Zum Inhalt wechseln


Foto

interface tunnel bei IOS verschlüsselt und als Wählverbindung


  • Bitte melde dich an um zu Antworten
49 Antworten in diesem Thema

#16 Blacky_24

Blacky_24

    Board Veteran

  • 587 Beiträge

 

Geschrieben 10. Oktober 2006 - 11:41

@ Flogge

Ignorier die Sache mit dem "Interface Tunnel" gleich wieder, das wirst Du mit Deiner Hardware - selbst mit dem grösstmöglichen Speicherausbau und dem neuesten IOS nicht ans Fliegen kriegen. Das war eher ein Zwiegespräch unter Fachleuten.

Kannst Du mal die genaue Aufgabenstellung posten, ich werd da einfach nicht schlau draus.

@ Wordo:

Ich habe das mal hier drin Amazon.com: The Complete Cisco VPN Configuration Guide: Books: Richard Deal gefunden und wenn man 10 Minuten drüber nachdenkt besticht das Konzept (finde ich wenigstens) - ist im Prinzip nix anderes wie ein GRE-Tunnel, nur halt mit IPsec - findet jemand irgendwo eine Crypto-Map und eine ACL :)

RouterA Configuration:
RTRA(config)# crypto isakmp policy 10
RTRA(config-isakmp)# encryption aes 128
RTRA(config-isakmp)# hash sha
RTRA(config-isakmp)# authentication pre-share
RTRA(config-isakmp)# group 2
RTRA(config-isakmp)# exit
RTRA(config)# crypto isakmp key cisco123 address 193.1.1.1 255.255.255.255 no-xauth
RTRA(config)# crypto ipsec transform-set RTRtran esp-aes esp-sha-hmac
RTRA(cfg-crypto-trans)# exit
RTRA(config)# crypto ipsec profile VTI
RTRA(ipsec-profile)# set transform-set RTRtran
RTRA(ipsec-profile)# exit
RTRA(config)# interface tunnel 0
RTRA(config-if)# ip address 192.168.3.1 255.255.255.0
RTRA(config-if)# tunnel source 192.1.1.1
RTRA(config-if)# tunnel destination 193.1.1.1
RTRA(config-if)# tunnel mode ipsec ipv4
RTRA(config-if)# tunnel protection ipsec VTI
RTRA(config)# interface Ethernet0/0
RTRA(config-if)# ip address 192.1.1.1 255.255.255.0
RTRA(config-if)# exit
RTRA(config)# interface Ethernet 1/0
RTRA(config-if)# ip address 192.168.1.1 255.255.255.0
RTRA(config-if)# exit
RTRA(config)# ip route 192.168.2.0 255.255.255.0 tunnel0

RouterB Configuration:
RTRB(config)# crypto isakmp policy 10
RTRB(config-isakmp)# encryption aes 128
RTRB(config-isakmp)# hash sha
RTRB(config-isakmp)# authentication pre-share
RTRB(config-isakmp)# group 2
RTRB(config-isakmp)# exit
RTRB(config)# crypto isakmp key cisco123 address 192.1.1.1 255.255.255.255 no-xauth
RTRB(config)# crypto ipsec transform-set RTRtran esp-aes esp-sha-hmac
RTRB(cfg-crypto-trans)# exit
RTRB(config)# crypto ipsec profile VTI
RTRB(ipsec-profile)# set transform-set RTRtran
RTRB(ipsec-profile)# exit
RTRB(config)# interface tunnel 0
RTRB(config-if)# ip address 192.168.3.2 255.255.255.0
RTRB(config-if)# tunnel source 193.1.1.1
RTRB(config-if)# tunnel destination 192.1.1.1
RTRB(config-if)# tunnel mode ipsec ipv4
RTRB(config-if)# tunnel protection ipsec VTI
RTRB(config)# interface Ethernet0/0
RTRB(config-if)# ip address 193.1.1.1 255.255.255.0
RTRB(config-if)# exit
RTRB(config)# interface Ethernet 1/0
RTRB(config-if)# ip address 192.168.2.1 255.255.255.0
RTRB(config-if)# exit
RTRB(config)# ip route 192.168.1.0 255.255.255.0 tunnel0

Gruss
Markus

#17 Wordo

Wordo

    Board Veteran

  • 3.213 Beiträge

 

Geschrieben 10. Oktober 2006 - 11:58

Interessant .. vor allem das eigene Interface. Mal schaun was im Buecherbudget noch alles drin ist :) Danke dir!

#18 Flogge

Flogge

    Newbie

  • 34 Beiträge

 

Geschrieben 10. Oktober 2006 - 12:49

Ja klar Blacky_24,
als erstes poste ich hier einen Auszug aus meinem Projektantrag:

Projektauslöser
Unser Unternehmen xxxxxxxxx hat den Zuschlag für den Aufbau eines Call-Centers von der Firma E-Sirius Call-Center GmbH bekommen. Die Planung und die Realisierung des Auftrags laufen im Rahmen des Projekts „Home Office Call-Center“. Es ist geplant, die Call-Center Agenten in Home Office Arbeitsplätze auszulagern. Zur zentralen Administration aller Arbeitsstationen wird ein Terminal Server eingesetzt. Dieser stellt die benötigten Daten und Anwendungen bereit, weiterhin ist der Server, via LAN, mit der Telekommunikationsanlage verbunden. Diese wird über den Server gesteuert und verteilt eingehende Anrufe über das ISDN Netz an die Telefone der Agenten.

Projektziel
Als Praktikant der Firma xxxxxxxxx wurde ich damit beauftragt, eine Testumgebung aufzu-bauen, welche ein VPN (Virtual Private Network) vom Firmennetz zu den Arbeitsstationen simuliert.

Meine Aufgabe
Die Arbeitsstationen bestehen aus Thin Clients mit Festplatte, diese ist notwendig damit nur die Differenzdaten vom Terminalserver bezogen werden müssen. Die Thin Clients bieten nur Schnittstellen für Tastatur, Maus, Display, Audio und LAN. Aus Datenschutzgründen wird die Unterstützung für USB Speichermedien deaktiviert. CD-ROMs und andere Laufwerke befinden sich nicht im System.

Per LAN ist die Arbeitsstation mit einem Cisco 1600 Router verbunden, dieser stellt über In-ternet eine VPN Verbindung zum Firmennetzwerk her.

Die VPN Gegenstelle im Firmennetzwerk besteht aus einem Cisco 2600 Router. Dieser ist mit dem Internet und über 100Base-T mit einer Firewall vernetzt. Ein LDAP Dienst im Router ist für die Authentifizierung zuständig.

Die Firewall besteht aus einem Server auf dem IP-Cop installiert ist. Es wird mit einer White-list gearbeitet, in der nur die Dienste Terminalemulation, Netzwerk Virenscanner, DHCP, DNS, Print, Microsoft Exchange, SQL, File und Intranet Webserver freigegeben sind.

Projektumfang:
- Konfiguration von 2 Cisco 1600 Router
- Konfiguration des Cisco 2600 Routers
- Installation und Konfiguration der IP-Cop Firewall

- Test der Verfügbarkeit aller benötigten Dienste
- Sicherheitstest durch simulierte Angriffe auf das System

Um die Funktionsfähigkeit der Terminalverbindung und des Authentifizierungsdienstes zu testen, werden der konfigurierte Terminalserver und die Arbeitsstationen über die Projekt-schnittstelle zu HOCC bereitgestellt. Das Internet wird über eine interne Wählverbindung einer ISDN Telefonanlage simuliert, ein Test auf das bei HOCC verwendete DSL kann nicht erfolgen.

Projektphasen mit Zeitplanung:
5h Projektplanung
18h Einrichten und Betriebnahme Testumgebung
5h Qualitätssicherung/Abnahmeprotokolle
7h Erstellen der Verfahrensanweisung

Geplante Dokumentation zur Projektarbeit:

Rahmenbedingungen
Verlaufsdokumentation
Qualitätssicherung
- Abnahmeprotokoll
Kundendokumentation
- Verfahrensanweisung



Eventuelle Fragen beantworte ich gerne

Was das "Zwiegespräch unter Fachleuten" betrifft, so arbeite ich daran auch bald mitreden zu können :-)

Gruß Florian

#19 Blacky_24

Blacky_24

    Board Veteran

  • 587 Beiträge

 

Geschrieben 10. Oktober 2006 - 14:25

Ist das irgendwas was mit der Abschlussprüfung "Fachinformatiker für ..." zu tun hat?

Vorsichtig gesagt: Selbst einer der wirklich Ahnung hat müsste sich ziemlich strecken um das in dem Zeitrahmen zu realisieren.

Die Cisco-Hardwareauswahl ist ziemlich suboptimal, das hast Du mittlerweile mitbekommen. Die Ausrede dafür wäre: Ist ja nur ein Test-Setup bevor das "richtige" Zeug gekauft wird, da muss man in der Konfig nur zwei Zeilen anpassen und das tut dann mit 3DES oder AES - am Besten gleich die erforderlichen Änderungen dokumentieren.

Zur Firewall kann ich nix sagen, IPcop ist nicht meine Baustelle. Allerdings verstehe ich das mit den Freigaben nicht - Du willst doch nicht ernsthaft einen SQL- oder einen Fileserver vom Internet aus zugänglich machen?!?!

Wo steht der Router eigentlich relativ zur Firewall - zwischen der Firewall und dem Internet? Falls dem so ist kannst Du schon mal zur körperlichen Züchtigung in den Keller gehen, ich komme gleich nach, muss nur noch die Peitsche von der Leine holen ...

ISDN-RAS bzw. ISDN-Internet ist heute recht unüblich geworden weil teuer und langsam, wo möglich geht man auf DSL (oder besser). Kann natürlich sein dass die Leute im hinterbayrischen Wald wohnen wo es ausser ISDN nur ISDN gibt.

In einem 2612 läuft alles mögliche aber kein "LDAP-Dienst". Entweder Du authentifizierst gegen die lokale Benutzerdatenbank des Routers oder der Router befragt einen externen LDAP-Server.

Abgesehen davon brauchst Du das ganze Gerödel nicht, viel mehr als VPN mit preshared Key kannst Du mit dem Kram eh nicht machen.

Was ich nicht verstehe ist wie der 2612er ins Internet gehen soll. Wohl kaum über das Token Ring - und das Ethernet steckt in der Firewall, bleiben die ISDN, also DialIn. Dir ist schon klar dass Du da einen ISP brauchst der ISDN-Internet mit fester IP-Adresse anbietet?! Sonst geht das ganze in die Hose, Deine Router können allesamt kein DynDNS.

Gruss
Markus

#20 Flogge

Flogge

    Newbie

  • 34 Beiträge

 

Geschrieben 11. Oktober 2006 - 06:37

Wow ich mag deine Art mir alle Konzepte um die Ohren zu hauen ;-) aber besser du machst es als der Prüfungsausschuss. Hast du schonmal ein Schriftstück wie dieses verfasst und als du es einen Monat danach nochmal gelesen hast gedacht: "Was für ein Mist habe ich da geschrieben." Nun gut aber der Antrag ist eingereicht und bewilligt. Als ich den Antrag erstellt habe hatte ich mich noch nicht so sehr mit Cisco beschäftigt. Auf meine zugegebenermaßen etwas unpräzise Frage: "Kann ich dies oder das mit einem Cisco Router machen" hörte ich: "Ja klar mit IOS kann man fast alles machen". Leider wurde mir erst später bewusst wie alt meine Geräte eigentlich sind. Hilft aber alles nichts ich will Minimum eine gute 2 und muß daß jetzt hinbiegen es gilt schlieslich das Sprichwort: "Ist der Berg auch noch so steil, a bisserl was geht aller weil". Soviel zu den Leuten im hinterbayrischen Wald :-)

Zu deinen Kommentaren:

Zur Firewall kann ich nix sagen, IPcop ist nicht meine Baustelle. Allerdings verstehe ich das mit den Freigaben nicht - Du willst doch nicht ernsthaft einen SQL- oder einen Fileserver vom Internet aus zugänglich machen?!?!


Nein, die Serverdienste werden nur auf dem Server Local laufen, da dieser Server auch ein Terminal Server ist, können die Nutzer über rdp alle Dienste nutzen. Keine Sorge, der IP-Cop ist kein Problem das habe ich im Griff

Wo steht der Router eigentlich relativ zur Firewall - zwischen der Firewall und dem Internet? Falls dem so ist kannst Du schon mal zur körperlichen Züchtigung in den Keller gehen, ich komme gleich nach, muss nur noch die Peitsche von der Leine holen ...


Doch genau so ist es, Server-IPCop-2600er-ISDNTelefonanlage- x mal 1600er- x mal Client PC. Wünschenswert währe zwar eine 2 Firewall Lösung eine vor dem Router und eine dannach. Da ich aber vom Router mich direkt über ISDN einwähle wüste ich eh nicht wie ich davor eine Firewall schalten kann, und erschwerend kommt hinzu das eine Firewall die einen verschlüsselten Tunnel durchlässt eh nur einen geringen Wert hat. Was in dem Tunnel passiert bleibt ihr verborgen. Daher habe ich die Firewall nach dem Router angeordnet damit ich auch alle Ports welche ich nicht benötige dicht machen kann. Offen ist derzeit nur der RDP Port. Ich hätte es zwar gerne gesehen ein kompletes funktionstüchtiges Windows Lan durch das Internet(bei mir ist das internet die Telefonanlage) zu tunneln , bei der Häufigkeit mit der WindowsXP allerdings nach aussen brüllt habe ich davon abgesehen . Bei Wählverbindungen währe das sonst zu teuer. Zum 2600er in vorderster Front, mir wurde gesagt das man den Router entsprechend abhärten kann. Stimmt das?

ISDN-RAS bzw. ISDN-Internet ist heute recht unüblich geworden weil teuer und langsam, wo möglich geht man auf DSL (oder besser). Kann natürlich sein dass die Leute im hinterbayrischen Wald wohnen wo es ausser ISDN nur ISDN gibt.



Oder mitten in Hamburg lol. Nein im Ernst, ich bekomme für mein Projekt keine Internetanschlüsse. So hat mir mein Kollege den vorschlag gemacht mit einer ISDN Telefonanlage eine Interne Wählverbindung aufzubauen, dies hat natürlich seine Grenzen obwohl ich jedem Client (ich habe 2 davon) eine eigene Bri und Nummer auf dem 2600er zugewiesen habe schafft die Anlage keine 2 parallelen Verbindungen obwohl sie genug interne ISDN Verbindungen hat und auch 2 interne S0 Busse. Mir währe DSL auch lieber aber das sind die Rahmenbedingungen. Daher ist mein Projekt eher als Machbarkeitsnachweis für die spätere Realisierung zu sehen und wird zu einer Verfahrensdokumentation werden.

#21 Flogge

Flogge

    Newbie

  • 34 Beiträge

 

Geschrieben 11. Oktober 2006 - 06:37

In einem 2612 läuft alles mögliche aber kein "LDAP-Dienst". Entweder Du authentifizierst gegen die lokale Benutzerdatenbank des Routers oder der Router befragt einen externen LDAP-Server.


Kann der Router Win2003 abfragen ob es den User gibt? was brauche ich dazu und wie mache ich es? Alternativ sollte das nicht gehen würde ich gerne mit der Benutzerdatenbank der Routers arbeiten. Sofern dies die einzigen beiden Möglichkeiten sind zu welcher würdest du mir raten und warum? Oder ist meine Reihenfolge ganz brauchbar.

Abgesehen davon brauchst Du das ganze Gerödel nicht, viel mehr als VPN mit preshared Key kannst Du mit dem Kram eh nicht machen.


Kann ich das mit meinem Steinzeit 1600er denn? Das währe doch schon mal eine Lösung.
Wenn ja wie müsste ich das in meine Config einbauen so das die Wählverbindung nicht immer offen bleibt. Solltest du meine beiden Scripts noch nicht gesehen haben habe ich im ersten Post im Thread einen link dahin gemacht.

Was ich nicht verstehe ist wie der 2612er ins Internet gehen soll. Wohl kaum über das Token Ring - und das Ethernet steckt in der Firewall, bleiben die ISDN, also DialIn. Dir ist schon klar dass Du da einen ISP brauchst der ISDN-Internet mit fester IP-Adresse anbietet?! Sonst geht das ganze in die Hose, Deine Router können allesamt kein DynDNS.


Aufgrund meines "Telefonanlagen Internets" und meiner direkten Einwahl am Access Router stellt sich die Frage nicht. Ich werde aber in meiner Verfahrensanweisung erwähnen das die Router im Livebetrieb einen Internetanbieter mit statischer IP benötigen.
Wie viel aufwand währe es den dem Router DynDNS beizubringen, und wie würde das aussehen? Nur um dem "Auftraggeber" eventuelle Möglichkeiten aufzuzeigen. Testen kann ich das aber nicht, es währe in rein theoretischer Form.

Die Cisco-Hardwareauswahl ist ziemlich suboptimal, das hast Du mittlerweile mitbekommen. Die Ausrede dafür wäre: Ist ja nur ein Test-Setup bevor das "richtige" Zeug gekauft wird, da muss man in der Konfig nur zwei Zeilen anpassen und das tut dann mit 3DES oder AES - am Besten gleich die erforderlichen Änderungen dokumentieren.


Ich gehe in meinem Projekt mittlerweile davon aus das der "Auftraggeber" ernsthaft der ansicht ist mit dieser Hardware noch was reissen zu können. Ich werde mein bestes versuchen aber gleichzeitig die Möglichkeiten aufzählen welche nicht realisiert werden konnten und Alternativ vorschläge unterbreiten. Wie kann ich das mit 3DES oder AES verstehen, beherrschen meine 1600er das oder irgend eine andere Verschlüsselung wie zb. DSE oder war das gemaint das ich das machen sollte wenn ich neue Hardware bekomme?

Hmm 4000 Zeichen pro Post reichen einfach nicht. :-)

Danke für deine Hilfe
Florian

#22 Blacky_24

Blacky_24

    Board Veteran

  • 587 Beiträge

 

Geschrieben 11. Oktober 2006 - 10:25

Olala La Ola, da hst Du ganz (un-) schön was an der Backe.

Kurzfassung:
- Man kann Router "härten", in der einfachen Variante z.B. mit ein paar ACLs und noch ein paar Massnahmen (deaktivieren diverser Dienste, spezielle Routen, da einen Dödel hinprogrammieren, dort einen Schnörkel, ...) oder mit einem Firewall-IOS und noch ein paar Massnahmen (Dödel, Schnörkel, ...). Vorsichtig gesagt: Wenn Du Dich mit Cisco wirklich gut auskennst reden wir da im Detail drüber.

Nimm um Gottes Willen die lokale Benutzerdatenbank vom Router - oder wie kompliziert wolltest Du die Geschichte denn noch machen? IAS auf dem Windows-Server hochziehen, LDAP-Client auf dem Router programmieren (so das IOS-Release das unterstützt ...) ....

Ich weiss ja dass Ihr an der Küste oben schneidige Jungs seid aber Du hast schon für zwei Wochen Arbeit und bettelst nach noch mehr?

Ich möchte hier keine Diskussion abwürgen aber mir fehlt im Moment schlicht die Zeit, die 4.000er-Grenze der Forensoftware auzutesten. Entweder findet sich jemand der Dir hier hilft oder wir machen einen Telefontermin für morgen früh aus, den Rest der Woche bin ich unterwegs und ich möchte Vodafon nicht durch exzessive UMTS-Nutzung meinerseits glücklich machen.

Gruss
Markus

#23 Wordo

Wordo

    Board Veteran

  • 3.213 Beiträge

 

Geschrieben 11. Oktober 2006 - 11:03

Hat da etwa jmd. keinen Volumentarif? :p
Egal, Flogge, schreibst du "waere" mit Absicht falsch? Das kommt in deiner Abschlussarbeit sicher nicht gut an ;)

Ich versuch mal paar unbeantwortete Sachen zu erwischen:
Deine Steinzeit 1600 kann mit dem derzeit installierten IOS weder 3DES und schon garnicht AES. Mit 11.3 wurden die Basics von IPSec eingefuehrt, das schafft deine auch vom Speicher her. Wo du das IOS herbekommst ist leider dein Problem.
Da wuerde sich PPTP auf dem IPCop als "VPN" eher anbieten ...

Das mit LDAP ist wirklich ein Witz :) Evtl. hat IPCop nen eigenen FreeRadius mit LDAP-Connector .. aber dann haeng an deine Arbeit noch 4 weitere Wochen dran ;)

DynDNS geht mit dem Router nicht, wurde aber auf Seite 1 oder 2 schon beantwortet.

Ah, vielleicht kann die 2600er ja IPSec, dann gaebe es noch die Moeglichkeit die Windows PCs mit nem Cisco VPN Client an der 2600er terminieren zu lassen ..

#24 Blacky_24

Blacky_24

    Board Veteran

  • 587 Beiträge

 

Geschrieben 11. Oktober 2006 - 12:24

Hat da etwa jmd. keinen Volumentarif? :p


Nope, ich bin so selten in Gegenden unterwegs wos keine Gescheite Anbindung gibt dass sich die Flat schlicht nicht rechnet. Also habe ich ein paar Freistunden und gut ist, reicht für die Arbeit allemal, das Board hat da eher wenig Priorität

Ich versuch mal paar unbeantwortete Sachen zu erwischen:
Deine Steinzeit 1600 kann mit dem derzeit installierten IOS weder 3DES und schon garnicht AES.


Selbst mit dem neuesten = 12.2-IOS könnte der weder 3DES noch AES, mehr als einfach-DES (=56 Bit) ist mit den 16xx einfach nicht möglich.

Wer unbedingt Router "härten" will kann sich die Checkliste der DISA (Abteilung für Datensicherheit beim US-Militär) mal ansehen http://iase.disa.mil...ork-checkli.pdf (recht trockene Lektüre da eine "einfache" Checkliste, wer die Konzepte dahinter nicht erlennt und versteht sollte die Finger davon lassen) sowie den Cisco Router Configuration Security Guide von der NSA (noch so eine amerikanische Regierungsbude) Legal Notices - der ist ausführlicher und eine recht brauchbare Lektüre für den Einstieg - allerdings auch nicht wirklich was für Leute die gerade gelernt haben wie man Cisco buchstabiert.

Gruss
Markus

#25 Flogge

Flogge

    Newbie

  • 34 Beiträge

 

Geschrieben 11. Oktober 2006 - 15:31

Erst einmal zu deinem Post um 12:25 Blacky_24

Man kann Router "härten", in der einfachen Variante z.B. mit ein paar ACLs und noch ein paar Massnahmen


Ja das hört sich schon gut an, ich glaube nicht das der Prüfungsausschuss mir Wissen zumutet welches man nur in Cisco Schulungen bekommt. Also reichen mir Basics in Sachen Härtung. Die ACLs hören sich schonmal gut an, das muß ich eh machen um eine Authentifizierung der User zu erreichen. Sehe ich das richtig das ich mit der einen ACL beide Probleme abdecke?

Nimm um Gottes Willen die lokale Benutzerdatenbank vom Router - oder wie kompliziert wolltest Du die Geschichte denn noch machen? IAS auf dem Windows-Server hochziehen, LDAP-Client auf dem Router programmieren (so das IOS-Release das unterstützt ...)


Wenn du das sagst dann mache ich das natürlich :D

Du hast schon für zwei Wochen Arbeit und bettelst nach noch mehr?


Nein definitiv nicht, denn am 26.10 endet mein Praktikum und somit auch mein Kontakt zu den Routern. Bis dahin muß ich also fertig sein.
Ich sende dir per PN meine Telefonnummer, ich bin ab 5:00 morgens erreichbar. Einfach kurz durchbimmeln dann rufe ich dich zurück.

Nun zu deinem Post Wordo

Da wuerde sich PPTP auf dem IPCop als "VPN" eher anbieten ...


Da die User eine Verbindung zum Firmennetzwerk aufbauen währe das die falsche Richtung, ich will ja nicht das der Tunnel die ganze Zeit die Wählverbindung offen hält.

Ah, vielleicht kann die 2600er ja IPSec, dann gaebe es noch die Moeglichkeit die Windows PCs mit nem Cisco VPN Client an der 2600er terminieren zu lassen ..


Das gefällt mir schon besser, wie kann ich herausfinden ob das geht? wieder mit dem Crypto Befehl? Leider habe ich den Cisco VPN Client nicht und soweit ich weiß kostet der ca 36 Euro. Aber ich habe eine Software von Lucent die das gleiche machen sollte. Ist das vieleicht sogar der Vorgänger dieser Software? Lucent wurde doch soweit ich weis von Cisco gefressen?

So nun fasse ich das nochmal zusammen was ich zu tun Gedenke
- ACL erstellen um die Konfiguration des Routers über die Netzwerk Interfaces nur einenm bestimmten Personenkreis zu erlauben
-ACL erstellen um nur meinen Client PC´s einen Zugang zum Firmennetzwerk zu erlauben.
-IPsec Termination auf dem 2600er ermöglichen um mit Windows XP Clients eine Verbindung aufzubauen.
-alternativ nur das RDP Protokoll verschlüsseln

Ich hoffe ich habe jetzt keine Gedankenfehler gemacht.

Heute habe ich erst einmal an der Projektdokumentation gearbeitet damit ich auch genau weis welche Screenshots und welche Schripte ich benötige, ausserdem mir eine Struktur zurechtlegen warum ich nun von meinem Projektantrag abweiche.

Danke an euch erst mal.

#26 Wordo

Wordo

    Board Veteran

  • 3.213 Beiträge

 

Geschrieben 11. Oktober 2006 - 15:54

Das gefällt mir schon besser, wie kann ich herausfinden ob das geht? wieder mit dem Crypto Befehl? Leider habe ich den Cisco VPN Client nicht und soweit ich weiß kostet der ca 36 Euro. Aber ich habe eine Software von Lucent die das gleiche machen sollte. Ist das vieleicht sogar der Vorgänger dieser Software? Lucent wurde doch soweit ich weis von Cisco gefressen?


Also ob das mit dem Lucent-Client klappt bezweifle ich mal .. aber ich kenn die Software nicht, wer weiss. Hier mal ne kleine Config fuer VPN Clientzugriff:

aaa new-model
aaa authentication login default line
aaa authentication login VPN-Client local
aaa authorization network VPN-Client local
aaa session-id common

crypto isakmp client configuration group VPN-Client
key dsfsdfsgdfgd
pool vpn
acl 150
max-logins 10
netmask 255.255.255.0
!
crypto ipsec security-association lifetime seconds 28800
!
crypto ipsec transform-set 3des-md5 esp-3des esp-md5-hmac
!
crypto dynamic-map VPN-Client 20
set transform-set 3des-md5
!
!
crypto map VPN isakmp authorization list VPN-Client
crypto map VPN client configuration address respond
crypto map VPN 20 ipsec-isakmp dynamic VPN-Client


ip local pool vpn ip-von-bis

access-list 150 permit ip blairgendwas

Und dann beim externen if noch "crypto map vpn".

Kann sein das paar Befehle ueberfluessig sind, hab nur c+p gemacht. Und kein Plan ob das IOS von der 2612 das packt, bin grad zu faul zum schaun :)
Wenns mit deinem Client nicht klappt und du hast ne oeffentiche IP schreib mir ne PN, dann connecte ich mich zum testen (ab morgen).

Und Feierabend ...

#27 Flogge

Flogge

    Newbie

  • 34 Beiträge

 

Geschrieben 11. Oktober 2006 - 16:22

Danke Wordo,
ja mache auch bald Feierabend. Bin doch nur eine Halbtagskraft (von 6:00 - 18:00)
Ich teste das sofort morgen als erstes. Leider habe ich keinen Zugang zum Internet mit dem Projekt, daher simuliere ich doch die Wählverbindung durch eine Telefonanlage. Aber ich lasse es dich sofort wissen ob es klappt und Poste dann auch hier die Config, vieleicht habe ich ja nur einen kleinen Fehler gemacht.

Und dann beim externen if noch "crypto map vpn".

Was meinst du damit?

Gruß Florian

#28 Flogge

Flogge

    Newbie

  • 34 Beiträge

 

Geschrieben 12. Oktober 2006 - 07:09

Hallo Wordo

Nachdem ich heute morgen dein Script ausprobiert habe und feststellen musste, das auch der 2600er kein Crypto beherrscht war die Auswahl der Möglichkeiten schon wieder geringer.

Nach dem Gespräch eben mit Blacky_24, wird es wohl sofern die IHK zustimmt auf eine direkte Einwahlverbindung von Router zu Router hinauslaufen.

Ich werde aber euch auf dem lauffenden halten was es nun sein wird. Ich habe nun ersteinmal ein paar Konfigurationen zu erledigen und hoffe das dabei alles klar geht.

Sollten Probleme auftreten dann Poste ich sie hier. Auch was meine Dokumentation angeht bin ich an eurer Meinung sehr interessiert, aber das wird noch ein wenig dauern.

Danke erstmal bisher für eure Mühe und eure Nerven
bis demnächst.

#29 Flogge

Flogge

    Newbie

  • 34 Beiträge

 

Geschrieben 17. Oktober 2006 - 07:40

Hallo alle zusammen,
Ich hoffe ihr hattet ein schönes Wochenende. So schön es auch war meine Sorgen und Nöte sind schon wieder da. Ich habe jetzt alle einstellungen so gemacht wie Blacky_24 es mir geraten hat.

Derzeit bastle ich gerade an der ACL damit kein Schweinkram gemacht werden kann. Soweit alles ok.

Doch wenn ich beim 2600er folgendes eingebe
interface Ethernet0/0 - ip access-group 102 in

access-list 102 permit tcp host 192.168.1.1 10.1.0.0 eq 3389
access-list 102 permit tcp host 192.168.1.1 192.168.0.0 eq 23
access-list 102 permit udp host 192.168.1.1 192.168.0.0 eq 23
access-list 102 permit icmp 192.168.0.0 any
access-list 102 deny ip any any

wird die RDP verbindung blockiert
Ich habe auch nach Netzangaben noch die Wildcard Bits gesetzt.
Mein erster Gedanke war, das der RDP Port unter anderem nur zum Anstossen der Verbindung benutzt wird, der Server aber daraufhin auch noch über andere Ports kommunizieren will.

Doch nun bin ich mir da nicht mehr sicher da mein 1600er fast die gleiche acl auf seiner Bri hat. demnach müsste es auch dort hängenbleiben. Das ist aber nicht der Fall, alleine ohne die 2600 Config funktioniert der 1600 wunderbar.

Client-1Router
interface Ethernet 0 - ip access-group 102 in

access-list 102 permit tcp host 10.1.1.1 host 192.168.1.1 eq 3389
access-list 102 deny ip any any

interface BRI0 - ip access-group 103 in
access-list 103 permit tcp host 192.168.1.1 host 10.1.1.1 eq 3389
access-list 103 permit tcp host 192.168.1.1 host 192.168.3.1 eq 23
access-list 103 permit udp host 192.168.1.1 host 192.168.3.1 eq 23
access-list 103 permit icmp 192.168.0.0 any
access-list 103 deny ip any any

interface Dialer1
access-list 104 permit tcp host 10.1.1.1 host 192.168.1.1 eq 3389
access-list 104 deny ip any any

Könnt Ihr mir sagen wo der Fehler liegt?
Gruß Florian

#30 Wordo

Wordo

    Board Veteran

  • 3.213 Beiträge

 

Geschrieben 17. Oktober 2006 - 07:49

Ist Eth0/0 bei der 2600 das interne Interface?