Toon posts:

Geen toegang tot lokale netwerk met VPN naar Cisco Router

Pagina: 1
Acties:

zaterdag 4 april 2009 19:49

Acties:

Verwijderd

Topicstarter
Ik ben bezig met het configureren van een Cisco 870 Router.

Deze is aangesloten aan een internetverbinding en er zit een lokaal netwerk in met een 172.16.0.0 range achter. (/24)

Ik heb via SDM een VPN config aangemaakt zodat ik in kan VPNen met de Cisco client. De verbinding komt tot stand maar ik kan geen hosts in de lokale reeks benaderen. De VPN clients krijgen een adres uit de 172.168.1.x pool. Kan iemand me op weg helpen? Moet ik ergens nog een access list aanhangen zodat de client op het lokale netwerk mag? Ik zit in mijn VPN client dat er geen verkeer terug komt.

Hier is de config:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100

no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
!
aaa new-model
!
aaa authentication login default local
aaa authentication login sdm_vpn_xauth_ml_1 local
aaa authorization exec default local 
aaa authorization network sdm_vpn_group_ml_1 local 
!
aaa session-id common
no ip routing
no ip cef
!
no ip dhcp use vrf connected
ip dhcp excluded-address 172.16.0.1 172.16.0.9
ip dhcp excluded-address 172.16.0.51 172.16.0.254
!
ip dhcp pool Internal
   import all
   network 172.16.0.0 255.255.255.0
   default-router 172.16.0.1 
   lease 14
!
multilink bundle-name authenticated
!
crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 2
!
crypto isakmp client configuration group Test
 key blabla
 pool SDM_POOL_1
 include-local-lan
crypto isakmp profile sdm-ike-profile-1
   match identity group Test
   client authentication list sdm_vpn_xauth_ml_1
   isakmp authorization list sdm_vpn_group_ml_1
   client configuration address respond
   virtual-template 1
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac 
!
crypto ipsec profile SDM_Profile1
 set transform-set ESP-3DES-SHA 
 set isakmp-profile sdm-ike-profile-1
!
interface FastEthernet0
 description LAN
!
interface FastEthernet4
 description WAN
 ip address PUBLIC_IP 255.255.255.240
 ip access-group 102 in
 ip nat outside
 ip virtual-reassembly
 no ip route-cache
 duplex auto
 speed auto
!
interface Virtual-Template1 type tunnel
 ip unnumbered FastEthernet4
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile SDM_Profile1
!
interface Vlan1
 ip address 172.16.0.1 255.255.255.0
 ip access-group 100 in
 ip nat inside
 ip virtual-reassembly
 no ip route-cache
!
ip local pool SDM_POOL_1 172.16.1.1 172.16.1.50
ip route 0.0.0.0 0.0.0.0 PUBLIC_ROUTER permanent
ip route 172.16.0.0 255.255.255.0 Vlan1 permanent
!
ip nat inside source list 2 interface FastEthernet4 overload
!
access-list 1 permit WANIP
access-list 1 permit 172.16.0.0 0.0.0.255
access-list 2 permit 172.16.0.0 0.0.0.255
access-list 100 remark VPN Pool
access-list 100 permit ip 172.16.1.0 0.0.0.255 172.16.0.0 0.0.0.255
access-list 100 permit tcp 172.16.0.0 0.0.0.255 host 172.16.0.1 eq telnet
access-list 100 permit tcp 172.16.0.0 0.0.0.255 host 172.16.0.1 eq 22
access-list 100 permit tcp 172.16.0.0 0.0.0.255 host 172.16.0.1 eq www
access-list 100 permit tcp 172.16.0.0 0.0.0.255 host 172.16.0.1 eq 443
access-list 100 permit tcp 172.16.0.0 0.0.0.255 host 172.16.0.1 eq cmd
access-list 100 deny   tcp any host 172.16.0.1 eq telnet
access-list 100 deny   tcp any host 172.16.0.1 eq 22
access-list 100 deny   tcp any host 172.16.0.1 eq www
access-list 100 deny   tcp any host 172.16.0.1 eq 443
access-list 100 deny   tcp any host 172.16.0.1 eq cmd
access-list 100 deny   udp any host 172.16.0.1 eq snmp
access-list 100 permit ip any any
access-list 101 permit ip 172.16.0.0 0.0.0.255 any
!
control-plane

zaterdag 4 april 2009 20:03

Acties:

Verwijderd

Misschien het eerst beschikbare ip adres voor dhcp verderop in het netwerk zoeken?

no ip dhcp use vrf connected
ip dhcp excluded-address 172.16.0.1 172.16.0.9
ip dhcp excluded-address 172.16.0.51 172.16.0.254
!
ip dhcp pool Internal
import all
network 172.16.0.0 255.255.255.0
default-router 172.16.0.1
lease 14

Ik vermoedt dat er een fout wordt gegenereert in bovenstaande code. Moet er daarnaast poorten openstaan/opengezet voor de lokale vpn verbindingen?

zaterdag 4 april 2009 20:09

Acties:

Verwijderd

Topicstarter
Ik begrijp even niet wat je bedoelt.

Er is een host op het lokale netwerk met als IP 172.16.0.10, deze zou toch te pingen moeten zijn vanaf de VPN client? Ook het IP van VLAN1, 172.16.0.1, zou ik toch moeten kunnen pingen?

zondag 5 april 2009 10:09

Acties:

Verwijderd

Topicstarter
Het is opgelost. Blijkbaar zet deze IOS het command no ip routing standaard in de config. Ik kwam deze net tegen en door dit command werkte het dus niet. Heb het eruit gehaald en ik kan nu pingen.

zondag 5 april 2009 22:33

Acties:

Verwijderd

Netjes gevonden!

zondag 5 april 2009 22:55

Acties:
  • Kabouterplop01
  • Registratie: Maart 2002
  • Laatst online: 05-03 22:00

Kabouterplop01

chown -R me base:all

maf zeg no ip routing en no ip cef default inde config ...
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq