Dialer1
network 192.168.2.0
no auto-summary
!
ip nat inside source list 1 interface Dialer1 overload
ip nat inside source list 170 interface Ethernet0/0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Ethernet0/0 217.110.14.209
ip route 0.0.0.0 0.0.0.0 Dialer1
no ip http server
!
!
access-list 1 permit 192.168.2.0 0.0.0.255
access-list 1 permit 192.168.0.0 0.0.0.255
access-list 9 permit 195.30.0.0 0.0.1.255
access-list 9 permit 192.168.2.0 0.0.0.255
access-list 100 permit ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 100 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 100 permit ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255
access-list 101 deny udp any any range netbios-ns netbios-dgm
access-list 101 deny tcp any any eq 139
access-list 101 deny tcp any any eq telnet
access-list 101 permit ip any any
access-list 102 deny tcp any any eq telnet
access-list 102 permit ip any any
access-list 170 deny ip any 192.168.0.0 0.0.0.255
access-list 170 deny ip any 192.168.1.0 0.0.0.255
access-list 170 deny ip any 192.168.3.0 0.0.0.255
access-list 170 deny esp any any
access-list 170 deny ahp any any
access-list 170 permit ip 192.168.2.0 0.0.0.255 any
dialer-list 1 protocol ip permit
!
!
line con 0
exec-timeout 0 0
password 7 sdfgsdfg
login
line aux 0
line vty 0 4
exec-timeout 0 0
password 7 0sdfgsdfg01
login
!
end

crisirius - 22.04.2005, 16:41

Hi Krischeu,

habe mal schnell die Config zusammengestellt.

Fur HGS:

service timestamps debug uptime
service timestamps log uptime
service password-encryption
no service tcp-small-servers
no service udp-small-servers
!
hostname Cisco1751_1
!
enable password eh
!
no ip name-server
!
ip subnet-zero
no ip domain-lookup
ip routing
vpdn enable
no vpdn logging
!
vpdn-group pppoe
request-dialin
protocol pppoe
!
! Internet Key Exchange (IKE)
!
crypto isakmp enable
crypto isakmp identity address
!
crypto isakmp policy 1
encryption des
hash md5
authentication pre-share
group 1
lifetime 86400
!
! IPSec
!
crypto ipsec transform-set cm-transformset-1 ah-md5-hmac esp-des esp-md5-hmac
crypto map cm-cryptomap local-address Dialer 1
!
crypto map cm-cryptomap 1 ipsec-isakmp
match address 100
set transform-set cm-transformset-1
set security-association lifetime seconds 3600
set security-association lifetime kilobytes 4608000
!
interface Dialer 1
description connected to Internet
crypto map cm-cryptomap
ip address 196.31.34.62 255.255.255.252
ip mtu 1492
ip nat outside
no ip route-cache
encapsulation ppp
dialer-group 2
dialer pool 1
ppp authentication chap pap callin
ppp chap hostname eh
ppp chap password eh
ppp pap sent-username eh password eh
!
interface FastEthernet 0/0
no description
no ip address
shutdown
!
interface Ethernet 0/0
no shutdown
description connected to Internet
crypto map cm-cryptomap
no ip address
no ip route-cache
no keepalive
pppoe enable
pppoe-client dial-pool-number 1
!
! Access Control List 1
!
no access-list 1
access-list 1 deny any
!
! Dialer Control List 2
!
no dialer-list 2
dialer-list 2 protocol ip permit
!
! Dynamic NAT
!
ip nat translation timeout 86400
ip nat translation tcp-timeout 86400
ip nat translation udp-timeout 300
ip nat translation dns-timeout 60
ip nat translation finrst-timeout 60
ip nat inside source list 1 interface Dialer 1 overload
!
router rip
version 2
passive-interface Dialer 1
no auto-summary
!
!
ip classless
!
! IP Static Routes
ip route 0.0.0.0 0.0.0.0 Dialer 1
no ip http server
snmp-server community public RO
no snmp-server location
no snmp-server contact
!
line console 0
exec-timeout 0 0
password eh
login
!
line vty 0 4
password eh
login
!
end

Für Zweigniederlassung:

service timestamps debug uptime
service timestamps log uptime
service password-encryption
no service tcp-small-servers
no service udp-small-servers
!
hostname Cisco1751
!
enable password eh
!
no ip name-server
!
ip subnet-zero
no ip domain-lookup
ip routing
vpdn enable
no vpdn logging
!
vpdn-group pppoe
request-dialin
protocol pppoe
!
! Internet Key Exchange (IKE)
!
crypto isakmp enable
crypto isakmp identity address
!
crypto isakmp policy 1
encryption des
hash md5
authentication pre-share
group 1
lifetime 86400
crypto isakmp key asdfasdf address 196.31.34.62
!
! IPSec
!
crypto ipsec transform-set cm-transformset-1 ah-md5-hmac esp-des esp-md5-hmac
crypto map cm-cryptomap local-address Dialer 1
!
crypto map cm-cryptomap 1 ipsec-isakmp
match address 100
set peer 196.31.34.62
set transform-set cm-transformset-1
set security-association lifetime seconds 3600
set security-association lifetime kilobytes 4608000
!
interface Dialer 1
description connected to Internet
crypto map cm-cryptomap
ip address negotiated
ip mtu 1492
ip nat outside
no ip route-cache
encapsulation ppp
dialer-group 2
dialer pool 1
ppp authentication chap pap callin
ppp chap hostname eh
ppp chap password eh
ppp pap sent-username eh password eh
!
interface FastEthernet 0/0
no description
no ip address
shutdown
!
interface Ethernet 0/0
no shutdown
description connected to Internet
crypto map cm-cryptomap
no ip address
no ip route-cache
no keepalive
pppoe enable
pppoe-client dial-pool-number 1
!
! Access Control List 1
!
no access-list 1
access-list 1 deny any
!
! Dialer Control List 2
!
no dialer-list 2
dialer-list 2 protocol ip permit
!
! Dynamic NAT
!
ip nat translation timeout 86400
ip nat translation tcp-timeout 86400
ip nat translation udp-timeout 300
ip nat translation dns-timeout 60
ip nat translation finrst-timeout 60
ip nat inside source list 1 interface Dialer 1 overload
!
router rip
version 2
passive-interface Dialer 1
no auto-summary
!
!
ip classless
!
! IP Static Routes
ip route 0.0.0.0 0.0.0.0 Dialer 1
no ip http server
snmp-server community public RO
no snmp-server location
no snmp-server contact
!
line console 0
exec-timeout 0 0
password eh
login
!
line vty 0 4
password eh
login
!
end

Hoffe die Hilft dir ein bischen weiter um deinProblem ein zu grenzen.
Wir haben die so bei ums im einsatz.

Grüße

Crisirius :lol:

krischeu - 22.04.2005, 16:56
Funktioniert nun
Super,

die config hab ich nicht ganz übernommen.
Aber durch Inspiration gelöst - jetzt gehts.
Dankeschön (':D')
--------------
1.) Crypto-Map zwar konfiguriert, aber nicht aufs
"interface dialer1" gebunden
2.) das NAT bei der Umstellung auf PPPoE neu konfiguriert, und hat jetzt die "access-list 1" referenziert, statt die "170"
3.) Umstellung der statischen Crypto-Map in Frankfurt auf dynamic-map
4.) ebay, und diverse andere Seiten gingen nicht ...
TCP-MSS umgestellt, und die noch konfigurierten
"ipip"-Tunnels auf "shutdown" gestellt :D

Mit folgendem Code, können Sie den Beitrag ganz bequem auf ihrer Homepage verlinken