1841 - mehrere site-to-site vpn

[Cyrrus 10]

hallo leutz!!

 

habe nen 1841, der mit einer remote site (dort ein 851) per site-to-site verbunden ist.

funzt!

 

nun will ich noch eine site einfuegen (zweites buero / auch 851), die auch mit dem 1841 ein site-to-site aufbauen soll.

 

ueberall static-ip's..... wie mache ich das??

 

danke euch!

[daking 10]

Hallo

 

crypto isakmp key <key> address <Site 1 IP extern>

crypto isakmp key <key> address <Site 2 IP extern>

crypto isakmp key <key> address <Site 3 IP extern>

!

!

crypto map <name> local-address Loopback0 ==> wer soll lokal terminieren

crypto map <name> 101 ipsec-isakmp

set peer <Site 1 IP extern>

set transform-set mySet

match address 101

crypto map <name> 102 ipsec-isakmp

set peer <Site 2 IP extern>

set transform-set mySet

match address 102

crypto map <name> 103 ipsec-isakmp

set peer <Site n IP extern>

set transform-set mySet

match address 103

!

....

 

Ciao

[Cyrrus 10]

wenn ich das soweit richtig verstanden habe, dann muesste das folgende klappen.

frage... was heisst wer soll lokal terminieren?? denk... denk.... denk...

 

(crypto map <name> local-address Loopback0 ==> wer soll lokal terminieren)

 

crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key "xxx" address 100.100.100.100
crypto isakmp key "xxx" address 150.150.150.150
crypto isakmp key "xxx" address 200.200.200.200
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac 
crypto ipsec transform-set ESP-3DES-SHA1 esp-3des esp-sha-hmac 
crypto ipsec transform-set ESP-3DES-SHA2 esp-3des esp-sha-hmac 
!
crypto map cmap_1 1 ipsec-isakmp 
set peer 100.100.100.100
set transform-set ESP-3DES-SHA 
match address 100
crypto map cmap_1 2 ipsec-isakmp 
set peer 150.150.150.150
set transform-set ESP-3DES-SHA1 
match address 102
crypto map cmap_1 3 ipsec-isakmp 
set peer 200.200.200.200
set transform-set ESP-3DES-SHA2 
match address 103
!
!
!
interface FastEthernet0/0
ip address 192.168.0.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip route-cache flow
duplex auto
speed auto
no mop enabled
!
interface FastEthernet0/1
ip address dhcp client-id FastEthernet0/1
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
ip route-cache flow
duplex auto
speed auto
no mop enabled
crypto map cmap_1
!
ip classless
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source route-map rmap_1 interface FastEthernet0/1 overload
!
logging trap debugging
access-list 1 permit 192.168.0.0 0.0.0.255
access-list 100 permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 101 deny   ip 192.168.0.0 0.0.0.255 192.168.3.0 0.0.0.255
access-list 101 deny   ip 192.168.0.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 101 deny   ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 101 permit ip 192.168.0.0 0.0.0.255 any
access-list 102 permit ip 192.168.0.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 103 permit ip 192.168.0.0 0.0.0.255 192.168.3.0 0.0.0.255
no cdp run
route-map rmap_1 permit 1
match ip address 101

[daking 10]

Hallo,

 

denke das passt so (du kannst dir die frei transform sets sparen da reicht eins==> definiert nur die Methode ==> src/dst unabhängig)

 

welche IP terminiert in deiner config lokal das VPN? (auf welche IP sind die keys auf der gegenseite eingetragen? oder verwendest du dynamische cr maps?)

 

Mit crypto map <name> local-address kannst du diese Adresse definieren. Dies ist interessant, wenn du z.B. ein aktives Interface und ein BKUP interface hast (via z.B. dyn Routing) ==> dann kannst du den Tunnel z.B. auf ein Loopback Interface terminieren (auf der Gegenseite wird dann crypto isakmp key <key> address <local-address wie definiert auf dieser Seite> definiert.

 

ciao