Hallo,
habe folgendes Problem bei der VPN Konfiguration mit einem 1811 und einem Cisco ASA auf der Gegenseite.
Es soll per IPSec/IKE getunnelt werden.
Verschlüsselung AES-256 (habe ich schon umgestellt)
Hash: SHA-1
Authentifizierung: Pre Shared Secret
Das eigentliche Problem an dem ich jetzt aber hänge ist, dass die Gegenseite eine bestimmte Encryption Domain erwartet. D.h.
Mein lokaler Rechner hat jetzt im LAN die IP 172.20.190.211/24
dieser soll aber von der Gegenseite über VPN im Netz als 172.29.0.192/255.255.255.240 erscheinen.
Bin mir leider nicht sicher ober mir hier N:N Adress Mapping weiterhilft?
Habt ihr eine Idee wie sich das auf dem 1811 umsetzen lässt?
Danke vorab.
ac
Encryption Domain
Moderator: Lancom-Systems Moderatoren
Hi acbattery
Wenn dein lokales Netz weniger als 16 Rechner hat, dann stellst du am besten einfach die Netzmaske passend auf 255.255.255.240 um.
Wenn du aber mehr Rechner hast, so daß du tatsächlich die 255.255.255.0 als Netzmaske brauchst, dann mußt du jetzt noch die Gegenstelle die VPN-Regelerzeugung von "automatisch" auf "manuell" umstellen und in der Firewall folgenden Regel erstellen:
Gruß
Backslash
genau dafür ist das N:N-Mapping ja da, du hast dabei nur das Problem, daß du ein /24-Netz nicht 1:1 auf ein /28 Netz abgebildet bekommst. Daher mußt du dir schon überlegen, welche Rechner das VPN nutzen könnnen sollen - die müssen dann in einer Hälfte des Netzes liegen...Bin mir leider nicht sicher ober mir hier N:N Adress Mapping weiterhilft?
als erstes richtest du für den Teil deines Netzes für den ein Mapping möglich ist das N:N-Mapping ein. Nehmen wir mal an, daß du die untere Hälfte mappst, dann erstellst du als erstes folgendes Mapping:Habt ihr eine Idee wie sich das auf dem 1811 umsetzen lässt?
Code: Alles auswählen
Gegenstelle: Name der VPN-Gegenstelle
Quell-IP: 172.20.190.0
Netzmaske: 255.255.255.0
Umgesetzte IP: 172.29.0.192Wenn du aber mehr Rechner hast, so daß du tatsächlich die 255.255.255.0 als Netzmaske brauchst, dann mußt du jetzt noch die Gegenstelle die VPN-Regelerzeugung von "automatisch" auf "manuell" umstellen und in der Firewall folgenden Regel erstellen:
Code: Alles auswählen
Quelle: 172.29.0.192/255.255.255.240
Ziel: das entfernte Netz
Aktion: übertragen
[x] diese Regel wird zur Erzeugung von VPN-Regeln herangezogenGruß
Backslash
Hi Backslash,
danke für die Antwort. Das hat mich schon ein ganzes Stück weitergebracht.
Der Tunnel wird jetzt aufgebaut.
Weißt Du ob man über den 1811 so überhaupt den Verbindungsaufbau korrekt testen kann (mit Ping etc), oder brauche ich den entsprechenden Client mit passender IP?
Z.Zt. habe ich nach Tunnel Aufbau der Phase 2 immer wieder einen 0x1106 Timeout.
Ich komme nämlich zum Testen im Moment leider nur per LANConfig, Telnet, etc. auf den Router aber nicht auf den Client-Rechner.
Gruß
ac
danke für die Antwort. Das hat mich schon ein ganzes Stück weitergebracht.
Der Tunnel wird jetzt aufgebaut.
Weißt Du ob man über den 1811 so überhaupt den Verbindungsaufbau korrekt testen kann (mit Ping etc), oder brauche ich den entsprechenden Client mit passender IP?
Z.Zt. habe ich nach Tunnel Aufbau der Phase 2 immer wieder einen 0x1106 Timeout.
Ich komme nämlich zum Testen im Moment leider nur per LANConfig, Telnet, etc. auf den Router aber nicht auf den Client-Rechner.
Gruß
ac
Hi acbattery
Was sagt denn ein VPN-Trace - ggf. zusätzlich mit einem ICMP-Trace, also tr # vpn icmp
Falls du ein Polling konfiguriert hast, dann deaktiviere es erstmal und schau ob du dann Daten übertragen kannst.
Danach kannst du das Polling wieder aktivieren, nur solltest du dabei beachten, daß du ein N:N-Mapping machst. Daher könnte es nötig sein, beim Polling eine passende Absenderadresse anzugeben, wenn du die interne Adresse des LANCOMs nicht mappst - zusätzlich muß dann diese Adresse dann auch noch als "Loopback-Adresse" im LANCOM konfiguriert werden...
Gruß
Backslash
nun ja, wenn du das irgendwie prüfen willst, dann brauchst du auf der anderen seite auch einen Rechner, der Pings beantwortet...Weißt Du ob man über den 1811 so überhaupt den Verbindungsaufbau korrekt testen kann (mit Ping etc), oder brauche ich den entsprechenden Client mit passender IP?
wenn die Phase 2 aufgebaut wurde, dann sollte die Verbindung in den Zustand "connected" gehen - es sei denn du hast ein Polling konfiguriert, das nicht beantwortet wird, weil z.B. das Poll-Ziel ein Ping-Blocking konfiguriert hat.Z.Zt. habe ich nach Tunnel Aufbau der Phase 2 immer wieder einen 0x1106 Timeout.
Was sagt denn ein VPN-Trace - ggf. zusätzlich mit einem ICMP-Trace, also tr # vpn icmp
An sich ist es ja schon erstaunlich, daß du mit einem Router eine Verbindung zu einem Client aufbaust - normalerweise ist das anders herum...Ich komme nämlich zum Testen im Moment leider nur per LANConfig, Telnet, etc. auf den Router aber nicht auf den Client-Rechner.
Falls du ein Polling konfiguriert hast, dann deaktiviere es erstmal und schau ob du dann Daten übertragen kannst.
Danach kannst du das Polling wieder aktivieren, nur solltest du dabei beachten, daß du ein N:N-Mapping machst. Daher könnte es nötig sein, beim Polling eine passende Absenderadresse anzugeben, wenn du die interne Adresse des LANCOMs nicht mappst - zusätzlich muß dann diese Adresse dann auch noch als "Loopback-Adresse" im LANCOM konfiguriert werden...
Gruß
Backslash