---

Hej NG!

Jeg har en cisco 1605 router. Jeg anvender normalt en Cisco VPN Klient til
at koble på en 3005'er på mit arbejde. Det fungerer fint.

Jeg har arbejdet med at få den alm. windows VPN klient til at kunne koble op
mod samme koncentrator. Det har jeg også fået styr på nu, men fandt samtidig
ud af at den ikke vil igennem min router. Hvis jeg går uden om routeren
(sætter stikket fra min ADSL direkte i computeren) fungerer det fint.

Hvad er det lige præcis jeg ikke har fået gjort på min router som er
nødvendigt for at kunne køre VPN fra W2K? (den har software med Firewall).

mvh
Niels Henrik

- ps: hvis nogle skulle finde på at spøre hvorfor i al verden jeg ikke bare
bruger Cisco Klienten kan jeg oplyse at dette er et forsøg på at løse det
problem jeg tidligere har postet. (se svar der...)
Emne : W2K VPN-wizard => Cisco 3005 VPN koncentrator , 20-03-2002.

---

> Hvad er det lige præcis jeg ikke har fået gjort på min router som er
> nødvendigt for at kunne køre VPN fra W2K? (den har software med Firewall).

Det er ikke sikkert at du har glemt noget, for hvis du kører PAT gennem din
1605 så kan det faktisk godt være derfor, fordi PAT og IPsec ikke er de
bedste venner, specielt ikke når man mixer produkter.

Mig bekendt er det fordi at, IPsec er en defineret standard, og for at den
skal virke gennem PAT, laver de forskellige producenter om i IP pakkerne
således at det ikke længere er standard, og derved kan man risikere at to
forskellige produkter ikke virker sammen, nåd man benytter sig af PAT.

Med venlig hilsen

Kaj Erik Olsen

---

Jeg kører VPN fra W2K og XP med NAT gennem en 1605R med Pro@ccess ADSL

> Hvad er det lige præcis jeg ikke har fået gjort på min router som er
> nødvendigt for at kunne køre VPN fra W2K? (den har software med Firewall).

Har du husket at tillade incoming gre?

snip...
ip access-group 121 in
snip...
access-list 121 permit gre any host din.wan.ip.adr

/Kim

---

> Har du husket at tillade incoming gre?
>
> snip...
> ip access-group 121 in
> snip...
> access-list 121 permit gre any host din.wan.ip.adr
>

Jeg har slet ingen access-lists på mine interfaces? Så dermed skulle der vel
ikke være lukket?

mvh Niels Henrik

---

> Jeg har slet ingen access-lists på mine interfaces? Så dermed skulle der
vel
> ikke være lukket?

Eller også tillader den kun trafik der inspiceres af FW feature set.

Lad os se en SH CONF

/Kim

---

> Lad os se en SH CONF
>
> /Kim
>

Current configuration:
!
version 12.1
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname xxxx
!
logging buffered 10000 debugging
enable secret xxxxxxxxxx
enable password xxxxxxxxx
!
!
!
!
ip subnet-zero
ip name-server 194.239.134.83
ip name-server 193.162.153.164
no ip dhcp conflict logging
ip dhcp excluded-address 192.168.1.1
!
ip dhcp pool zeus_dhcp
network 192.168.1.0 255.255.255.0
dns-server 194.239.134.83 193.162.153.164
default-router 192.168.1.1
!
!
!
!
!
!
interface Ethernet0
ip address 192.168.1.1 255.255.255.0
ip nat inside
no cdp enable
!
interface Ethernet1
ip address a.b.c.d a.b.c.d
ip nat outside
no cdp enable
!
ip default-gateway a.b.c.d
ip nat inside source list 40 interface Ethernet1 overload
ip classless
no ip forward-protocol udp
ip route 0.0.0.0 0.0.0.0 a.b.c.d
no ip http server
ip mroute 192.168.1.0 255.255.255.0 static a.b.c.d
!
access-list 40 permit 192.168.1.0 0.0.0.255
no cdp run
!
line con 0
transport input none
line vty 0 4
password xxxxxxxxxxxxxx
login
!
end

---

Hmm. Det er en meget enkel konfiguration - iøvrigt uden Firewall features
(IP INSPECT)!
Disse tre linier kan jeg ikke umiddelbart se formålet med.

> ip default-gateway a.b.c.d
> no ip forward-protocol udp
> ip mroute 192.168.1.0 255.255.255.0 static a.b.c.d

Ved du selv hvorfor de er der? Jeg er især usikker på "no ip
forward-protocol udp", betyder det, at klienter ikke kan lave dns-opslag?

Hvilket abonnementstype har du?

/Kim

---

> Hmm. Det er en meget enkel konfiguration - iøvrigt uden Firewall features
> (IP INSPECT)!

Lidt uden for emnet, men vil det sige at firewallen slet ikke er aktiv -
hvilke features vil du i givet fald anbefale?

> Disse tre linier kan jeg ikke umiddelbart se formålet med.
>
> > ip default-gateway a.b.c.d
> > no ip forward-protocol udp
> > ip mroute 192.168.1.0 255.255.255.0 static a.b.c.d

Det var vist rester af gamle forsøg - De er nu fjernet, men resultatet er
det samme.

> Hvilket abonnementstype har du?

TDC netexpress ADSL 1024/256

mvh NHE

---

> > Hvilket abonnementstype har du?
>
> TDC netexpress ADSL 1024/256

Nu bliver jeg liige lidt forvirret; kører NE ikke med PPPoE (også selvom man
måtte have fast IP)? Jeg ser ingen vpdn, eller dialer i din config.

?? / Kim

---

>
> Nu bliver jeg liige lidt forvirret; kører NE ikke med PPPoE (også selvom
man
> måtte have fast IP)? Jeg ser ingen vpdn, eller dialer i din config.
>
Jeg har faktisk hørt om nogen der gør men ...?

Det kører perfekt som det er nu, bortset fra det nævnte problem. Mine 2-3
PC'ere går fin på nettet uden problemer, min Cisco VPN klient fungerer fint
op mod VPN-koncentratoren på arbejde, men windows VPN klienten vil bare ikke
køre gennem routeren. Den kører PPTP og strander hvor den skal godkende
password. Tager jeg stikket fra min netexpress ud af routeren og sætter
direkte i PC'en fungerer det. Derfor mener jeg det må være noget med
routerens config?

---

> Jeg har faktisk hørt om nogen der gør men ...?
>
> Det kører perfekt som det er nu, bortset fra det nævnte problem. Mine 2-3
> PC'ere går fin på nettet uden problemer, min Cisco VPN klient fungerer
fint
> op mod VPN-koncentratoren på arbejde, men windows VPN klienten vil bare
ikke
> køre gennem routeren. Den kører PPTP og strander hvor den skal godkende
> password. Tager jeg stikket fra min netexpress ud af routeren og sætter
> direkte i PC'en fungerer det. Derfor mener jeg det må være noget med
> routerens config?
>
Er du nu helt sikker på, at det var den aktuelle konfiguration du viste os?!
Er du rar at vise en:

# show version
og
# show running-config

- og nøjes med at ændre passwords mv. Men helst ikke slette linier.

Jeg er virkelig forundret - Kim

---

> Er du rar at vise en:
>
> # show version
> og
> # show running-config
>
> - og nøjes med at ændre passwords mv. Men helst ikke slette linier.

Ja, her er den utrolige konfiguration A.B.C.D = min faste IP, X.X.X.X =
default gateway. Hvorfor er det egentlig du mener at denne conf ikke burde
virke?

mvh
NHE

zeus#sh ver
Cisco Internetwork Operating System Software
IOS (tm) 1600 Software (C1600-OSY56I-M), Version 12.1(3), RELEASE SOFTWARE
(fc1)
Copyright (c) 1986-2000 by cisco Systems, Inc.
Compiled Wed 05-Jul-00 15:39 by cmong
Image text-base: 0x02005000, data-base: 0x02947930

ROM: System Bootstrap, Version 12.0(3)T, RELEASE SOFTWARE (fc1)
ROM: 1600 Software (C1600-RBOOT-R), Version 12.0(3)T, RELEASE SOFTWARE
(fc1)

zeus uptime is 3 days, 35 minutes
System returned to ROM by power-on
System image file is "flash:c1600-osy56i-mz.121-3.bin"

cisco 1605 (68360) processor (revision C) with 15872K/512K bytes of memory.
Processor board ID 24185776, with hardware revision 00000003
Bridging software.
X.25 software, Version 3.0.0.
2 Ethernet/IEEE 802.3 interface(s)
System/IO memory with parity disabled
8192K bytes of DRAM onboard 8192K bytes of DRAM on SIMM
System running from RAM
7K bytes of non-volatile configuration memory.
6144K bytes of processor board PCMCIA flash (Read/Write)

Configuration register is 0x2102

zeus#
zeus#sh run
Building configuration...

Current configuration:
!
version 12.1
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname zeus
!
logging buffered 10000 debugging
enable secret 5 $1$D.Lx$qnerbdyd0S8N21d12s6841
enable password xxxxxxxxxxxxxxxxx
!
!
!
!
!
ip subnet-zero
ip name-server 194.239.134.83
ip name-server 193.162.153.164
no ip dhcp conflict logging
ip dhcp excluded-address 192.168.1.1
!
ip dhcp pool zeus_dhcp
network 192.168.1.0 255.255.255.0
dns-server 194.239.134.83 193.162.153.164
default-router 192.168.1.1
!
!
!
!
!
!
interface Ethernet0
ip address 192.168.1.1 255.255.255.0
ip nat inside
no cdp enable
!
interface Ethernet1
ip address A.B.C.D 255.255.255.240
ip nat outside
no cdp enable
!
ip nat inside source list 40 interface Ethernet1 overload
ip classless
ip route 0.0.0.0 0.0.0.0 X.X.X.X
no ip http server
!
access-list 40 permit 192.168.1.0 0.0.0.255
no cdp run
banner motd ^ZEUS! Private Network
^C
!
line con 0
transport input none
line vty 0 4
password xxxxxxxxxxx
login
!
end

zeus#

---

> Ja, her er den utrolige konfiguration A.B.C.D = min faste IP, X.X.X.X
=
> default gateway. Hvorfor er det egentlig du mener at denne conf ikke burde

Jeg troede, at NetExpress var PPPoE, det lader ikke til at være tilfældet.
Mit umiddelbare bud er, at den burde virke. Een lille ting dog, er du sikker
på at din netmask er rigtig?

Plan B: Har du mulighed for at prøve med en nyere IOS?

Plan C: Lav en ny posting, så andre kan komme med (mere kvalificerede
bud (evt. i news:tele.internet.adsl).

Sorry - Kim

---

OK! Thanks anyway.... Jeg fik da rydet lidt op i min konfiguration!

mvh
Niels Henrik
"Kim Bjoern Nielsen" <fornavn.efternavn@pjat.dk> skrev i en meddelelse
news:3cd39613$0$58779$edfadb0f@dspool01.news.tele.dk...
> > Ja, her er den utrolige konfiguration A.B.C.D = min faste IP,
X.X.X.X
> =
> > default gateway. Hvorfor er det egentlig du mener at denne conf ikke
burde
>
> Jeg troede, at NetExpress var PPPoE, det lader ikke til at være tilfældet.
> Mit umiddelbare bud er, at den burde virke. Een lille ting dog, er du
sikker
> på at din netmask er rigtig?
>
> Plan B: Har du mulighed for at prøve med en nyere IOS?
>
> Plan C: Lav en ny posting, så andre kan komme med (mere kvalificerede
> bud (evt. i news:tele.internet.adsl).
>
> Sorry - Kim
>
>
>
>