Toon posts:

Cisco 877 vpn passtrough lukt niet

Pagina: 1
Acties:

donderdag 19 februari 2009 11:54

Acties:
  • JaNuZz
  • Registratie: Juli 2001
  • Laatst online: 23-02 08:16

JaNuZz

Topicstarter
Hallo,

Ik ben bezig om te proberen mijn cisco 877w te configureren zodat deze vpn pass-trough kan doen zodat de router die achter de cisco zit een vpn tunnel naar de zaak kan opbouwen. Waarom niet zelf de cisco als vpn gebruiken?: dat wil niet omdat op de zaak we een netgear338 hebben staan en die wil niet goed samenwerken met cisco, dus ik heb een work-around nodig: alle porten voor vpn forwarden naar de netgear vpn router en die de tunnel laten opbouwen.

thuis situatie:

Internet--->cisco877--->netgearFVS318--->local network 192.168.1

- de cisco krijgt via dhcp een vast ipnummer van mijn provider: 83.xxx.xxx.xxx
- VLan1 op cisco = 172.20.1.1
- netgear heeft op de wan 172.1.20.254 en op de lan 192.168.1

volgens de documentatie die ik op de cisco site vond moeten er dan de volgende poorten geforward worden voor een IPSEC:
ESP (50)
tcp (51)
udp (500)
udp (4500)


dat zou gaan met:
ip nat inside source static esp 172.20.1.254 interface BVI1
ip nat inside source static tcp 172.20.1.254 51 83.xxxx.xxx.xxx 51 extendable
ip nat inside source static udp 172.20.1.254 500 83.xxx.xxx.xxx 500 extendable
ip nat inside source static udp 172.20.1.254 4500 83.xxx.xxx.xxx 4500 extendable

toch weigert de vpn tunnel omhoog te komen,Ik heb wel gewoon internet via de netgear, dat werkt allemaal prima.Ik heb een adsl2 bridged verbinding van bbned(speedxs)
Wellicht dat ik ergens iets over het hoofd zie of dat er nog access-list aangepast moeten worden.Wie kan mij even een eindje op weg helpen?

hieronder mijn configuratie op de cisco, ik heb de onbelangrijke entries eruit gehaald om het wat overzichterlijker te maken.

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71

!This is the running config of the router: 172.20.1.1
!----------------------------------------------------------------------------
!

dot11 syslog
ip source-route
!
ip dhcp pool DHCP
   network 172.20.1.0 255.255.255.0
   dns-server 83.98.255.11 83.98.255.20 
   default-router 172.20.1.1 
   lease 0 0 15
!
!
bridge irb
!
!
interface ATM0
 no ip address
 no atm ilmi-keepalive
 pvc 0/35 
  encapsulation aal5snap
 !
 bundle-enable
 bridge-group 1
 bridge-group 1 spanning-disabled
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
 ip address 172.20.1.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
!
interface BVI1
 mac-address xxxx.xxxx.xxxx
 ip address dhcp
 ip nat outside
 ip virtual-reassembly
!
!
ip nat inside source list 1 interface BVI1 overload
ip nat inside source static esp 172.20.1.254 interface BVI1
ip nat inside source static tcp 172.20.1.254 51 83.xxx.xxx.xxx 51 extendable
ip nat inside source static udp 172.20.1.254 500 83.xxx.xxx.xxx 500 extendable
ip nat inside source static udp 172.20.1.254 4500 83.xxx.xxx.xxx 4500 extendable

!
access-list 1 permit 172.20.1.0 0.0.0.255

!
control-plane
!
bridge 1 protocol ieee
bridge 1 route ip
bridge 1 address xxxx.xxxx.xxxx discard
!
line con 0
 no modem enable
line aux 0
line vty 0 4
 login local
!
scheduler max-task-time 5000
end

donderdag 19 februari 2009 23:06

Acties:
  • DJSmiley
  • Registratie: Mei 2000
  • Laatst online: 06-03 16:44

DJSmiley

Misschien een gek idee, maar waarom die cisco niet vervangen door een simpele speedtouch in bridge?

Ben je met 10-20 eur klaar, en de meerwaarde van je Cisco is er toch al niet als je de achterliggende netgear laat firewallen en tunnels op laat bouwen. Daarnaast routeer je nu dubbel, zowel in je cisco als in je netgear.

donderdag 19 februari 2009 23:16

Acties:
  • Leon T
  • Registratie: Juni 2001
  • Niet online

Leon T

Ni!

Volgens Cisco hoef je niet tcp/51 open te zetten, maar wel IP protocol 51. Is er niks in de logfiles te vinden wat er mis gaat?

donderdag 19 februari 2009 23:32

Acties:
  • ChaserBoZ_
  • Registratie: September 2005
  • Laatst online: 04-01 10:58

ChaserBoZ_

Je provider biedt geen mogelijkheid voor een /30 subnet ? Daarmee zou de Netgear 'ongefilterd' internet hebben.

