Cisc 2800 en MS VPN (GRE?)

Wij hebben hier een Cisco 2800 router met meerder ADSL's. Één van deze ADSL wordt gebruikt door onze klanten om VPN/ Citrix/ OWA verbinding te maken. Dit is dus een open ADSL waar alles op mag gebeuren. Wij krijgen de laatste tijd klachten van klanten dat zij hun VPN niet kunnen gebruiken. Ik heb gekeken en het blijkt dat Microsoft VPN niet werkt over deze router, als ik een Draytek neerzet gaat het zonder problemen.

Ik heb wat gezocht op de foutmelding die ik krijg met mijn test PC (721) en het lijkt erop dat GRE niet werkt over deze router of niet open staat. Kan iemand mij de tip geven wat ik vergeet of fout doe?

Relevante IOS:

VLan config van interne netwerk:

Config dialer:

en

En natuurlijk de route tussen de beide:

Zoals jullie zien, geen ACL's of inspects. Volgens mij zou dit helemaal moeten werken.

ALs ik de VPN opzet zie ik het volgende met sh ip nat trans:


Ik hoop dat dit genoeg informatie is en dan iemand mij kan helpen.

Ik heb het ook even bij Cisco gevraagd en zij vertellen mij dat GRE met NAT niet werkt. Vind ik raar aangezien mijn Draytek routertje die ik hiervoor had geen problemen gaf..
Iemand nog een ideetje?
(Eigenlijk is dit een vermomde kick...)

Ximon schreef op woensdag 21 april 2010 @ 10:35:
Euh... Ik ben hier echt geen specialist in, maar misschien breng ik je op ideeën. Wat vragen:

• Je probeert een PPTP tunnel op te zetten?
• Tussen die IP adressen en de rest van het netwerk zit NAT?
• Dat alles gaat je guest-VLAN op?

Ik heb het idee dat ik wat over het hoofd zie...

Ja de clients op de ADSL verbinding maken gebruik van een PPTP tunnel. De ADSL is natuurlijk NAT en ik weet eigenlijk ook niet meer wat ik over het hoofd zie. Wellicht dat ik juist in plaats van alles open zetten een specifieke setting moet zetten om GRE te enablen?

Ximon schreef op woensdag 21 april 2010 @ 15:33:
Voor de duidelijkheid: het gaat dus over clients die van jouw netwerk naar een VPN server ergens anders connecten?

Ja dat klopt, wij hebben ADSL voor onze klanten en zij mogen daar mee doen wat ze willen. Het heeft niets te maken met een VPN oplossing, wij willen alleen ADSL aanbieden via een Cisco.

Ximon schreef op donderdag 22 april 2010 @ 13:27:
Ik neem aan dat NAT op VPN na wel goed werkt, maar ik denk dat je het probleem toch daarin moet zoeken. Ik zou of "standaard NAT" gebruiken, dus:

code:

1 2 3 4 5 6 7 8

interface Vlan50 ip nat inside interface Dialer1 ip nat outside ip nat inside source list 101 interface Dialer1 overload access-list 101 permit ip <netwerkadres subnet vlan50> <wildcard mask subnet vlan50> any

...of Virtual Interface NAT

code:

1 2 3 4 5 6 7 8 9 10 11

interface Vlan50 ip nat enable ip vrf forwarding truus ! interface Dialer1 ip nat enable ! ip pool NAT <eerste adres vlan 50 subnet> <laatste adres vlan 50 subnet> netmask <subnetmask vlan 50 subnet> add-route ip nat source list 101 pool NAT vrf truus overload ! access-list 101 permit ip <netwerkadres subnet vlan50> <wildcard mask subnet vlan50> any

Iets in die richting iig. Belangrijk is dat je een IOS na versie 12.2 draait, anders werkt het alleen over NAT (en niet PAT)

Bronnen: Configuring PPTP Through PAT to a Microsoft PPTP Server, NAT Virtual Interface

Briljant, dank ik zal dit morgen even doornemen en kijken of het me lukt (ben niet zo'n enorme IOS held..)

Ximon schreef op vrijdag 23 april 2010 @ 10:34:
Ik ook niet echt, en de oplossing komt dan ook met Geen Garanties™ Laat me weten of het gelukt is.

Wordt even na het weekend.. Zit toch nog vrij druk (ondanks dat ik nu even op GoT zit )