Cisco 1760 Router met VPN - Netwerken

donderdag 3 januari 2008 01:27

Acties:

Verwijderd

Topicstarter

Ik heb een cisco 1760 router met ipadvservices v12.4 en de config als beneden. Ik probeer met een cisco vpn client in te loggen, maar dat lukt niet, de vpn client zegt remote peer is not responding. Ik heb de access-list ingesteld voor esp, is er iets anders dat ik mis in de config?

BVD
MKJ

current configuration : 3242 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log uptime
service password-encryption
!
hostname c1760
!
boot-start-marker
boot-end-marker
!
enable password 7 xxxx
!
no aaa new-model
!
resource policy
!
ip cef
!
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.1.254
ip dhcp excluded-address 192.168.1.1 192.168.1.20
!
ip dhcp pool my_dhcp
network 192.168.1.0 255.255.255.0
dns-server 212.71.8.11 212.71.0.2
default-router 192.168.1.254
!
ip domain name dyndns.org
ip host members.dyndns.org 63.208.196.96
ip name-server 212.71.8.11
ip name-server 212.71.0.2
ip ddns update method my_dyndns
HTTP
add http://xxx:xxx@<s>/nic/updatesystem=dyndns&hostname=<h>&myip=<a>
interval maximum 28 0 0 0
!
username xxx password 7 xxxx
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
crypto isakmp key xxx address 0.0.0.0 0.0.0.0
!
crypto ipsec transform-set cm-transformset-1 esp-3des esp-sha-hmac
!
crypto map cm-cryptomap local-address Dialer0
crypto map cm-cryptomap 1 ipsec-isakmp
! Incomplete
set transform-set cm-transformset-1
match address 100
!
interface ATM0/0
no ip address
load-interval 30
no atm ilmi-keepalive
dsl operating-mode auto
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
!
interface FastEthernet0/0
ip address 192.168.1.254 255.255.255.0
ip nat inside
no ip virtual-reassembly
speed auto
!
interface Dialer0
ip ddns update hostname xxxx.dyndns.org
ip ddns update my_dyndns host members.dyndns.org
ip address negotiated
ip access-group 101 in
ip nat outside
no ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap callin
ppp chap hostname xxxx@xxx
ppp chap password 7 xxxx
crypto map cm-cryptomap
!
ip route 0.0.0.0 0.0.0.0 Dialer0
!
no ip http server
no ip http secure-server
ip nat inside source list 1 interface Dialer0 overload
ip nat inside source static tcp 192.168.1.221 23 interface Dialer0 23
ip nat inside source static tcp 192.168.1.221 80 interface Dialer0 80
ip nat inside source static tcp 192.168.1.221 11888 interface Dialer0 11888
ip nat inside source static tcp 192.168.1.221 21 interface Dialer0 21
ip nat inside source static tcp 192.168.1.221 25 interface Dialer0 25
ip nat inside source static tcp 192.168.1.221 110 interface Dialer0 110
ip nat inside source static tcp 192.168.1.221 20 interface Dialer0 20
ip nat inside source static tcp 192.168.1.221 22 interface Dialer0 22
ip nat inside source static udp 192.168.1.221 5060 interface Dialer0 5060
ip nat inside source static udp 192.168.1.221 10000 interface Dialer0 10000
ip nat inside source static udp 192.168.1.221 10001 interface Dialer0 10001
ip nat inside source static udp 192.168.1.221 10002 interface Dialer0 10002
!
logging 192.168.1.221
access-list 1 permit any
access-list 100 permit ip any any
access-list 101 permit ip any any
access-list 101 permit esp any any
access-list 101 permit udp any any eq isakmp
dialer-list 1 protocol ip permit
!
control-plane
!
line con 0
line aux 0
line vty 0 4
password 7 xxxx
login
!
end

donderdag 3 januari 2008 18:15

Acties:

Bart

Dit stukje:

code:

crypto map cm-cryptomap 1 ipsec-isakmp
! Incomplete
set transform-set cm-transformset-1
match address 100

Is, zoals hij zelf al zegt, Incomplete

Als je crypto map cm-cryptomap 1 ipsec-isakmp op console ingeeft, geeft die zelf volgens mij al aan wat er mist.

Ik mis sowieso een set peer x.x.x.x

Zal dadelijk eens even naar een voorbeeld zoeken want volgens mij mis je nog een aantal dingen meer.

edit: Zover ik zo snel even kan opzoeken moet een set peer voldoende zijn maar pin me er niet op vast.

