Toon posts:

Cisco Remote Access VPN Nat issue

Pagina: 1
Acties:

maandag 21 januari 2013 19:46

Acties:
  • 0 Henk 'm!
  • bartmau93
  • Registratie: November 2011
  • Laatst online: 10-07 23:04

bartmau93

Topicstarter
Beste iedereen,

Alvast bedankt voor het meelezen en meedenken met mijn probleem.
Ik heb een Cisco VPN 881 router ingericht via de terminal, en alles draait al zoals het behoord.
Een second option wat de klant wilde was het configureren van VPN toegang voor werk op afstand.

Nu ben ik via school bezig om mijn CCNA te behalen, maar een ding lukt mij niet.

Er zijn 2 VLAN's actief:
VLAN 1 = telefonie (192.168.3.X / 24)
VLAN 2 = data (192.168.1.X / 24)

Er is een Dialer1 address aangemaakt.
Ik kan VPN verbinding maken! Via Cisco VPN cliënt kan ik inloggen en dan staat er succes verbonden.
Helaas kan ik daarna NIET pingen naar het 192.168.3.x of 192.168.1.x netwerk.
Ik krijg als ik ping naar 192.168.1.1 of 192.168.3.1 (default gateways van de netwerkjes) wel een respons, maar dit is mijn PUBLIEK ip!??

Weet iemand raad. Na een dag stoeien zie ik de bomen door het bos niet meer.
Mijn conf:

version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname router
!
boot-start-marker
boot-end-marker
!
!
!
aaa new-model
!
!
aaa authentication login VPN_CLIENT_LOGIN local
aaa authorization network VPN_CLIENT_GROUP local
!
!
!
!
!
aaa session-id common
memory-size iomem 10
!
crypto pki trustpoint TP-self-signed-1771548405
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1771548405
revocation-check none
rsakeypair TP-self-signed-1771548405
!
!
crypto pki certificate chain TP-self-signed-1771548405
certificate self-signed 01
(CERTIFICATE)
quit
ip auth-proxy max-login-attempts 5
ip admission max-login-attempts 5
!
!
!
ip dhcp excluded-address 192.168.3.1
ip dhcp excluded-address 192.168.3.87
!
ip dhcp pool ccp-pool
import all
network 192.168.3.0 255.255.255.0
default-router 192.168.3.1
lease 0 2
!
!
ip domain name **
ip name-server 8.8.8.8
ip cef
no ipv6 cef
!

!
username admin privilege 15 secret 4 **********
!
!
!
!
!
!
!
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
lifetime 3600

crypto isakmp client configuration group VPN_CLIENTS
key ******
dns 192.168.1.5
pool VPN_CLIENT_POOL
acl 110
!
!
crypto ipsec transform-set TRANS_3DES_SHA esp-3des esp-sha-hmac
!
!
!
crypto dynamic-map EXT_DYNAMIC_MAP 10
set transform-set TRANS_3DES_SHA
!
!
crypto map EXT_MAP client authentication list VPN_CLIENT_LOGIN
crypto map EXT_MAP isakmp authorization list VPN_CLIENT_GROUP
crypto map EXT_MAP client configuration address respond
crypto map EXT_MAP 10 ipsec-isakmp dynamic EXT_DYNAMIC_MAP
!
!
!
!
!
interface FastEthernet0
no ip address
!
interface FastEthernet1
switchport access vlan 2
no ip address
!
interface FastEthernet2
no ip address
!
interface FastEthernet3
no ip address
!
interface FastEthernet4
description WAN Verbinding
no ip address
duplex full
speed 10
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface Vlan1
description local-lan
ip address 192.168.3.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1452
no autostate
!
interface Vlan2
description local
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
no autostate
!
interface Dialer0
no ip address
crypto map EXT_MAP
!
interface Dialer1
mtu 1492
ip address negotiated
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication pap callin
ppp pap sent-username ****** password 0 ******
crypto map EXT_MAP
!
ip local pool VPN_CLIENT_POOL 192.168.5.1 192.168.5.10
ip forward-protocol nd
ip http server
ip http secure-server
!
no ip nat service sip udp port 5060
ip nat inside source list 101 interface Dialer1 overload
ip nat inside source static tcp 192.168.1.5 80 interface Dialer1 80
ip nat inside source static tcp 192.168.1.5 443 interface Dialer1 443
ip nat inside source static tcp 192.168.1.8 8080 interface Dialer1 8081
ip nat inside source static tcp 192.168.1.5 3389 interface Dialer1 3389
ip nat inside source static udp 192.168.1.21 54657 interface Dialer1 54657
ip nat inside source static tcp 192.168.1.50 2000 interface Dialer1 2000
ip nat inside source static tcp 192.168.1.50 80 interface Dialer1 8082
ip nat inside source static udp 192.168.1.50 2000 interface Dialer1 2000
ip nat inside source static udp 192.168.1.50 80 interface Dialer1 8082
ip nat inside source static tcp 192.168.1.5 3101 interface Dialer1 3101
ip nat inside source static tcp 192.168.1.5 10050 interface Dialer1 10050
ip nat inside source static tcp 192.168.1.6 10051 interface Dialer1 10051
ip nat inside source static tcp 192.168.1.7 10052 interface Dialer1 10052
ip nat inside source static tcp 192.168.1.5 25 interface Dialer1 25
ip route 0.0.0.0 0.0.0.0 Dialer1
!
ip access-list extended NAT
ip access-list extended nat
!
access-list 101 permit ip 192.168.3.0 0.0.0.255 any
access-list 101 permit ip 192.168.1.0 0.0.0.255 any
access-list 110 permit ip 192.168.1.0 0.0.0.255 192.168.5.0 0.0.0.255
dialer-list 1 protocol ip permit
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
access-class 23 in
privilege level 15
transport input telnet ssh
!
scheduler max-task-time 5000
!
end

maandag 21 januari 2013 20:31

Acties:
  • 0 Henk 'm!
  • bartmau93
  • Registratie: November 2011
  • Laatst online: 10-07 23:04

bartmau93

Topicstarter
Equator,
Bedankt voor je bericht.
Ik was dit vergeten te vermelden, maar de router is voor elk netwerk ook de default gateway.

