IPSec mit dynamischer IP - Lösungsansatz?

[DocZenith]

Hallo Community.

Ich stehe vor folgendem Problem. Ich möchte eine Site2Site VPN aufbauen. Auf der einen Seite eine Fritzbos 7390, auf der anderen Seite ein Cisco Router. Auf dem Cisco Router sind zwei externe Interfaces aktiv, das Interface mit der niedrigeren Bandbreite wird als Default Gateway genutzt. Nun möchte ich die VPN aber über das Interface mit der höheren Bandbreite nutzen. Ich sehe das Problem, da der Standort mit der Fritzbox eine dyn IP hat, dass ich keine richtige Route auf dem Cisco konfigurieren kann, so dass der Traffic über das zweite, größere Interface läuft. Bestimmt gibt es da Lösungsansätze.

Ich habe da etwas im Hinterkopf, dass man eingehende VPN Verbindungen auch anhand eines Namens, einer ID oder so authentifizieren kann, aber ich hab dazu kein Schlagwort was ich googeln könnte.

Über Hilfe und Tipps würde ich mich freuen.

Gruß.

[Otaku19]

ja, aber wohl eher nicht mit der fritzbox als gegenüber. EasyVPN wäre hier brauchbar

[Servidge]

Ist eigentlich nicht so schwer.
Vorher aber noch ne Frage. Haben beide Seiten eine Dynamische IP oder nur eine Seite? Sind auf der Cisco Seite auf beiden WAN Schnittstellen VPN Verbindungen eingerichtet oder ist das jetzt die erste?

[Otaku19]

hm, wenn ich es mir recht überlege...ne, am Routing ändert das easyVPN eigentlich nix.

[DocZenith]

Hallo,

auf der Cisco Seite sind beide Interfaces mit statischen IPs und über beide laufen schon etliche VPNs, jedoch alle mit statischen Adressen.

Ich könnte mir so etwas vorstellen, dass eine ACL oder irgend ein Cisco Commando auf dem Router nach der eingehenden VPN die ID prüft, und wenn ein match gefunden wird, das Routing gesetzt werden kann.

Gruß.

[Servidge]

Ok, ist dann doch etwas größer als vermutet, aber auf den beiden WAN Schnittstellen werden wohl unterschiedliche Cryptomaps gebunden sein und somit ist das Ausgangsinterface klar.

Für die dynamischen peers (IOS feature) wird unter der cryptomap folgendes konfiguriert:

Code:

crypto map HOME 20 ipsec-isakmp 
 set peer hostname.dyndns.org dynamic
 set transform-set TRANSFORM-SET-NAME
 match address ACL123

Und ganz wichtig, der presharedkey mit einer Wildcard als Adresse. (alles erlaubt)

Code:

crypto isakmp key Pre-shared-key address 0.0.0.0 0.0.0.0

Warum bei der crypromap hostnamen eingetragen werden können, aber nicht für crypto isakmp key verstehe ich nicht, ist aber so (12.4.15T...). Ne Möglichkeit das per Script zu ändern habe ich zwar, aber das ist noch nicht vorzeigbar.

Die Adresse 0.0.0.0 0.0.0.0 und der DNS Name als Peer könnten bei einer Sicherheitsprüfung "negativ" auffallen. Alle dürfen mal Ihr PSK ausprobieren. Also nicht ein simples PSK nehmen. Danach wird nur noch anhand des transformset, der crypromap und der ACL eine Entscheidung getroffen ob die Verbindung aufgebaut wird.

[DocZenith]

Perfekt! Ausprobiert, läuft, wohl auch stabil. Und wieder was dazu gelernt, vielen Dank! :-)

Gruß.