Hallo,

normalerweise beschäftige ich mich nicht Cisco-Routern. Jedoch muss ich gerade einen Router fertig konfigurieren, der bei jemandem zu Hause ins Heim-Netzwerk (DSL mit dynamischer IP und NAT) gehängt werden soll, damit ein Zugriff auf ein entferntes Intranet möglich ist.

Eigentlich ist die Sache recht sinnlos und ein VPN-Client auf dem Rechner würde die Sache sinnvoller lösen - ich weiss. Aber da hat jemand anders entschieden, dass es mit dem Cisco laufen soll.


Ich habe eine ezvpn-Konfiguratin aufgebaut, jedoch versucht der Router mit der folgenden Konfiguration garnicht mit dem Peer zu verbinden. Es findet keinerlei Kommunikation mit der Peer-IP statt. Weiss jemand warum die ipsec-Verbindung nicht aufgebaut wird bzw. überhaupt kein Verbindungsversuch gestartet wird? Würde ja nur die Verbindung fehlschlagen, gäbe es auch debug-Meldungen. Aber bei dieser Konfiguration werden die ganzen crypto-Anweisungen nahezu verdrängt:

Code:

!
! Last configuration change at 14:17:39 UTC Fri Dec 16 2011
!
version 15.1
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router_B
!
boot-start-marker
boot-end-marker
!
!
!
aaa new-model
!
!
!
!
!
!
!
aaa session-id common
memory-size iomem 10
crypto pki token default removal timeout 0
!
crypto pki trustpoint TP-self-signed-3804050123
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-3804050123
 revocation-check none
!
!
crypto pki certificate chain TP-self-signed-3804050123
 certificate self-signed 01
  55555555 55555555 55555555 55555555 55555555 55555555 55555555 55555555
                          . . .
  55555555 55555555 55555555 55555555 55555555 55555555 55555555 55555555
  55555555 55555555 55555555 555555
        quit
ip source-route
!
!
!
!
!
ip cef
no ip domain lookup
ip domain name netzwerk.local
no ipv6 cef
!
!
license udi pid CISCO881-K9 sn FCZ1602----
!
!
username netzwerk privilege 15 secret 5 verschlüsseltes-passwort
!
!
! 
!
!
!
!
!
crypto ipsec client ezvpn easyvpn
 connect auto
 group easyvpn key noch-ein-passwort
 mode network-extension
 peer 6.7.8.9
 xauth userid mode interactive
!
!
!
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
 description WAN
 ip address 192.168.11.167 255.255.255.0
 ip tcp adjust-mss 1452
 duplex auto
 speed auto
 crypto ipsec client ezvpn easyvpn
!
interface Vlan1
 ip address dhcp
 ip tcp adjust-mss 1452
 crypto ipsec client ezvpn easyvpn inside
!
ip forward-protocol nd
no ip http server
ip http secure-server
!
ip route 0.0.0.0 0.0.0.0 192.168.11.1
!
!
logging esm config
no cdp run
!
!
!
!
!
!
line con 0
 no modem enable
line aux 0
line vty 0 4
 privilege level 15
 transport input telnet ssh
!
scheduler max-task-time 5000
end

Wird der Tunnel nicht aufgebaut, wenn du nichts machst, oder wird er auch nciht aufgebaut, wenn du eine Ressource in dem "anderen Netz" anpingst?

Mit den Daten von nur einer Seite ist es jedoch ziemlich sinnlos zu debuggen - da müsste mana uch schon die Konfiguration der Gegenseite kennen...

Den Grund für den Nicht-Aufbau des Tunnels habe ich inzwischen rausgefunden: Der Router setzt voraus, dass 1. sowohl der Fa4-Anschluss als auch Vlan1 auf zwei verschiedene Subnets konfiguriert sind und mindestens ein LAN-Anschluss sowie der WAN-Anschluss belegt sind.

Dabei soll das eigentlich kein durchgangs-Router werden, sondern vielmehr eine Lösung, die ankommende Pakete nur "eintunnelt" und sie dann auf dem gleichen Anschluss wieder ausgibt. Ist aber wohl im IOS nicht vorgesehen.

Hmmm.... so wirklich verstehe ich nicht, was der Router genau machen soll, bzw was du mit "eintunneln" meinst, aber gut...

Der Router soll als Standardgateway für Anfragen auf einen externen privaten IP-Bereich dienen und hat selbst eine interne private IP.

Als IP-Sec-Client soll er eine Tunnel-Verbindung zu einem entfernten Cisco mit echter IP aufbauen und eingehende Daten mit externen privaten IPs als Ziel getunnelt dort hin senden. Die IPsec-Pakete soll er allerdings über das selbe Interface wieder ausgeben, wie jenes wo die lokalen Anfragen auf die externen privaten IPs ankommen.

Der Cisco selbst hat auch nur eine private IP, ist physikalisch gesehen kein Durchgangsrouter. Verbindung ins Internet macht ein zusätzlicher DSL-Router, der auch vom LAN direkt erreichbar ist.

Nutze ich am Cisco zwei Ports (auch wenn sie am selben Switch hängen), geht es unter der Voraussetzung, dass auf dem zweiten Port die IP eines anderen logischen Subnets genutzt wird und der DSL-Router ebenfalls eine zusätzliche IP erhält, die dann als Standard-Gateway genutzt werden kann.

Konfiguriere ich den Router so, dass die Pakete auf Vlan1 ankommen sollen und die IPSEC-Pakete dann ebenfalls über Vlan1 raus sollen, geht es nicht. Auch einzig Fa4 zu nutzen geht nicht. Dann probiert der Router erst garnicht, eine IPSEC-Verbindung zur Gegenstelle aufzubauen und weist jegliche Pakete mit der ICMP-Meldung REDIRECT->IP-DES-DSL-ROUTERS ab.

Achso,

ja gut, dann kann es durchaus sein, dass das nicht geht mit dem Router. Zumindest nicht so, wie du es möchtest. Eventuell könnte so etwas mittels Subinterfaces oder vlan-Interfaces jedoch dennoch gelöst werden.

Du bräuchtest dafür einen vlan fähigen und konfigurierbaren Switch, der mit einem Trunk mit dem Router verbunden wird. Über die Subinterface hat der Router dann unterschiedliche IP-Adressen und kann routen. Hat er nur eine IP-Adresse / nur ein Interface, so kann er natürlich nicht routen, da dafür immer mindestens 2 logische Interface notwendig sind.