20
Cisco 2921 Konfiguration Internet und VPN durch Port Weiterleitung
Guten Tag zusammen,
ich versuche seit mehreren Wochen den Cisco Router 2921 zum laufen zu bekommen.
Was ich machen will:
Momentane Umgebung
Ich habe einen Windows Server 2008r2 am laufen. Dieser Fungiert momentan komplett als DNS, DHCP, AD und auch als VPN Server.
Alle Anfragen die aus dem Internet kommen und auch hinaus gehen werden momentan komplett von dem Server aus verwaltet.
Hier einmal meine Konfiguration von dem Cisco Router:
Wenn ich das alles per Terminal in den Router eingetragen habe funktioniert auch das Internet ohne Probleme und ich kann auch ganz normal arbeiten.
Sollte ich aber eine Anfrage an den AD schicken bekomme ich ewig lange Ladezeiten und dann nach ca. 2-3 Minuten eine Antwort von dem Server.
In der Zeile 44 und 45 definiere ich die IP und auch den Port 389 für den AD Server.
Wenn ich das selbe auch für mein Routing on RAS mache, worüber mein VPN auf dem Server konfiguriert ist, bekomme ich nach ein paar Minuten Ladezeit einen Timeout.
Ich weiß nicht was ich noch vergessen habe ein zu stellen bzw. worin das Problem liegt.
Ich habe mich jetzt auch schon einige Zeit mit der Weboberfläche auseinander gesetzt und habe ziemlich schnell mitbekommen das diese eher nur ein gimmick ist.. so habe ich das Gefühl.
ich versuche seit mehreren Wochen den Cisco Router 2921 zum laufen zu bekommen.
Was ich machen will:
- Der gesamte Trafic soll über den Cisco Router laufen
- Bestimmte Ports und Anfragen sollen nur an eine IP Adresse weiter gegeben werden
- VPN soll darüber auch erreichbar sein
- VPN wird über Routing on RAS mit einem Preshared Key eingerichtet und am Computer gebe ich die IP von meinen Provider an und den dazu von mir festgelegt Key ein.
Momentane Umgebung
Ich habe einen Windows Server 2008r2 am laufen. Dieser Fungiert momentan komplett als DNS, DHCP, AD und auch als VPN Server.
Alle Anfragen die aus dem Internet kommen und auch hinaus gehen werden momentan komplett von dem Server aus verwaltet.
Hier einmal meine Konfiguration von dem Cisco Router:
#Routername und Secret Password
Router> enable
Router# configure terminal
Router(config)#
Router(config)# hostname Router
Router(config)#
Router(config)# enable secret "insert here your password"
Router(config)#
Router(config)# no ip domain-lookup
Router(config)#
#Configuring Gigabit Ethernet Interfaces
Router(config)# interface gigabitethernet 0/0
Router(config-if)#
Router(config-if)# ip address ( ip address and subnet mask )
Router(config-if)#
Router(config-if)# no shutdown
Router(config-if)# ip virtual-reassembly
Router(config-if)# dupley auto
Router(config-if)# speed auto
Router(config-if)# ip nat outside
Router(config-if)#
Router(config-if)# exit
Router(config)# interface gigabitethernet 0/1
Router(config-if)# ip address ( ip address and subnet mask )
Router(config-if)#
Router(config-if)# no shutdown
Router(config-if)# ip virtual-reassembly
Router(config-if)# dupley auto
Router(config-if)# speed auto
Router(config-if)# ip nat inside
Router(config-if)#
Router(config-if)# exit
Router(config)#
#Anlegen Benutzer und deren Rechte
Router(config)#username ( username )
Router(config)#username ( username ) password ( insert here your password )
Router(config)#username ( username ) privilege 15
#Enabling HTTP Access, SSH, Telnet Connection und Zugriffsberechtigung
Router(config)#access-list 75 permit ( ip address and subnet mask )
Router(config)#access-list 75 deny any
Router(config)#ip http server
Router(config)#ip http access-class 75
Router(config)#aaa new-model
Router(config)#line vty 0 4
Router(config)#transport input ssh telnet
#Port Weiterleitung
Router(config)#ip nat inside source list 75 interface g0/0 overload
Router(config)#ip nat inside source list 75 static tcp ( ip address port ) interface g0/0 ( port )
Router(config)#end
Router# writeWenn ich das alles per Terminal in den Router eingetragen habe funktioniert auch das Internet ohne Probleme und ich kann auch ganz normal arbeiten.
Sollte ich aber eine Anfrage an den AD schicken bekomme ich ewig lange Ladezeiten und dann nach ca. 2-3 Minuten eine Antwort von dem Server.
In der Zeile 44 und 45 definiere ich die IP und auch den Port 389 für den AD Server.
Wenn ich das selbe auch für mein Routing on RAS mache, worüber mein VPN auf dem Server konfiguriert ist, bekomme ich nach ein paar Minuten Ladezeit einen Timeout.
Ich weiß nicht was ich noch vergessen habe ein zu stellen bzw. worin das Problem liegt.
Ich habe mich jetzt auch schon einige Zeit mit der Weboberfläche auseinander gesetzt und habe ziemlich schnell mitbekommen das diese eher nur ein gimmick ist.. so habe ich das Gefühl.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 461240
Url: https://administrator.de/contentid/461240
Printed on: April 16, 2024 at 23:04 o'clock
20 Comments
Latest comment
Hallo,
was du da postet ist keine Config sondern ein Template wie man den Konfiguriert.
und das auch nur ein kleiner Teil ...
und das du in Zeile 44 un 45 irgendwas definierst ist auch nicht ganz richtig...
und ja, die Weboberfläche ist nur Dekoration...
brammer
was du da postet ist keine Config sondern ein Template wie man den Konfiguriert.
und das auch nur ein kleiner Teil ...
und das du in Zeile 44 un 45 irgendwas definierst ist auch nicht ganz richtig...
und ja, die Weboberfläche ist nur Dekoration...
brammer
Hallo Brammer,
danke für deine Antwort.
Das wir mir nicht so ganz klar das es nur ein Template ist.
Kannst du mir eventuell zur Lösung verhelfen oder mir gewisse Ansatzpunkte nennen an die ich mich halten kann um das Problem in den griff zu bekommen?
Vielen Dank
danke für deine Antwort.
Das wir mir nicht so ganz klar das es nur ein Template ist.
Kannst du mir eventuell zur Lösung verhelfen oder mir gewisse Ansatzpunkte nennen an die ich mich halten kann um das Problem in den griff zu bekommen?
