Jump to content

WebVPN mit dynamischer IP-Adresse

mturba

Von mturba
in Cisco Forum — Allgemein

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

mturba Proficient

mturba   10

Geschrieben
Geschrieben

Hi,

 

sicher gibt es noch andere außer mir, die auf ihrem Router gerne WebVPN verwenden würden, aber eine dynamische IP-Adresse von ihrem Provider zugewiesen bekommen. Die WebVPN-Konfiguration erwartet allerdings ungünstigerweise die Angabe einer festen IP-Adresse.

 

Da mein Provider ohnehin einmal am Tag eine Zwangstrennung vornimmt, habe ich das Problem bei mir folgendermaßen gelöst:

 

1. Ein TCL-Skript erstellt, welches die aktuelle IP-Adresse des Dialer-Interfaces ausliest und die WebVPN-Konfiguration entsprechend aktualisiert. Dieses Skript habe ich als flash:update-webvpn.tcl auf dem Router abgelegt:

 

set myip [regexp -inline {\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}} [exec "show ip interface brief | include Dialer0"] ]
ios_config "webvpn gateway webvpn_gateway" "ip address $myip port 443"

 

2. Anschließend zwei Kron-Policys angelegt, eine zum Trennen der PPPoE-Verbindung, die andere zum Ausführen des TCP-Skripts:

 

!
kron policy-list disconnect-pppoe
cli clear pppoe all
!
kron policy-list update-webvpn
cli tclsh flash:update-webvpn.tcl

 

3. Zum Schluß zwei Kron-Occurences, die nachts um 4:00 (da störts am wenigsten) die Verbindung trennen und eine Minute später die WebVPN-Konfiguration aktualisieren:

 

kron occurrence disconnect-pppoe at 4:00 recurring
policy-list disconnect-pppoe
!
kron occurrence update-webvpn at 4:01 recurring
policy-list update-webvpn

 

Eventuell hilft das ja jemandem weiter, der auch schon mit diesem Problem gekämpft hat... falls jemandem eine elegantere Lösung einfällt, bin ich auch gerne dafür zu begeistern :)

 

 

Gruß,

Martin

Link zu diesem Kommentar
mturba Proficient

mturba   10

Geschrieben
  • Autor
Geschrieben

Mit WebVPN (inzwischen wird es meist SSL VPN genannt) kann man einen Remotezugang zum Netzwerk per Webbrowser realisieren, ohne dass ein VPN-Client auf dem Rechner installiert sein muss. Finde ich ganz praktisch, wenn man mal schnell mal von unterwegs an sein Netz möchte und keinen eigenen Rechner dabei hat. Desweiteren kann man damit Geschäftspartnern vorübergehend bestimmte Dienste zur Verfügung stellen, ohne dass diese einen VPN-Client dazu benötigen.

 

Weitere Informationen:

 

SSL VPN - Cisco Systems

 

Gruß,

Martin

Link zu diesem Kommentar
mturba Proficient

mturba   10

Geschrieben
  • Autor
Geschrieben

Hi,

 

hier eine ganz minimalistische Beispielkonfiguration:

 

webvpn gateway webvpn_gateway
hostname webvpn_gateway.domain.tld
ip address 1.2.3.4 port 443
inservice
!
webvpn context webvpn_context
ssl authenticate verify all
!
!
port-forward "mypc"
  local-port 13389 remote-server "192.168.1.1" remote-port 3389 description "RDP auf mypc"
!
policy group webvpn_policy
  port-forward "mypc" auto-download
default-group-policy webvpn_policy
aaa authentication list default
gateway webvpn_gateway
inservice
!
end

 

Gruß,

Martin

Link zu diesem Kommentar
mturba Proficient

mturba   10

Geschrieben
  • Autor
Geschrieben

Vielen Dank für die Lorbeeren :)

 

Ich habe die Sache noch etwas verfeinert. Mit der folgenden Konfiguration wird auch bei unplanmäßigen Verbindungsausfällen die WebVPN-Konfiguration aktualisiert:

 

1. Tracking-Objekt anlegen, welches überwacht, ob an Dialer0 eine IP-Adresse konfiguriert ist:

track 1 interface Dialer0 ip routing

 

2. Ein Event-Manager-Applet erzeugen, welches das TCL-Updateskript ausführt, sobald der Status dieses Tracking-Objekts auf "up" wechselt.

event manager applet update-webvpn
event track 1 state up
action 1 cli command "enable"
action 2 cli command "tclsh update-webvpn.tcl"

 

3. Wie gehabt eine Kron-Occurence, die dafür sorgt, dass die Zwangstrennung kontrolliert nachts um 4:00 erfolgt.

kron occurrence disconnect-pppoe at 4:00 recurring
policy-list disconnect-pppoe

Die andere Occurence ist nicht mehr nötig, da durch die Trennung automatisch ein Event ausgelöst und dadurch das Updateskript ausgeführt wird.

 

Gruß,

Martin

Link zu diesem Kommentar
TakeITEasy Newbie

TakeITEasy   10

Geschrieben
Geschrieben

Hi,

 

also bei mir mit IOS 12.4(9) muss die WebVPN Adresse NICHT die WAN-Adresse sein. Es geht auch die lokale IP mit statischen NAT!

 

webvpn gateway webvpn_gateway
hostname webvpn_gateway.domain.tld
ip address 192.168.1.1  port 4443
inservice

ip nat inside source static tcp 192.168.1.1 4443 interface Dialer1 4443

access-list inbound-dialer1 permit tcp any any eq 4443

 

Gruß Veit

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...