n@ppo 10 Geschrieben 15. März 2004 Melden Teilen Geschrieben 15. März 2004 hi, ich mach das zurzeit mit einer ipsec-verbindung die auf dem cisco terminiert wird an dem auch der server hängt. das läuft mit easy-vpn,xauth, split tunneling und einem cisco-vpn client. die geschichte mit einem gre-tunnel ist auch nicht (wirklich) kompliziert. der router hat einen dyndns tunnel-partner eingetragen. per perl-script wird alle 10 minuten von einer maschine aus deinem lan abgefragt ob die eingetragene ip-adresse des dyndns-partner noch gleich ist oder sich geändert hat. bei einer geänderten adresse wird auch die ip des tunnel partners auf die aktuelle ip-adresse geändert. über diesen tunnel kannst du eine pptp-session zum tunnel partner aufbauen. den von dir erwähnten weg mit vrf-light kannst du wieder abhaken. vrf und vrf-light eher etwas für isp´s und wird genutzt um mehrere routinginstanzen parallel auf einem router laufen zu lassen. dabei weiß die eine instanz nichts von dem routingtable der anderen. somit bekommst eine trennung von kundennetzen auf einem router hin. dies wird u.a meistens mit mpls und bgp implementiert. Stichwort: bgp pe to ce routing und vpn-mpls Zitieren Link zu diesem Kommentar
dongel 10 Geschrieben 17. März 2004 Autor Melden Teilen Geschrieben 17. März 2004 also ich erklär glaub ich noch mal den Aufbau: WKS>cisco >firewall die als PPTP-Server arbeitet dhinter hängt ein win2000Server. WKS+ Cisco sind in einem Netz, dh die WKS connectet über die Cisco auf die FW. Auf dem Server läuft ein dyndns-Client der das IP -update der Firewall macht. Is also noch ein Problem, wie sag ich der Cisco in regelmäßigen Abständen die IP der FW?? PPTP+ GRE kommen an der Firewall an und das Problem scheint wirklich zu sein, das die cisco den GRE oder PPTP-TCP nicht wieder auf die WKS zurückreicht. Leider hab ich auch nix gefunden um mir das auf der cisco anzugucken, also was wird permitet /geblockt , welche ports sind auf , alsdas man auf diesem Wege ein wenig schlauer wird. DU schreibst: "ich mach das zurzeit mit einer ipsec-verbindung die auf dem cisco terminiert wird an dem auch der server hängt. das läuft mit easy-vpn,xauth, split tunneling und einem cisco-vpn client. die geschichte mit einem gre-tunnel ist auch nicht (wirklich) kompliziert." Da weiß ich schon wieder nich was easy -VPN, xauth und split-tunneling ist und macht. Und wie mach ich IPsec??, mal abgesehn davon das die Firewall laut Hersteller Probleme mit IPsec und dynamischen IP's hat. ICh hab hier 3 Cisco - Bücher rumfliegen, alles scheint da auch nich drinzustehen Wo krieg ich denn da die Infos her??Oder sogar Beispiel- configs?? Und wie soll das dann mit dem GRE-Tunnel funktionieren, wenn das nich so schwierig ist?? Tausend Fragen!! ;) Danke und Gruß dongel Zitieren Link zu diesem Kommentar
n@ppo 10 Geschrieben 17. März 2004 Melden Teilen Geschrieben 17. März 2004 WKS>cisco >firewall die als PPTP-Server arbeitet dhinter hängt ein win2000Server. WKS+ Cisco sind in einem Netz, dh die WKS connectet über die Cisco auf die FW. Auf dem Server läuft ein dyndns-Client der das IP -update der Firewall macht. Is also noch ein Problem, wie sag ich der Cisco in regelmäßigen Abständen die IP der FW?? du legst einen gre-tunnel vom deinem router zur firewall # ip address 192.168.10.1 255.255.255.252 keepalive 20 3 tunnel source "dsl-interface" tunnel destination "ip des partners" # du mußt über ein perl-script o.ä sicherstellen das in regelmäßigen abständen überprüft wird ob sich die ip des tunnel-partners geändert hat. wenn ja dann änderst du die ip des tunnel-partners im tunnel-interface. da bei pptp der gre-tunnel eh vom pptp-server (in deinem fall von der firewall) aufgebaut wird und nicht zwingend durch den nat-table muß sollte es egal sein ob der gret auf dem router oder dem client terminiert wird. PPTP+ GRE kommen an der Firewall an und das Problem scheint wirklich zu sein, das die cisco den GRE oder PPTP-TCP nicht wieder auf die WKS zurückreicht. Leider hab ich auch nix gefunden um mir das auf der cisco anzugucken, also was wird permitet /geblockt , welche ports sind auf , alsdas man auf diesem Wege ein wenig schlauer wird. die pptp packete solten via ip nat source static zu deinem client kommen. die gre pakete werden lokal auf deinem router terminiert. "DU schreibst: ich mach das zurzeit mit einer ipsec-verbindung die auf dem cisco terminiert wird an dem auch der server hängt. das läuft mit easy-vpn,xauth, split tunneling und einem cisco-vpn client. hi wenn du eh den tunnel von deinem w2k-whatever client aufbaust kannst du den cisco auch ganz aussen vor lassen indem du einen ipsec-tunnel zur firewall aufbaust. dort wird dann eine gruppe inkl. username und passwort definiert. du authentifizierst dich dann mit dieser gruppe und dem user nebst passwort (xauth). voraussetzung ist das die firewall xauth kann. eine beispielconfig für xauth auf einem cisco-router findest du unter http://www.rulax.de Da weiß ich schon wieder nich was easy -VPN, xauth und split-tunneling ist und macht. Und wie mach ich IPsec??, mal abgesehn davon das die Firewall laut Hersteller Probleme mit IPsec und dynamischen IP's hat. um welche art von firewall handelt es sich denn ??? Zitieren Link zu diesem Kommentar
dongel 10 Geschrieben 28. März 2004 Autor Melden Teilen Geschrieben 28. März 2004 hi nochmal, habs also nochmal probiert , leider ohne erfolg. Ich habe allerdings festgestellt, das ich offenbar das tunnel interface nicht brauche, denn wenn ich vom MS client das pptp abschicke kommt es an der Firewall an. Deswegen glaub ich ja ,das wenn ich eine pptp-Verbindung auf einem client aufsetzte der Router das auch entsprechend durchreicht, also ich wollte nicht das die cisco den tunnel aufbaut, sondern der client aus meinem LAN. Wenn ich den TUnnel von der Cisco aufbaue , funktioniert die Verbindung aber auch nich. Wie kann denn da eine Lösung aussehen. Und es liegt ja definitiv an der cisco das keine pptp- Verbindung aufgebaut wird naja, sie wird kurzzeitig aufgebaut, endet aber mit eine Fehlermeldung des Clients , bei XPpro ist es der Fehler 619 Die Firewall ist eine Securepoint 3.13 , die auch den VPN- Server darstellt. Habt ihr noch Lösungsansätze?? Danke und Gruß Stefan edit: auf der firewall kommt pptp-TCP und GRE sauber an. Kann also nur sein daß das GRE nicht auf den Client zurückgereicht wird denn für pptp-TCP besteht ja ein static NAT Eintrag. Wie sieht denn sowas fürs GRE aus? Danke und Gruß Stefan Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.