'Maar het heeft altijd zo gewerkt . . . . . . '

vrijdag 20 februari 2009 08:28

Acties:
  • JaNuZz
  • Registratie: Juli 2001
  • Laatst online: 23-02 08:16

JaNuZz

Topicstarter
DJSmiley schreef op donderdag 19 februari 2009 @ 23:06:
Misschien een gek idee, maar waarom die cisco niet vervangen door een simpele speedtouch in bridge?

Ben je met 10-20 eur klaar, en de meerwaarde van je Cisco is er toch al niet als je de achterliggende netgear laat firewallen en tunnels op laat bouwen. Daarnaast routeer je nu dubbel, zowel in je cisco als in je netgear.
@ DJDsmiley: omdat ik die al geprobeerd heb, maar die modems re-trainen hier constant (vooral s'avonds) waardoor internet constant wegvalt daarom heb ik juist de cisco aangeschaft die is wel stabiel, en ik wil later ook wat dingen met QOS en ipv6 doen. Het moet toch mogelijk zijn om gewoon over de cisco dat verkeer te laten lopen?

@ Leon T : ik zal eens kijken hoe ik die 51 er ook in krijg, maar de vpn op het werk maakt gebruik van esp dus volgens mij heb ik dat niet eens nodig.

@ChazerBoz_ : Volgens mij niet, het is maar een thuisverbinding, en volgens mij moet het met 1 ipnummer toch ook gewoon kunnen?

vrijdag 20 februari 2009 09:18

Acties:
  • Midas.e
  • Registratie: Juni 2008
  • Laatst online: 06-03 21:44

Midas.e

Is handig met dinges

Gaat het hier om een ipsec tunnel? deze werken vaak niet over NAT.

Edit: ja het gaat over IPSEC, hang je netgear direct aan je modem, ipsec + nat heeft vaker problemen.

[ Voor 44% gewijzigd door Midas.e op 20-02-2009 09:19 ]

Hacktheplanet / PVOutput

vrijdag 20 februari 2009 13:05

Acties:
  • JaNuZz
  • Registratie: Juli 2001
  • Laatst online: 23-02 08:16

JaNuZz

Topicstarter
Mijn cisco 877 is het modem :) die netgear werkt wel met een ander modem in bridge mode dus daar zit het probleem niet.
Ik vraag ook niet voor een hardwarematig alternatief, ik vraag of iemand even de configuratie wil bekijken op eventuele fouten.

vrijdag 20 februari 2009 17:05

Acties:
  • salvador4
  • Registratie: Februari 2001
  • Laatst online: 08-03 17:35

salvador4

never mind vekeerd gelezen

[ Voor 92% gewijzigd door salvador4 op 20-02-2009 17:06 ]

vrijdag 20 februari 2009 21:45

Acties:

Verwijderd

Ik heb ooit ook problemen gehad met mn VPN en mn Cisco Client software om een VPN verbinding op te bouwen vanuit huis naar de zaak.
Wat bij mij het probleem bleek te zijn was bepaalde software die op mijn laptop was geinstalleerd.
O.a. software als Adobe Photoshop en bepaalde Apple software gaven problemen.

Dit ter info.

vrijdag 20 februari 2009 21:49

Acties:
  • DJSmiley
  • Registratie: Mei 2000
  • Laatst online: 06-03 16:44

DJSmiley

Verwijderd schreef op vrijdag 20 februari 2009 @ 21:45:
Ik heb ooit ook problemen gehad met mn VPN en mn Cisco Client software om een VPN verbinding op te bouwen vanuit huis naar de zaak.
Wat bij mij het probleem bleek te zijn was bepaalde software die op mijn laptop was geinstalleerd.
O.a. software als Adobe Photoshop en bepaalde Apple software gaven problemen.

Dit ter info.
TS wil zn tunnel laten opbouwen door de router achter de Cisco. Ik gok dat er op die netgear geen cisco client met photoshop draait ;)

vrijdag 20 februari 2009 23:10

Acties:

Verwijderd

Mogelijk dat je na moet zoeken of de netgear apparatuur nat transversal ondersteund.

Het punt is namelijk dat ipsec over nat problemen gaat geven omdat de ip headers in contole hashes meegenomen worden die dus gemodificeerd worden.

Om dit op te lossen kan men bij constatering van nat het gehele esp pakket encapsuleren in een udp pakket welke op udp poort 4500 getransporteerd wordt.

Als dit op beide endpoints niet ondersteund wordt gaat het dus niet werken. Je kunt dit controleren door te een acl met een permit te gebruiken welke matched met source en destination (hou rekening met nat t.a.v. de interface waar je deze acl plaatst. Geen hits op dit verkeer is helaas, geen vpn :-(
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq