Jump to content
Sign in to follow this  
Whistleblower

HA-VPN mit Cisco 871 möglich?

Recommended Posts

Hi,

wir stehen vor der Herausforderung, eine Niederlassung mit denkbar ungünstigen Rahmenbedingungen zuverlässig an eine Zentrale (ASA 5505) anzubinden.

Der Standort der Niederlassung erlaubt leider keinen brauchbaren ADSL-Anschluss, so dass bisher nur eine 1-2MBit ADSL-Leitung (mit fester IP über PPPoE) vorhanden war, mit einem Upload von 96-128 KBit... :(

Dass darüber weder RDP-Sessions von VoIP annehmbar möglich sind, brauche ich nicht zu erwähnen.

Folglich gibt es jetzt eine zweite Anbindung über Kabel, die auch ziemlich performant ist (32MBit, in der Praxis ca. 20-25 downstream), allerdings keine feste IP beinhaltet.

Um eine grundsätzliche Erreichbarkeit des Standortes sicherzustellen, würde jetzt im Idealfall die Kabelstrecke hauptsächlich genutzt werden, und nur bei Ausfall ein Backup über die langsame Anbindung erfolgen.

Lässt sich das mit dem 871 der Niederlassung und der ASA 5505 in der Zentrale realisieren? VPN-Verbindung müsste von der Niederlassung initialisiert werden oder über dyndns laufen.

Gibt es noch andere Wege, beide Leitungen sinnvoll zu nutzen? Hatte auch schon an eine einfache Lastverteilung anhand des Zielnetzes (VPN über eine Strecke, Internet über andere) nachgedacht, aber performant sollte am besten beides sein, somit bleibt eigentlich nur der Aufbau mit Backup...

 

Hat jemand so ein Konstrukt am laufen?

Share this post


Link to post

Hi Wordo,

 

um EasyVPN habe ich bisher immer einen Bogen gemacht, weil auch VPNs zu Nicht-Cisco Endpunkten aufgebaut werden (z.B. Astaro, Juniper, Nokia), auch von dieser Niederlassung aus.

Vermutlich wird das also nicht ohne größere Änderungen möglich sein, ich werd mich aber mal in das Thema einlesen...

Share this post


Link to post

Ja, eigentlich...

Wir haben aber eine vermaschte VPN-Struktur, da alle Niederlassungen relativ selbstständig sind, und zudem einige Niederlassungen noch VPN-Verbindungen zu Dritten betreiben, die nicht über die Zentrale laufen müssen/sollen. Dadurch auch die gemischte VPN-Landschaft...

Ist Easy-VPN denn ein Muss dafür?

Share this post


Link to post

Da die Niederlassung keine feste IP hat muss sie sich entweder anmelden mit User/PW oder Zertifikat, wenn diese Voraussetzung geschaffen ist kannst es auch mit nem einfachen Tracking und loesen.

Share this post


Link to post

Hi,

 

ein grundlegendes Backup (erstmal nur für reinen Internetzugang) über Tracking sollte doch auch mit PBR und Multiple Tracking möglich sein, oder?

Policy Based Routing with the Multiple Tracking Options Feature Configuration Example [iP Routed Protocols] - Cisco Systems

 

Leider kann ich dem nicht entnehmen, ob das auch mit Dialer Interfaces funktioniert... Ich such nochmal weiter...

Share this post


Link to post

Hm, nach wie vor bin ich mir nicht sicher, ob sich EasyVPN mit der bestehenden Config verträgt.

Deswegen wird wohl erstmal der Router auf den KabelDeutschland-Anschluss umkonfiguriert, und der DSL-Anschluss nur für ein einziges VPN genutzt, alles andere soll dann über Kabel gehen...

Ein Backup von Kabel auf DSL wird dann später nachträglich konfiguriert.

 

Am meisten stört mich die dynIP bei der Geschichte, aber da gibt's momentan leider keine Alternative zu ...:(

 

Ich poste hier nachher mal die Konfig, wie ich mir das vorgestellt habe (testen kann ich leider erst später...)

 

PS: Der obige Blog ist leider grad offline... :(

Share this post


Link to post

Hm, bei mir ists erreichbar.

 

Du bist natuerlich nicht an EasyVPN gebunden, aber wenn du ne dynamische IP hast musst du einen PSK fuer alle verwenden, sofern du keine Zertifikate oder XAUTH verwendest.

 

Wenn dir das egal ist reicht ein Object Tracking.

Share this post


Link to post

Jo, Blog war wohl nur temporär offline...

