:strip_icc():strip_exif()/u/30930/clown.jpg?f=community)
Huidige situatie :
1 desktop (xp sp2), 1 laptop (xp sp2) 1 server (w2k3), Cisco 877.
de server is domain controller, dhcp, dns, isa, enz..
Nu wil ik thuis geen server meer draaien, (ivm stroom herrie).
Ik heb ik een datacenter een 1u server hangen met VMware daarop.
op deze server draaien 4 virtuele servers :
1x Windows 2003 Server ISA 2006, DC, DNS, DHCP, GC
1x Windows 2003 Server Exchange Server 2003, Secondary DNS
1x Windows 2003 Web (Webservertje ASP)
1x Debian (Ook voor webserver)
alles staat gefirewalled achter de ISA server, dit werkt tot nu toe probleemloos.
maar, ik wil nu via de Cisco 877 een IPSEC verbinding opstarten, de locale machines in het nieuwe domein hangen en mijn locale server verplaatsen naar het datacenter.
ik heb de IPSEC verbinding helemaal goed alleen...
de Laptop doet het perfect, geen probleemen daarmee.. maar de desktop blijft RPC problemen geven, het inloggen op het domein duurt gewoon een paar minuten/uur. email ophalen via de Exchange server kan niet en om de 5 seconde verbreekt hij de verbinding met de exchange server.
Als ik vanaf de desktop pingt naar de exchange server gaat dit perfect met een latency van <15ms.
maar als ik vanaf een machine achter de ISA server pingt dan blijft hij de melding geven :
Negotiating IP Security.
mijn thuis netwerk heeft de range 192.168.1.0/24 en de server in het datacenter heeft 192.168.2.0/24
dit is de configuratie van de Cisco 877 :
en dit is de Site to Site VPN Summary van de ISA server :
ik snap er echt helemaal niks meer van, in de firewall policy staat alles vanaf remote site naar intern op allow, en omgekeerd ook. RPC
Enforce strikt RPC compliance staat uit voor allebij de rules.
Andere problemen die ik ondervond is dat de DNS server van de ISA server niet te bereiken is vanaf de thuis locatie, terwijl local host wel allowed is in de Firewall policy.
de DHCP server is niet meer te veranderen, zelfs vanaf de isa server niet. hij geeft een RPC error.
als iemand een idee heeft! graag!
1 desktop (xp sp2), 1 laptop (xp sp2) 1 server (w2k3), Cisco 877.
de server is domain controller, dhcp, dns, isa, enz..
Nu wil ik thuis geen server meer draaien, (ivm stroom herrie).
Ik heb ik een datacenter een 1u server hangen met VMware daarop.
op deze server draaien 4 virtuele servers :
1x Windows 2003 Server ISA 2006, DC, DNS, DHCP, GC
1x Windows 2003 Server Exchange Server 2003, Secondary DNS
1x Windows 2003 Web (Webservertje ASP)
1x Debian (Ook voor webserver)
alles staat gefirewalled achter de ISA server, dit werkt tot nu toe probleemloos.
maar, ik wil nu via de Cisco 877 een IPSEC verbinding opstarten, de locale machines in het nieuwe domein hangen en mijn locale server verplaatsen naar het datacenter.
ik heb de IPSEC verbinding helemaal goed alleen...
de Laptop doet het perfect, geen probleemen daarmee.. maar de desktop blijft RPC problemen geven, het inloggen op het domein duurt gewoon een paar minuten/uur. email ophalen via de Exchange server kan niet en om de 5 seconde verbreekt hij de verbinding met de exchange server.
Als ik vanaf de desktop pingt naar de exchange server gaat dit perfect met een latency van <15ms.
maar als ik vanaf een machine achter de ISA server pingt dan blijft hij de melding geven :
Negotiating IP Security.
mijn thuis netwerk heeft de range 192.168.1.0/24 en de server in het datacenter heeft 192.168.2.0/24
dit is de configuratie van de Cisco 877 :
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
| Current configuration : 3088 bytes
!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname cisco-thuis
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
enable secret 5 <password>
!
username root privilege 15 secret 5 <password>
clock timezone CET 1
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
no aaa new-model
ip subnet-zero
no ip source-route
no ip gratuitous-arps
ip cef
!