Vielen Dank
ich versuche seit mehreren Wochen den Cisco Router 2921 zum laufen zu bekommen.
Das hiesige IOS Tutorial hast du gelesen ?? Entspricht genau dem was du vorhast, da die IOS Syntax Plattform übergreifend identisch ist !Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Bestimmte Ports und Anfragen sollen nur an eine IP Adresse weiter gegeben werden
Im Internet oder lokal ??Kann man mit Policy Based Routing machen:
Cisco Router 2 Gateways für verschiedene Clients
Oder reichen dir da einfache ACLs ?? Hier bist du leider etwas zu unkonkret in der Task Schilderung...
VPN wird über Routing on RAS mit einem Preshared Key eingerichtet
Igitt ! Etwa direkt intern am Server indem du ungeschützten Internet Traffic per Port Forwarding ins interne Netzwerk lässt ??Eigentlich ja ziemlicher Unsinn wenn man das mit einem Cisco erheblich sicherer und auch effizienter in der Peripherie erreichen kann !
Da du uns weder mitteilst welches VPN Protokoll du verwendest geschweige denn welche Ports du dafür definiert hast im Port Forwarding ist eine zielführende Hilfe hier unmöglich, es sei denn Raten im freien Fall reicht dir.
Grundlegende Hinweise zu VPN mit dem IPsec Protokoll findest du im o.a. Cisco Tutorial oder auch hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Hier einmal meine Konfiguration von dem Cisco Router:
Wäre hilfreicher und vor allem übersichtlicher für alle Beteiligten wenn du hier nur den Output von show run gepostet hättest wie es Kollege @brammer ja auch schon zu recht kommentiert hat. 
IP Adressen kannst du darin ja anonymisieren.
(Kann man übrigens noch nachträglich mit dem "Bearbeiten" Button korrigieren !)
Hallo aqui,
danke für deine Antwort.
Nein das IOS Tutorial habe ich ehrlich gesagt nicht gelesen aber ich nehme es mir vor das ich es durcharbeite. Danke für den Hinweis.
Ich habe versucht den Post zu bearbeiten aber es ist nur noch möglich einzelne Zeilen zu bearbeiten daher muss ich es hier nochmal Posten.
Das ist momentan meine Standard Konfiguration bzw. so habe ich keine Problem ins Internet zu kommen.
Ich habe von meinem Anbieter eine feste IP bekommen daher wird dort alles Static eingerichtet.
Ich möchte ganz gerne das Anfragen die aus dem Internet kommen mit einem bestimmten Port nur an den Server weiter geleitet werden.
Sprich wenn eine AD Anfrage kommt auf dem Port 389 soll diese dann an den Server gehen und der Server soll auf dem gleichen weg dann die Antwort schicken.
Bzgl. VPN:
Ich möchte ganz gerne das Protokoll L2TP/IPsec mit Vorinstallierten Schlüssel verwenden.
Das VPN ist auf den UDP 1701 Port eingerichtet.
Dieser soll so wie die AD Anfragen direkt nur an den Server geleitet werden und auf dem selben weg wieder zurück gehen.
danke für deine Antwort.
Nein das IOS Tutorial habe ich ehrlich gesagt nicht gelesen aber ich nehme es mir vor das ich es durcharbeite. Danke für den Hinweis.
Ich habe versucht den Post zu bearbeiten aber es ist nur noch möglich einzelne Zeilen zu bearbeiten daher muss ich es hier nochmal Posten.
cerberus#show running-config
Building configuration...
Current configuration : 2384 bytes
!
! Last configuration change at 10:06:08 GMT Wed Jun 12 2019
! NVRAM config last updated at 10:04:51 GMT Wed Jun 12 2019
!
version 15.6
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname cerberus
!
boot-start-marker
boot-end-marker
!
!
enable secret
!
aaa new-model
!
!
!
!
!
!
!
aaa session-id common
ethernet lmi ce
clock timezone GMT 1 0
!
!
!
!
!
!
!
!
!
!
!
!
ip domain name my.domain
ip name-server 1.1.1.1
ip name-server 8.8.8.8
ip cef
no ipv6 cef
!
!
flow record nbar-appmon
match ipv4 source address
match ipv4 destination address
match application name
collect interface output
collect counter bytes
collect counter packets
collect timestamp absolute first
collect timestamp absolute last
!
!
flow monitor application-mon
cache timeout active 60
record nbar-appmon
!
multilink bundle-name authenticated
!
!
!
!
license udi pid CISCO2921/K9 sn FCZ211140F5
!
!
object-group network local_cws_net
!
object-group network local_lan_subnets
any
!
object-group network vpn_remote_subnets
any
!
username user priv 15 secretpassword
!
redundancy
!
!
!
!
!
zone security LAN
zone security WAN
zone security VPN
zone security DMZ
!
!
!
!
!
!
!
!
!
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
description Extern
ip address 38.170.40.21 255.255.255.248
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
!
interface GigabitEthernet0/1
description Intern
ip address 192.168.0.254 255.255.254.0
ip virtual-reassembly in
duplex auto
speed auto
!
interface GigabitEthernet0/2
no ip address
shutdown
duplex auto
speed auto
!
ip forward-protocol nd
!
ip http server
ip http access-class 75
no ip http secure-server
!
ip nat inside source list 75 interface GigabitEthernet0/0 overload
!
ip access-list extended nat-list
permit ip object-group local_lan_subnets any
!
!
!
access-list 75 permit 192.168.0.0 0.0.1.255
access-list 75 deny any
!
!
!
control-plane
!
!
!
line con 0
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
stopbits 1
line vty 0 4
transport input telnet ssh
!
scheduler allocate 20000 1000
ntp server time-pnp.cisco.com
ntp server europe.pool.ntp.org
!
endDas ist momentan meine Standard Konfiguration bzw. so habe ich keine Problem ins Internet zu kommen.
Ich habe von meinem Anbieter eine feste IP bekommen daher wird dort alles Static eingerichtet.
Ich möchte ganz gerne das Anfragen die aus dem Internet kommen mit einem bestimmten Port nur an den Server weiter geleitet werden.
Sprich wenn eine AD Anfrage kommt auf dem Port 389 soll diese dann an den Server gehen und der Server soll auf dem gleichen weg dann die Antwort schicken.
Bzgl. VPN:
Ich möchte ganz gerne das Protokoll L2TP/IPsec mit Vorinstallierten Schlüssel verwenden.
Das VPN ist auf den UDP 1701 Port eingerichtet.
Dieser soll so wie die AD Anfragen direkt nur an den Server geleitet werden und auf dem selben weg wieder zurück gehen.
OK. Aber es gibt gravierende Fehler in deiner Konfig:
Beachte das du hier die ganzen PPPoE Kommados am WAN Port ignorieren bzw. weglassen kannst, da du hier einen direkten Internet Zugang via Ethernet hast. (38.170.40.21, Cogent, USA)
Solltest du ggf. besser in der Testphase auch erstmal so lassen um dir nicht noch mehr Fallen zu stellen.
Also sind die strategischen Schritte...
Hier findest du noch zusätzliche Info zum Thema VPNs mit L2TP:
https://community.cisco.com/t5/security-documents/l2tp-over-ipsec-on-cis ...
- DNS Adresse Google sollte man niemals machen (Privatsphäre !) Ist aber kosmetisch
- Auf deinem internen Interface fehlt ip nat inside. Eigentlich kannst du ohne dieses Port Kommando NICHT von Clients am Port Gig 0/2 ins Internet weil das NAT (Adress Translation) dann gar nicht funktioniert (sh nat ass) !!
- ZBF Firewall ist konfiguriert aber nicht aktiv (WAN Port ungeschützt !!)
ich nehme es mir vor das ich es durcharbeite
Das solltest du dringenst tun bevor wir hier ins Eingemachte gehen !!Beachte das du hier die ganzen PPPoE Kommados am WAN Port ignorieren bzw. weglassen kannst, da du hier einen direkten Internet Zugang via Ethernet hast. (38.170.40.21, Cogent, USA)
Das VPN ist auf den UDP 1701 Port eingerichtet.
Ist natürlich Blödsinn, denn bei L2TP ist das nur der Handshake Port. L2TP nutzt in Summe mehrere Protokoll Ports da es im Transport auf IPsec aufsetzt nämlich:- UDP 1701
- UDP 500
- UDP 4500
- ESP Protokoll mit der IP Nummer 50 (kein UDP oder TCP !)
Solltest du ggf. besser in der Testphase auch erstmal so lassen um dir nicht noch mehr Fallen zu stellen.
Also sind die strategischen Schritte...
- zuerst eine saubere und funktionierende Grundkonfig erstellen.
- dann VPN aufsetzen und testen
- dann Firewall aufsetzen und System absichern
Hier findest du noch zusätzliche Info zum Thema VPNs mit L2TP:
https://community.cisco.com/t5/security-documents/l2tp-over-ipsec-on-cis ...
Hallo Aqui,
ich habe das mit dem nat inside jetzt noch hinzu genommen. Das hatte ich bei der letzten Einrichtung vergessen mit an zu geben.
In meine "Template" habe ich das auch mit drin zu stehen gehabt aber leider überlesen bei der letzten Konfiguration.
Momentan habe ich das jetzt eingetragen für das forwarding der LDAP und VPN Ports.
Wie ist es mit dem wieder zurück schicken der Anfragen? Muss ich dafür auch wieder das nat outside mit eintragen?
Der G0/0 ist mein Internet und der G0/1 geht an mein lokales Netzwerk oder reicht das so aus wie es jetzt momentan eingetragen ist?
In dem Link habe ich auch raus gelesen das ich die VPN User in dem Router anlegt werden. Lieber wäre es mir wenn ich diese wieder wie gehabt von meinem Server aus beziehen kann. Ohne das ich etwas doppelt pflegen muss.
Vielen Dank
ich habe das mit dem nat inside jetzt noch hinzu genommen. Das hatte ich bei der letzten Einrichtung vergessen mit an zu geben.
In meine "Template" habe ich das auch mit drin zu stehen gehabt aber leider überlesen bei der letzten Konfiguration.
Momentan habe ich das jetzt eingetragen für das forwarding der LDAP und VPN Ports.
interface GigabitEthernet0/0
description Extern
ip address 38.170.40.21 255.255.255.248
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
!
interface GigabitEthernet0/1
description Intern
ip address 192.168.0.254 255.255.254.0
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
ip http access-class 75
no ip http secure-server
!
ip nat inside source list 75 interface GigabitEthernet0/0 overload
ip nat inside source static esp 192.168.0.2 interface GigabitEthernet0/0
ip nat inside source static tcp 192.168.0.2 389 interface GigabitEthernet0/0 389
ip nat inside source static udp 192.168.0.2 1701 interface GigabitEthernet0/0 1701
ip nat inside source static udp 192.168.0.2 500 interface GigabitEthernet0/0 500
ip nat inside source static udp 192.168.0.2 4500 interface GigabitEthernet0/0 4500
!
ip access-list extended nat-list
permit ip object-group local_lan_subnets any
!
!
!
access-list 75 permit 192.168.0.0 0.0.1.255
access-list 75 deny anyWie ist es mit dem wieder zurück schicken der Anfragen? Muss ich dafür auch wieder das nat outside mit eintragen?
Der G0/0 ist mein Internet und der G0/1 geht an mein lokales Netzwerk oder reicht das so aus wie es jetzt momentan eingetragen ist?
In dem Link habe ich auch raus gelesen das ich die VPN User in dem Router anlegt werden. Lieber wäre es mir wenn ich diese wieder wie gehabt von meinem Server aus beziehen kann. Ohne das ich etwas doppelt pflegen muss.
Vielen Dank
für das forwarding der LDAP und VPN Ports.
Willst du denn das L2TP VPN im internen Netzwerk terminieren..??Sowas ist eingentlich ein totales NoGo in Netzwerk Designs, denn damit lässt du ungeschützten Internet Traffic durch die Firewall in dein internes Netzwerk. Ein generell gravierender Nachteil bei Port Forwarding da es eine Sicherheitslücke schafft. Auch LDAP ist vollkommen unverschlüsselt ! Sowas offen übers Internet zu übertragen wie du es machst ist eine große Fahrlässigkeit und noch größeres NoGo. Weltweit ist dieser tzraffic sichtbar für jedermann, da unverschlüsselt.
Vollkommen unverständlich warum du das LDAP trotz VPN verbindung ungeschützt parallel per Poret Forwarding überträgst. Bis du dir dessen bewusst was du da machst mit LDAP ?
Normal terminiert man das VPN wie gesagt immer auf der Peripherie also Router oder Firewall. In deinem Falle also der Cisco Router.
