Cisco site 2 Site VPN - Grundlegendes

[StefanWe]

Hi,

ich eröffne hier mal einen neuen Thread, weil es in den anderen nicht mehr rein gehört.

Habe vergeblich mit dem Cisco Packet Tracer aus dem CCNA Kurs versucht einen VPN Tunnel aufzubauen. Vergeblich.
Nun werde ich das ganze auf der Arbeit mal mit echt Hardware nachbauen.
Aber hier ein paar Grundlagen die ich vorher gern geklärt haben möchte.

Als Hardware habe ich einen 1841 und einen 2821 jeweils mit 2 Fastethernet Anschlüssen.

1) Kann ich einen VPN Tunnel zwischen zwei Ethernetanschlüssen im gleichen Subnetz herstellen? Oder muss zwischen den Routern noch einmal nen Router stehen?
2) Brauche ich auf diesen Routern wirklich Accesslisten fürs VPN? Oder ist Standardmäßig nicht eigentlich alles aktiviert?

3) Wenn 2 "ja", dann wie müssen diese Listen aussehen? Traffic vom "client-Netz" oder traffic vom externen router interface zum andern router?

4) Wie müssen die Routen aussehen?

Als Beispielconfig schlage ich folgendes vor:

Das RouterInterface fa 0/0 ist jeweils das "LAN" und das 0/1 ist das "WAN" Interface.

Router1 0/0 10.200.0.1/24
Router1 0/1 192.168.0.254/24
Router2 0/0 10.200.0.2/24
Router2 0/1 192.168.10.254/24

Client1 192.168.0.1
Client2 192.168.10.1

Die Crypto Map und Transfom-set hab ich mitlerweile verstanden

[Otaku19]

1 hab ich dir doch schon beantwortet, das spielt nicht die geringste Rolle

Du benötigst zumindest 1 ACL, nämlich die in der du den traffic für den tunnel definierst, wie es da jetzt aber mit geneuen Regeln aussieht welche Dienste da drüber laufen dürfen bin ich atmo überfragt, aber ich vermute mal das kann man dann nur auf den "inneren" Interfaces regeln, und da bezieht man sich natürlich auf die gleichen Adressen/Netze die man in der cryptoACL hat.

und bevor der Router ein Paket überhaupt in IPsec verpacken kann muss er eine Route für das Paket haben, der route lookup kommt vor dem verpacken und hat mit der encryption ACL nichts zu tun.

[Wordo]

Also normalerweise probiert man was und wenns nicht klappt postet man hier sein Problem.

[StefanWe]

@Wordo: Das ist richtig, aber das Problem habe ich bereits, da ich keinen VPN Tunnel zum laufen bekomme. Da ich das heute mit Echt Hardware aufbauen möchte, möchte ich nur gern im Vorfeld gewisse Dinge bzw. Fehler ausschließen.

@Otaku:

Wenn ich das jetzt richtig verstehe muss die ACL so aussehen, dass der Traffic vom Internen Netz ins Interne Netz permited wird.

D.h.

access-lists 101 permit ip 192.168.0.0 0.0.0.255 192.168.10.0 0.0.0.255

Und entsprechend eine Route
add ip route 192.168.10.0 255.255.255.0 10.200.0.2

und auf dem Andern Router entsprechend andersherum.

Richtig ?

[Wordo]

Wieso machst du als Default GW nicht den anderen Router?

Deine alte Config hat ja soweit gepasst ...

[StefanWe]

Gut die Default Route würde auch gehen.

Aber ich kann mir irgendwie halt noch nicht so ganz damit anfreunden, das der Cisco Packettracer das problem ist. Da ich auf einigen Seiten gelesen habe, daser VPN unterstützt.

Danke trotzdem für die Hilfe.

[Otaku19]

das ist genau der grund warum man nicht mit dem Ding arbeitet, man kann nie sicher sein ob das Problem jetzt an der config oder dem emulator liegt

[StefanWe]

Habe es nun endlich hinbekommen.
Ich weiß nicht genau wo der Fehler war. Aber es funktioniert. Entweder es war eine nciht ganz korrekte ACL oder ich hab bei der Transformset etwas vergessen.

Aber es geht und das sowohl auf Hardware, als auch im Packet tracer.