Tunnel 876 feste IP - PIX 501 dyn. IP

[-= Brummbär =-]

Hallo,

Bisher hatte ich das Glück stets feste IPs auf beiden Seiten zu haben. Aber nun muss ich eine Außenstelle anbinden die leider keine feste IP bekommen kann. Was muss ich auf einem 876er konfigurieren, damit er sich mit einer dynamischen IP verbindet.

Code:

crypto isakmp key $meinKey$ address A.B.C.D
!
crypto map SDM_CMAP_1 10 ipsec-isakmp 
 set A.B.C.D
 set transform-set Mein-Transform-Set 
 match address VPN_Tunnel
!
ip access-list extended VPN_Tunnel
 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

So war es vorher. Kann ich die Konfiguration auf Seiten der PIX gleich lassen? Schließlich gibt es für die PIX ja eine Gegenstelle mit fester IP.

Code:

isakmp key $meinKey$ address W.X.Y.Z  netmask 255.255.255.255 no-xauth no-config-mode 
!
access-list VPNTUN-007 permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0 
!
crypto map vpnmap 150 ipsec-isakmp
crypto map vpnmap 150 match address VPNTUN-007
crypto map vpnmap 150 set peer W.X.Y.Z
crypto map vpnmap 150 set transform-set tset3des
crypto map vpnmap 150 set security-association lifetime seconds 3600 kilobytes 4608000
!
crypto map vpnmap interface outside

[onedread]

Zur Theorie müsstes du auf dem Router einen Dial Up Vpn einrichten damit der VPN von jeder IP aus funktioniert. Und die PIX müssstest dann als Client konfigurieren was ich aber leider nicht weis sob das mit der PIX get mit nem Router gehts aufjedenfall.

Zur Router config eines DialUpVpns mit dynmaps.

crypto isakmp policy 3
encr 3des
authentication pre-share
group 2
no crypto isakmp ccm
!
crypto isakmp client configuration group VPNHOME
key key
dns 192.168.1.100
pool vpnpool
acl 108
!
!
crypto ipsec transform-set myset esp-aes esp-sha-hmac
!
crypto dynamic-map dynmap 10
set transform-set myset
!
!
crypto map clientmap client authentication list userauthen
crypto map clientmap isakmp authorization list groupauthor
crypto map clientmap client configuration address respond
crypto map clientmap 10 ipsec-isakmp dynamic dynmap

und natürlich die access-listen.

zur PIx weiss ich jetzt nicht genau wie man das konfigurieren muss.

[blackbox]

Hi,

für die Pix ist es eine feste IP - somit kannst du das gleich lassen - der Aufbau muss immer von der Pix erfolgen (irgendwie klar) und auf der Router Seite muesste ich nachsehen - meines wissens nur auf 0.0.0.0 stellen. Habe das bisher nur mit Pix - Pix gemacht.

[-= Brummbär =-]

Falls mal jemand auf diesen Post stoßen sollte.... Mit den Zeilen hat es bei mir funktioniert:

876

Code:

crypto isakmp key MeinKey address 0.0.0.0 0.0.0.0
!
crypto dynamic-map dynVPN 10
 set transform-set Mein-Transform-Set 
 match address VPN_Gegenstelle
!
crypto map SDM_CMAP_1 3 ipsec-isakmp dynamic dynVPN
!
ip access-list extended VPN_Gegenstelle
 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

Die Pix konnte exakt so bleiben *freu*.

Kann ich in der Konfiguration der PIX etwas eintragen, dass die ständig den Tunnel offen hält? Ansonsten habe ich ja aus der Zentrale keine Chance durch den Tunnel zu kommen.

Schon mal besten Dank für die Hilfen!