Über den VPN Tunnel sendest du dann alle deine Daten. Das ist ja auch die Intention bzw. der tiefere Sinn eines VPNs.
Bei dir ist die .0.2 vermutlich ein interner Server, richtig ??
Dein Satz "Lieber wäre es mir wenn ich diese wieder wie gehabt von meinem Server aus beziehen kann." erklärt das ja auch. Wie gesagt, das ist keine gute Praxis und zeugt eher von wenig Security Know How.
Aber wenn es denn so ist und du damit leben kannst und willst dann isoliert man so einen Server in einer DMZ.
Das Einrichten des Routers als VPN Server usw. entfällt dann natürlich vollständig den Konfig part kannst du dann logischerweise ignorieren !
Besser ist aber immer den Router oder FW als VPN Server zu nehmen. Vielleicht solltest du dein Konzept dazu nochmal überdenken ?! Nur mal so als Denkanstoß....
Wie ist es mit dem wieder zurück schicken der Anfragen? Muss ich dafür auch wieder das nat outside mit eintragen?
Nein ! Das reicht so.Du musst lediglich den Host für den du das statische NAT eingerichtet hast dann aus dem dynamischen PAT Pool austragen. Sprich die ACL 75. Die lautet dann korrekt so:
access-list 75 deny ip host 192.168.0.2 any
access-list 75 permit ip 192.168.0.0 0.0.1.255 any
access-list 75 deny ip any any
Hallo Aqui,
ich habe das ganze vorläufig so eingestellt.
Ich gebe dir in jedem Punkt recht das es sehr unsicher ist.
Daher ist nach diesem Testlauf meine nächstes Vorhaben das ich das ganze über den Cisco regeln möchte.
Dazu habe ich auch eine Frage. Eventuell kannst du mir das besser beantworten als wenn ich jetzt bei Google danach suche.
Ich habe gesehen das ich für Cisco VPN Lizenzen brauche.
Wenn ich daher mein VPN über den Cisco regel, muss ich dann Lizenzen kaufen?
Gibt es auch eine Möglichkeit das ich eine Gruppe im AD anlege, die dann an den Cisco gegeben wird damit ich die Benutzer nicht nochmal auf dem Router anlegen muss.
Ich stelle es mir so vor:
Ich erstelle eine Gruppe im AD für VPN.
Diese wird dann an den Cisco Router weitergegeben und darüber erfolg dann die Authentifizierung.
Was den LDAP Port angeht, werde ich diesen auf den 636 setzen um diesen zu verschlüsseln.
Ich gelobe Besserung.
ich habe das ganze vorläufig so eingestellt.
Ich gebe dir in jedem Punkt recht das es sehr unsicher ist.
Daher ist nach diesem Testlauf meine nächstes Vorhaben das ich das ganze über den Cisco regeln möchte.
Dazu habe ich auch eine Frage. Eventuell kannst du mir das besser beantworten als wenn ich jetzt bei Google danach suche.
Ich habe gesehen das ich für Cisco VPN Lizenzen brauche.
Wenn ich daher mein VPN über den Cisco regel, muss ich dann Lizenzen kaufen?
Gibt es auch eine Möglichkeit das ich eine Gruppe im AD anlege, die dann an den Cisco gegeben wird damit ich die Benutzer nicht nochmal auf dem Router anlegen muss.
Ich stelle es mir so vor:
Ich erstelle eine Gruppe im AD für VPN.
Diese wird dann an den Cisco Router weitergegeben und darüber erfolg dann die Authentifizierung.
Was den LDAP Port angeht, werde ich diesen auf den 636 setzen um diesen zu verschlüsseln.
Ich gelobe Besserung.
Ich habe gesehen das ich für Cisco VPN Lizenzen brauche.
Nein, brauchst du nicht für den IOS Router !Ist nur für das VPN Gateway und Firewall.
Gibt es auch eine Möglichkeit das ich eine Gruppe im AD anlege
Ja, das geht !Du kannst ihn mit LDAP ans AD anflanschen:
https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_usr_ldap/configura ...
Hiho,
ich habe das ganze jetzt einmal testen können und habe aber leider immer noch das Problem das ich keine VPN Verbindung zu stande bekomme.
Ich habe aber erfolgreich jetzt LDAP zum laufen bekommen.
Ich habe die Config erstmal soweit zurück gesetzt zu dem Punkt wo es alles sauber funktioniert hat außer VPN.
Eventuell habe ich etwas vergessen oder aber etwas nicht richtig eingestellt.
Könnt Ihr mir bitte noch einmal helfen ?
Vielen Dank vorab.
ich habe das ganze jetzt einmal testen können und habe aber leider immer noch das Problem das ich keine VPN Verbindung zu stande bekomme.
Ich habe aber erfolgreich jetzt LDAP zum laufen bekommen.
Ich habe die Config erstmal soweit zurück gesetzt zu dem Punkt wo es alles sauber funktioniert hat außer VPN.
Eventuell habe ich etwas vergessen oder aber etwas nicht richtig eingestellt.
Könnt Ihr mir bitte noch einmal helfen ?
cerberus#show run
Building configuration...
Current configuration : 4826 bytes
!
! Last configuration change at 13:07:36 GMT Wed Jun 26 2019
! NVRAM config last updated at 13:07:33 GMT Wed Jun 26 2019
!
version 15.6
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname cerberus
!
boot-start-marker
boot-end-marker
!
!
enable secret
!
aaa new-model
!
!
!
!
!
!
!
aaa session-id common
ethernet lmi ce
clock timezone GMT 1 0
!
!
!
!
!
!
!
!
!
!
!
!
ip domain name my.domain
ip name-server 1.1.1.1
ip name-server 8.8.8.8
ip cef
no ipv6 cef
!
!
flow record nbar-appmon
match ipv4 source address
match ipv4 destination address
match application name
collect interface output
collect counter bytes
collect counter packets
collect timestamp absolute first
collect timestamp absolute last
!
!
flow monitor application-mon
cache timeout active 60
record nbar-appmon
!
parameter-map type inspect global
max-incomplete low 18000
max-incomplete high 20000
nbar-classify
multilink bundle-name authenticated
!
!
!
!
license udi pid CISCO2921/K9 sn FCZ211140F5
!