!
ip dhcp excluded-address 192.168.1.1
!
ip dhcp pool home
import all
network 192.168.1.0 255.255.255.0
domain-name home.local
dns-server 192.168.2.2
default-router 192.168.1.1
!
!
ip domain name home.local
ip ips po max-events 100
no ftp-server write-enable
!
!
!
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key <password> address <ip van isa server @ datacenter>
!
!
crypto ipsec transform-set TO_ARJAN_COLO esp-3des esp-sha-hmac
!
crypto map TO_ARJAN_COLO 1 ipsec-isakmp
set peer <ip van isa server @ datacenter>
set transform-set TO_ARJAN_COLO
set pfs group2
match address TO_ARJAN_COLO
!
bridge irb
!
!
interface ATM0
description Tiscali rfc1483 bridged
no ip address
ip virtual-reassembly
no atm ilmi-keepalive
pvc 0/34
encapsulation aal5snap
!
dsl operating-mode auto
bridge-group 1
!
interface FastEthernet0
no ip address
no cdp enable
!
interface FastEthernet1
no ip address
no cdp enable
!
interface FastEthernet2
no ip address
no cdp enable
!
interface FastEthernet3
no ip address
no cdp enable
!
interface Vlan1
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface BVI1
description Tiscali
mac-address 0000.0cdc.55c8
ip address dhcp
ip nat outside
ip virtual-reassembly
crypto map TO_ARJAN_COLO
!
ip classless
ip route 0.0.0.0 255.255.255.255 BVI1
!
!
no ip http server
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 5 life 86400 requests 10000
ip nat inside source route-map SDM_RMAP_1 interface BVI1 overload
!
ip access-list extended NAT
deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
permit ip any any
ip access-list extended TO_ARJAN_COLO
permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
!
snmp-server community public RO
snmp-server enable traps tty
no cdp run
!
route-map SDM_RMAP_1 permit 1
match ip address NAT
!
!
control-plane
!
bridge 1 protocol ieee
bridge 1 route ip
bridge 1 address 0000.0ca2.77b8 discard
banner login ^CC
Authorized access only!
Disconnect IMMEDIATELY if you are not an authorized user
Legal steps will be taken if someone tries to gain unauthorized access!
^C
!
line con 0
password 7 <password>
login
no modem enable
transport preferred all
transport output all
line aux 0
transport preferred all
transport output all
line vty 0 4
privilege level 15
password 7 <password>
login
transport preferred all
transport input telnet ssh
transport output all
!
scheduler max-task-time 5000
sntp server 217.77.132.1
end |
en dit is de Site to Site VPN Summary van de ISA server :
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
| Local Tunnel Endpoint: <ip van isa server>
Remote Tunnel Endpoint: <ip van cisco 877 @ home)
To allow HTTP proxy or NAT traffic to the remote site,
the remote site configuration must contain the local
site tunnel end-point IP address.
IKE Phase I Parameters:
Mode: Main mode
Encryption: 3DES
Integrity: SHA1
Diffie-Hellman group: Group 2 (1024 bit)
Authentication Method: Pre-shared secret (<password>)
Security Association Lifetime: 28800 seconds
IKE Phase II Parameters:
Mode: ESP tunnel mode
Encryption: 3DES
Integrity: SHA1
Perfect Forward Secrecy: ON
Diffie-Hellman group: Group 2 (1024 bit)
Time Rekeying: ON
Security Association Lifetime: 3600 seconds
Kbyte Rekeying: OFF
Remote Network 'Remote' IP Subnets:
Subnet: 192.168.1.0/255.255.255.0
Local Network 'Internal' IP Subnets:
Subnet: 192.168.2.0/255.255.255.0
Routable Local IP Addresses:
Subnet: 192.168.2.0/255.255.255.0 |
ik snap er echt helemaal niks meer van, in de firewall policy staat alles vanaf remote site naar intern op allow, en omgekeerd ook. RPC
Enforce strikt RPC compliance staat uit voor allebij de rules.
Andere problemen die ik ondervond is dat de DNS server van de ISA server niet te bereiken is vanaf de thuis locatie, terwijl local host wel allowed is in de Firewall policy.
de DHCP server is niet meer te veranderen, zelfs vanaf de isa server niet. hij geeft een RPC error.
als iemand een idee heeft! graag!
niemand...?
