tecker2010 10 Geschrieben 23. November 2006 Melden Teilen Geschrieben 23. November 2006 Hi, also im Grunde steht mein Problem schon fast in der Überschrift. Ich möchte einen Tunnel zwischen 2 Routern (GRE oder IPSec) über das Internet aufbauen. Um die gegenseite zu erreichen brauche ich ja an beiden Tunneln eine WAN-IP die sich ja gewöhnlich ändert (und ich möchte keine feste IP beim Provider kaufen). Was kann ich machen um die gegenseite zu erreichen nachdem sie eine neue neue IP vom Provider bekommen hat? Der Embedded Event Manager ist eine sehr feine Sache um über einen Cronjob Konfigurationen im Router selbständig vornehmen zu lassen, womit ich ja die DynDns Adresse der Gegenseite immer neu einlesen kann (hier scheinen Hostnamen unterstützt zu werden), allerdings ist einer der Router ein 836er der das nicht unterstützt. Gibt es eine andere Möglichkeit? Viele Grüße tecker Zitieren Link zu diesem Kommentar
adowoMAC 10 Geschrieben 23. November 2006 Melden Teilen Geschrieben 23. November 2006 Ich habe damals einen kleinen Embedded PC (20€ *B*y) hinter dem 800er Router benutzt, der nichts anderes gemacht hat, als an DynDNS zu berichten wie seine IP gerade ist. Wie es mit Bordmitteln auf dem 836 aussieht kann ich dir nicht sagen, ich habe es nicht hinbekommen. Hendrik Zitieren Link zu diesem Kommentar
rob_67 10 Geschrieben 23. November 2006 Melden Teilen Geschrieben 23. November 2006 ...die 12.4 er iossen unterstützen dyndns... gruss rob Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 23. November 2006 Melden Teilen Geschrieben 23. November 2006 [offtopic] Gibts eigentlich so Billigrouter die das koennen (oder von sich behaupten zu koennen)? [/offtopic] Zitieren Link zu diesem Kommentar
tecker2010 10 Geschrieben 23. November 2006 Autor Melden Teilen Geschrieben 23. November 2006 DynDNS ist ja schön und gut, aber ich kann ja nicht die DynDNS Domain als tunnel destination eintragen .. der kann doch da keine Namesauflösung machen oder? Soweit ich weiß geht das nicht. Zitieren Link zu diesem Kommentar
acidfinger 10 Geschrieben 23. November 2006 Melden Teilen Geschrieben 23. November 2006 Hi, zum Thema andere Routerhersteller. Bei Sonicwall geht dieses mit dem sogenannten aggressive Mode. Gruss Acid Zitieren Link zu diesem Kommentar
adowoMAC 10 Geschrieben 23. November 2006 Melden Teilen Geschrieben 23. November 2006 Alle aktuellen Fritzboxen und auch einige D-Link und Siemens Kisten können Dynamische IP-Dienste. Zitieren Link zu diesem Kommentar
mturba 10 Geschrieben 23. November 2006 Melden Teilen Geschrieben 23. November 2006 Geht sogar schon ab 12.3(4)T: Cisco Systems - Real-Time Resolution for IPSec Tunnel Peer @hkahmann: Was bedeutet dynamische IP-Dienste? Bezieht sich das auch auf die Möglichkeit, IPSec-Tunnel zu dynamischen Endpunktadressen aufzubauen? Zitieren Link zu diesem Kommentar
adowoMAC 10 Geschrieben 24. November 2006 Melden Teilen Geschrieben 24. November 2006 Mit dynamische IP Dienste wollte ich nur sagen, dass sie die Möglichkeit bieten, die aktuelle IP Adresse an Anbieter wie DynDNS weiterzugeben. Der Begriff war wohl etwas mau gewählt. Zitieren Link zu diesem Kommentar
Klettermaxx 10 Geschrieben 12. Januar 2007 Melden Teilen Geschrieben 12. Januar 2007 Alles für den A... Habe es heute versucht zu konfigurieren. Das Ganze scheitert schon beim ISAKMP. Wenn man dort mit Hostnames arbeitet, behauptet der Router im Debug immer, dass er für die Gegenstelle keinen Preshared Key hat. Trage ich in der ISAKMP wieder IP Adressen ein so funktioniert das ganze prima. Gruß Florian Zitieren Link zu diesem Kommentar
mturba 10 Geschrieben 12. Januar 2007 Melden Teilen Geschrieben 12. Januar 2007 Wenn die Endpunktadresse nicht bekannt ist, kannst du dafür 0.0.0.0 mit der Maske 0.0.0.0 verwenden, wie es auch für die Remote-VPN-Konfiguration gemacht wird: crypto isakmp key 123cisco address 0.0.0.0 0.0.0.0 Allerdings schreibt Cisco dazu: Using 0.0.0.0 as a subnet address is not recommended because it encourages group preshared keys, which allow all peers to have the same group key, thereby reducing the security of your user authentication. (Quelle: Cisco IOS Security Configuration Guide, Release 12.4 - Configuring Internet Key Exchange for IPSec VPNs [Cisco IOS Software Releases 12.4 Mainline] - Cisco Systems) Eine Alternative dazu wäre, RSA-Keys zu verwenden: Cisco IOS Security Configuration Guide, Release 12.4 - Configuring Internet Key Exchange for IPSec VPNs [Cisco IOS Software Releases 12.4 Mainline] - Cisco Systems Zitieren Link zu diesem Kommentar
Ciscler 10 Geschrieben 13. Januar 2007 Melden Teilen Geschrieben 13. Januar 2007 Hallo, Das ist ja sozusagen der aggressive Mode. Er lässt erstmal alles rein und schaut ob der PSK key richtig ist. crypto isakmp key 123cisco address 0.0.0.0 0.0.0.0 Aber wenn ich beide Router auf aggresive stelle kennt der eine Router ja immer noch nicht die IP der Gegenseite. Mich würde jetzt auch mal interessieren wie es geht da die crypto map ja nichts mit domain namen anfangen kann. Gruß Dirk Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 15. Januar 2007 Melden Teilen Geschrieben 15. Januar 2007 Fuer sowas gibt es ja XAUTH, Problem ist nur wenn mal der Key geaendert werden muss :( Zitieren Link zu diesem Kommentar
firefox80 10 Geschrieben 15. Januar 2007 Melden Teilen Geschrieben 15. Januar 2007 zum thema billigrouter: der linksys wrv200 kann hostnamen verwenden, die man dann in einer dyndns datenbank abfragen kann. eine verbindung konnte ich trotzdem noch nicht erfolgreich herstellen. wahrscheinlich hat das aber andere gründe. Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 15. Januar 2007 Melden Teilen Geschrieben 15. Januar 2007 Ich hatte auch mal das Problem, einen Netgear Router mit dyn IP an einen Cisco (der allerdings mit fester IP) anzubinden, zumal ich parallel auch mobilen Clients den Zugriff ermöglichen wollte. Mit dem Einsatz von keyrings konnte ich das ganze dann erfolgreich konfigurieren, das sollte eigentlich auch funzen, wenn Du auf beiden Seiten dyn. ip hast und zumindest für eine Seite dynDNS nutzt. Anfänglich hatte ich dynDNS auch mit genutzt und konnte auch über den Hostnamen connecten. Für den key müsstest Du normalerweise auch den hostnamen /DynDNS-Alias eintragen können, und der 836er aktualisiert die IP entsprechend... Ist der andere Router auch Cisco, oder was für ein Hersteller? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.