Toon posts:

[cisco 837 876] vpn opzetten lukt maar verder niets.

Pagina: 1
Acties:

woensdag 21 september 2005 11:07

Acties:
  • Justin_Time
  • Registratie: Juni 2001
  • Laatst online: 17-07-2025

Justin_Time

Topicstarter
Hallo,

We proberen hier een vpn (site to site) op te zetten. Dit is allemaal gelukt.

Mijn lokale netwerk is 192.168.0.0/24
peer is: 192.168.10.0/25

GW#sh crypto isakmp sa
dst src state conn-id slot status
2xx.xx.xx.xxx 8x.xx.xx.xx QM_IDLE 2 0 ACTIVE

Ik kan bijvoorbeeld een server van hem pingen 192.168.10.3 maar ik kan er niet naar ssh'en...

Als ik een tcpdump laat lopen zie ik een ack, een send maar deze send komt waarschijnlijk helemaal niet aan....

Ik snap er niets meer van. Ik kan van mijn server telnetten naar zijn ftp poort maar niet naar zijn http poort etc...

Het zijn allebei kpn verbindingen (xs4all).

Wat zouden dingen kunnen zijn waar we naar kunnen kijken... de vpn werkt blijkbaar maar niet goed...

Als er config nodig is laat het me maar weten.

Elke dag dronken is ook een geregeld leven.

woensdag 21 september 2005 16:00

Acties:
  • Flyduck
  • Registratie: Juni 2001
  • Laatst online: 28-03-2025

Flyduck

Misschien omdat hij de SSH & HTTP poort genat heeft staan vanaf ze outside interface op de router?
Heb daar zelf iig wel eens problemen mee gehad...

Zijn er mensen die deze regel lezen? Graag terugkoppeling gewenst (onopvallend)

woensdag 21 september 2005 16:29

Acties:
  • Mikey!
  • Registratie: Augustus 2001
  • Laatst online: 24-04 20:11

Mikey!

Wat Flyduck zegt kan wel eens je probleem zijn inderdaad, zou je je configs kunnen posten voor wat meer inzicht op de situatie? Let er wel op dat je de passwords en dergelijke even weghaalt/afschermd :)

woensdag 21 september 2005 21:41

Acties:
  • Justin_Time
  • Registratie: Juni 2001
  • Laatst online: 17-07-2025

Justin_Time

Topicstarter
Ik was er ook achter gekomen dat het inderdaad ging om de poorten die genat worden om mijn server van buitenaf bereikbaar te maken.....

De config: ps: het 192.168.0.0 is van mij de .10 is van de peer.

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69

!
!

!
crypto isakmp policy 10
 encr 3des
 authentication pre-share
 group 2
crypto isakmp key blablabla address 8x.xx.1xx.6x
!
!
crypto ipsec transform-set MEDIUM esp-3des esp-sha-hmac
!
crypto map VPN 30 ipsec-isakmp
 set peer 8x.xx.1xx.6x
 set transform-set MEDIUM
 set pfs group1
 match address 110
!
!
!
interface Ethernet0
 description ;Linkt to LAN 192.168.0.0/24
 ip address 192.168.0.99 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 hold-queue 100 out
!
interface ATM0
 no ip address
 no ip route-cache cef
 no ip route-cache
 no atm ilmi-keepalive
 dsl operating-mode auto
 pvc 0 8/48
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
 !
!
interface Dialer0
 ip address negotiated
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 ppp authentication pap callin
 ppp pap sent-username eenusername@xs4all-basic-adsl password 7 blablabla
 crypto map VPN
!
!
ip nat inside source list NAT-Internet interface Dialer0 overload
ip nat inside source static tcp 192.168.0.1 80 interface Dialer0 80
ip nat inside source static tcp 192.168.0.1 25 interface Dialer0 25
ip nat inside source static tcp 192.168.0.1 443 interface Dialer0 443
ip nat inside source static tcp 192.168.0.1 22 interface Dialer0 22
!
ip access-list extended NAT-Internet
 deny   ip 192.168.0.0 0.0.0.255 192.168.10.0 0.0.0.63
 permit ip 192.168.0.0 0.0.0.255 any
logging trap debugging
logging source-interface Ethernet0
logging 192.168.0.1
access-list 1 permit 192.168.0.0 0.0.0.255
access-list 1 deny   any log
access-list 100 permit ip 192.168.0.0 0.0.0.255 192.168.10.0 0.0.0.63
access-list 100 permit ip 192.168.10.0 0.0.0.63 192.168.0.0 0.0.0.255
access-list 110 permit ip 192.168.0.0 0.0.0.255 192.168.10.0 0.0.0.63
dialer-list 1 protocol ip permit