Bart

dinsdag 22 januari 2013 08:02

Acties:
  • 0 Henk 'm!
  • pablo_p
  • Registratie: Januari 2000
  • Laatst online: 20-05 22:14

pablo_p

Het probleem is je NAT overload op je dialer interface. Verkeer van buiten naar binnen wordt niet geblokkeerd door een ACL (lijkt me wel gewenst, puntje om die wel toe te voegen), maar het teruggaande verkeer gaat door de NAT overload en verandert daardoor van IP adres.

Je moet een access-list gebruiken voor die NAT overload. Functioneel moet je eerst VPN client verkeer excluden en daarna de rest wel laten NATten.

ip access-list extended acl-nat-overload
10 deny ip 192.168.1.0 0.0.0 192.168.5.0 0.0.0.255
20 deny ip 192.168.3.0 0.0.0 192.168.5.0 0.0.0.255
30 permit ip 192.168.1.0 0.0.0 any
40 permit ip 192.168.3.0 0.0.0 any

en dan het NAT overload statement vervangen door
ip nat inside source list acl-nat-overload interface Dialer1 overload

dinsdag 22 januari 2013 08:50

Acties:
  • 0 Henk 'm!
  • bartmau93
  • Registratie: November 2011
  • Laatst online: 10-07 23:04

bartmau93

Topicstarter
en dan het NAT overload statement vervangen door
ip nat inside source list acl-nat-overload interface Dialer1 overload
Beste,
Welke regels is dan nu mijn NAT overload?
Bedoel je deze:
ip nat inside source list 101 interface Dialer1 overload

dinsdag 22 januari 2013 10:21

Acties:
  • 0 Henk 'm!
  • pablo_p
  • Registratie: Januari 2000
  • Laatst online: 20-05 22:14

pablo_p

bartmau93 schreef op dinsdag 22 januari 2013 @ 08:50:
[...]


Beste,
Welke regels is dan nu mijn NAT overload?
Bedoel je deze:
ip nat inside source list 101 interface Dialer1 overload
Dat is je huidige NAT overload regel. Je had ook access-list 101 kunnen aanpassen door er twee regels voor te zetten.Het is een kwestie van smaak, maar ik vind named access-list veel duidelijker in de configuratie dan numbered.

dinsdag 22 januari 2013 10:23

Acties:
  • 0 Henk 'm!
  • bartmau93
  • Registratie: November 2011
  • Laatst online: 10-07 23:04

bartmau93

Topicstarter
beste pablo_p,

Ontzettend bedankt.!! dit was inderdaad het probleem.
Ik had een accesslist 101 fout genat, en ik zelf dacht dat het aan de 110 lag.
Wat ik nu heb gedaan:

ip access-list extended acl-nat-overload
deny ip 192.168.1.0 0.0.0.255 192.168.5.0 0.0.0.255
deny ip 192.168.3.0 0.0.0.255 192.168.5.0 0.0.0.255
permit ip 192.168.3.0 0.0.0.255 any
permit ip 192.168.1.0 0.0.0.255 any

en

ip nat inside source list acl-nat-overload interface Dialer1 overload.

Het enige wat nu nog nodig is, is dat met een account X wel toegang tot netwerk 3.0 en met account Y niet. Dit zelf is ook iets wat mijn huidige kennis niet kan, maar dat moet wel lukken.

Nogmaals; Bedankt!! :).

Groet,
Bart

dinsdag 22 januari 2013 10:29

Acties:
  • 0 Henk 'm!
  • Vicarious
  • Registratie: Juni 2008
  • Laatst online: 24-06-2024

Vicarious

☑Rekt | ☐ Not rekt

bartmau93 schreef op dinsdag 22 januari 2013 @ 10:23:


Het enige wat nu nog nodig is, is dat met een account X wel toegang tot netwerk 3.0 en met account Y niet. Dit zelf is ook iets wat mijn huidige kennis niet kan, maar dat moet wel lukken.
Zou ik niet aan beginnen met een Cisco routertje. Het kan allemaal wel, maar het wordt lastig om te configureren en te beheren. In dat geval zou ik je aanraden om een Cisco ASA aan te schaffen, daarin is het veel makkelijker om meerdere VPN profielen te maken en daar ook firewall rules aan te koppelen.

Vicariously I live while the whole world dies

dinsdag 22 januari 2013 10:37

Acties:
  • 0 Henk 'm!
  • bartmau93
  • Registratie: November 2011
  • Laatst online: 10-07 23:04

bartmau93

Topicstarter
Vicarious schreef op dinsdag 22 januari 2013 @ 10:29:
[...]

Zou ik niet aan beginnen met een Cisco routertje. Het kan allemaal wel, maar het wordt lastig om te configureren en te beheren. In dat geval zou ik je aanraden om een Cisco ASA aan te schaffen, daarin is het veel makkelijker om meerdere VPN profielen te maken en daar ook firewall rules aan te koppelen.
Beste,
Helaas is daar het budget en noodzaak niet voor.
Toch bedankt voor de info.

Bart
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq