Verfügbare Informationen zu "Cisco 1700 dynamischer Tunnel auf statischen Tunnel"
Qualität des Beitrags: Beteiligte Poster: krischeu - crisirius Forum: Achtung !!!!!!!!!!!!! Forenbeschreibung: Umzug auf www.cisco-forum.net !!!!! aus dem Unterforum: C1700 Reihe Antworten: 6 Forum gestartet am: Mittwoch 02.02.2005 Sprache: deutsch Link zum Originaltopic: Cisco 1700 dynamischer Tunnel auf statischen Tunnel Letzte Antwort: vor 19 Jahren, 1 Tag, 23 Stunden, 39 Minuten
Alle Beiträge und Antworten zu "Cisco 1700 dynamischer Tunnel auf statischen Tunnel"
Re: Cisco 1700 dynamischer Tunnel auf statischen Tunnel
krischeu - 21.04.2005, 09:44Cisco 1700 dynamischer Tunnel auf statischen Tunnel
Hallo NG,
großes Problem mit Cisco 1751.
2 Filialen mit statischer IP-Adresse und 1 Filiale (neu) mit dynamischer IP-Adresse.
Die Filiale mit dynamischer IP-Adresse hatte vorher eine statische IP-Adresse und die Tunnels funktionierten. Nach wechsel des Providers funktioniert zwar alles mit DSL (Internet+Mail) aber die Tunnels bauen sich nicht auf. Denen fehlt wahrscheinlich ein definierter Start/Endpunkt.
Kann man doch irgendwie mit DynDns lösen, oder?
Hat jemand vielleicht einen heißen Tip?
Wäre echt wichtig.
Danke
Re: Cisco 1700 dynamischer Tunnel auf statischen Tunnel
crisirius - 21.04.2005, 18:07
hallo Krischeu,
erst mal hallo im Forum.
Der schnellste weg ist es im Ciscoconfigmaker deine Koniguration nachzubilden.
Du brauchst unbedingt 1 statische IP die hast du ja soweit ich das verstanden habe.
So oder änlich sollte dein Config für die außenstelle aussehen:
! Internet Key Exchange (IKE)
!
crypto isakmp enable
crypto isakmp identity address
!
crypto isakmp policy 1
encryption des
hash md5
authentication pre-share
group 1
lifetime 86400
crypto isakmp key eh address 62.15.0.1
!
! IPSec
!
crypto ipsec transform-set cm-transformset-1 ah-md5-hmac esp-des esp-md5-hmac
crypto map cm-cryptomap local-address Dialer 1
!
crypto map cm-cryptomap 1 ipsec-isakmp
match address 100
set peer 62.15.0.1
set transform-set cm-transformset-1
set security-association lifetime seconds 3600
set security-association lifetime kilobytes 46080
Die IP 62.15.0.1 sollte naturlich deine in der Hauptfiliale sein und den key mußt du natürlich auch ändern.
Configmaker:
http://www.cisco.com/en/US/products/sw/netmgtsw/ps754/
Grüße
Crisirius
Außer einer kann die Befehle auswndig ???
Hilfe ist hier im Board erlaubt :-)
Re: Cisco 1700 dynamischer Tunnel auf statischen Tunnel
crisirius - 21.04.2005, 18:10
Hier noch die Config von der HGS.
! Internet Key Exchange (IKE)
!
crypto isakmp enable
crypto isakmp identity address
!
crypto isakmp policy 1
encryption des
hash md5
authentication pre-share
group 1
lifetime 86400
!
! IPSec
!
crypto ipsec transform-set cm-transformset-1 ah-md5-hmac esp-des esp-md5-hmac
crypto map cm-cryptomap local-address Dialer 1
!
crypto map cm-cryptomap 1 ipsec-isakmp
match address 100
set transform-set cm-transformset-1
set security-association lifetime seconds 3600
set security-association lifetime kilobytes 4608000
Grüße
Crisirius
Re: Cisco 1700 dynamischer Tunnel auf statischen Tunnel
krischeu - 22.04.2005, 08:35aktuelle Konfiguration
Internet funktioniert, aber die Tunnels bauen sich nicht auf.
Die Gegenseite benötigt wohl noch den Austrag aus der accessliste und den Eintrag:
cryptoisakmp key asdfasdf address 0.0.0.0 0.0.0.0
Kann das sein?
----------------------------
----------------------------
----------------------------
vpdn-group 1
request-dialin
protocol pppoe
!
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
!
crypto isakmp policy 10
encr 3des
authentication pre-share
crypto isakmp key sharedkey1111 address 196.31.34.62
!
!
crypto ipsec transform-set cry esp-3des esp-sha-hmac
crypto ipsec transform-set cm-transformset-1 ah-sha-hmac esp-3des
!
crypto map cm-cryptomap 1 ipsec-isakmp
set peer 196.31.34.62
set transform-set cry
match address 100
!
!
!
!
interface Tunnel0
description VPN Tunnel nach Frankfurt
ip unnumbered FastEthernet0/0
tunnel source Dialer1
tunnel destination 196.31.34.62
tunnel mode ipip
!
interface Tunnel1
description VPN Tunnel nach Muenchen
ip unnumbered FastEthernet0/0
tunnel source Dialer1
tunnel destination 196.31.64.30
tunnel mode ipip
!
interface Ethernet0/0
description Link nach Alzenau
no ip address
ip nat outside
half-duplex
pppoe enable
pppoe-client dial-pool-number 1
crypto map cm-cryptomap
!
interface FastEthernet0/0
description lokales LAN fuer ea6 in Koeln
ip address 192.168.2.221 255.255.255.0
ip nat inside
no ip route-cache
no ip mroute-cache
speed auto
!
interface Dialer1
description T-DSL
ip address negotiated
ip mtu 1492
ip nat outside
encapsulation ppp
dialer pool 1
dialer idle-timeout 900
dialer string 0191011
dialer hold-queue 10
dialer-group 1
no cdp enable
ppp authentication pap callin
ppp pap sent-username sdfgsdfg@netcologne.de password 7 0257sdfgsdgsdgfB
!
router rip
version 2
redistribute static
passive-interface Dialer1
network 192.168.2.0
no auto-summary
!
ip nat inside source list 1 interface Dialer1 overload
ip nat inside source list 170 interface Ethernet0/0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Ethernet0/0 217.110.14.209
ip route 0.0.0.0 0.0.0.0 Dialer1
no ip http server
!
!
access-list 1 permit 192.168.2.0 0.0.0.255
access-list 1 permit 192.168.0.0 0.0.0.255
access-list 9 permit 195.30.0.0 0.0.1.255
access-list 9 permit 192.168.2.0 0.0.0.255
access-list 100 permit ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 100 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 100 permit ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255
access-list 101 deny udp any any range netbios-ns netbios-dgm
access-list 101 deny tcp any any eq 139
access-list 101 deny tcp any any eq telnet
access-list 101 permit ip any any
access-list 102 deny tcp any any eq telnet
access-list 102 permit ip any any
access-list 170 deny ip any 192.168.0.0 0.0.0.255
access-list 170 deny ip any 192.168.1.0 0.0.0.255
access-list 170 deny ip any 192.168.3.0 0.0.0.255
access-list 170 deny esp any any
access-list 170 deny ahp any any
access-list 170 permit ip 192.168.2.0 0.0.0.255 any
dialer-list 1 protocol ip permit
!
!
line con 0
exec-timeout 0 0
password 7 sdfgsdfg
login
line aux 0
line vty 0 4
exec-timeout 0 0
password 7 0sdfgsdfg01
login
!
end
Re: Cisco 1700 dynamischer Tunnel auf statischen Tunnel
crisirius - 22.04.2005, 16:41
Hi Krischeu,
habe mal schnell die Config zusammengestellt.
Fur HGS:
service timestamps debug uptime
service timestamps log uptime
service password-encryption
no service tcp-small-servers
no service udp-small-servers
!
hostname Cisco1751_1
!
enable password eh
!
no ip name-server
!
ip subnet-zero
no ip domain-lookup
ip routing
vpdn enable
no vpdn logging
!
vpdn-group pppoe
request-dialin
protocol pppoe
!
! Internet Key Exchange (IKE)
!
crypto isakmp enable
crypto isakmp identity address
!
crypto isakmp policy 1
encryption des
hash md5
authentication pre-share
group 1
lifetime 86400
!
! IPSec
!
crypto ipsec transform-set cm-transformset-1 ah-md5-hmac esp-des esp-md5-hmac
crypto map cm-cryptomap local-address Dialer 1
!
crypto map cm-cryptomap 1 ipsec-isakmp
match address 100
set transform-set cm-transformset-1
set security-association lifetime seconds 3600
set security-association lifetime kilobytes 4608000
!
interface Dialer 1
description connected to Internet
crypto map cm-cryptomap
ip address 196.31.34.62 255.255.255.252
ip mtu 1492
ip nat outside
no ip route-cache
encapsulation ppp
dialer-group 2
dialer pool 1
ppp authentication chap pap callin
ppp chap hostname eh
ppp chap password eh
ppp pap sent-username eh password eh
!
interface FastEthernet 0/0
no description
no ip address
shutdown
!
interface Ethernet 0/0
no shutdown
description connected to Internet
crypto map cm-cryptomap
no ip address
no ip route-cache
no keepalive
pppoe enable
pppoe-client dial-pool-number 1
!
! Access Control List 1
!
no access-list 1
access-list 1 deny any
!
! Dialer Control List 2
!
no dialer-list 2
dialer-list 2 protocol ip permit
!
! Dynamic NAT
!
ip nat translation timeout 86400
ip nat translation tcp-timeout 86400
ip nat translation udp-timeout 300
ip nat translation dns-timeout 60
ip nat translation finrst-timeout 60
ip nat inside source list 1 interface Dialer 1 overload
!
router rip
version 2
passive-interface Dialer 1
no auto-summary
!
!
ip classless
!
! IP Static Routes
ip route 0.0.0.0 0.0.0.0 Dialer 1
no ip http server
snmp-server community public RO
no snmp-server location
no snmp-server contact
!
line console 0
exec-timeout 0 0
password eh
login
!
line vty 0 4
password eh
login
!
end
Für Zweigniederlassung:
service timestamps debug uptime
service timestamps log uptime
service password-encryption
no service tcp-small-servers
no service udp-small-servers
!
hostname Cisco1751
!
enable password eh
!
no ip name-server
!
ip subnet-zero
no ip domain-lookup
ip routing
vpdn enable
no vpdn logging
!
vpdn-group pppoe
request-dialin
protocol pppoe
!
! Internet Key Exchange (IKE)
!
crypto isakmp enable
crypto isakmp identity address
!
crypto isakmp policy 1
encryption des
hash md5
authentication pre-share
group 1
lifetime 86400
crypto isakmp key asdfasdf address 196.31.34.62
!
! IPSec
!
crypto ipsec transform-set cm-transformset-1 ah-md5-hmac esp-des esp-md5-hmac
crypto map cm-cryptomap local-address Dialer 1
!
crypto map cm-cryptomap 1 ipsec-isakmp
match address 100
set peer 196.31.34.62
set transform-set cm-transformset-1
set security-association lifetime seconds 3600
set security-association lifetime kilobytes 4608000
!
interface Dialer 1
description connected to Internet
crypto map cm-cryptomap
ip address negotiated
ip mtu 1492
ip nat outside
no ip route-cache
encapsulation ppp
dialer-group 2
dialer pool 1
ppp authentication chap pap callin
ppp chap hostname eh
ppp chap password eh
ppp pap sent-username eh password eh
!
interface FastEthernet 0/0
no description
no ip address
shutdown
!
interface Ethernet 0/0
no shutdown
description connected to Internet
crypto map cm-cryptomap
no ip address
no ip route-cache
no keepalive
pppoe enable
pppoe-client dial-pool-number 1
!
! Access Control List 1
!
no access-list 1
access-list 1 deny any
!
! Dialer Control List 2
!
no dialer-list 2
dialer-list 2 protocol ip permit
!
! Dynamic NAT
!
ip nat translation timeout 86400
ip nat translation tcp-timeout 86400
ip nat translation udp-timeout 300
ip nat translation dns-timeout 60
ip nat translation finrst-timeout 60
ip nat inside source list 1 interface Dialer 1 overload
!
router rip
version 2
passive-interface Dialer 1
no auto-summary
!
!
ip classless
!
! IP Static Routes
ip route 0.0.0.0 0.0.0.0 Dialer 1
no ip http server
snmp-server community public RO
no snmp-server location
no snmp-server contact
!
line console 0
exec-timeout 0 0
password eh
login
!
line vty 0 4
password eh
login
!
end
Hoffe die Hilft dir ein bischen weiter um deinProblem ein zu grenzen.
Wir haben die so bei ums im einsatz.
Grüße
Crisirius :lol:
Re: Cisco 1700 dynamischer Tunnel auf statischen Tunnel
krischeu - 22.04.2005, 16:56Funktioniert nun
Super,
die config hab ich nicht ganz übernommen.
Aber durch Inspiration gelöst - jetzt gehts.
Dankeschön (':D')
--------------
1.) Crypto-Map zwar konfiguriert, aber nicht aufs
"interface dialer1" gebunden
2.) das NAT bei der Umstellung auf PPPoE neu konfiguriert, und hat jetzt die "access-list 1" referenziert, statt die "170"
3.) Umstellung der statischen Crypto-Map in Frankfurt auf dynamic-map
4.) ebay, und diverse andere Seiten gingen nicht ...
TCP-MSS umgestellt, und die noch konfigurierten
"ipip"-Tunnels auf "shutdown" gestellt :D
Mit folgendem Code, können Sie den Beitrag ganz bequem auf ihrer Homepage verlinken
Weitere Beiträge aus dem Forum Achtung !!!!!!!!!!!!!
3512 XL Switch kann 802.1x? - gepostet von Michael am Freitag 27.05.2005
Ähnliche Beiträge wie "Cisco 1700 dynamischer Tunnel auf statischen Tunnel"
Cisco Systems auf der ANGA Cable 2005 - crisirius (Sonntag 15.05.2005)
Cisco Systems bereitet Unternehmen auf RFID vor - saarkohle (Dienstag 15.03.2005)
Suche Rätsel der Sandbank und Time Tunnel - Anonymous (Mittwoch 30.05.2007)
Cisco bis Schulblock - Schötti (Donnerstag 30.09.2004)
1700 - Jasmin (Montag 09.07.2007)
Cisco 1605 und DSL? - PhoEnIX (Mittwoch 02.03.2005)
Tunnel Rush (Actionspiele) - starbuck77 (Dienstag 19.09.2006)
Kein Cisco unter dieser Nummer - mombix (Samstag 16.07.2005)
Cisco und EMC geben OEM-Partnerschaft bekannt - saarkohle (Dienstag 15.02.2005)
Cisco 2950 Switch und Cisco 7905G IP-Phone - romeo310 (Montag 06.06.2005)