Jump to content

Cisco 871 Site-2-Site VPN an dyn. IP / DynDNS


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Das Profil und den keyring brauche ich, um unterscheiden zu können, ob der Tunnelaufbau durch einen Client oder den Netgear (beides mal dynamische IP) erfolgt.

Zumindest habe ich das jetzt so verstanden aus der Anleitung von Cisco:

 

Configuring an IPSec Router Dynamic LAN-to-LAN Peer and VPN Clients [iPSec Negotiation/IKE Protocols] - Cisco Systems

Link zu diesem Kommentar

Ich mache NAT, das stimmt, aber die Routemap verweist auf ACL102, die wiederum denys für den Traffic zwischen den Netzen macht (z.B. deny ip 172.16.0.0 0.0.255.255 10.10.0.0 0.0.255.255). Also sage ich damit letztendlich, dass er den Traffic nicht natten soll, alles andere (ip permit 172.16.0.0 0.0.255.255 any) hingegen schon. So hab ich's bisher zumindest verstanden, und war auch ganz einleuchtend für mich...

Und, ja entweder SDM oder alles per CLI, ich weiss... Aber alles geht leider auch nicht per SDM, und die Anfangskonfig habe ich "damals" mit dem SDM erstellt... Keine Frage, dass das ganze der Verständlichkeit wegen überarbeitet werden sollte...

Werd Dir die Konfig nochmal schicken, muss mal sehen, ob ich die gerade vollständig hier habe, ist ja immer nur eine Testconfig...

Link zu diesem Kommentar
Ich mache NAT, das stimmt, aber die Routemap verweist auf ACL102, die wiederum denys für den Traffic zwischen den Netzen macht (z.B. deny ip 172.16.0.0 0.0.255.255 10.10.0.0 0.0.255.255). Also sage ich damit letztendlich, dass er den Traffic nicht natten soll, alles andere (ip permit 172.16.0.0 0.0.255.255 any) hingegen schon. So hab ich's bisher zumindest verstanden, und war auch ganz einleuchtend für mich...

Und, ja entweder SDM oder alles per CLI, ich weiss... Aber alles geht leider auch nicht per SDM, und die Anfangskonfig habe ich "damals" mit dem SDM erstellt... Keine Frage, dass das ganze der Verständlichkeit wegen überarbeitet werden sollte...

Werd Dir die Konfig nochmal schicken, muss mal sehen, ob ich die gerade vollständig hier habe, ist ja immer nur eine Testconfig...

 

Stimmt, aber muessen dann die Netze von Netgear und vpnclientpool nicht auch da rein?

Machst du den debug vom "Client"-Cisco?

Link zu diesem Kommentar

Werde ich heute abend nochmal machen...

Und ich werde auch nochmal für die beiden dynamic-maps jeweils eine ACL erstellen und als match mit aufnehmen... Dann sollte es ja eigentlich klar sein, welcher Traffic worüber geht:

 

So in der Art:

 

crypto dynamic-map dynmap 5

description Mobile_VPN-Clients

set transform-set ESP-3DES-SHA

set isakmp-profile allusersprofile

match address 105

crypto dynamic-map dynmap 65535

description Tunnel_zum_Netgear

set transform-set ESP-3DES-SHA

set isakmp-profile L2Lprofile

match address 110

!

!

!

crypto map staticmap 1 ipsec-isakmp

description Tunnel nach router2

set peer x.x.x.x

set transform-set ESP-3DES-SHA

match address 101

 

...

 

access-list 101 permit ip 172.16.0.0 0.0.255.255 10.10.0.0 0.0.255.255

 

access-list 105 permit ip 172.16.0.0 0.0.255.255 192.168.11.0 0.0.0.255

 

access-list 110 permit ip 172.16.0.0 0.0.255.255 192.168.15.0 0.0.0.255

 

und für NAT:

 

access-list 102 deny ip 172.16.0.0 0.0.255.255 10.10.0.0 0.0.255.255

access-list 102 deny ip 172.16.0.0 0.0.255.255 192.168.11.0 0.255.255.255

access-list 102 deny ip 172.16.0.0 0.0.255.255 192.168.15.0 0.255.255.255

access-list 102 permit ip 172.16.0.0 0.0.255.255 any

 

Und damit VPN-Clients vom Router2 auch über den Tunnel auf Router 1 kommen, müsste ich noch sowas einfügen, oder? (lokales Netz der Clients 192.168.10.10 - .20):

 

access-list 101 permit ip 172.16.0.0 0.0.255.255 192.168.10.0 0.255.255.255

access-list 101 permit ip 192.168.10 0.255.255.255 172.16.0.0 0.0.255.255

 

access-list 102 deny ip 172.16.0.0 0.0.255.255 192.168.10.0 0.255.255.255

 

Und entsprechend auf der Gegenseite...

 

Bei der Gelegenheit werde ich die ACLs auch mal BENENNEN... Steigt man ja sonst nicht mehr durch...

Link zu diesem Kommentar

So, wie versprochen, die entsprechenden Passagen der Konfig:

 

aaa new-model

!

!

aaa authentication login default local

aaa authentication login remoteaccess local

aaa authorization exec default local

aaa authorization network allusers local

!

aaa session-id common

!

[...]

 

username userxyz privilege 15 secret 5 *************

!

!

crypto keyring L2Lkeyring

description PSK fuer L2L Peers mit dynamischen IPs

pre-shared-key address 0.0.0.0 0.0.0.0 key ******

crypto keyring mainkeyring

description PSK fuer Peer mit fester IP

pre-shared-key address x.x.x.x key ******

!

crypto isakmp policy 1

encr 3des

authentication pre-share

group 2

!

crypto isakmp policy 10

encr 3des

authentication pre-share

group 2

crypto isakmp key ***** address x.x.x.x no-xauth

!

crypto isakmp client configuration group allusers

key ******

dns 10.10.1.3

wins 10.10.1.3

domain tec.wtg

pool clientpool

crypto isakmp profile mainprofile

description Tunnel feste IPs

keyring mainkeyring

match identity address x.x.x.x 255.255.255.255

crypto isakmp profile allusersprofile

description Remote access users profile

match identity group allusers

client authentication list remoteaccess

isakmp authorization list allusers

client configuration address respond

crypto isakmp profile L2Lprofile

description All L2L peers

keyring L2Lkeyring

match identity address 0.0.0.0

!

!

crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac

!

!

crypto dynamic-map dynmap 5

set transform-set ESP-3DES-SHA

set isakmp-profile allusersprofile

crypto dynamic-map dynmap 65535

set transform-set ESP-3DES-SHA

set isakmp-profile L2Lprofile

match address 110

!

!

!

crypto map staticmap 1 ipsec-isakmp

description Tunnel to router2

set peer x.x.x.x

set transform-set ESP-3DES-SHA

set isakmp-profile mainprofile

match address 101

crypto map staticmap 65535 ipsec-isakmp dynamic dynmap

!

[...]

!

interface FastEthernet4

description $ES_WAN$$FW_OUTSIDE$

ip address x.x.x.x 255.255.255.248

no ip redirects

no ip unreachables

no ip proxy-arp

ip nat outside

no ip virtual-reassembly

ip route-cache flow

speed 100

full-duplex

crypto map staticmap

!

interface Vlan1

description Inside

ip address 172.16.1.1 255.255.0.0

ip access-group 100 in

no ip proxy-arp

ip nat inside

no ip virtual-reassembly

ip route-cache flow

ip tcp adjust-mss 1452

!

ip local pool clientpool 192.168.11.240 192.168.11.254

ip route 0.0.0.0 0.0.0.0 x.x.x.x

!

no ip http server

ip nat inside source route-map SDM_RMAP_1 interface FastEthernet4 overload

!

access-list 100 remark auto generated by Cisco SDM Express firewall configuration

access-list 100 remark SDM_ACL Category=1

access-list 100 permit ip any any

access-list 100 permit udp any any

access-list 100 permit tcp any any

access-list 101 remark SDM_ACL Category=4

access-list 101 remark IPSec Rule

access-list 101 permit ip 172.16.0.0 0.0.255.255 10.10.0.0 0.0.255.255

access-list 101 permit ip 172.16.0.0 0.0.255.255 192.168.10.0 0.0.0.255

access-list 101 permit ip 192.168.11.0 0.0.0.255 10.10.0.0 0.0.255.255

access-list 101 permit ip 192.168.15.0 0.0.0.255 10.10.0.0 0.0.255.255

access-list 102 remark IPSec Rule

access-list 102 deny ip 172.16.0.0 0.0.255.255 10.10.0.0 0.0.255.255

access-list 102 deny ip 172.16.0.0 0.0.255.255 192.168.10.0 0.0.0.255

access-list 102 deny ip 172.16.0.0 0.0.255.255 192.168.11.0 0.0.0.255

access-list 102 deny ip 172.16.0.0 0.0.255.255 192.168.15.0 0.0.0.255

access-list 102 permit ip 172.16.0.0 0.0.255.255 any

access-list 110 permit ip 172.16.0.0 0.0.255.255 192.168.15.0 0.0.0.255

no cdp run

!

!

route-map SDM_RMAP_1 permit 1

match ip address 102

!

!

[...]

Link zu diesem Kommentar

Die Sachen hier können bestimmt noch raus:

 

crypto isakmp policy 1

 

evtl. auch:

crypto isakmp key ***** address x.x.x.x no-xauth

(steht ja alles auch im profile bzw. keyring)

 

Habe in dem Zuge auch gleich den Traffic von den mobilen Clients über den festen Tunnel zur anderen Niederlassung ermöglicht. Die Probleme lagen einerseits in der ACL 101 (zu verschlüsselnder Traffic) andererseits in ACL 102 (Ausnahmen vom NAT).

 

Jetzt hab ich nur noch so ein minimales Problem, und zwar wie ich dem Router selbst sage, dass er Pakete, die von ihm ausgehen (z.B. ein ping) in den entsprechenden Tunnel schickt. Wenn ich also z.B. auf dem Router "ping 10.10.1.1" eingebe, erhalte ich keine Antwort, sondern nur wenn ich als source vlan 1 angebe. Beim ping mag das ja noch okay sein, aber bei einem copy xyz tftp kann ich das vlan nicht als Source angeben...

 

Ist doch bestimmt nur ein Einzeiler, der mir da fehlt, oder?

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...