DocZenith 12 Geschrieben 10. Dezember 2010 Melden Geschrieben 10. Dezember 2010 Hallo Community. Ich stehe vor folgendem Problem. Ich möchte eine Site2Site VPN aufbauen. Auf der einen Seite eine Fritzbos 7390, auf der anderen Seite ein Cisco Router. Auf dem Cisco Router sind zwei externe Interfaces aktiv, das Interface mit der niedrigeren Bandbreite wird als Default Gateway genutzt. Nun möchte ich die VPN aber über das Interface mit der höheren Bandbreite nutzen. Ich sehe das Problem, da der Standort mit der Fritzbox eine dyn IP hat, dass ich keine richtige Route auf dem Cisco konfigurieren kann, so dass der Traffic über das zweite, größere Interface läuft. Bestimmt gibt es da Lösungsansätze. Ich habe da etwas im Hinterkopf, dass man eingehende VPN Verbindungen auch anhand eines Namens, einer ID oder so authentifizieren kann, aber ich hab dazu kein Schlagwort was ich googeln könnte. Über Hilfe und Tipps würde ich mich freuen. Gruß.
Otaku19 33 Geschrieben 10. Dezember 2010 Melden Geschrieben 10. Dezember 2010 ja, aber wohl eher nicht mit der fritzbox als gegenüber. EasyVPN wäre hier brauchbar
Servidge 10 Geschrieben 10. Dezember 2010 Melden Geschrieben 10. Dezember 2010 Ist eigentlich nicht so schwer. Vorher aber noch ne Frage. Haben beide Seiten eine Dynamische IP oder nur eine Seite? Sind auf der Cisco Seite auf beiden WAN Schnittstellen VPN Verbindungen eingerichtet oder ist das jetzt die erste?
Otaku19 33 Geschrieben 10. Dezember 2010 Melden Geschrieben 10. Dezember 2010 hm, wenn ich es mir recht überlege...ne, am Routing ändert das easyVPN eigentlich nix.
DocZenith 12 Geschrieben 10. Dezember 2010 Autor Melden Geschrieben 10. Dezember 2010 Hallo, auf der Cisco Seite sind beide Interfaces mit statischen IPs und über beide laufen schon etliche VPNs, jedoch alle mit statischen Adressen. Ich könnte mir so etwas vorstellen, dass eine ACL oder irgend ein Cisco Commando auf dem Router nach der eingehenden VPN die ID prüft, und wenn ein match gefunden wird, das Routing gesetzt werden kann. Gruß.
Servidge 10 Geschrieben 10. Dezember 2010 Melden Geschrieben 10. Dezember 2010 Ok, ist dann doch etwas größer als vermutet, aber auf den beiden WAN Schnittstellen werden wohl unterschiedliche Cryptomaps gebunden sein und somit ist das Ausgangsinterface klar. Für die dynamischen peers (IOS feature) wird unter der cryptomap folgendes konfiguriert: crypto map HOME 20 ipsec-isakmp [b]set peer hostname.dyndns.org dynamic[/b] set transform-set TRANSFORM-SET-NAME match address ACL123 Und ganz wichtig, der presharedkey mit einer Wildcard als Adresse. (alles erlaubt) crypto isakmp key Pre-shared-key address 0.0.0.0 0.0.0.0 Warum bei der crypromap hostnamen eingetragen werden können, aber nicht für crypto isakmp key verstehe ich nicht, ist aber so (12.4.15T...). Ne Möglichkeit das per Script zu ändern habe ich zwar, aber das ist noch nicht vorzeigbar. Die Adresse 0.0.0.0 0.0.0.0 und der DNS Name als Peer könnten bei einer Sicherheitsprüfung "negativ" auffallen. Alle dürfen mal Ihr PSK ausprobieren. Also nicht ein simples PSK nehmen. Danach wird nur noch anhand des transformset, der crypromap und der ACL eine Entscheidung getroffen ob die Verbindung aufgebaut wird.
DocZenith 12 Geschrieben 12. Dezember 2010 Autor Melden Geschrieben 12. Dezember 2010 Perfekt! Ausprobiert, läuft, wohl auch stabil. Und wieder was dazu gelernt, vielen Dank! :-) Gruß.
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden