-superGAU- 10 Geschrieben 12. Mai 2009 Melden Geschrieben 12. Mai 2009 Hallo zusammen, ich nutze an zwei Standorten jeweils einen 836. Diese beiden möchte ich nun über VPN verbinden, damit ich vom Standort "B" auf den Server am Standort "A" zugreifen kann. Beide Router sind an einem T-DSL 2000 Anschluss mit dynamischer IP. Wie bekomme ich nun einen VPN-Tunnel zwischen beiden Geräten zustande? Habe die geführte Anleitung aus SDM genutzt, jedoch weiß ich nicht was ich als Host oder Konzentrator eingeben soll? Auch die IP des anderen Routers einzugeben erscheint mir sinnlos denn diese ist ja variabel?! Gruß Sascha
blackbox 10 Geschrieben 13. Mai 2009 Melden Geschrieben 13. Mai 2009 Hallo, mit "dynamischer" IP wird das bei einem Site2Site VPN nix werden. Du brauchst auf mind. einer Seite eine feste - wobei ich für beide Seite eine feste dringends empfehlen würde. Gruss Mike
Servidge 10 Geschrieben 13. Mai 2009 Melden Geschrieben 13. Mai 2009 Hallo, mit "dynamischer" IP wird das bei einem Site2Site VPN nix werden. Du brauchst auf mind. einer Seite eine feste ... Von der Theorie und aus Sicherheitsgesichtspunkten her stimmt das vielleicht. Es ist aber auch möglich das auf beiden Seiten eine Dynamische IP eingetragen ist. Einfach bei "crypto isakmp key KEY address" keine IP sondern "0.0.0.0 0.0.0.0" eintragen. Bei der cryprto map muß dann anstelle der peer IP adresse ein "set peer DNSNAME(Bsp. Dyndns) dynamic" rein. Wichtig ist nur das Real-time Resolution for IPSec Tunnel Peer vom IOS unterstützt wird. Der Rest der Konfig bleibt eigentlich gleich wenn ich nichts übersehen habe. Gruß
Wordo 11 Geschrieben 13. Mai 2009 Melden Geschrieben 13. Mai 2009 Restrictions for Real-Time Resolution for IPSec Tunnel Peer [...] DNS names resolution for remote IPSec peers will work only if they are used as an initiator. The first packet that is to be encrypted will trigger a DNS lookup; after the DNS lookup is complete, subsequent packets will trigger IKE. Wenn beides Standorte sind kanns da schon eventuell Probleme geben wenn sich nur die IP vom Responder aendert, kann da aber keine Erfahrungswerte liefern.
blackbox 10 Geschrieben 13. Mai 2009 Melden Geschrieben 13. Mai 2009 Hallo, wie ich das mal getestet habe - ist das total Schief gegangen - dann das TAC gefragt - dann antwortet bekommen - und der Kollege aus Brüssel sagte mir - bitte eine feste nehmen - sonst würde ich keine Freude haben.
Servidge 10 Geschrieben 13. Mai 2009 Melden Geschrieben 13. Mai 2009 Das mit der Freude ist so eine Sache ;) Für eine wichtige Verbindung, die keine Aussetzer haben darf sind zwei dynamische Endpunkte sicher nicht die richtige Wahl. Im Unternehmen würde ich soetwas niemals dauerhaft produktiv einsetzen. Als kurzfrisige Notlösung aber machbar. Das einzigste wo es zu Problemen kommen wird ist halt bei Zugangsproblemen, Zwangstrennung etc der beiden Router. Sobald eine neue IP zugewiesen wird kann es nen moment länger dauern als bei festen IPs. Dieser Zeitraum lässt sich aber durch keepalive und kurze lifetime auch klein halten.
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden