Hilfestellung VPN

[m@rtin 10]

Hallo alle miteinander !

 

ich habe nun die letzten 2 Monate probiert ein VPN ins Büro bei uns einzurichten. Jedesmal entweder mit dem Erfolg dass ich mir selbst irgendwo in der config ein Bein gestellt habe, oder dass es nicht sicher war.

Aber dass es sicher ist, und gleichzeitig funktioniert, das habe ich nicht hinbekommen :(

 

jaja, irgendwann hat mir noch irgend so nen Exploit mein IOS abgeschossen (glaub ich, logs gabs dann keine mehr).

 

Der Cisco hat nur den Sinn, VPN Server zu spielen. Sonst ist er Infrastrukturtechnisch nicht von Bedeutung und soll keinen anderen Traffic transportieren. Für die Anbindung ans Internet existiert eien eigene mit anderer public IP-Adresse.

 

Zielsetzung ist es, den Begriff VPN wörtlich zu nehmen. Ich möchte, dass der Client wirklich denkt, er wäre im Büro. Das heißt, er soll meinen er hätte nur dieses eine "Kabel" angesteckt. Jeder Traffic soll übers VPN (Folge: die gesamte Palette an Settings wie IP, Subnetmask, Standard-Gateway, DNS und WINS soll konfigurierbar sein, sodass er auch über die Büro-Firewall ins Internet geht, nicht über den direkten Weg am VPN-Tunnel vorbei).

 

Klingt einfach, isses vielleicht auch, für mich aber irgendwo noch nicht.

 

Vorab möchte ich mal die aktuelle Config (ohne das VPN-Gedöns drin) zur Debatte stellen. Die Grundconfig ist per hand geschrieben, das SDM hat noch ein Security Audit gemacht. Der Router selbst ist ein 871W mit IOS 12.4.6T

 

< config im nächsten Post >

 

Step 2 wäre dann, in die vorgenommene Grundconfig das VPN-Zeug einzubauen. Aber erstmal nen stabilen Grundstock schaffen, oder ?

 

Vorab schon ein herzliches Dankeschön an alle Mitwirkenden :)

Martin

[m@rtin 10]

version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname router
!
boot-start-marker
boot-end-marker
!
logging buffered 32768 debugging
enable secret 5 <<secret>>
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization exec default local 
!
aaa session-id common
!
resource policy
!
clock timezone PCTime 1
no ip source-route
ip cef
!
!
ip inspect log drop-pkt
ip inspect name SDM_HIGH appfw SDM_HIGH
ip inspect name SDM_HIGH icmp
ip inspect name SDM_HIGH dns
ip inspect name SDM_HIGH esmtp
ip inspect name SDM_HIGH https
ip inspect name SDM_HIGH imap reset
ip inspect name SDM_HIGH pop3 reset
ip inspect name SDM_HIGH tcp
ip inspect name SDM_HIGH udp
ip tcp synwait-time 10
no ip bootp server
ip domain name <<domain>>
ip name-server 192.168.0.2
!
appfw policy-name SDM_HIGH
 application im aol
   service default action reset alarm
   service text-chat action reset alarm
   server deny name login.oscar.aol.com
   server deny name toc.oscar.aol.com
   server deny name oam-d09a.blue.aol.com
   audit-trail on
 application im msn
   service default action reset alarm
   service text-chat action reset alarm
   server deny name messenger.hotmail.com
   server deny name gateway.messenger.hotmail.com
   server deny name webmessenger.msn.com
   audit-trail on
 application http
   strict-http action reset alarm
   port-misuse im action reset alarm
   port-misuse p2p action reset alarm
   port-misuse tunneling action reset alarm
 application im yahoo
   service default action reset alarm
   service text-chat action reset alarm
   server deny name scs.msg.yahoo.com
   server deny name scsa.msg.yahoo.com
   server deny name scsb.msg.yahoo.com
   server deny name scsc.msg.yahoo.com
   server deny name scsd.msg.yahoo.com
   server deny name cs16.msg.dcn.yahoo.com
   server deny name cs19.msg.dcn.yahoo.com
   server deny name cs42.msg.dcn.yahoo.com
   server deny name cs53.msg.dcn.yahoo.com
   server deny name cs54.msg.dcn.yahoo.com
   server deny name ads1.vip.scd.yahoo.com
   server deny name radio1.launch.vip.dal.yahoo.com
   server deny name in1.msg.vip.re2.yahoo.com
   server deny name data1.my.vip.sc5.yahoo.com
   server deny name address1.pim.vip.mud.yahoo.com
   server deny name edit.messenger.yahoo.com
   server deny name messenger.yahoo.com
   server deny name http.pager.yahoo.com
   server deny name privacy.yahoo.com
   server deny name csa.yahoo.com
   server deny name csb.yahoo.com
   server deny name csc.yahoo.com
   audit-trail on
!
!
crypto pki trustpoint TP-self-signed-1161201786
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1161201786
revocation-check none
rsakeypair TP-self-signed-1161201786
!
!
crypto pki certificate chain TP-self-signed-1161201786
certificate self-signed 01
 <<certificate>>
 quit
!
username admin privilege 15 secret 5 <<secret>>
!
!
interface Null0
no ip unreachables
!
interface FastEthernet0
! interface zum lokalen LAN
!
interface FastEthernet1
shutdown
!
interface FastEthernet2
shutdown
!
interface FastEthernet3
shutdown
!
interface FastEthernet4
description $ETH-LAN$$FW_OUTSIDE$
ip address << fixe IP des Providers
ip access-group 101 in
ip verify unicast reverse-path
no ip redirects
no ip unreachables
no ip proxy-arp
ip inspect SDM_HIGH out
ip route-cache flow
shutdown
duplex auto
speed auto

[m@rtin 10]

!
interface Dot11Radio0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
shutdown
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
station-role root
!
interface Vlan1
description $FW_INSIDE$
ip address 192.168.0.1 255.255.255.0
ip access-group 100 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
!
ip route 0.0.0.0 0.0.0.0 <<Gateway des Providers>>
!
ip http server
ip http access-class 1
ip http secure-server
!
logging trap debugging
logging 192.168.0.2
access-list 1 remark HTTP Access-class list
access-list 1 remark SDM_ACL Category=1
access-list 1 permit 192.168.0.0 0.0.0.255
access-list 1 deny   any
access-list 100 remark auto generated by SDM firewall configuration
access-list 100 remark SDM_ACL Category=1
access-list 100 remark Auto generated by SDM for NTP (123) 192.53.103.108
access-list 100 permit udp host 192.53.103.108 eq ntp host 192.168.0.110 eq ntp
access-list 100 remark Auto generated by SDM for NTP (123) 192.53.103.104
access-list 100 permit udp host 192.53.103.104 eq ntp host 192.168.0.110 eq ntp
access-list 100 deny   ip <<mein Public IP-Range beim Provider>> any
access-list 100 deny   ip host 255.255.255.255 any
access-list 100 deny   ip 127.0.0.0 0.255.255.255 any
access-list 100 permit ip any any
access-list 101 remark auto generated by SDM firewall configuration
access-list 101 remark SDM_ACL Category=1
access-list 101 remark Auto generated by SDM for NTP (123) 192.53.103.108
access-list 101 permit udp host 192.53.103.108 eq ntp host <<Public IP des Routers>> eq ntp
access-list 101 remark Auto generated by SDM for NTP (123) 192.53.103.104
access-list 101 permit udp host 192.53.103.104 eq ntp host <<Public IP des Routers>> eq ntp
access-list 101 deny   ip 192.168.0.0 0.0.0.255 any
access-list 101 permit icmp any host <<Public IP des Routers>> echo-reply
access-list 101 permit icmp any host <<Public IP des Routers>> time-exceeded
access-list 101 permit icmp any host <<Public IP des Routers>> unreachable
access-list 101 deny   ip 10.0.0.0 0.255.255.255 any
access-list 101 deny   ip 172.16.0.0 0.15.255.255 any
access-list 101 deny   ip 192.168.0.0 0.0.255.255 any
access-list 101 deny   ip 127.0.0.0 0.255.255.255 any
access-list 101 deny   ip host 255.255.255.255 any
access-list 101 deny   ip host 0.0.0.0 any
access-list 101 deny   ip any any log
access-list 102 remark VTY Access-class list
access-list 102 remark SDM_ACL Category=1
access-list 102 permit ip 192.168.0.0 0.0.0.255 any
access-list 102 deny   ip any any
no cdp run
!
!
!
control-plane
!
banner login ^CC--- router ---^C
!
line con 0
no modem enable
transport output telnet
line aux 0
transport output telnet
line vty 0 4
access-class 102 in
transport input telnet ssh
transport output telnet ssh
!
scheduler max-task-time 5000
scheduler allocate 4000 1000
scheduler interval 500
ntp clock-period 17175083
ntp server 192.53.103.108 source FastEthernet4 prefer
ntp server 192.53.103.104 source FastEthernet4
!
webvpn context Default_context
ssl authenticate verify all
!
no inservice
!
end

