Tunnel zw. 2 Router mit dynamischen IPs

[tecker2010 10]

Hi,

also im Grunde steht mein Problem schon fast in der Überschrift. Ich möchte einen Tunnel zwischen 2 Routern (GRE oder IPSec) über das Internet aufbauen. Um die gegenseite zu erreichen brauche ich ja an beiden Tunneln eine WAN-IP die sich ja gewöhnlich ändert (und ich möchte keine feste IP beim Provider kaufen). Was kann ich machen um die gegenseite zu erreichen nachdem sie eine neue neue IP vom Provider bekommen hat?

 

Der Embedded Event Manager ist eine sehr feine Sache um über einen Cronjob Konfigurationen im Router selbständig vornehmen zu lassen, womit ich ja die DynDns Adresse der Gegenseite immer neu einlesen kann (hier scheinen Hostnamen unterstützt zu werden), allerdings ist einer der Router ein 836er der das nicht unterstützt.

 

Gibt es eine andere Möglichkeit?

Viele Grüße

tecker

[adowoMAC 10]

Ich habe damals einen kleinen Embedded PC (20€ *B*y) hinter dem 800er Router benutzt, der nichts anderes gemacht hat, als an DynDNS zu berichten wie seine IP gerade ist. Wie es mit Bordmitteln auf dem 836 aussieht kann ich dir nicht sagen, ich habe es nicht hinbekommen.

 

Hendrik

[rob_67 10]

...die 12.4 er iossen unterstützen dyndns...

 

 

gruss

 

rob

[Wordo 11]

[offtopic]

Gibts eigentlich so Billigrouter die das koennen (oder von sich behaupten zu koennen)?

[/offtopic]

[tecker2010 10]

DynDNS ist ja schön und gut, aber ich kann ja nicht die DynDNS Domain als tunnel destination eintragen .. der kann doch da keine Namesauflösung machen oder? Soweit ich weiß geht das nicht.

[acidfinger 10]

Hi,

 

zum Thema andere Routerhersteller. Bei Sonicwall geht dieses mit dem sogenannten aggressive Mode.

 

Gruss

 

Acid

[adowoMAC 10]

Alle aktuellen Fritzboxen und auch einige D-Link und Siemens Kisten können Dynamische IP-Dienste.

[mturba 10]

Geht sogar schon ab 12.3(4)T:

 

Cisco Systems - Real-Time Resolution for IPSec Tunnel Peer

 

@hkahmann: Was bedeutet dynamische IP-Dienste? Bezieht sich das auch auf die Möglichkeit, IPSec-Tunnel zu dynamischen Endpunktadressen aufzubauen?

[adowoMAC 10]

Mit dynamische IP Dienste wollte ich nur sagen, dass sie die Möglichkeit bieten, die aktuelle IP Adresse an Anbieter wie DynDNS weiterzugeben. Der Begriff war wohl etwas mau gewählt.

[Klettermaxx 10]

Alles für den A...

 

Habe es heute versucht zu konfigurieren. Das Ganze scheitert schon beim ISAKMP. Wenn man dort mit Hostnames arbeitet, behauptet der Router im Debug immer, dass er für die Gegenstelle keinen Preshared Key hat.

 

Trage ich in der ISAKMP wieder IP Adressen ein so funktioniert das ganze prima.

 

 

Gruß Florian

[mturba 10]

Wenn die Endpunktadresse nicht bekannt ist, kannst du dafür 0.0.0.0 mit der Maske 0.0.0.0 verwenden, wie es auch für die Remote-VPN-Konfiguration gemacht wird:

 

crypto isakmp key 123cisco address 0.0.0.0 0.0.0.0

 

Allerdings schreibt Cisco dazu:

 

Using 0.0.0.0 as a subnet address is not recommended because it encourages group preshared keys, which allow all peers to have the same group key, thereby reducing the security of your user authentication.

(Quelle: Cisco IOS Security Configuration Guide, Release 12.4 - Configuring Internet Key Exchange for IPSec VPNs  [Cisco IOS Software Releases 12.4 Mainline] - Cisco Systems)

 

Eine Alternative dazu wäre, RSA-Keys zu verwenden:

 

Cisco IOS Security Configuration Guide, Release 12.4 - Configuring Internet Key Exchange for IPSec VPNs  [Cisco IOS Software Releases 12.4 Mainline] - Cisco Systems

[Ciscler 10]

Hallo,

 

Das ist ja sozusagen der aggressive Mode. Er lässt erstmal alles rein und schaut ob der PSK key richtig ist.

 

crypto isakmp key 123cisco address 0.0.0.0 0.0.0.0

 

Aber wenn ich beide Router auf aggresive stelle kennt der eine Router ja immer noch nicht die IP der Gegenseite.

Mich würde jetzt auch mal interessieren wie es geht da die crypto map ja nichts mit domain namen anfangen kann.

 

Gruß Dirk

[Wordo 11]

Fuer sowas gibt es ja XAUTH, Problem ist nur wenn mal der Key geaendert werden muss :(

[firefox80 10]

zum thema billigrouter: der linksys wrv200 kann hostnamen verwenden, die man dann in einer dyndns datenbank abfragen kann. eine verbindung konnte ich trotzdem noch nicht erfolgreich herstellen. wahrscheinlich hat das aber andere gründe.

[Whistleblower 45]

Ich hatte auch mal das Problem, einen Netgear Router mit dyn IP an einen Cisco (der allerdings mit fester IP) anzubinden, zumal ich parallel auch mobilen Clients den Zugriff ermöglichen wollte.

Mit dem Einsatz von keyrings konnte ich das ganze dann erfolgreich konfigurieren, das sollte eigentlich auch funzen, wenn Du auf beiden Seiten dyn. ip hast und zumindest für eine Seite dynDNS nutzt. Anfänglich hatte ich dynDNS auch mit genutzt und konnte auch über den Hostnamen connecten.

Für den key müsstest Du normalerweise auch den hostnamen /DynDNS-Alias eintragen können, und der 836er aktualisiert die IP entsprechend... Ist der andere Router auch Cisco, oder was für ein Hersteller?