!
object-group service INTERNAL_UTM_SERVICE
!
object-group network Others_dst_net
any
!
object-group network Others_src_net
any
!
object-group service Others_svc
ip
!
object-group network Web_dst_net
any
!
object-group network Web_src_net
any
!
object-group service Web_svc
ip
!
object-group network ad_dst_net
host 192.168.0.2
!
object-group network ad_src_net
any
!
object-group service ad_svc
tcp source eq 389 eq 389
!
object-group network local_cws_net
!
object-group network local_lan_subnets
192.168.0.0 255.255.254.0
!
object-group network vpn_remote_subnets
any
!
username user privilege 15 password mypassword
!
redundancy
!
!
!
!
!
!
class-map type inspect match-all ad
match access-group name ad_acl
class-map type inspect match-any INTERNAL_DOMAIN_FILTER
match protocol msnmsgr
match protocol ymsgr
class-map type inspect match-any Others_app
match protocol https
match protocol smtp
match protocol pop3
match protocol imap
match protocol sip
match protocol ftp
match protocol dns
match protocol icmp
class-map type inspect match-any Web_app
match protocol http
class-map type inspect match-all Others
match class-map Others_app
match access-group name Others_acl
class-map type inspect match-all Web
match class-map Web_app
match access-group name Web_acl
!
policy-map type inspect LAN-WAN-POLICY
class type inspect Web
inspect
class type inspect Others
inspect
class class-default
drop log
policy-map type inspect WAN-LAN-POLICY
class type inspect ad
inspect
class type inspect INTERNAL_DOMAIN_FILTER
inspect
class class-default
drop log
!
zone security LAN
zone security WAN
zone security VPN
zone security DMZ
zone-pair security LAN-WAN source LAN destination WAN
service-policy type inspect LAN-WAN-POLICY
zone-pair security WAN-LAN source WAN destination LAN
service-policy type inspect WAN-LAN-POLICY
!
!
!
!
!
!
!
!
!
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
description PrimaryWANExtern
ip address 38.170.40.21 255.255.255.248
ip nat outside
ip virtual-reassembly in
zone-member security WAN
duplex auto
speed auto
!
interface GigabitEthernet0/1
description Intern
ip address 192.168.0.254 255.255.254.0
ip nbar protocol-discovery
ip flow monitor application-mon input
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly in
zone-member security LAN
load-interval 30
duplex auto
speed auto
!
interface GigabitEthernet0/2
no ip address
shutdown
duplex auto
speed auto
!
ip forward-protocol nd
!
ip http server
ip http access-class 75
no ip http secure-server
!
ip nat inside source list 75 interface GigabitEthernet0/0 overload
ip nat inside source static esp 192.168.0.2 interface GigabitEthernet0/0
ip nat inside source static tcp 192.168.0.2 389 interface GigabitEthernet0/0 389
ip nat inside source static udp 192.168.0.2 1701 interface GigabitEthernet0/0 1701
ip nat inside source static udp 192.168.0.2 500 interface GigabitEthernet0/0 500
ip nat inside source static udp 192.168.0.2 4500 interface GigabitEthernet0/0 4500
ip nat inside source list nat-list interface GigabitEthernet0/0 overload
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/0
!
ip access-list extended Others_acl
permit object-group Others_svc object-group Others_src_net object-group Others_dst_net
ip access-list extended Web_acl
permit object-group Web_svc object-group Web_src_net object-group Web_dst_net
ip access-list extended ad_acl
permit object-group ad_svc object-group ad_src_net object-group ad_dst_net
ip access-list extended nat-list
permit ip object-group local_lan_subnets any
deny ip any any
!
!
!
access-list 75 permit 192.168.0.0 0.0.1.255
access-list 75 deny any
!
!
!
control-plane
!
!
!
line con 0
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
stopbits 1
line vty 0 4
transport input telnet ssh
!
scheduler allocate 20000 1000
ntp server time-pnp.cisco.com
!
endVielen Dank vorab.
Eventuell habe ich etwas vergessen oder aber etwas nicht richtig eingestellt.
Ganz sicher hast du das !!!Du solltest zuallererst mal checken ob L2TP Daten an deiner internen IP 192.168.0.2 ankommen.
Das allerbeste dafür ist einen Laptop mit der gleichen IP ins Netzwerk zu hängen auf dem ein Wireshark Sniffer rennt !
Den lässt du laufen und initiierst dann mal die VPN verbindung von außen. Dann solltest du in jedem Falle eingehende L2TP Paket von dieser Session Wireshark sehen.
Das zeigt dir dann erstmal ganz sicher das der Router bzw. dessen Firewall auch eingehenden L2TP Traffic überhaupt per Port Forwarding auf die 192.168.0.2 forwardet.
Zudem hast du gundlegende Fehler in der Firewall gemacht. Vermutlich aus Unwissenheit wie der VPN Paket Flow vonstatten geht.
Dein Cisco Firewall lässt class map type "ad" bestimmt ja was die Firewall vom WAN (Internet) ins lokale LAN passieren lässt. Das wieder um bestimmt die ACL "ad_acl" die aus den Objekten "ad_svc","ad_src_net" und "ad_dst_net" in einer und Verknüpfung besteht.
"ad_svc" lässt IP Pakete passieren mit einem Source oder Destination Port TCP 389. Das bedeutet LDAP darf egal wie passieren...ok
"ad_src_net" ist so oder so der Schrotschuss, dann damit darf alles passieren. Wozu dann eigentlich eine Firewall ??
"ad_dst_net" lässt dann nur Pakete mit 192.168.0.2 durch.
Diese Regel ist irgendwie wirr, denn Pakete von außen können niemals eine 192.168.x.y Adresse irgendwo haben. Das sind IPs die im Internet nicht geroutet werden ! Du arbeitest ja mit Port Forwarding. Externe Zugriffe haben also immer die 38.170.40.21 als Zieladresse niemals aber eine RFC 1918 IP Adresse !
In der Outboud regel der Firewall als LAN zu WAN(Internet) fehlt als letztes das globale UDP und TCP Statement. Es werden dann so als nur eplizit L4 Protokollo Pakete geNATet die in der Liste genannt sind. Etwas außergewöhnlch, es sei denn es ist so gewollt was aber nicht anzunehmen ist.
Lies die also besser nochmal genau das ZFW Firewall Konzept des Csco Tutorials hier durch:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Dort ist das alles explizit erklärt.
Und...mache den Wireshark Test um erstmal grundsätzlich zu klären ob deine L2TP Pakete im Cisco hängen bleiben oder ob sie an die 192.168.0.2 weitergeleitet werden !!
Hallo Aqui,
danke für die Antwort.
