xor 11 Geschrieben 29. Dezember 2016 Melden Teilen Geschrieben 29. Dezember 2016 Guten Tag, ich habe eine sicherlich einfache Frage zu einem Site2Site IPSec VPN zwischen zwei Cisco Routern. Im Labor habe ich das Site2Site VPN zwischen Router R1 und Router R2 aufgebaut. Hinter den Routern sind jeweils ein privates Netz. Das Internet wird durch ein paar Router mit OSPF abgebildet. 10.1.0.0/16 ==> R1 ==> www <== R2 <== 10.2.0.0/16 Damit das ganze funktioniert, müssen die privaten Netze mit in das OSPF aufgenommen werden. Denn erst wenn aus dem 10.1.0.0/16 in das 10.2.0.0/16 Traffic fließt, wird der Tunnel aufgebaut. Wie sieht das in der Realität aus? In der Realität muss der VPN Tunnel doch auch so aufgebaut werden können, da die privaten Netze nicht geroutet werden können. Das soll keine wirk-config darstellen, es dient nur zum Lernen und Verstehen. Vielen Dank im Voraus MfG xor R2: crypto isakmp policy 110 encr aes 256 hash sha512 authentication pre-share group 5 crypto isakmp key Cisco123 address 5.5.5.1 ! crypto ipsec transform-set AES_SHA esp-aes esp-sha-hmac ! crypto map VPN_map 110 ipsec-isakmp set peer 5.5.5.1 set security-association lifetime seconds 86400 set transform-set AES_SHA match address 110 ! interface GigabitEthernet0/0 ip address 10.2.0.1 255.255.0.0 ip ospf 1 area 0 duplex full speed 1000 media-type gbic negotiation auto ! interface GigabitEthernet3/0 ip address 6.6.6.1 255.255.255.252 ip ospf 1 area 0 negotiation auto crypto map VPN_map ! router ospf 1 ! access-list 110 permit ip 10.2.0.0 0.0.255.255 10.1.0.0 0.0.255.255 R1: crypto isakmp policy 110 encr aes 256 hash sha512 authentication pre-share group 5 crypto isakmp key Cisco123 address 6.6.6.1 ! crypto ipsec transform-set AES_SHA esp-aes esp-sha-hmac ! crypto map VPN_map 10 ipsec-isakmp set peer 6.6.6.1 set security-association lifetime seconds 86400 set transform-set AES_SHA match address 110 ! interface GigabitEthernet0/0 ip address 10.1.0.1 255.255.0.0 ip ospf 1 area 0 duplex full speed 1000 media-type gbic negotiation auto ! interface GigabitEthernet3/0 ip address 5.5.5.1 255.255.255.252 ip ospf 1 area 0 negotiation auto crypto map VPN_map ! router ospf 1 ! access-list 110 permit ip 10.1.0.0 0.0.255.255 10.2.0.0 0.0.255.255 Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 29. Dezember 2016 Melden Teilen Geschrieben 29. Dezember 2016 Moin, die privaten Netze müssen nicht in die OSPF Konfiguration des simulierten Internets. Als Kunde benötigst Du OSPF nur, wenn mehrere Routen zur Verfügung stehen. Wie sieht die Simulation aus? Gewöhnlich gibt es zwischen Kundenrouter und Internet noch einen Providerrouter. LAN1 - VPNGW1 - ProviderRT1 = (ospf) = [www] = (ospf) = ProviderRT2 - VPNGW2 - LAN2 Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 29. Dezember 2016 Melden Teilen Geschrieben 29. Dezember 2016 Hi, die Privaten Netze muss man in der Regel ja nicht im Routing haben - da z.B. die Default Route auf den Router zielt. Sollte die nicht auf den Router zeigen - kannst du natürlich auch die VPN "Netze" mit ins OSPF einspeisen - obwohl sie ja nicht da ist. Dazu verwenest du "Reverse Route Injection (RRI)). Das gibt es für IOS & ASA - hier für IOS http://www.cisco.com/en/US/docs/ios-xml/ios/sec_conn_vpnav/configuration/15-2mt/sec-rev-rte-inject.html Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.