Jump to content
Sign in to follow this  
DieterK

Routing zwischen 3 Standorten

Recommended Posts

Hallo Forum,

 

ich habe 4 Standorte mit Cisco-Routern vernetzt. Die Verbindung der Standorte habe ich über GRE-Tunnel gelöst.

Standort A ist die Zentrale und ist mit Standort B, C und D verbunden. Zwischen B und C ist keine direkte Verbindung. Bisher war nur ein Zugriff von der Zentrale auf B oder C erforderlich. Nun muss ich ein Routing aufbauen, welches ein direkten Zugriff von Standort B auf Standort C ermöglicht.

 

Standort A Netzwerk 10.0.0.0/16

Standort B Netzwerk 192.168.42.0/24

Standort C Netzwerk 192.168.4.0/24

Standort D Netzwerk 192.168.44.0/24

 

Standort A:

 

version 12.3

no service pad

!

hostname Router-A

!

ip name-server 217.237.149.161

ip name-server 217.237.151.225

vpdn enable

!

vpdn-group pppoe

request-dialin

protocol pppoe

!

no ftp-server write-enable

!

isdn switch-type basic-net3

!

crypto isakmp policy 20

encr 3des

hash md5

authentication pre-share

group 2

crypto isakmp key xxxxx address 999.999.999.999

crypto isakmp key xxxxx address 888.888.888.888

crypto isakmp key xxxxx address 777.777.777.777

!

crypto ipsec transform-set SET1 esp-3des esp-sha-hmac

crypto ipsec transform-set SET2 esp-3des esp-sha-hmac

crypto ipsec transform-set SET3 esp-3des esp-sha-hmac

!

crypto map XVPN 1 ipsec-isakmp

set peer 213.146.119.47

set transform-set SET1

match address 101

crypto map XVPN 2 ipsec-isakmp

set peer 217.91.53.48

set transform-set SET2

match address 102

crypto map XVPN 3 ipsec-isakmp

set peer 87.139.18.218

set transform-set SET3

match address 103

!

interface Tunnel1

ip address 192.168.191.1 255.255.255.252

ip mtu 1432

tunnel source Dialer0

tunnel destination 999.999.999.999

crypto map XVPN

!

interface Tunnel2

ip address 192.168.192.1 255.255.255.252

ip mtu 1432

tunnel source Dialer0

tunnel destination 888.888.888.888

crypto map XVPN

!

interface Tunnel3

ip address 192.168.193.1 255.255.255.252

ip mtu 1432

tunnel source Dialer0

tunnel destination 777.777.777.777

crypto map XVPN

!

interface FastEthernet0

description $ETH-WAN$

no ip address

no ip unreachables

ip nat outside

ip virtual-reassembly

duplex auto

speed auto

pppoe enable

pppoe-client dial-pool-number 1

no cdp enable

!

interface Vlan1

ip address 10.0.1.253 255.255.0.0

ip nat inside

ip virtual-reassembly

ip tcp adjust-mss 1452

!

interface Dialer0

ip address negotiated

ip mtu 1456

ip nat outside

ip virtual-reassembly

encapsulation ppp

ip tcp adjust-mss 1452

dialer pool 1

dialer-group 1

no cdp enable

ppp authentication chap pap callin

ppp chap hostname inetuser

ppp chap password password

ppp pap sent-username inetuser password password

!

ip classless

ip route 0.0.0.0 0.0.0.0 Dialer0

ip route 192.168.4.0 255.255.255.0 Tunnel1

ip route 192.168.42.0 255.255.255.0 Tunnel2

ip route 192.168.44.0 255.255.255.0 Tunnel3

ip http server

ip http authentication local

ip http secure-server

ip nat inside source list 111 interface Dialer0 overload

ip nat inside source route-map XMAP1 interface Dialer0 overload

ip nat inside source route-map XMAP2 interface Dialer0 overload

ip nat inside source route-map XMAP3 interface Dialer0 overload

ip nat inside source route-map nonat interface Dialer0 overload

!

Fortsetzung folgt..

Share this post


Link to post
Share on other sites

Fortsetzung:

 

access-list 1 permit 10.0.0.0 0.0.255.255

access-list 23 permit 10.0.0.0 0.0.255.255

access-list 101 permit ip 10.0.0.0 0.0.255.255 192.168.4.0 0.0.0.255

access-list 102 permit ip 10.0.0.0 0.0.255.255 192.168.42.0 0.0.0.255

access-list 103 permit ip 10.0.0.0 0.0.255.255 192.168.44.0 0.0.0.255

access-list 105 permit ip 10.0.0.0 0.0.255.255 any

access-list 105 deny ip 10.0.0.0 0.0.255.255 192.168.4.0 0.0.0.255

access-list 105 deny ip 10.0.0.0 0.0.255.255 192.168.42.0 0.0.0.255

access-list 105 deny ip 10.0.0.0 0.0.255.255 192.168.44.0 0.0.0.255

access-list 111 permit ip 10.0.0.0 0.0.255.255 any

access-list 111 permit udp any any

access-list 111 deny ip 10.0.0.0 0.0.255.255 192.168.4.0 0.0.0.255

access-list 111 deny ip 10.0.0.0 0.0.255.255 192.168.42.0 0.0.0.255

access-list 111 deny ip 10.0.0.0 0.0.255.255 192.168.44.0 0.0.0.255

dialer-list 1 protocol ip permit

no cdp run

!

route-map XMAP1 permit 1

match ip address 101

!

route-map XMAP2 permit 1

match ip address 102

!

route-map XMAP3 permit 1

match ip address 103

!

route-map nonat permit 10

match ip address 105

!

end

 

Die Router von den anderen Standorten sind ähnlich konfiguriert, wobei es nur ein Tunnel zum Router A eingetragen ist. Ich erspare das posten der weiteren Konfigurationen der Router von B und C.

 

Der Zugriff von 192.168.4.5 auf 10.0.2.1 funktioniert.

Der Zugriff von 192.168.42.10 auf 10.0.2.1 funktionert.

Der Zugriff von 192.168.42.10 auf 192.168.4.5 funktioniert nicht. Wie kann ich dieses ändern. Sieht jemand von Euch, wo ich einen Knoten im meinen Konfigurationen habe.

 

Ich danke schon mal im Voraus.

 

Viele Grüße

 

Dieter

Share this post


Link to post
Share on other sites

Such mal bei Cisco.com nach "DMVPN", da konfigurierst du die Zentrale als Hub und die Standorte als Clients welche das VPN dann ueber den Hub untereinander herstellen. Sparste dir auch viele Zeilen in der Konfiguration :)

Share this post


Link to post
Share on other sites

Hallo Wordo,

 

ich habe in einem separatem Posting mal die Frage gestellt, ob mein Router 831 als Spoke im DMVPN eingesetzt werden kann. Mein Router mit Firmware "Cisco IOS Software, C831 Software (C831-K9O3Y6-M), Version 12.4(5b), RELEASE SOFTWARE (fc2)" kann dieses laut SDM 2.3 nicht.

 

Ich ich die Filialen des Netzwerkes meines Kunden vernetzt hatte, habe ich den 1712 als Hub eingerichtet und zwei 8xx als Spoke konfiguriert. Der Zugriff zwischen den beiden Spoke lief ohne Probleme. Der Zugriff vom Netzwerk des Spoke auf das Netzwerk vom Hub schlug jedoch fehl.

Nach Umstellung auf GRE-Tunnel mit statischem Routing konnte ich von den Netzwerken auf das Zentralnetzwerk am Cisco 1712 zugreifen.

Ich habe das Thema wieder aufgegriffen, da ein weiterer Router und Standort im Netzwerk aufgenommen werden soll und der neue Standort (Spoke) auf einen anderen Standort (ebenfalls Spoke) via Zentral zugreifen soll (als eine klassische Konstellation für DMVPN).

 

Nun kann leider der neue Router 831 mit der o.g. Firmware kein DMVPN. Gibt es eine ältere oder andere Firmware für den 831, bei der das DMVPN enthalten ist?

 

Viele Grüße und Dank

 

Dieter Kühlborn

Share this post


Link to post
Share on other sites
Hallo Wordo,

 

ich habe in einem separatem Posting mal die Frage gestellt, ob mein Router 831 als Spoke im DMVPN eingesetzt werden kann. Mein Router mit Firmware "Cisco IOS Software, C831 Software (C831-K9O3Y6-M), Version 12.4(5b), RELEASE SOFTWARE (fc2)" kann dieses laut SDM 2.3 nicht.

 

Ich ich die Filialen des Netzwerkes meines Kunden vernetzt hatte, habe ich den 1712 als Hub eingerichtet und zwei 8xx als Spoke konfiguriert. Der Zugriff zwischen den beiden Spoke lief ohne Probleme. Der Zugriff vom Netzwerk des Spoke auf das Netzwerk vom Hub schlug jedoch fehl.

Nach Umstellung auf GRE-Tunnel mit statischem Routing konnte ich von den Netzwerken auf das Zentralnetzwerk am Cisco 1712 zugreifen.

Ich habe das Thema wieder aufgegriffen, da ein weiterer Router und Standort im Netzwerk aufgenommen werden soll und der neue Standort (Spoke) auf einen anderen Standort (ebenfalls Spoke) via Zentral zugreifen soll (als eine klassische Konstellation für DMVPN).

 

Nun kann leider der neue Router 831 mit der o.g. Firmware kein DMVPN. Gibt es eine ältere oder andere Firmware für den 831, bei der das DMVPN enthalten ist?

 

Viele Grüße und Dank

 

Dieter Kühlborn

 

hallo DieterK

 

dein Router 831 sollte DMVPN als spoke unterstützen können:

 

Configuring DMVPN Spoke Router in Full Mesh IPsec VPN Using SDM [iPSec Negotiation/IKE Protocols] - Cisco Systems

 

Cisco IOS Software Release 12.3(8)T, Cisco 831 Series Router (C831-K9O3SY6-M)

 

p.s

an deiner stelle, wäre nächstes mal wirklich sehr vorsichtig, config files mit öffentlichen IP adressen einfach so zu posten.

wir sind ganz "nette" leute.

dies ist eine anständige kneipe, kein hacker forum, aber man weiss nie...

 

gruss

ccc

Share this post


Link to post
Share on other sites

Nun kann leider der neue Router 831 mit der o.g. Firmware kein DMVPN. Gibt es eine ältere oder andere Firmware für den 831, bei der das DMVPN enthalten ist?

 

Mit Sicherheit, die Frage ist eher ob du sie auch besorgen kannst? :cool:

Share this post


Link to post
Share on other sites

Hallo Wordo,

 

nach meinen Recherchen benötige ich das PLUS-Paket für meine Firmware. Mein Lieferant (Techdata/azlan) behauptet jedoch, dass eine Lieferfrist von 4 Wochen besteht. Ist das real oder kann die Software man das auf einer andere seriösen Weise schneller bekommen?

 

Viele Grüße

 

Dieter

Share this post


Link to post
Share on other sites

Du kannst dir einen SMARTnet Vertrag holen, kostet ca 70 Euro fuer Service Kategorie 1 (sollte passen, auf eigene Gefahr). Damit kannst du dann 1 Jahr lang so viele IOS Versionen von Cisco.com laden wie du willst. Ob das in weniger als 4 Wochen ueber die Buehne laeuft kann ich dir nicht sagen.

 

Ich hab nen SMARTnet mit Kategorie 6, da kann ich laden was ich will, ob das mit 1 genauso geht weiss ich leider nicht. Kat 6 kostet aber ueber 400 Euro fuer ein Jahr.

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...