Zum Inhalt wechseln


Foto

interface tunnel bei IOS verschlüsselt und als Wählverbindung


  • Bitte melde dich an um zu Antworten
49 Antworten in diesem Thema

#1 Flogge

Flogge

    Newbie

  • 34 Beiträge

 

Geschrieben 09. Oktober 2006 - 21:22

Hallo Community,
Ich arbeite gerade an einem Testaufbau welchen ich hier http://www.mcseboard...00-a-99851.html beschrieben habe. Für alle welche sich den Beitrag nicht durchlesen wollen, ein kleiner Abriss. Es sollen Home Office Arbeitsplätze über Cisco 1600 Router mit IOS 11.2 an das Firmennetz 2600 Router mit IOS 12.1 angebunden werden. Darüber sollen die Homeoffice Clients auf einem Terminal Server (Win 2003, rdp) arbeiten. Im WAN zwischen den Routern soll die Verbindung in einem verschlüsselten VPN erfolgen.

Dazu ein paar Fragen:

1. Im oben angegeben Beitrag versuchte ich dies über Virtual private dialup Network zu realisieren. Bei Wikipedia aber habe ich gelesen das das L2F Protokoll das hierbei bei IOS 11.2 benutzt wird keine Verschlüsselung unterstützt. Habe ich das richtig verstanden oder gibt es dafür auch Verschlüsselung?

2. Wegen dem Problem bei VpdN will ich mit dem Interface Typ Tunnel arbeiten. Wie kann ich damit einen Tunnel Verschlüsseln? Nutzt man dazu IPsec?

3. Da ich den Tunnel über eine ISDN Wählverbindung herstellen will (startup-config ist im anderen Beitrag gepostet) will ich nicht das der Tunnel die Wählverbindung die ganze Zeit offen hält. Ist dies möglich? Wenn ja wie? Muß ich das Tunnel Interface, ähnlich wie das Dialer Interface mit dialer pool an die Bri, an das Dialer Interface heften?

Ich habe gerade erst mit Cisco angefangen und hoffe diese Fragen sind nicht zu ****
Ich hoffe ihr könnt mir dabei weiterhelfen.

Gruß Flogge

#2 Wordo

Wordo

    Board Veteran

  • 3.213 Beiträge

 

Geschrieben 10. Oktober 2006 - 07:06

Ich hoffe jetzt werde ich nicht gebannt, aber ISDN Verbindungen (sofern sie nicht ueber L2TP von nem Service Provider zugefuehrt werden) hab ich noch nie verschluesselt .. da reicht auch die "Verschluesselung" von RDP ;)

#3 Flogge

Flogge

    Newbie

  • 34 Beiträge

 

Geschrieben 10. Oktober 2006 - 07:46

Danke für deine Information Wordo,
wie erwähnt beschäftige ich mich erst kurze Zeit mit dieser Materie und bin über jede Information dankbar. Nun ist es so das es sich bei mir um ein zeitkritisches Projekt handelt, aber so lange ich meine Testumgebung nicht am laufen habe kann ich auch nicht mit der heissen Phase beginnen. In diesem Projekt habe ich aber nur Zugriff auf die beiden Router und die Firewall. Und mir wurde die Aufgabe gestellt den Verschlüsselten Tunnel möglichst mit Routereigenen Boardmitteln zu realisieren.

Sollten alle Stricke reissen würde ich dennoch auf die RDP Verschlüsselung ausweichen, nur bei Windows 2003 Servern bin ich noch blanker als bei IOS. Wie kann ich die Verbindung verschlüsseln?

Dennoch habe ich die Hoffnung noch nicht aufgegeben es doch über das Interface Tunnel zu realisieren, kannst/könnt du/ihr mir da helfen mit welchen Befehlen ich ich das schaffe und ob es die in IOS 11.2 gibt.

#4 Wordo

Wordo

    Board Veteran

  • 3.213 Beiträge

 

Geschrieben 10. Oktober 2006 - 07:48

Poste mal den Output von "sh ver" bei den 1600ern ...

#5 Flogge

Flogge

    Newbie

  • 34 Beiträge

 

Geschrieben 10. Oktober 2006 - 08:04

So hier ist die sh ver für den 1600er
IOS (tm) 1600 Software (C1600-SY-M), Version 11.2(19)P1,  RELEASE SOFTWARE (fc1)

Copyright (c) 1986-1999 by cisco Systems, Inc.
Compiled Wed 18-Aug-99 10:33 by jaturner
Image text-base: 0x02005000, data-base: 0x023DAEE0

ROM: System Bootstrap, Version 12.0(3)T, RELEASE SOFTWARE (fc1)
ROM: 1600 Software (C1600-RBOOT-R), Version 12.0(3)T,  RELEASE SOFTWARE (fc1)

Client-1Router uptime is 0 minutes
System restarted by power-on
System image file is "c1600-sy-mz_112-19_p1.bin", booted via flash

cisco 1601 (68360) processor (revision C) with 7680K/2560K bytes of memory.
Processor board ID 16324654, with hardware revision 00000002
Bridging software.
X.25 software, Version 2.0, NET2, BFE and GOSIP compliant.
Basic Rate ISDN software, Version 1.0.
1 Ethernet/IEEE 802.3 interface(s)
1  serial(sync/async) network interface(s)
1 ISDN Basic Rate interface(s)
System/IO memory with parity disabled
8192K bytes of DRAM onboard 2048K bytes of DRAM on SIMM
System running from RAM
8K bytes of non-volatile configuration memory.
4096K bytes of processor board PCMCIA flash (Read/Write)

Configuration register is 0x2102

Und zusätzlich habe ich auch gleich die für den 2600er

Cisco Internetwork Operating System Software
IOS (tm) C2600 Software (C2600-IS-M), Version 12.1(6), RELEASE SOFTWARE (fc1)
Copyright (c) 1986-2000 by cisco Systems, Inc.
Compiled Wed 27-Dec-00 20:52 by kellythw
Image text-base: 0x80008088, data-base: 0x80CB43D0

ROM: System Bootstrap, Version 11.3(2)XA4, RELEASE SOFTWARE (fc1)

AccessRouter uptime is 1 minute
System returned to ROM by power-on
System image file is "flash:c2600-is-mz.121-6.bin"

cisco 2612 (MPC860) processor (revision 0x102) with 53248K/12288K bytes of memor
y.
Processor board ID JAD05080K44 (3380344602)
M860 processor: part number 0, mask 49
Bridging software.
X.25 software, Version 3.0.0.
Basic Rate ISDN software, Version 1.1.
1 Ethernet/IEEE 802.3 interface(s)
1 Token Ring/IEEE 802.5 interface(s)
4 ISDN Basic Rate interface(s)
32K bytes of non-volatile configuration memory.
8192K bytes of processor board System flash partition 1 (Read/Write)
8192K bytes of processor board System flash partition 2 (Read/Write)

Configuration register is 0x2102

Danke für deine schnelle Antwort

#6 Wordo

Wordo

    Board Veteran

  • 3.213 Beiträge

 

Geschrieben 10. Oktober 2006 - 08:16

Fuer die 1601er brauchst du glaub ich ein neueres IOS, das hier sollte IPSEC mit 56bit koennen: c1600-sy56i-l.113-11b.T5.bin

Die andere Kiste passt schon so, dann brauchste auch das Tunnelinterface nicht.

#7 Flogge

Flogge

    Newbie

  • 34 Beiträge

 

Geschrieben 10. Oktober 2006 - 08:26

neue IOS bokomme ich doch nur bei Cisco wenn ich Partner bin oder min ein Cisco Zertifikat habe oder? Beides habe ich nicht, gibt es noch eine andere Möglichkeit?

:confused:

dann brauchste auch das Tunnelinterface nicht.


Das kapiere ich nun überhaupt nicht, kann ich eine Verbindung auch mit IPsec verschlüsseln ohne einen Tunnel? Ist der Tunnel denn dan überflüssig oder ist der in meinem Szenenario vorteilhaft? Kann ich IPsec auf jedes Interface anwenden?

Jetzt jast du mich verwirrt, toll :) kannst du mir das bitte ein wenig ausführlicher erklären?

#8 Wordo

Wordo

    Board Veteran

  • 3.213 Beiträge

 

Geschrieben 10. Oktober 2006 - 08:40

Bei IPSEC erstellst du eine crypto map und bindest sie an ein Interface (z.B. Dialer0), Tunnel0 ist was anderes, hat mit IPSEC nicht so viel am Hut. Ist glaub ich fuer GRE etc. da. Dann geh mal auf die 1601, gib "conf t" im Enable-Mode ein und dann "crypto ?" und poste was kommt (wenn was kommt)

#9 Flogge

Flogge

    Newbie

  • 34 Beiträge

 

Geschrieben 10. Oktober 2006 - 08:55

Dieser Befehl existiert nicht bei mir, liegt vermutlich an meinem alten IOS? Stimmts!

Sofern du dem zustimmst habe ich 2 Fragen:

1. Wie komme ich als normaler 0815 User an ein neueres IOS (vorzüglich das welches du genannt hast?)?

2. Wenn ich nicht daran komme, welche anderen Möglichkeiten habe ich die Verbindung zu verschlüsseln und durch einen Tunnel zu leiten (Das mit dem Tunnel währe schon gut wenn auch aus deiner sicht nicht notwendig, da ich im Projektantrag ein VPN erwähnt habe und das ist doch ein Tunnel oder?)

#10 Blacky_24

Blacky_24

    Board Veteran

  • 587 Beiträge

 

Geschrieben 10. Oktober 2006 - 09:16

Mit diesem IOS brauchst Du eigentlich garnicht erst anfangen, das Ding ist sowas von alt und buggy, das kann man garnicht beschreiben.

Speichermässig kommst Du mit dem 1601 auch nicht weit, für ein brauchbares IOS (sprich die aktuellste Version c1600-k8sy-l.122-37.bin ) sind 6/12 MB angesagt.

Solange Du weder ein brauchbares (will meinen IPsec-fähiges) IOS noch die Hardwarevoraussetzungen dafür hast brauchen wir uns über die Konfig keine Gedanken zu machen.

Da der 1601 eh nur mit 56 Bit verschlüsseln kann kannst Du Dir für reines RDP die Verschlüsselung eigentlich auch ganz sparen. Wenn man die Encryption auf dem W2K3-TS auf "High" setzt verschlüsselt der RSA-RC4 mit 128 Bit - kommt mir etwas widersinnig vor dass mit einem 56 Bit-Tunnel aussenrum schützen zu wollen.

Last but not least: Hast Du keine Ahnung von dem Kasten lass die Finger von den Tasten. Security ist was Könner. Geht jetzt nicht gegen Dich. Wenn das sooo dringend ist sollen die jemanden beauftragen der sich mit solchen Sachen auskennt, dem kannst Du dann über die Schulter schauen und dabei lernen, alles andere ist gefährlicher Murks. Aber so wie ich das zwischen den Zeilen lese soll mal wieder mit altem Zeug gezaubert werden und kosten darf es auch nix. In einem solchen Frickel-"Projekt" kannst Du nur verlieren. Anders sieht die Sache aus wenn es sich um einfache ISDN-Wählverbindungen handelt, die kann man mit dem Equipment hinbauen, Musterkonfigs findest Du wahrscheinlich noch auf cisco.com, ich bin mir aber nicht sicher dass da wirklich noch Musterkonfigs für ein so altes IOS zu finden sind, da hat sich doch einiges geändert in den letzten 7 Jahren ...

Ein aktuelles IOS (mit Lizenz) und Speicherupgrades kannst Du bei jedem Cisco-Partner kaufen (weder mit einem Partnerstatus noch mit einem Zertifikat kannst Du die einfach so runterladen), allerdings vermute ich mal ohne in die Preisliste gesehen zu haben dass das schlicht unwirtschaftlich ist. Die Erweiterung von Flash und DRAM dürfte irgendwo bei 600 Dollar liegen, für das neue IOS kannst Du mindestens nochmal denselben Betrag einplanen - pro 160x-Router, für den 2612er wird der "Spass" noch teurer. Für den Gegenwert eines 1601er Upgrades kannst Du locker zwei neue Router mit 3DES/AES-IOS kaufen und Wartungsvertrag, oder zwei ASA5000-Firewalls.

Gruss
Markus

#11 Blacky_24

Blacky_24

    Board Veteran

  • 587 Beiträge

 

Geschrieben 10. Oktober 2006 - 09:31

Bei IPSEC erstellst du eine crypto map und bindest sie an ein Interface (z.B. Dialer0), Tunnel0 ist was anderes, hat mit IPSEC nicht so viel am Hut. Ist glaub ich fuer GRE etc. da. Dann geh mal auf die 1601, gib "conf t" im Enable-Mode ein und dann "crypto ?" und poste was kommt (wenn was kommt)


Sagen wirs mal so: Mit dem "Interface Tunnel X" kann man eine wunderschöne VPN-Konfig hinbauen, ist nur leider kaum bekannt. Man(n) braucht dafür dann keine "Interesting-Traffic-ACL" und keine Crypto-Map mehr, der Tunnel wird einfach durch eine Route getriggert. Sehr elegant und übersichtlich.

Gruss
Markus

#12 Flogge

Flogge

    Newbie

  • 34 Beiträge

 

Geschrieben 10. Oktober 2006 - 09:37

Danke Blacky für diese ausführlichen Worte,
kurz es handelt sich um ein reines Ausbildungsprojekt und wird niemals live gehen, daher ist die Sicherheitsgefahr zu vernachlässigen. Was nicht heissen soll das es nicht hand und Fuß haben soll denn darauf gibts einen Teil der Abschlußnote. Die alten Geräte waren in meinem Praktikumsbetrieb noch über daher der alte Mist :-). Bin aber dankbar zumindest die zu haben. Obwohl es nicht in der "echten Welt" betrieben wird, habe ich dennoch Zeitdruck da es schon "gestern" fertig sein sollte ;-)

Dazu ein paar Fragen:

1. Kann man ein nicht mehr ganz taufrisches IOS das noch gerade mit der Hardware läuft aufspielen. Wenn ja welche Version währe das?

2. Warum unterstützt der 1600er keine höhere Verschlüsselung, ist das Hardware oder Softwarebedingt?

Gruß Flogge

#13 Wordo

Wordo

    Board Veteran

  • 3.213 Beiträge

 

Geschrieben 10. Oktober 2006 - 09:49

Sagen wirs mal so: Mit dem "Interface Tunnel X" kann man eine wunderschöne VPN-Konfig hinbauen, ist nur leider kaum bekannt. Man(n) braucht dafür dann keine "Interesting-Traffic-ACL" und keine Crypto-Map mehr, der Tunnel wird einfach durch eine Route getriggert. Sehr elegant und übersichtlich.

Gruss
Markus


Da schau her .. :) Schau ich gleich mal in den Configuration Guide, haette schon ein paar nette Ideen, THX

#14 Wordo

Wordo

    Board Veteran

  • 3.213 Beiträge

 

Geschrieben 10. Oktober 2006 - 09:51

1. Kann man ein nicht mehr ganz taufrisches IOS das noch gerade mit der Hardware läuft aufspielen. Wenn ja welche Version währe das?

2. Warum unterstützt der 1600er keine höhere Verschlüsselung, ist das Hardware oder Softwarebedingt?

Gruß Flogge


1. Mit dem was ich gepostet hab sollten die Basics gehen.
2. Alters- und speicherbedingt.

#15 Flogge

Flogge

    Newbie

  • 34 Beiträge

 

Geschrieben 10. Oktober 2006 - 10:26

Sagen wirs mal so: Mit dem "Interface Tunnel X" kann man eine wunderschöne VPN-Konfig hinbauen, ist nur leider kaum bekannt. Man(n) braucht dafür dann keine "Interesting-Traffic-ACL" und keine Crypto-Map mehr, der Tunnel wird einfach durch eine Route getriggert. Sehr elegant und übersichtlich.


Das funktioniert aber nich bei mir oder Blacky_24?

Falls Nein werde ich Parallel versuchen dieses c1600-sy56i-l.113-11b.T5.bin zu bekommen und meinen Dozenten zu erreichen was meine weiteren Möglichkeiten angeht.

So wie ich das sehe gibt es zwei Möglichkeiten:

a: ich bekommen das IOS und versuche diese VPN (obwohl 56 bit) zu realisieren.

b: Ich bekomme das nicht und zähle in meiner Projektdokumentation einige Möglichkeiten auf wie ich es unter aktuellem IOS und Hardware machen hätte können und warum dies bei mir nicht geht. Desweiteren werde ich als Alternative die Verschlüsselung der rdp Vorschlagen.

Was haltet ihr davon?
Hoffentlich könnt ihr mich bei diesem oder dem anderen Weg ein wenig unterstützen, den ich habe akuten Mangel an Cisco Profis ;-)

Danke bisher Flogge