[Wordo 11]

Zielsetzung ist es, den Begriff VPN wörtlich zu nehmen. Ich möchte, dass der Client wirklich denkt, er wäre im Büro. Das heißt, er soll meinen er hätte nur dieses eine "Kabel" angesteckt. Jeder Traffic soll übers VPN (Folge: die gesamte Palette an Settings wie IP, Subnetmask, Standard-Gateway, DNS und WINS soll konfigurierbar sein, sodass er auch über die Büro-Firewall ins Internet geht, nicht über den direkten Weg am VPN-Tunnel vorbei).

 

Klingt einfach, isses vielleicht auch, für mich aber irgendwo noch nicht.

 

Wo ist denn dein Problem, bzw was geht nicht? Und dann schreibst du, jeder Traffic soll durchs VPN, und dann wiederum nicht :)

Also was soll durchs VPN, und was soll der Client zugewiesen bekommen? Und wie verbindet sich der Client? Mit Cisco VPN Client?

[m@rtin 10]

Guten Morgen :)

 

1. würde ich gerne wissen, ob die Grundconfig sinnvoll und sicher ist

2. mit der aktuellen (obigen) Config hat der Router eine public IP, kann www-Hosts pingen, und ist von extern erreichbar.

 

3. ein easyVPN-Server soll aufgesetzt werden, der folgendes tut:

 

- IP-Adresse im Raum 192.168.100.60-70 vergeben

- Subnetzmaske: 255.255.255.0

- Standardgateway: 192.168.100.1 (!= Cisco-Router)

- DNS-Server 192.168.100.2

- WINS-Server 192.168.100.3

- DNS-Domäne "domäne.local"

- Traffic der Clients transparent ins Netzwerk geben, und Traffic für die Clients aufnehmen und zurückliefern

 

Der nun versorgte Client soll über den Standard-Gateway ins Internet, soll über den DNS-Server im Büro, soll sich verhalten als wäre er direkt am Büro-Switch gepatcht.

 

==> alle Daten sollen über den Tunnel, keine andere Kommunikation soll erlaubt sein.

 

Das ist die Zielsetzung.

 

Die Realität sieht anders aus:

ich konfiguriere den easyVPN-Server, alles läuft gut, aber in dem Moment wo der Tunnel steht, und ich Daten über ihn schicken will, kommt nichts durch. Toll. Ich vermute, irgendeine Accessliste blockiert, oder sonst irgendwas. Ich kann es nicht eingrenzen und hab auch noch nicht so viel Ahnung wie ich Fehlersuche betreiben kann.

 

Martin

[Wordo 11]

Und du willst die Daten vom 192.168.100er Netz an ihn schicken? Bekommt er ne gueltige IP? Siehst du in deinem ARP-Cache einen Eintrag vom Client? Und waehlt er sich ueber Cisco VPN Client da ein?

[m@rtin 10]

ja, ich will die Daten vom 192.168.100.0 Netz schicken, da kein Routingeintrag vom Standardgateway des Netzes zum Cisco VPN-Server möglich ist. Daher brauche ich das selbe flache Subnetz auch im VPN.

 

Der Cisco VPN-Client wird für die Einwahl verwendet (sorry, dachte ich hätte es im letzten Post geschrieben, hab es aber nur gedacht), und bekommt auch eine IP-Adresse aus dem lokalen Pool 192.168.100.60-70 zugewiesen. Die Subnetzmaske 255.255.255.0 paßt auch, DNS und WINS stellt er auch brav wie in angegeben ein, nur der Standardgateway macht mir zu Schaffen.

 

Was im ARP-Cache steht, kann ich gerade nicht nachvollziehen, da ich nicht im Büro bin. Ich checke das aber mal.

[Wordo 11]

Du solltest als Standardgateway aber den Ciscorouter "vergeben", wenn du willst das die Clients ein anderes Standardgateway "bekommen", dann setzt du einfach Routemaps ein und als Source IP nimmst du den Pool der Clients. Das waere dann am geschicktesten wuerd ich sagen

[CypherNRW 10]

Sorry falsches Forum.