Cisco transparant tunneling

[eatsoup]

Geachte lezer,

Het probleem is als volgt:
We hebben een cisco router, welke ook is geconfigureerd als vpn-router.
Opzich geen probleem, mensen kunnen connecten zonder problemen.
Er is echter een klant, welke wel kan connecten maar vervolgens binnen ons netwerk niets kan pingen (kan dus niets bereiken).

Er is dan in de cisco client een optie: "Enable transparant tunneling" (tcp of udp), deze krijgt alleen niemand aan de praat (klant zelf niet, maar wij ook niet met testen).

Mijn vraag is dus, hoe kan ik zorgen dat deze optie wel mogelijk is.
Hieronder de router configuratie.

!
version 12.4
no service pad
service tcp-keepalives-in
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
!
hostname C1841
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
no logging monitor
enable secret 5 xxxxxxxxxxxxxxxxxxx
!
aaa new-model
!
!
aaa authentication login userauthen local
aaa authorization network groupauthor local
!
!
aaa session-id common
dot11 syslog
ip source-route
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.10.1 192.168.10.50
ip dhcp ping packets 3
!
ip dhcp pool Lokaal
   import all
   network 192.168.10.0 255.255.255.0
   default-router 192.168.10.1
   dns-server xxx.xxx.235.1 xxx.xxx.235.2
   domain-name xxxxxxxxx
   lease 0 1
!
!
ip cef
no ip domain lookup
ip multicast-routing
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!
!
!
username xxxxxxx privilege 15 secret 5 xxxxxxx
username xxxxxxx password 7 xxxxxxx
username xxxxxxx password 7 xxxxxxx
username xxxxxxx password 7 xxxxxxx
username xxxxxxx password 7 xxxxxxx
username xxxxxxx password 7 xxxxxxx
username xxxxxxx password 7 xxxxxxx
username xxxxxxx
username xxxxxxx
username xxxxxxx privilege 15 secret 5 xxxxxxx
archive
 log config
  hidekeys
!
!
crypto isakmp policy 1
 encr aes
 authentication pre-share
 group 2
!
crypto isakmp client configuration group stream
 key xxxxxxx
 dns xxxxxxx
 domain xxxxxxx
 pool ippool
 acl 101
!
!
crypto ipsec transform-set myset esp-des esp-md5-hmac
!
crypto dynamic-map dynmap 10
 set transform-set myset
 reverse-route
!
!
crypto map clientmap client authentication list userauthen
crypto map clientmap isakmp authorization list groupauthor
crypto map clientmap client configuration address respond
crypto map clientmap 10 ipsec-isakmp dynamic dynmap
!
!
!
!
!
!
interface FastEthernet0/0
 description LAN Inside Connection
 ip address 192.168.10.1 255.255.255.0
 ip pim sparse-dense-mode
 ip virtual-reassembly
 ip tcp adjust-mss 1452
 duplex auto
 speed auto
!
interface FastEthernet0/1
 description wan Link to CPE
 no ip address
 ip virtual-reassembly
 load-interval 30
 speed 100
 full-duplex
 pppoe enable group global
 pppoe-client dial-pool-number 1
!
interface Dialer1
 description Traffic PPPoE Connection
 mtu 1492
 ip unnumbered FastEthernet0/0
 ip verify unicast reverse-path
 ip pim sparse-dense-mode
 ip virtual-reassembly
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 snmp trap ip verify drop-rate
 no cdp enable
 ppp authentication pap callin
 ppp pap sent-username xxxxxxx password 7 xxxxxxx
 crypto map clientmap
!
ip local pool ippool 192.168.11.10 192.168.11.90
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer1
no ip http server
no ip http secure-server
!
!
!
access-list 1 permit any
access-list 101 permit ip 192.168.11.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 101 permit ip 192.168.10.0 0.0.0.255 any
access-list 101 permit ip 192.168.11.0 0.0.0.255 any
dialer-list 1 protocol ip permit
no cdp run

!
!
!
!
!
!
control-plane
!
!
!
line con 0
line aux 0
line vty 0 4
 transport input telnet
line vty 5 15
 transport input telnet
!
scheduler allocate 20000 1000
end

Iemand enig idee? alvast bedankt,

Groetjes,
Luuk

 

[robbietjuh]

De klant kan dus niks binnen jullie netwerk berijken, ook niet een webserver waar gewoonweg "Yes! It works" op staat? (standaard Apache pagina).

Probeer eens te kijken of de klant Windows of Linux gebruikt, en kijk bij de Knowledgebase van de fabrikant of er problemen met het besturingssysteem zijn.
Het kan ook nog in de login zitten, misschien gebruikt de klant een verkeerde Tunneling (PPTP, IP2P ofzo, etc.).

Ik heb zelf ook een VPN verbinding en een klant van mijn zijde kon ook niet connecten.
Dit lag echter zijn eigen router/modem, via contact opnemen met zijn ISP heeft hij een script gekregen wat de router/modem zo insteld dat VPN verbindingen werden toegestaan naar buitenstaande, externe bronnen.

Mvg,
Robert

 

[eatsoup]

robbietjuh bedankt voor je reactie,

Vergeten te zeggen, maar de klant maakt gebruik van de cisco vpn client, deze is volledig gelijk getrokken met onze configuratie. Daarnaast heeft de klant het getest op een andere verbinding, dan werkt het wel.
Het zit hem dus waarschijnlijk in hun firewall.
Collega's van de klant hebben meerdere vpn verbindingen die vanuit hun netwerk wel werken, maar bij hun is de optie "transparant tunneling" aangevinkt. dus hoopte hiermee ook ons probleem te omzeilen.

Groetjes, Luuk

 

[robbietjuh]

Is het misschien mogelijk om te proberen de configuratie van de collega's van je klant over te zetten naar de niet-werkende configuratie van je klant?
Of is dat al geprobeerd en blijft daaruit dat dat ook niet werkt?

Mvg,
Robert

 

[eatsoup]

De configuratie is op de optie "transparant tunneling" na gelijk aan die van zijn collega's (met andere ip adressen e.d. natuurlijk.

 

[robbietjuh]

Okay, en met de optie "Transparant tunneling" ingeschakeld werkt het alsnog niet bij de klant?
Heeft de klant al geprobeerd te verbinden via de Windows-based VPN connector?
Is er misschien ook een specifieke foutcode of foutmelding die de klant te zien krijgt welke je misschien kunt opzoeken op de Knowledgebase van Cisco?

Mvg,
Robert

EDIT:
Controleer of de klant gebruiker van KPN is. KPN ondersteund geen uitgaande, naar externe bronnen linkende VPN-Verbindingen.

EDIT2:
Zorg ervoor dat het ip adres word ingevuld bij de klant, en niet een domeinnaam.
Het kan zijn dat de DNS ertussen fouten veroorzaakt.

 

[eatsoup]

KPN: ik weet zo niet welke provider ze hebben, maar naar andere vpn's werkt het wel, dus lijkt me gewoon goed.
Hij kan niet connecten als transparant tunneling is ingeschakeld (zonder kan hij wel connecten maar niets in het netwerk bereiken.)

Hij gebruikt ip, geen domein naam.

Groetjes,
Luuk

 

[robbietjuh]

Probeer tijdelijk (!!) de firewall uit te schakelen op zowal de servers van jou als bij de client, oftewel de klant.
Kijk ook meteen of de firewall een beveiligingsopties op juiste wijze zijn ingesteld dat je servers niet alles weigeren door een verkeerde rule.

 

[eatsoup]

firewall bij ons al eens uitgeschakeld, firewall bij klant is helaas geen optie.
Ik hoopte dat ik met een aanpassing op de router kon zorgen dat "transparant tunneling" wel gebruikt kon worden.
Zoals ik al zei, kunnen wij die optie namelijk ook niet gebruiken.

 

[eatsoup]

Iemand nog ideeën? ik loop hier echt op vast.....
Alvast bedankt,

Luuk