wer kennt sich mit cisco routern aus?

protec

Ensign
Dabei seit
Juni 2004
Beiträge
202
hi,

also ich versuche grade ein szenario mit cisco router und server(win 2003). habe dazu ein cisco 2620 router und einen server.
auf dem server ist AD und VPN konfiguriert. und auf dem router die ports freigeschalten.
wenn ich nun VPN per PPTP einwählen lasse, dann klappt das ohne Probleme. Stelle ich aber auf L2TP mit IPSec um, kommt beim Client nur die Ansage "verbindungsversuch zu <IP>" und danach eine Zeitüberschreitung.....
habe auf dem cisco router befehle wie "crypto isakmp..." und ähnlich schon durchpropiert und mit Mobile IP aber alles will nicht so recht....der kommt einfach nicht weiter....
hab dann auch nach NAT TRAVERSAL gesucht bei cisco - war aber auch nix wirkungsvolles.

die Authentifizierung mit L2TP+IPSec klappt am Server - hab ich über Netzwerk erfolgreich getestet...

hat jemand eine Konfig oder anleitung für sowas?

vielen dank schon mal im vorraus
 

protec

Ensign
Ersteller dieses Themas
Dabei seit
Juni 2004
Beiträge
202
also ich hab den port 1701 tcp/udp als eingehendes nat und den port 500 auch tcp udp.

das problem bei der sache ist ja das der originale ip header verändert wird und der router dies als fragment oder ähnliches ansieht und verwirft....so wurde es mir zumindest erklärt. und das es mit dem nat traversal durchgeleitet wird,aber leider find ich den befehl nicht...das würde aber dem "passthrough" entsprechen

werd aber morgen auf arbeit versuchen den port 50 und 51 frei zu schalten....
 

protec

Ensign
Ersteller dieses Themas
Dabei seit
Juni 2004
Beiträge
202
ja das dokument habe ichauch schon gefunde - leider ohne erfolg....werd mal das mit einem anderen router morgen probieren.....vllt liegt ja ein kleiner fehler vor....
trotzdem danke
 

Willüüü

Rear Admiral
Dabei seit
März 2004
Beiträge
5.678
Zitat von protec:
also ich hab den port 1701 tcp/udp als eingehendes nat und den port 500 auch tcp udp.

das problem bei der sache ist ja das der originale ip header verändert wird und der router dies als fragment oder ähnliches ansieht und verwirft....so wurde es mir zumindest erklärt. und das es mit dem nat traversal durchgeleitet wird,aber leider find ich den befehl nicht...das würde aber dem "passthrough" entsprechen

werd aber morgen auf arbeit versuchen den port 50 und 51 frei zu schalten....
50 und 51? Naja gut, kommisch eigentlich sollte er damit klarkommen, gerade weil Cisco eigentlich da nichts eigensinnig machen sollte, jedenfalls bei VPN nicht. Bei mir klappt es mit Port 1701 und 500 perfekt. Der orginale IP-Header wird übrigens nicht direkt verändert, wollte ich nur mal gesagt haben.
 

protec

Ensign
Ersteller dieses Themas
Dabei seit
Juni 2004
Beiträge
202
der port 50/51 steht bei dem o.g. link deswegen..

das originale paket wird vercryptet und ein neuer header mit authentifizierung, esp + ip wird neu erstellt. hab mich da eben komisch ausgedrückt....sry

hast du es auch auf einen cisco router gemacht?
 
Zuletzt bearbeitet:

Willüüü

Rear Admiral
Dabei seit
März 2004
Beiträge
5.678
Nein ich habe es auf einem SMC Router gemacht. Ohne Probleme, kenne auch wenige Leute mit Cisco Erfahrung. Wende dich mal an www.administrator.de Da findest du sehr kompetente Leute.
 

[Moepi]1

Lt. Commander
Dabei seit
Jan. 2002
Beiträge
1.233
Die "crypto isakmp" Befehlsgruppe am Cisco lass mal in Ruhe. Damit machste aus dem Cisco nen VPN Server. Das was Du willst, is ja so ne Art IPSec PassThrough. Mit NAT macht aber IPSec häufig Probleme, da die IP Header modifziert werden, was AH (dem Integraitätsprotokoll) aber auffällt.
Soweit ich das eben überfolgen hab hast Du auch vergessen den UDP Port 4500 freizugeben. Der wird für L2TP benötigt.
 

protec

Ensign
Ersteller dieses Themas
Dabei seit
Juni 2004
Beiträge
202
hi,

@moepi

das bist schon der 2. der mir das sagt. bin ich schonmal beruhigt.habe den port 4500 auch genattet nur was mein problem ist wird eventuell folgendes sein.
da bei pc's - also der client und server jeweils hinter NAT sitzen wird das durch WinXP nicht gehen - laut MS aussage:

http://support.microsoft.com/default.aspx?scid=kb;en-us;885407

werd ich auch gleich mal probieren.habe in nem anderen forum eine config bekommen mit haufen crypto... befehlen und war völlig umsonst... :rolleyes:
 
Top