Hub'n'Spoke Config auf 871 möglich?

[bnice]

Hallo,

wir haben hier eine VPN-Vernetzung mit 2 Cisco 871 zwischen unseren beiden Standorten. Für Servicemitarbeiter soll eine mobile VPN-Einwahl erfolgen, klappt bei den einzelnen Standorten bisher auch schon.
Allerdings sollen die Mobile-VPNs auch zum jeweils entfernten Standort über den festen Tunnel Zugriff haben.
Reicht dazu der Eintrag "include-local-lan" bei der client configuration, oder was ist sonst noch zu berücksichtigen dabei? Vor allem, wie kann ich das ganze debuggen, dass ich besser sehen kann, wo es hängt?
Vielen Dank!

[Wordo]

Wie waehlen sich die Servicemitarbeiter ein und welche IP bekommen die? Direkt vom Netz oder gibts ein Transfernetz?

[bnice]

Hi Wordo!

Die Clients wählen sich über den Cisco VPN-Client über die öff. IP der Geschäftsstellen ein.
Es gibt kein Transfernetz/GRE-Tunnel:

Client-IP: 192.168.x.y -> öffentl. IP Router -> Vlan1 (10.1.x.y)

von dort sollten sie dann über den bestehenden IPSec-Tunnel weiter zur anderen Geschäftsstelle (LAN 172.16.x.y) kommen.

Es ist für die Clients kein Split-Tunnel eingerichtet, es geht also jeglicher Verkehr in den Tunnel. Die Frage ist, ob der Router aufgrund fehlender ACLs blockt, oder ob seitens der Konfiguration noch Änderungen vorzunehmen sind... Kann ich mir auf der CLI anzeigen lassen, wenn Pakete aufgrund von ACL geblockt werden?

[Wordo]

Wenn du hinter die ACL ein "log" setzt ja. Wie sieht denn die Konfiguration auf dem Router aus?

[bnice]

Anbei die Konfig, etwas verkürzt.
"Log" für die ACL hab ich noch nicht aktiv.

! version 12.4 ... ! hostname router1 ... ! crypto isakmp policy 1 encr 3des authentication pre-share group 2 crypto isakmp key xxxxxxxx address xxxxxxxxxxx no-xauth ! crypto isakmp client configuration group gruppe-xyz key xxxxxxx dns xxxxxxxxx domain xxxxxxxx pool SDM_POOL_1 include-local-lan netmask 255.255.255.0 ! ! crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac ! crypto dynamic-map SDM_DYNMAP_1 1 set transform-set ESP-3DES-SHA reverse-route ! ! crypto map SDM_CMAP_1 client authentication list sdm_vpn_xauth_ml_1 crypto map SDM_CMAP_1 isakmp authorization list sdm_vpn_group_ml_1 crypto map SDM_CMAP_1 client configuration address respond crypto map SDM_CMAP_1 1 ipsec-isakmp description Tunnel toxxxxxxxxxx set peer xxxxxxxxxxxxx set transform-set ESP-3DES-SHA match address 101 crypto map SDM_CMAP_1 65535 ipsec-isakmp dynamic SDM_DYNMAP_1 ! ! ! ! ... ! interface FastEthernet4 no ip address ip nat outside no ip virtual-reassembly duplex auto speed auto pppoe enable pppoe-client dial-pool-number 1 ! interface Vlan1 description $FW_INSIDE$ ip address 10.10.1.1 255.255.0.0 ip access-group 100 in no ip proxy-arp ip accounting output-packets ip accounting access-violations ip nat inside no ip virtual-reassembly no ip route-cache cef no ip route-cache ip tcp adjust-mss 1300 no ip mroute-cache ! interface Dialer1 description T-Online$FW_OUTSIDE$ mtu 1444 ip address negotiated no ip redirects no ip proxy-arp ip nat outside no ip virtual-reassembly encapsulation ppp no ip route-cache cef no ip route-cache no ip mroute-cache dialer pool 1 dialer-group 1 no cdp enable ppp authentication chap pap callin ppp chap hostname xxxxxxxxx ppp chap password 7 xxxxxxxxxxxx crypto map SDM_CMAP_1 ! ip local pool SDM_POOL_1 192.168.10.10 192.168.10.20 ip route 0.0.0.0 0.0.0.0 Dialer1 ! no ip http server ip http access-class 3 ip http secure-server ip nat inside source route-map SDM_RMAP_1 interface Dialer1 overload ! access-list 1 remark INSIDE_IF=Vlan1 access-list 1 remark SDM_ACL Category=2 access-list 1 permit 10.10.0.0 0.0.255.255 access-list 2 remark SDM_ACL Category=2 access-list 2 permit 10.10.0.0 0.0.255.255 access-list 3 remark HTTP Access-class list access-list 3 remark SDM_ACL Category=1 access-list 3 permit 10.10.0.0 0.0.255.255 access-list 3 permit 172.16.0.0 0.0.255.255 access-list 3 deny any access-list 100 remark SDM_ACL Category=1 access-list 100 permit ip any any access-list 101 remark SDM_ACL Category=4 access-list 101 remark IPSec Rule access-list 101 permit ip 10.10.0.0 0.0.255.255 172.16.0.0 0.0.255.255 access-list 102 remark SDM_ACL Category=2 access-list 102 deny ip any host 192.168.10.10 ... access-list 102 deny ip any host 192.168.10.20 access-list 102 remark IPSec Rule access-list 102 deny ip 10.10.0.0 0.0.255.255 172.16.0.0 0.0.255.255 access-list 102 permit ip 10.10.0.0 0.0.255.255 any access-list 103 remark Incoming_Traffic access-list 103 permit ahp host w.x.y.z any access-list 103 permit esp host w.x.y.z any access-list 103 permit udp host w.x.y.z any eq isakmp access-list 103 permit udp host w.x.y.z any eq non500-isakmp access-list 104 remark VTY Access-class list access-list 104 remark SDM_ACL Category=1 access-list 104 permit ip 10.10.0.0 0.0.255.255 any access-list 104 permit ip host a.b.c.d any access-list 104 deny ip any any access-list 120 permit ip 10.10.0.0 0.0.255.255 192.168.1.0 0.0.0.255 access-list 120 permit ip 17.16.0.0 0.0.255.255 192.168.1.0 0.0.0.255 no cdp run ! ! route-map SDM_RMAP_1 permit 1 match ip address 102 ! ... end

[Wordo]

ip local pool SDM_POOL_1 192.168.10.10 192.168.10.20
access-list 101 permit ip 10.10.0.0 0.0.255.255 172.16.0.0 0.0.255.255

Da muss noch der Pool mit rein, sonst gehts nicht durch den Tunnel

[bnice]

Zitat von Wordo ip local pool SDM_POOL_1 192.168.10.10 192.168.10.20 access-list 101 permit ip 10.10.0.0 0.0.255.255 172.16.0.0 0.0.255.255 Da muss noch der Pool mit rein, sonst gehts nicht durch den Tunnel

D.h.
access-list 101 permit ip 192.168.10.10 0.0.0.0 172.16.0.0 0.0.255.255
... bis ...
access-list 101 permit ip 192.168.10.20 0.0.0.0 172.16.0.0 0.0.255.255
?

Muss auf der Gegenseite auch entsprechend eine ACL eingerichtet werden?
Also bräuchte ich keine Hub'n'Spoke-Config erstellen, oder?

[Wordo]

Hub&Spoke mit Cisco VPN Clients ... hmmmm.

Also da der Pool ja statisch ist, wuerd ich nur die ACL nehmen:

access-list 101 permit ip 192.168.10.20 0.0.0.31 172.16.0.0 0.0.255.255

Das sind halt die IP's von 1-30 (usable).

Kommt halt drauf an ob du die anderen benutzt.

Muss natuerlich auf beiden Seiten eingetragen werden. Und die ACL mit dem eigenen Netz natuerlich nicht rausnehmen (10.XXXX -> 172.16XXX)

[bnice]

Hi Wordo,

das hat so leider noch nicht geklappt.
Ich habe auf dem einen Router dann die ACL wieder gelöscht (um hinterher wieder den alten Eintrag für die ACL 101 vorzunhmen) und festgestellt, dass der Tunnel zwischen den beiden Routern weiterlief, obwohl von der crypto map SDM_CMAP_1 noch ein Verweis auf die nicht existente ACL101 vorhanden war.
Hast Du dafür eine Erklärung?
Die crypto map meckert er jetzt ja auch korrekterweise als incomplete an... Der Tunnel steht trotzdem.
Aber noch mal was anderes: Ich muss jetzt noch mehrere feste IPSec-Tunnel zu anderen Lokationen aufbauen, daher überlege ich, ob es nicht sinnvoll wäre, das Gesamtkonzept noch einmal zu überdenken. Im jetzigen Zustand kann ich ja nur eine Crypto-Map an den Dialer binden, und das müsste ich ja für verschiedene realisieren. Müsste ich dazu doch wieder auf GRE-Tunnel umsteigen?
Wieviele VPN-Verbindungen schafft der 871 denn überhaupt gleichzeitig in der Praxis? Hast Du da Erfahrungswerte?

[Wordo]

Zitat von bnice Ich habe auf dem einen Router dann die ACL wieder gelöscht (um hinterher wieder den alten Eintrag für die ACL 101 vorzunhmen) und festgestellt, dass der Tunnel zwischen den beiden Routern weiterlief, obwohl von der crypto map SDM_CMAP_1 noch ein Verweis auf die nicht existente ACL101 vorhanden war. Hast Du dafür eine Erklärung?

Hm, spaetestens nach Ablauf der Lifetime sollte das nicht mehr funktionieren. Normalerweise nimmt man vor eine Aenderung der ACL's die crypto map vom Interface weg (so wie bei "richtigen" ACL's auch).

Zitat von bnice Aber noch mal was anderes: Ich muss jetzt noch mehrere feste IPSec-Tunnel zu anderen Lokationen aufbauen, daher überlege ich, ob es nicht sinnvoll wäre, das Gesamtkonzept noch einmal zu überdenken. Im jetzigen Zustand kann ich ja nur eine Crypto-Map an den Dialer binden, und das müsste ich ja für verschiedene realisieren. Müsste ich dazu doch wieder auf GRE-Tunnel umsteigen? Wieviele VPN-Verbindungen schafft der 871 denn überhaupt gleichzeitig in der Praxis? Hast Du da Erfahrungswerte?

Je nachdem wieviel Bandbreite du hast kannst du einen Router als "Concentrator" auswaehlen zu dem alle ein VPN machen. Darunter kannste dann die Netze mit ACL's trennen. Klar kannst du nur eine crypto map pro Interface festlegen, allerdings kannst du auch mehrere Peers fuer eine crypto map festlegen.
Die Anzahl maximaler Tunnel ist fuer die 870er Reihe definiert, ich glaube es sind 30 oder so. Das steht auf cisco.com unter Model comparison oder so.