Jump to content

Frage zu Site2Site IPSec VPN


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Guten Tag,

 

ich habe eine sicherlich einfache Frage zu einem Site2Site IPSec VPN zwischen zwei Cisco Routern.

 

Im Labor habe ich das Site2Site VPN zwischen Router R1 und Router R2 aufgebaut. Hinter den Routern sind jeweils ein privates Netz. Das Internet wird durch ein paar Router mit OSPF abgebildet.

 

10.1.0.0/16 ==> R1 ==> www <== R2 <== 10.2.0.0/16

 

Damit das ganze funktioniert, müssen die privaten Netze mit in das OSPF aufgenommen werden. Denn erst wenn aus dem 10.1.0.0/16 in das 10.2.0.0/16 Traffic fließt, wird der Tunnel aufgebaut. Wie sieht das in der Realität aus? In der Realität muss der VPN Tunnel doch auch so aufgebaut werden können, da die privaten Netze nicht geroutet werden können.

 

Das soll keine wirk-config darstellen, es dient nur zum Lernen und Verstehen.

 

Vielen Dank im Voraus

 

MfG xor

 

R2:

crypto isakmp policy 110
 encr aes 256
 hash sha512
 authentication pre-share
 group 5
crypto isakmp key Cisco123 address 5.5.5.1
!
crypto ipsec transform-set AES_SHA esp-aes esp-sha-hmac 
!
crypto map VPN_map 110 ipsec-isakmp 
 set peer 5.5.5.1
 set security-association lifetime seconds 86400
 set transform-set AES_SHA 
 match address 110
!
interface GigabitEthernet0/0
 ip address 10.2.0.1 255.255.0.0
 ip ospf 1 area 0
 duplex full
 speed 1000
 media-type gbic
 negotiation auto
!
interface GigabitEthernet3/0
 ip address 6.6.6.1 255.255.255.252
 ip ospf 1 area 0
 negotiation auto
 crypto map VPN_map
!
router ospf 1
!
access-list 110 permit ip 10.2.0.0 0.0.255.255 10.1.0.0 0.0.255.255

R1:

crypto isakmp policy 110
 encr aes 256
 hash sha512
 authentication pre-share
 group 5
crypto isakmp key Cisco123 address 6.6.6.1
!
crypto ipsec transform-set AES_SHA esp-aes esp-sha-hmac 
!
crypto map VPN_map 10 ipsec-isakmp 
 set peer 6.6.6.1
 set security-association lifetime seconds 86400
 set transform-set AES_SHA 
 match address 110
!
interface GigabitEthernet0/0
 ip address 10.1.0.1 255.255.0.0
 ip ospf 1 area 0
 duplex full
 speed 1000
 media-type gbic
 negotiation auto
!
interface GigabitEthernet3/0
 ip address 5.5.5.1 255.255.255.252
 ip ospf 1 area 0
 negotiation auto
 crypto map VPN_map
!
router ospf 1
!
access-list 110 permit ip 10.1.0.0 0.0.255.255 10.2.0.0 0.0.255.255

Link to post

Moin,

 

die privaten Netze müssen nicht in die OSPF Konfiguration des simulierten Internets.

Als Kunde benötigst Du OSPF nur, wenn mehrere Routen zur Verfügung stehen.

 

Wie sieht die Simulation aus? Gewöhnlich gibt es zwischen Kundenrouter und Internet noch einen Providerrouter.

 

LAN1 - VPNGW1 - ProviderRT1 = (ospf) = [www] = (ospf) = ProviderRT2 - VPNGW2 - LAN2

Link to post

Hi,

 

die Privaten Netze muss man in der Regel ja nicht im Routing haben - da z.B. die Default Route auf den Router zielt. Sollte die nicht auf den Router zeigen - kannst du natürlich auch die VPN "Netze" mit ins OSPF einspeisen - obwohl sie ja nicht da ist. Dazu verwenest du "Reverse Route Injection (RRI)).

 

Das gibt es für IOS & ASA - hier für IOS http://www.cisco.com/en/US/docs/ios-xml/ios/sec_conn_vpnav/configuration/15-2mt/sec-rev-rte-inject.html

Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...