Cisco-Router baut Tunnel nicht auf

[GoaSkin]

Hallo,

normalerweise beschäftige ich mich nicht Cisco-Routern. Jedoch muss ich gerade einen Router fertig konfigurieren, der bei jemandem zu Hause ins Heim-Netzwerk (DSL mit dynamischer IP und NAT) gehängt werden soll, damit ein Zugriff auf ein entferntes Intranet möglich ist.

Eigentlich ist die Sache recht sinnlos und ein VPN-Client auf dem Rechner würde die Sache sinnvoller lösen - ich weiss. Aber da hat jemand anders entschieden, dass es mit dem Cisco laufen soll.

Ich habe eine ezvpn-Konfiguratin aufgebaut, jedoch versucht der Router mit der folgenden Konfiguration garnicht mit dem Peer zu verbinden. Es findet keinerlei Kommunikation mit der Peer-IP statt. Weiss jemand warum die ipsec-Verbindung nicht aufgebaut wird bzw. überhaupt kein Verbindungsversuch gestartet wird? Würde ja nur die Verbindung fehlschlagen, gäbe es auch debug-Meldungen. Aber bei dieser Konfiguration werden die ganzen crypto-Anweisungen nahezu verdrängt:

!

! Last configuration change at 14:17:39 UTC Fri Dec 16 2011

!

version 15.1

no service pad

service timestamps debug datetime msec

service timestamps log datetime msec

no service password-encryption

!

hostname Router_B

!

boot-start-marker

boot-end-marker

!

!

!

aaa new-model

!

!

!

!

!

!

!

aaa session-id common

memory-size iomem 10

crypto pki token default removal timeout 0

!

crypto pki trustpoint TP-self-signed-3804050123

 enrollment selfsigned

 subject-name cn=IOS-Self-Signed-Certificate-3804050123

 revocation-check none

!

!

crypto pki certificate chain TP-self-signed-3804050123

 certificate self-signed 01

  55555555 55555555 55555555 55555555 55555555 55555555 55555555 55555555

                          . . .

  55555555 55555555 55555555 55555555 55555555 55555555 55555555 55555555

  55555555 55555555 55555555 555555

        quit

ip source-route

!

!

!

!

!

ip cef

no ip domain lookup

ip domain name netzwerk.local

no ipv6 cef

!

!

license udi pid CISCO881-K9 sn FCZ1602----

!

!

username netzwerk privilege 15 secret 5 verschlüsseltes-passwort

!

!

! 

!

!

!

!

!

crypto ipsec client ezvpn easyvpn

 connect auto

 group easyvpn key noch-ein-passwort

 mode network-extension

 peer 6.7.8.9

 xauth userid mode interactive

!

!

!

!

!

!

interface FastEthernet0

!

interface FastEthernet1

!

interface FastEthernet2

!

interface FastEthernet3

!

interface FastEthernet4

 description WAN

 ip address 192.168.11.167 255.255.255.0

 ip tcp adjust-mss 1452

 duplex auto

 speed auto

 crypto ipsec client ezvpn easyvpn

!

interface Vlan1

 ip address dhcp

 ip tcp adjust-mss 1452

 crypto ipsec client ezvpn easyvpn inside

!

ip forward-protocol nd

no ip http server

ip http secure-server

!

ip route 0.0.0.0 0.0.0.0 192.168.11.1

!

!

logging esm config

no cdp run

!

!

!

!

!

!

line con 0

 no modem enable

line aux 0

line vty 0 4

 privilege level 15

 transport input telnet ssh

!

scheduler max-task-time 5000

end

[Crash2001]

Wird der Tunnel nicht aufgebaut, wenn du nichts machst, oder wird er auch nciht aufgebaut, wenn du eine Ressource in dem "anderen Netz" anpingst?

Mit den Daten von nur einer Seite ist es jedoch ziemlich sinnlos zu debuggen - da müsste mana uch schon die Konfiguration der Gegenseite kennen...

[GoaSkin]

Den Grund für den Nicht-Aufbau des Tunnels habe ich inzwischen rausgefunden: Der Router setzt voraus, dass 1. sowohl der Fa4-Anschluss als auch Vlan1 auf zwei verschiedene Subnets konfiguriert sind und mindestens ein LAN-Anschluss sowie der WAN-Anschluss belegt sind.

Dabei soll das eigentlich kein durchgangs-Router werden, sondern vielmehr eine Lösung, die ankommende Pakete nur "eintunnelt" und sie dann auf dem gleichen Anschluss wieder ausgibt. Ist aber wohl im IOS nicht vorgesehen.

[Crash2001]

Hmmm.... so wirklich verstehe ich nicht, was der Router genau machen soll, bzw was du mit "eintunneln" meinst, aber gut...

[GoaSkin]

Der Router soll als Standardgateway für Anfragen auf einen externen privaten IP-Bereich dienen und hat selbst eine interne private IP.

Als IP-Sec-Client soll er eine Tunnel-Verbindung zu einem entfernten Cisco mit echter IP aufbauen und eingehende Daten mit externen privaten IPs als Ziel getunnelt dort hin senden. Die IPsec-Pakete soll er allerdings über das selbe Interface wieder ausgeben, wie jenes wo die lokalen Anfragen auf die externen privaten IPs ankommen.

Der Cisco selbst hat auch nur eine private IP, ist physikalisch gesehen kein Durchgangsrouter. Verbindung ins Internet macht ein zusätzlicher DSL-Router, der auch vom LAN direkt erreichbar ist.

Nutze ich am Cisco zwei Ports (auch wenn sie am selben Switch hängen), geht es unter der Voraussetzung, dass auf dem zweiten Port die IP eines anderen logischen Subnets genutzt wird und der DSL-Router ebenfalls eine zusätzliche IP erhält, die dann als Standard-Gateway genutzt werden kann.

Konfiguriere ich den Router so, dass die Pakete auf Vlan1 ankommen sollen und die IPSEC-Pakete dann ebenfalls über Vlan1 raus sollen, geht es nicht. Auch einzig Fa4 zu nutzen geht nicht. Dann probiert der Router erst garnicht, eine IPSEC-Verbindung zur Gegenstelle aufzubauen und weist jegliche Pakete mit der ICMP-Meldung REDIRECT->IP-DES-DSL-ROUTERS ab.

[Crash2001]

Achso,

ja gut, dann kann es durchaus sein, dass das nicht geht mit dem Router. Zumindest nicht so, wie du es möchtest. Eventuell könnte so etwas mittels Subinterfaces oder vlan-Interfaces jedoch dennoch gelöst werden.

Du bräuchtest dafür einen vlan fähigen und konfigurierbaren Switch, der mit einem Trunk mit dem Router verbunden wird. Über die Subinterface hat der Router dann unterschiedliche IP-Adressen und kann routen. Hat er nur eine IP-Adresse / nur ein Interface, so kann er natürlich nicht routen, da dafür immer mindestens 2 logische Interface notwendig sind.