[ Voor 10% gewijzigd door Bart op 03-01-2008 18:39 ]

I'm not deaf, I'm just ignoring you.

donderdag 3 januari 2008 20:50

Acties:

Verwijderd

Topicstarter

ik zat daar al te zoeken, het probleem is dat ik met een vpn client in will loggen dat iedere keer een ander IP adres heeft, en daarom zal set peer x.x.x.x moeilijk zijn. Ik het misschien mogelijk met een crypto dynamic-map, volgens mij moet je daar niet het ip address van de vpn client weten.

donderdag 3 januari 2008 21:45

Acties:

Bart

Ah ok, ik had in m'n hoofd dat het een site-to-site tunnel zou worden. Niet goed gelezen

Denk dat je er hier wel mee uit moet komen dan:

http://www.cisco.com/en/U...ple09186a00801c4246.shtml

I'm not deaf, I'm just ignoring you.

donderdag 3 januari 2008 23:33

Acties:

Verwijderd

Topicstarter

Ik heb nu het volgende, maar bu kom ik niet meer op internet, heeft dat iets met de nat te maken?

Current configuration : 3252 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log uptime
service password-encryption
!
hostname c1760
!
boot-start-marker
boot-end-marker
!
enable password 7 xxxxxx
!
no aaa new-model
!
resource policy
!
ip cef
!
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.1.254
ip dhcp excluded-address 192.168.1.1 192.168.1.20
!
ip dhcp pool my_dhcp
network 192.168.1.0 255.255.255.0
dns-server 212.71.8.11 212.71.0.2
default-router 192.168.1.254
!
ip domain name dyndns.org
ip host members.dyndns.org 63.208.196.96
ip name-server 212.71.8.11
ip name-server 212.71.0.2
ip ddns update method my_dyndns
HTTP
add http://xxx:xxx@<s>/nic/update?system=dyndns&hostname=<h>&myip=<a>
interval maximum 28 0 0 0
!
username admin password 7 xxxxx
!
crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp key xxx address 0.0.0.0 0.0.0.0
!
crypto ipsec transform-set my_tfset esp-3des esp-md5-hmac
!
crypto dynamic-map my_dyncmap 10
set transform-set my_tfset
match address 100
!
crypto map my_cmap 10 ipsec-isakmp dynamic my_dyncmap
!
interface ATM0/0
no ip address
load-interval 30
no atm ilmi-keepalive
dsl operating-mode auto
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
interface FastEthernet0/0
ip address 192.168.1.254 255.255.255.0
ip nat inside
no ip virtual-reassembly
speed auto
!
interface Dialer0
ip ddns update hostname xxx.dyndns.org
ip ddns update my_dyndns host members.dyndns.org
ip address negotiated
ip access-group 101 in
ip nat outside
no ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap callin
ppp chap hostname xx@xxx
ppp chap password 7 xxx
crypto map my_cmap
!
ip route 0.0.0.0 0.0.0.0 Dialer0
!
no ip http server
no ip http secure-server
ip nat inside source list 1 interface Dialer0 overload
ip nat inside source route-map nonat pool dynamic overload
ip nat inside source static tcp 192.168.1.221 23 interface Dialer0 23
ip nat inside source static tcp 192.168.1.221 80 interface Dialer0 80
ip nat inside source static tcp 192.168.1.221 11888 interface Dialer0 11888
ip nat inside source static tcp 192.168.1.221 21 interface Dialer0 21
ip nat inside source static tcp 192.168.1.221 25 interface Dialer0 25
ip nat inside source static tcp 192.168.1.221 110 interface Dialer0 110
ip nat inside source static tcp 192.168.1.221 20 interface Dialer0 20
ip nat inside source static tcp 192.168.1.221 22 interface Dialer0 22
ip nat inside source static udp 192.168.1.221 5060 interface Dialer0 5060
ip nat inside source static udp 192.168.1.221 10000 interface Dialer0 10000
ip nat inside source static udp 192.168.1.221 10001 interface Dialer0 10001
ip nat inside source static udp 192.168.1.221 10002 interface Dialer0 10002
!
logging 192.168.1.221
access-list 1 permit any
access-list 100 permit ip any any
access-list 101 permit ip any any
access-list 102 permit ip any any
dialer-list 1 protocol ip permit
!
route-map nonat permit 10
match ip address 102
!
control-plane
!
line con 0
line aux 0
line vty 0 4
password 7 xxx
login
!
end