Ich möchte das ganze nicht mehr per Portforwarding machen, sondern eher direkt alles über den Router Händeln.
Dafür muss ich aber noch die static nat Einträge wieder entfernen.
Ich will das ganze eher über die Policy regeln.
So das alles direkt vom Router aus verwaltet wird und nicht mehr per durchlassen und dann hinter dem Router.
Für mich ist erstmal wichtig, das alles soweit funktioniert bevor ich dann die Firewall richtig einstelle.
Das ganze soll am ende sicher gestaltet sein aber momentan geht darüber nichts wichtiges.
Deine Anregung mit Wireshark habe ich auch schon versucht und ich konnte den Traffic sehen der nach dem Router kam. Auch die LDAP anfragen habe ich darin sehen können. Nur die VPN anfragen wurden mir nicht angezeigt. Diese sind wohl eher im Router hängen geblieben und nicht mehr raus gekommen in das interne Netz.
Vielen Dank
danke für die Antwort.
Ich möchte das ganze nicht mehr per Portforwarding machen, sondern eher direkt alles über den Router Händeln.
Dafür muss ich aber noch die static nat Einträge wieder entfernen.
Ich will das ganze eher über die Policy regeln.
So das alles direkt vom Router aus verwaltet wird und nicht mehr per durchlassen und dann hinter dem Router.
Für mich ist erstmal wichtig, das alles soweit funktioniert bevor ich dann die Firewall richtig einstelle.
Das ganze soll am ende sicher gestaltet sein aber momentan geht darüber nichts wichtiges.
Deine Anregung mit Wireshark habe ich auch schon versucht und ich konnte den Traffic sehen der nach dem Router kam. Auch die LDAP anfragen habe ich darin sehen können. Nur die VPN anfragen wurden mir nicht angezeigt. Diese sind wohl eher im Router hängen geblieben und nicht mehr raus gekommen in das interne Netz.
Vielen Dank
sondern eher direkt alles über den Router Händeln.
Das wäre auch erheblich sinnvoller, denn dort sollte eigentlich auch das VPN terminiert werden.Dafür muss ich aber noch die static nat Einträge wieder entfernen.
Richtig !Für mich ist erstmal wichtig, das alles soweit funktioniert bevor ich dann die Firewall richtig einstelle.
Das ist auch der richtige Weg !Dann lasse erstmal die Firewall weg oder deaktiviere sie (keine Zonen Zuweisung an den Interfaces !)
Damit hast du dann erstmal keine Hürden und zum Testen schafft das NAT an sich erstmal ausreichend Sicherheit.
Nur die VPN anfragen wurden mir nicht angezeigt.
Das war auch zu vermuten, denn die ZFW Firewall Regeln dazu sahen ziemlich verkehrt aus.Gut dann "bastel" das mal um von der Konfig und dann machen wir weiter.
Halte dich immer an das hiesige Cisco Tutorial oben.
Hallo Aqui,
Ich habe alles soweit erstmal bereinigt und dann die VPN-Settings so für mich adaptiert wie in der Anleitung drin stand.
Was mir aber noch fehlt bei der Anleitung ist die Integration eines Preshared-Key. Wie kann ich den einsetzen?
Grüße
Ich habe alles soweit erstmal bereinigt und dann die VPN-Settings so für mich adaptiert wie in der Anleitung drin stand.
Was mir aber noch fehlt bei der Anleitung ist die Integration eines Preshared-Key. Wie kann ich den einsetzen?
Building configuration...
Current configuration : 5792 bytes
!
! Last configuration change at 14:07:34 GMT Tue Jul 2 2019 by
! NVRAM config last updated at 12:45:18 GMT Tue Jul 2 2019
!
version 15.6
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname cerberus
!
boot-start-marker
boot-end-marker
!
!
enable secret
!
aaa new-model
!
!
aaa authentication login local_access local
!
!
!
!
!
aaa session-id common
ethernet lmi ce
clock timezone GMT 1 0
!
!
!
!
!
!
!
!
!
!
!
!
ip domain name my.domain
ip name-server 1.1.1.1
ip name-server 8.8.8.8
ip cef
no ipv6 cef
!
!
flow record nbar-appmon
match ipv4 source address
match ipv4 destination address
match application name
collect interface output
collect counter bytes
collect counter packets
collect timestamp absolute first
collect timestamp absolute last
!
!
flow monitor application-mon
cache timeout active 60
record nbar-appmon
!
parameter-map type inspect global
max-incomplete low 18000
max-incomplete high 20000
nbar-classify
multilink bundle-name authenticated
!
vpdn enable
!
vpdn-group 1
! Default L2TP VPDN group
accept-dialin
protocol l2tp
virtual-template 1
!
!
!
!
license udi pid CISCO2921/K9 sn FCZ211140F5
!
!
object-group service INTERNAL_UTM_SERVICE
!
object-group network Others_dst_net
any
!
object-group network Others_src_net
any
!
object-group service Others_svc
ip
!
object-group network Web_dst_net
any
!
object-group network Web_src_net
any
!
object-group service Web_svc
ip
!
object-group network ad_dst_net
host 192.168.0.2
!
object-group network ad_src_net
any
!
object-group service ad_svc
tcp source eq 389 eq 389
!
object-group network local_cws_net
!
object-group network local_lan_subnets
192.168.0.0 255.255.254.0
!
object-group network vpn_remote_subnets
any
!
username user privilege 15 password 0 mypassword
username vpnuser password 0 vpntest123!!
!
redundancy
!
!
!
!
!
!
class-map type inspect match-all ad
match access-group name ad_acl
class-map type inspect match-any INTERNAL_DOMAIN_FILTER
match protocol msnmsgr
match protocol ymsgr
class-map type inspect match-any Others_app
match protocol https
match protocol smtp
match protocol pop3
match protocol imap
match protocol sip
match protocol ftp
match protocol dns
match protocol icmp
class-map type inspect match-any Web_app
match protocol http
class-map type inspect match-all Others
match class-map Others_app
match access-group name Others_acl
class-map type inspect match-all Web
match class-map Web_app
match access-group name Web_acl
!
policy-map type inspect LAN-WAN-POLICY
class type inspect Web
inspect
class type inspect Others
inspect
class class-default
drop log
policy-map type inspect WAN-LAN-POLICY
class type inspect ad
inspect
class type inspect INTERNAL_DOMAIN_FILTER
inspect
class class-default
drop log
!
zone security LAN
zone security WAN
zone security VPN
zone security DMZ
zone-pair security LAN-WAN source LAN destination WAN
service-policy type inspect LAN-WAN-POLICY
zone-pair security WAN-LAN source WAN destination LAN
service-policy type inspect WAN-LAN-POLICY
!
!
!
!
!
!
!
!
!
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
description PrimaryWANDesc_Extern
ip address 38.170.40.21 255.255.255.248
ip nat outside
ip virtual-reassembly in
zone-member security WAN
duplex auto
speed auto
!
interface GigabitEthernet0/1
description Intern
ip address 192.168.0.254 255.255.254.0
ip nbar protocol-discovery
ip flow monitor application-mon input
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly in
zone-member security LAN
load-interval 30
duplex auto
speed auto
!
interface GigabitEthernet0/2
no ip address
shutdown
duplex auto
speed auto
!
interface Virtual-Template1
description L2TP Einwahl Interface fuer VPN Zugang
no ip address
ip nat inside
ip virtual-reassembly in
peer default ip address pool l2tp-dailin
no keepalive
ppp encrypt mppe 128 required
ppp authentication ms-chap-v2
!
ip local pool l2tp-dailin 192.168.1.1 192.168.1.250
ip forward-protocol nd
!
ip http server
ip http upload enable path flash:
ip http upload overwrite
ip http access-class 75
no ip http secure-server
!
ip nat inside source list 75 interface GigabitEthernet0/0 overload
ip nat inside source list nat-list interface GigabitEthernet0/0 overload
ip nat inside source static esp 192.168.0.2 interface GigabitEthernet0/0
ip nat inside source static tcp 192.168.0.2 389 interface GigabitEthernet0/0 389
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/0
!
ip access-list extended Others_acl
permit object-group Others_svc object-group Others_src_net object-group Others_dst_net
ip access-list extended Web_acl
permit object-group Web_svc object-group Web_src_net object-group Web_dst_net
ip access-list extended ad_acl
permit object-group ad_svc object-group ad_src_net object-group ad_dst_net
ip access-list extended nat-list
permit ip object-group local_lan_subnets any
deny ip any any
!
!
!
access-list 75 permit 192.168.0.0 0.0.1.255
access-list 75 deny any
access-list 111 permit udp any eq 1701 any eq 1701
access-list 111 permit udp any eq isakmp any eq isakmp
access-list 111 permit udp any eq non500-isakmp any eq non500-isakmp
access-list 111 permit esp any any
!
!
!
control-plane
!
!
!
line con 0
login authentication local_access
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
stopbits 1
line vty 0 4
access-class 23 in
privilege level 15
login authentication local_access
transport input telnet ssh
!
scheduler allocate 20000 1000
ntp server time-pnp.cisco.com
!
endGrüße
ist die Integration eines Preshared-Key. Wie kann ich den einsetzen?
Das machst du so: aaa authentication login clientauth local
aaa authorization network groupauth local
!
username finread password Geheim123
username vpngroup password test123
!
Hallo Zusammen,
ich bin endlich wieder dazu gekommen an dem Cisco Router etwas zu machen.
Ich bin jetzt soweit das ich alles erstmal eingetragen habe aber ohne irgendwelche Firewall Einstellungen.
Hier einmal meine neue Config:
Leider kann ich mich immer noch nicht mit dem VPN verbinden.
Wenn ich es versuche bekomme ich diese Fehlermeldung:
Der L2TP-Verbindungsversuch ist fehlgeschlagen, da ein Verarbeitungsfehler während der ersten Sicherheitsaushandlung mit dem Remotecomputer aufgetreten ist.
Ich versuche die Verbindung über den Internen Windows 10 VPN Client her zu stellen.
Liegt das am Microsoft VPN oder habe ich noch etwas falsches in der Config?
Vielen Dank für eure Hilfe.
ich bin endlich wieder dazu gekommen an dem Cisco Router etwas zu machen.
Ich bin jetzt soweit das ich alles erstmal eingetragen habe aber ohne irgendwelche Firewall Einstellungen.
Hier einmal meine neue Config:
Cerberus#show run
Building configuration...
Current configuration : 6451 bytes
!
! Last configuration change at 13:38:16 GMT Thu Aug 22 2019 by root
! NVRAM config last updated at 14:59:20 GMT Tue Aug 20 2019
!
version 15.6
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Cerberus
!
boot-start-marker
boot-end-marker
!
!
enable secret 5
!
aaa new-model
!
!
aaa authentication login clientauth local
aaa authentication login local_access local
aaa authorization network groupauth local
!
!
!
!
!
aaa session-id common
ethernet lmi ce
clock timezone GMT 1 0
!
!
!
!
!
!
!
!
!
!
!
!
ip domain name my.domain
ip name-server 1.1.1.1
ip name-server 8.8.8.8
ip cef
no ipv6 cef
!
!
flow record nbar-appmon
match ipv4 source address
match ipv4 destination address
match application name
collect interface output
collect counter bytes
collect counter packets
collect timestamp absolute first
collect timestamp absolute last
!
!
flow monitor application-mon
cache timeout active 60
record nbar-appmon
!
parameter-map type inspect global
max-incomplete low 18000
max-incomplete high 20000
nbar-classify
multilink bundle-name authenticated
!
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
!
!
!
!
license udi pid CISCO2921/K9 sn FCZ211140F5
!
!
object-group service INTERNAL_UTM_SERVICE
!
object-group network Others_dst_net
any
!
object-group network Others_src_net
any
!
object-group service Others_svc
ip
!
object-group network Web_dst_net
any
!
object-group network Web_src_net
any
!
object-group service Web_svc
ip
!
object-group network ldap_dst_net
host 192.168.0.31
!
object-group network ldap_src_net
any
!
object-group service ldap_svc
tcp source eq 389 eq 389
!
object-group network local_cws_net
!
object-group network local_lan_subnets
any
!
object-group network vpn_remote_subnets
any
!
username root privilege 15 password 0 *my password*
username vpntest password 0 Geheim123!!
username vpngroup password 0 Test123!!
!
redundancy
!
!
!
!
!
!
class-map type inspect match-any INTERNAL_DOMAIN_FILTER
match protocol msnmsgr
match protocol ymsgr
class-map type inspect match-any Others_app
match protocol https
match protocol smtp
match protocol pop3
match protocol imap
match protocol sip
match protocol ftp
match protocol dns
match protocol icmp
class-map type inspect match-all ldap
match access-group name ldap_acl
class-map type inspect match-any Web_app
match protocol http
class-map type inspect match-all Others
match class-map Others_app
match access-group name Others_acl
class-map type inspect match-all Web
match class-map Web_app
match access-group name Web_acl
!
policy-map type inspect LAN-WAN-POLICY
class type inspect Web
inspect
class type inspect Others
inspect
class class-default
drop log
policy-map type inspect WAN-LAN-POLICY
class type inspect ldap
inspect
class type inspect INTERNAL_DOMAIN_FILTER
inspect
class class-default
drop log
!
zone security LAN
zone security WAN
zone security VPN
zone security DMZ
zone-pair security LAN-WAN source LAN destination WAN
service-policy type inspect LAN-WAN-POLICY
zone-pair security WAN-LAN source WAN destination LAN
service-policy type inspect WAN-LAN-POLICY
!
!
crypto isakmp policy 10
encr aes 256
authentication pre-share
group 14
!
crypto isakmp client configuration group vpngroup
key *my-pre-shared-key*
dns 192.168.0.31
domain my.domain
pool vpnpool
save-password
max-users 252
crypto isakmp profile VPNClient
! This profile is incomplete (no match identity statement)
description VPN Client Profile
client authentication list clientauth
isakmp authorization list groupauth
client configuration address respond
virtual-template 2
!
!
crypto ipsec transform-set myset esp-aes esp-sha-hmac
mode tunnel
!
!
crypto ipsec profile vpn-vti2
set transform-set myset
!
!
!
!
!
!
interface Loopback10
ip address 192.168.2.1 255.255.254.0
!
interface Loopback11
ip address 192.168.1.1 255.255.254.0
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
description Extern
ip address 38.170.40.21 255.255.255.248
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
!
interface GigabitEthernet0/1
description Intern
ip address 192.168.0.254 255.255.254.0
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
!
interface GigabitEthernet0/2
no ip address
shutdown
duplex auto
speed auto
!
interface Virtual-Template1
description PPTP Einwahl Interface fuer VPN Zugang
ip unnumbered Loopback11
ip nat inside
ip virtual-reassembly in
peer default ip address pool pptp_dialin
no keepalive
ppp encrypt mppe 128 required
ppp authentication ms-chap-v2
!
interface Virtual-Template2 type tunnel
description IPSec VPN Dialin
ip unnumbered Loopback10
ip nat inside
ip virtual-reassembly in
tunnel mode ipsec ipv4
tunnel protection ipsec profile vpn-vti2
!
ip local pool vpnpool 192.168.2.2 192.168.2.253
ip local pool pptp_dailin 192.168.1.2 192.168.1.253
ip forward-protocol nd
!
ip http server
ip http access-class 75
no ip http secure-server
!
!
ip access-list extended Others_acl
permit object-group Others_svc object-group Others_src_net object-group Others_dst_net
ip access-list extended Web_acl
permit object-group Web_svc object-group Web_src_net object-group Web_dst_net
ip access-list extended ldap_acl
permit object-group ldap_svc object-group ldap_src_net object-group ldap_dst_net
ip access-list extended nat-list
permit ip object-group local_lan_subnets any
!
!
!
access-list 75 permit 192.168.0.0 0.0.1.255
access-list 75 deny any
access-list 111 permit tcp any any eq 1723
access-list 111 permit gre any any
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp any any eq non500-isakmp
access-list 111 permit esp any any
!
!
!
control-plane
!
!
!
line con 0
login authentication local_access
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
stopbits 1
line vty 0 4
access-class 23 in
privilege level 15
login authentication local_access
transport input telnet ssh
!
scheduler allocate 20000 1000
ntp server pool.ntp.org
ntp server time-pnp.cisco.com
ntp server 0.de.pool.ntp.org
ntp server de.pool.ntp.org
ntp server europe.pool.ntp.org
!
endLeider kann ich mich immer noch nicht mit dem VPN verbinden.
Wenn ich es versuche bekomme ich diese Fehlermeldung:
Der L2TP-Verbindungsversuch ist fehlgeschlagen, da ein Verarbeitungsfehler während der ersten Sicherheitsaushandlung mit dem Remotecomputer aufgetreten ist.
Ich versuche die Verbindung über den Internen Windows 10 VPN Client her zu stellen.
Liegt das am Microsoft VPN oder habe ich noch etwas falsches in der Config?
Vielen Dank für eure Hilfe.
Hallo,
in deiner cisco config heißt der User
im Windows Screenshot aber "vpntest"
brammer
in deiner cisco config heißt der User
username vpnuser password 0 vpntest123!!
im Windows Screenshot aber "vpntest"
brammer
Hallo Brammer,
in der Config die ich mit angehangen habe steht doch vpntest drin.
In der Zeile 128:
username vpntest password 0 Geheim123!!
Die zuletzt gepostet Config ist die Aktuelle.
Grüße
in der Config die ich mit angehangen habe steht doch vpntest drin.
In der Zeile 128:
username vpntest password 0 Geheim123!!
Die zuletzt gepostet Config ist die Aktuelle.
Grüße
Hallo,
In der falsche config gesucht... sorry.
Lass mal im Passwort die beiden !! weg.
Nicht dass das den Fehler schmeißt...
Brammer
In der falsche config gesucht... sorry.
Lass mal im Passwort die beiden !! weg.
Nicht dass das den Fehler schmeißt...
Brammer
Leider kann ich mich immer noch nicht mit dem VPN verbinden.
Du dürftest auch nichtmal Internet haben auf dem Rouer aus dem lokalen LAN, denn das globale NAT Statement !
ip nat inside source list 101 interface interface GigabitEthernet0/0 overload
!
access-list 101 permit ip 192.168.0.0 0.0.0.255 any
!
...fehlt völlig in der Konfig.
Oder haben wir das jetzt übersehen... ???
Ohne das geht gar nichts mit RFC 1918 IP Adressen.
Ein show ip nat trans sollte dir das auch zeigen.
Du musst diese Konfig doch bezogen auf deine Interface Namen nur schlicht und eimnfach abtippen:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Wo ist da das Problem ?
Und....zum Wichtigsten sagst du rein gar nix
Was sagt der IPsec VPN Debugger im Cisco mit debug crypto isakmp und dann die Einwahl aktivieren.
(term mon nicht vergessen solltest du per Telnet oder SSH drauf sein sonst siehst du die Debugger Messages nicht !
und u all nach dem Debuggen um den Debugger wieder auszuschalten.)