Elke dag dronken is ook een geregeld leven.

donderdag 22 september 2005 09:09

Acties:
  • Justin_Time
  • Registratie: Juni 2001
  • Laatst online: 17-07-2025

Justin_Time

Topicstarter
Nou ik ben eruit gekomen. Een routemap en een wat exotische nat statements hebben veel geholpen... Voor de mensen met hetzelfde probleem de oplossing:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62

!
crypto isakmp policy 10
 encr 3des
 authentication pre-share
 group 2
crypto isakmp key eengeheimestring address 82.92.141.60
!
!
crypto ipsec transform-set MEDIUM esp-3des esp-sha-hmac
!
crypto map VPN 30 ipsec-isakmp
 set peer 8x.xx.xxx.xx
 set transform-set MEDIUM
 set pfs group1
 match address 110
!

!
interface Ethernet0
 description ;Linkt to LAN 192.168.0.0/24
 ip address 192.168.0.99 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 hold-queue 100 out
!
!
interface Dialer0
 ip address negotiated
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 ppp authentication pap callin
 ppp pap sent-username gebruikersnaam@xs4all-basic-adsl password 7 1blablabla1262237
 crypto map VPN
!
ip route 0.0.0.0 0.0.0.0 Dialer0 permanent
!
ip nat inside source list NAT-Internet interface Dialer0 overload
ip nat inside source static tcp 192.168.0.1 22 externipaddres 22 route-map nonat extendable
ip nat inside source static tcp 192.168.0.1 25 externipaddres 25 route-map nonat extendable
ip nat inside source static tcp 192.168.0.1 80 externipaddres 80 route-map nonat extendable
ip nat inside source static tcp 192.168.0.1 443 externipaddres 443 route-map nonat extendable

!
ip access-list extended NAT-Internet
 deny   ip 192.168.0.0 0.0.0.255 192.168.10.0 0.0.0.63
 permit ip 192.168.0.0 0.0.0.255 any
!

access-list 100 remark Except Private to Private from NAT
access-list 100 deny   ip 192.168.0.0 0.0.0.255 192.168.10.0 0.0.0.63
access-list 100 permit ip 192.168.0.0 0.0.0.255 any
access-list 110 remark ACL for CryptoMAP
access-list 110 permit ip 192.168.0.0 0.0.0.255 192.168.10.0 0.0.0.63
!
dialer-list 1 protocol ip permit
!
route-map nonat permit 10
 match ip address 100
!

Elke dag dronken is ook een geregeld leven.

donderdag 22 september 2005 10:07

Acties:
  • Mikey!
  • Registratie: Augustus 2001
  • Laatst online: 24-04 20:11

Mikey!

Netjes opgelost en erg goed dat je de oplossing ook nog even laat zien :)

donderdag 22 september 2005 15:44

Acties:
  • Justin_Time
  • Registratie: Juni 2001
  • Laatst online: 17-07-2025

Justin_Time

Topicstarter
Ja ik vind het alleen wel een lelijke oplossing dat je je externe ip moet gebruiken.
Wat nou als je geen vast ip adres hebt?

Het zou mooier zijn als je interface dialer0 kon opgeven maar dan is er weer geen route-map en extentable beschikbaar.... erg vreemd.

Elke dag dronken is ook een geregeld leven.

Pagina: 1
Reageer