Zum Inhalt wechseln


Foto

Frage zu Site2Site IPSec VPN


  • Bitte melde dich an um zu Antworten
2 Antworten in diesem Thema

#1 xor

xor

    Member

  • 157 Beiträge

 

Geschrieben 29. Dezember 2016 - 07:54

Guten Tag,

 

ich habe eine sicherlich einfache Frage zu einem Site2Site IPSec VPN zwischen zwei Cisco Routern.

 

Im Labor habe ich das Site2Site VPN zwischen Router R1 und Router R2 aufgebaut. Hinter den Routern sind jeweils ein privates Netz. Das Internet wird durch ein paar Router mit OSPF abgebildet.

 

10.1.0.0/16 ==> R1 ==> www <== R2 <== 10.2.0.0/16

 

Damit das ganze funktioniert, müssen die privaten Netze mit in das OSPF aufgenommen werden. Denn erst wenn aus dem 10.1.0.0/16 in das 10.2.0.0/16 Traffic fließt, wird der Tunnel aufgebaut. Wie sieht das in der Realität aus? In der Realität muss der VPN Tunnel doch auch so aufgebaut werden können, da die privaten Netze nicht geroutet werden können.

 

Das soll keine wirk-config darstellen, es dient nur zum Lernen und Verstehen.

 

Vielen Dank im Voraus

 

MfG xor

 

R2:

crypto isakmp policy 110
 encr aes 256
 hash sha512
 authentication pre-share
 group 5
crypto isakmp key Cisco123 address 5.5.5.1
!
crypto ipsec transform-set AES_SHA esp-aes esp-sha-hmac 
!
crypto map VPN_map 110 ipsec-isakmp 
 set peer 5.5.5.1
 set security-association lifetime seconds 86400
 set transform-set AES_SHA 
 match address 110
!
interface GigabitEthernet0/0
 ip address 10.2.0.1 255.255.0.0
 ip ospf 1 area 0
 duplex full
 speed 1000
 media-type gbic
 negotiation auto
!
interface GigabitEthernet3/0
 ip address 6.6.6.1 255.255.255.252
 ip ospf 1 area 0
 negotiation auto
 crypto map VPN_map
!
router ospf 1
!
access-list 110 permit ip 10.2.0.0 0.0.255.255 10.1.0.0 0.0.255.255

R1:

crypto isakmp policy 110
 encr aes 256
 hash sha512
 authentication pre-share
 group 5
crypto isakmp key Cisco123 address 6.6.6.1
!
crypto ipsec transform-set AES_SHA esp-aes esp-sha-hmac 
!
crypto map VPN_map 10 ipsec-isakmp 
 set peer 6.6.6.1
 set security-association lifetime seconds 86400
 set transform-set AES_SHA 
 match address 110
!
interface GigabitEthernet0/0
 ip address 10.1.0.1 255.255.0.0
 ip ospf 1 area 0
 duplex full
 speed 1000
 media-type gbic
 negotiation auto
!
interface GigabitEthernet3/0
 ip address 5.5.5.1 255.255.255.252
 ip ospf 1 area 0
 negotiation auto
 crypto map VPN_map
!
router ospf 1
!
access-list 110 permit ip 10.1.0.0 0.0.255.255 10.2.0.0 0.0.255.255


CCNA R&S (200-120), CCNA Sec (210-260)

MCP (70-270)


#2 Dunkelmann

Dunkelmann

    Expert Member

  • 1.862 Beiträge

 

Geschrieben 29. Dezember 2016 - 11:52

Moin,

 

die privaten Netze müssen nicht in die OSPF Konfiguration des simulierten Internets.

Als Kunde benötigst Du OSPF nur, wenn mehrere Routen zur Verfügung stehen.

 

Wie sieht die Simulation aus? Gewöhnlich gibt es zwischen Kundenrouter und Internet noch einen Providerrouter.

 

LAN1 - VPNGW1 - ProviderRT1 = (ospf) = [www] = (ospf) = ProviderRT2 - VPNGW2 - LAN2


Keep It Small - Keep It Simple


#3 blackbox

blackbox

    Board Veteran

  • 1.078 Beiträge

 

Geschrieben 29. Dezember 2016 - 16:20

Hi,

 

die Privaten Netze muss man in der Regel ja nicht im Routing haben - da z.B. die Default Route auf den Router zielt. Sollte die nicht auf den Router zeigen - kannst du natürlich auch die VPN "Netze" mit ins OSPF einspeisen - obwohl sie ja nicht da ist. Dazu verwenest du "Reverse Route Injection (RRI)).

 

Das gibt es für IOS & ASA - hier für IOS http://www.cisco.com...rte-inject.html


Done: CCNP ; CCDP ; CCNA Video - Voice - Security - Wireless ; HP Master ASE Network 2011 ; ASE Blade V8 ; ASE Proliant V8;