 

Anbei mal die Konfig, basierend auf aktuellen Einstellungen - hoffentlich nicht zu konfus, musste natürlich einiges durch Suchen&Ersetzen ändern... ;)

 

Teil 1 von 3:

!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname router
!
boot-start-marker
boot system flash c870-advsecurityk9-mz.124-24.T.bin
boot-end-marker
!
logging message-counter syslog
no logging buffered
logging rate-limit 1
logging console critical
enable secret 5 xxx
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication login remoteaccess local
aaa authorization exec default local
aaa authorization network allusers local
!
!
aaa session-id common
clock timezone CET 1
clock summer-time CEST recurring
clock save interval 24
!
crypto pki trustpoint TP-self-signed-2481874788
[..]
!
!
crypto pki certificate chain TP-self-signed-2481874788
certificate self-signed 01
 [..]
       quit
dot11 syslog
no ip source-route
!
!
ip cef
ip inspect name ethernet_0 tcp router-traffic
ip inspect name ethernet_0 ftp
ip inspect name ethernet_0 udp
ip inspect name ethernet_0 realaudio
ip inspect name ethernet_0 h323
ip inspect name ethernet_0 sip
ip inspect name ethernet_0 sip-tls
ip inspect name ethernet_0 fragment maximum 256 timeout 1
ip inspect name ethernet_0 pptp
no ip bootp server
ip domain name irgendwas.local
ip name-server 217.237.149.205
ip name-server 217.237.151.51
ip name-server 194.25.2.129
!
!
vpdn enable
!
!
!
username xxx
!
crypto keyring L2Lkeyring
 description PSK for L2L peers with dynamic addressing
crypto keyring vpn1_keyring
 description PSK for vpn1
 pre-shared-key address IP_vpn1 key xxx
crypto keyring vpn2_keyring
 description PSK for vpn2
 pre-shared-key address IP_vpn2 key xxx
crypto keyring vpn3_keyring
 description PSK for vpn3
 pre-shared-key address IP_vpn3 key xxx
crypto keyring vpn4_keyring
 description PSK for vpn4
 pre-shared-key address IP_vpn4 key xxx
crypto keyring vpn5_keyring
 description PSK for vpn5
 pre-shared-key address IP_vpn5 key xxx
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
!
crypto isakmp policy 2
encr 3des
authentication pre-share
group 2
!
crypto isakmp policy 3
encr 3des
hash md5
authentication pre-share
group 2
lifetime 3600
!
crypto isakmp policy 4
encr 3des
authentication pre-share
group 2
lifetime 7200
!
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group allusers
key xxx
dns 10.x.x.x
wins 10.x.x.x
domain irgendwas.local
pool clientpool
acl 106
split-dns irgendwas.local
split-dns irgendwas2.local
pfs

Share this post


Link to post

Teil 2:

crypto isakmp profile allusersprofile
  description Remote access users profile
  match identity group allusers
  client authentication list remoteaccess
  isakmp authorization list allusers
  client configuration address respond
crypto isakmp profile vpn1_profile
  description Tunnel vpn1_zuNiederlassung
  keyring vpn1_keyring
  match identity address IP_vpn1 255.255.255.255
crypto isakmp profile vpn2_profile
  description Tunnel vpn2_zuNiederlassung
  keyring vpn2_keyring
  match identity address IP_vpn2 255.255.255.255
crypto isakmp profile vpn3_profile
  description Tunnel vpn3_zuNiederlassung
  keyring vpn3_keyring
  match identity address IP_vpn3 255.255.255.255
crypto isakmp profile vpn4_profile
  description Tunnel vpn4_zuNiederlassung
  keyring vpn4_keyring
  match identity address IP_vpn4 255.255.255.255
crypto isakmp profile vpn5_profile
  description Tunnel vpn5_zuNiederlassung
  keyring vpn5_keyring
  match identity address IP_vpn5 255.255.255.255
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set VPN_vpn1_ esp-3des esp-md5-hmac
crypto ipsec transform-set VPN_vpn1_2 esp-aes 256 esp-sha-hmac
crypto ipsec transform-set VPN_vpn4 esp-3des esp-md5-hmac
crypto ipsec transform-set ESP-AES192-SHA esp-aes 192 esp-sha-hmac
!
crypto dynamic-map dynmap 5
set transform-set ESP-3DES-SHA
set isakmp-profile allusersprofile
!
!
crypto map ext_staticmap 1 ipsec-isakmp
description Tunnel to vpn1
set peer IP_vpn1
set transform-set VPN_vpn1_
set isakmp-profile vpn1_profile
match address vpn_vpn1_
!
crypto map staticmap 1 ipsec-isakmp
description Tunnel to vpn5_
set peer IP_vpn5
set transform-set ESP-3DES-SHA
set pfs group2
set isakmp-profile vpn5_profile
match address vpn_vpn5
crypto map staticmap 4 ipsec-isakmp
description Tunnel to vpn4_
set peer IP_vpn4
set transform-set VPN_vpn4
set pfs group2
set isakmp-profile vpn4_profile
match address vpn_vpn4_
crypto map staticmap 5 ipsec-isakmp
description Tunnel to vpn2_
set peer IP_vpn2
set transform-set ESP-3DES-SHA
set pfs group2
set isakmp-profile vpn2_profile
match address vpn_vpn2
crypto map staticmap 7 ipsec-isakmp
description Tunnel to vpn3_
set peer IP_vpn3
set transform-set ESP-3DES-SHA
set isakmp-profile vpn3_profile
match address vpn_vpn3
crypto map staticmap 65535 ipsec-isakmp dynamic dynmap
!
archive
log config
 hidekeys
!
!
ip tcp synwait-time 10
ip tftp source-interface Vlan1
ip ssh authentication-retries 2
!
!
!
interface Null0
no ip unreachables
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
description *** Link KabelDeutschland ***
switchport access vlan 199
!
interface FastEthernet4
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
no ip virtual-reassembly
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface Vlan1
description LAN_inside$FW_INSIDE$
ip address 10.150.1.1 255.255.255.0
ip access-group inside_rule out
no ip redirects
no ip unreachables
no ip proxy-arp
ip inspect ethernet_0 in
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1300
no ip mroute-cache
!
interface Vlan199
description VLAN_fuer_KabelDeutschland-Link
ip address dhcp client-id FastEthernet3
ip access-group outside_rule in
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip nat outside
ip virtual-reassembly
crypto map ext_staticmap
!

Share this post


Link to post

Teil 3:

 

interface Dialer1
description tdsl_flat$FW_OUTSIDE$
bandwidth 2048
ip address negotiated
ip access-group outside_rule in
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip nat outside
no ip virtual-reassembly
encapsulation ppp
no ip route-cache cef
no ip route-cache
no ip mroute-cache
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication chap pap callin
ppp chap hostname xxx
ppp chap password 7 xxx
crypto map staticmap
!
ip local pool clientpool 192.168.50.240 192.168.50.254
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 FastEthernet3
ip route 10.150.4.0 255.255.255.0 10.150.1.254
ip route 10.150.5.0 255.255.255.0 10.150.1.254
ip route 10.150.14.0 255.255.255.0 10.150.1.254
ip route 192.168.93.0 255.255.255.0 Dialer1
ip route IP_vpn1 255.255.255.255 Dialer1
ip route 192.168.99.0 255.255.255.0 10.160.1.1
no ip http server
ip http secure-server
ip http secure-port 50443
!
ip nat inside source route-map KABEL interface FastEthernet3 overload
ip nat inside source route-map TDSL interface Dialer1 overload
ip nat inside source static tcp 10.150.1.210 80 dyn_pubIP_Kabel 80 route-map NAT_rule extendable
ip nat inside source static tcp 10.150.1.210 443 dyn_pubIP_Kabel 443 route-map N-rule extendable
!
ip access-list extended NAT_rule
remark NAT-Ausnahme Site2Site
deny   ip 10.150.0.0 0.0.255.255 10.160.0.0 0.0.255.255
deny   ip 10.150.1.0 0.0.0.255 192.168.99.0 0.0.0.255
deny   ip 10.150.0.0 0.0.255.255 10.120.0.0 0.0.255.255
deny   ip 10.150.0.0 0.0.255.255 10.170.0.0 0.0.255.255
deny   ip 10.150.1.0 0.0.0.255 192.168.93.0 0.0.0.255
deny   ip 10.150.1.0 0.0.0.255 192.168.1.0 0.0.0.255
deny   ip 10.150.0.0 0.0.255.255 192.168.210.0 0.0.0.255
deny   ip 10.150.1.0 0.0.0.255 192.168.85.0 0.0.0.255
deny   ip 10.150.0.0 0.0.255.255 192.168.60.0 0.0.0.255
deny   ip 10.150.0.0 0.0.255.255 192.168.50.0 0.0.0.255
remark Alles andere natten
permit ip 10.150.0.0 0.0.255.255 any
ip access-list extended inside_rule
remark ### Traffic_Site2Site ###
permit ip 10.160.0.0 0.0.255.255 any
permit ip 192.168.99.0 0.0.0.255 10.150.1.0 0.0.0.255
permit ip 10.170.0.0 0.0.255.255 10.150.0.0 0.0.255.255
permit ip 192.168.93.0 0.0.0.255 10.150.0.0 0.0.255.255
permit ip 192.168.1.0 0.0.0.255 10.150.1.0 0.0.0.255
permit ip 192.168.85.0 0.0.0.255 10.150.1.0 0.0.0.255
permit ip 10.120.0.0 0.0.255.255 10.150.0.0 0.0.255.255
permit ip 192.168.210.0 0.0.0.255 10.150.0.0 0.0.255.255
permit ip 192.168.60.0 0.0.0.255 any
permit ip 192.168.50.0 0.0.0.255 any
permit ip 192.168.15.0 0.0.0.255 host 10.150.4.108
permit gre any any log
permit icmp any any
deny   ip any any
ip access-list extended mgmt_rule
remark VTY Access-class list
[..]
deny   ip any any

Share this post


Link to post

Teil 4 (von 3 :D ):

 

ip access-list extended outside_rule
remark ### NTP-Server ###
permit udp host 192.53.103.104 eq ntp host dyn_pubIP_Kabel eq ntp
permit udp host 192.53.103.108 eq ntp host dyn_pubIP_Kabel eq ntp
permit udp host 194.25.2.129 eq domain any
remark ### VPN vpn2_ ###
permit ahp host IP_vpn2 host dyn_pubIP_Kabel
permit esp host IP_vpn2 host dyn_pubIP_Kabel
permit udp host IP_vpn2 host dyn_pubIP_Kabel eq isakmp
remark ### VPN vpn4_ ###
permit esp host IP_vpn4 host dyn_pubIP_Kabel
permit udp host IP_vpn4 host dyn_pubIP_Kabel eq isakmp
remark ### VPN vpn3_ ###
permit esp host IP_vpn3 host dyn_pubIP_Kabel
permit udp host IP_vpn3 host dyn_pubIP_Kabel eq isakmp
remark ### VPN vpn1_ ###
permit esp host IP_vpn1 host dyn_pubIP_Kabel
permit udp host IP_vpn1 host dyn_pubIP_Kabel eq isakmp
remark ### VPN vpn5_ ###
permit esp host IP_vpn5 host dyn_pubIP_Kabel
permit udp host IP_vpn5 host dyn_pubIP_Kabel eq isakmp
permit udp host IP_vpn5 host dyn_pubIP_Kabel eq non500-isakmp
remark ### Anti-Spoofing ###
deny   ip 10.150.0.0 0.0.255.255 any
deny   ip 10.0.0.0 0.255.255.255 any
deny   ip 10.48.0.0 0.15.255.255 any
deny   ip 192.168.0.0 0.0.255.255 any
deny   ip 127.0.0.0 0.255.255.255 any
deny   ip host 255.255.255.255 any
deny   ip host 0.0.0.0 any
deny   ip any any log
ip access-list extended vpn_vpn1_
permit ip 10.150.1.0 0.0.0.255 192.168.93.0 0.0.0.255
deny   ip any any
ip access-list extended vpn_vpn4_
permit ip 10.150.1.0 0.0.0.255 192.168.1.0 0.0.0.255 log
permit ip 10.150.1.0 0.0.0.255 192.168.85.0 0.0.0.255 log
deny   ip any any
ip access-list extended vpn_vpn5
permit ip 10.150.0.0 0.0.255.255 10.160.0.0 0.0.255.255
permit ip 10.150.0.0 0.0.255.255 192.168.60.0 0.0.0.255
permit ip 192.168.50.0 0.0.0.255 10.160.0.0 0.0.255.255
ip access-list extended vpn_vpn2
remark IPSec Rule
permit ip 10.150.0.0 0.0.255.255 10.120.0.0 0.0.255.255
deny   ip any any
ip access-list extended vpn_vpn3
remark IPSec Rule
permit ip 10.150.0.0 0.0.255.255 10.170.0.0 0.0.255.255
deny   ip any any
!

access-list 1 remark INSIDE_IF=vlan1
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 10.150.0.0 0.0.255.255
access-list 2 remark SDM_ACL Category=2
access-list 2 permit 10.150.0.0 0.0.255.255
access-list 106 remark Client_Split
access-list 106 permit ip 10.150.0.0 0.0.255.255 any
access-list 106 permit ip 10.160.0.0 0.0.255.255 any
access-list 106 permit ip 10.120.0.0 0.0.255.255 any
access-list 110 permit ip 10.150.0.0 0.0.255.255 192.168.15.0 0.0.0.255
no cdp run

!
!
!
route-map TDSL permit 1
match ip address NAT_rule
!
route-map Kabel permit 1
match ip address NAT_rule
!
!
control-plane
!
!
line con 0
logging synchronous
no modem enable
transport output telnet
line aux 0
transport output telnet
line vty 0 4
session-timeout 60
access-class mgmt_rule in
logging synchronous
transport input telnet ssh
!
scheduler max-task-time 5000
scheduler allocate 4000 1000
scheduler interval 500
end

 

Sind wahrscheinlich noch einige Fehler drin, muss ich dann vor Ort anpassen.

Aber vom Prinzip richtig gedacht? Alles ausser Traffic für vpn1 soll über's "Kabel"-Interface rausgehen...

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...