Ciscler 10 Geschrieben 1. Oktober 2007 Melden Teilen Geschrieben 1. Oktober 2007 Hallo, wir haben mehrere Standorte die im Moment nur per IPsec / GRE miteinander verbunden sind. Auf dem Dialer habe ich eine ACL angelegt die im Moment nur die VPN-Verbindung erlaubt. Jetzt möchten alle Standorte über Ihren Anschluss dennoch ins Internet. Wie mache ich dies einigermaßen sicher? Wäre es sicher wenn ich die ACL erweitere durch z.B. "tcp any any establisched" sodass nur aufgebaute Verbindungen wieder zurück dürfen? Es handelt sich um Cisco 876 Router Hier mal die Config: interface Dialer1 ip address negotiated ip access-group WAN in no ip redirects no ip unreachables ip mtu 1492 encapsulation ppp ip tcp adjust-mss 1452 dialer pool 1 dialer-group 1 no cdp enable ppp authentication pap chap callin ppp chap xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx ppp chap xxxxxxxxxxxxxxx ppp pap sent-username xxxxxxxxxxxxxxxx ppp ipcp dns request crypto map xxxxxx ip access-list extended WAN permit udp any any eq isakmp permit esp any any Gruß Dirk Zitieren Link zu diesem Kommentar
hforster 10 Geschrieben 1. Oktober 2007 Melden Teilen Geschrieben 1. Oktober 2007 Würde ich nicht zulassen ! Warum nicht Internet über einen vernüftigen Proxy in der Zentrale. nice day Zitieren Link zu diesem Kommentar
Ciscler 10 Geschrieben 1. Oktober 2007 Autor Melden Teilen Geschrieben 1. Oktober 2007 Hallo, das sind nur 4 Kleine Standorte mit jeweils 2-3 Rechnern und in der Zentrale einen Server wo drauf gearbeitet wird. Nen Proxy ist dort nicht vorhanden dafür ist auch kein Geld da ;) Also wie könnte ich es mit den entsprechenden mitteln sicher lösen? Ich würde jetzt hingehen und auf die ACL die auf den Dialer gebunden ist ein "permit tcp any any established" Gruß Dirk Zitieren Link zu diesem Kommentar
Ciscler 10 Geschrieben 2. Oktober 2007 Autor Melden Teilen Geschrieben 2. Oktober 2007 Hallo, würde es mit der Config klappen? Oder habe ich was mit nat oder so vergessen? Wie mache ich das der Cisco Router der DNS Server der Clients ist ohne das ich in der Config einen externen DNS Server angeben muss. interface Vlan1 ip address 192.168.105.10 255.255.255.0 ip nat inside interface Dialer1 ip address negotiated ip access-group WAN in ip nat outside no ip redirects no ip unreachables ip mtu 1492 encapsulation ppp ip tcp adjust-mss 1452 dialer pool 1 dialer-group 1 no cdp enable ppp authentication pap chap callin ppp chap xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx ppp chap xxxxxxxxxxxxxxx ppp pap sent-username xxxxxxxxxxxxxxxx ppp ipcp dns request crypto map xxxxxx ip access-list extended WAN permit udp any any eq isakmp permit esp any any permit tcp any any established ip nat inside source list 1 interface Dialer1 overload ! access-list 1 permit 192.168.105.0 0.0.0.255 dialer-list 1 protocol ip permit<---- benötige ich diesen Befehl? Oder macht das meine WAN ACL kaputt? Gruß Dirk Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 2. Oktober 2007 Melden Teilen Geschrieben 2. Oktober 2007 dialer-list 1 protocol ip permit<---- benötige ich diesen Befehl? Oder macht das meine WAN ACL kaputt? Du definierst hier welche Art von Pakete einen Verbindungsaufbau initiieren duerfen, da du hier keine ACL angibst werden durch saemtliche Pakete Waehlverbindungen aufgebaut. Zitieren Link zu diesem Kommentar
Ciscler 10 Geschrieben 3. Oktober 2007 Autor Melden Teilen Geschrieben 3. Oktober 2007 Und wie müsste ich das machen mit einer ACL? Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 4. Oktober 2007 Melden Teilen Geschrieben 4. Oktober 2007 wenn die standorte direkt ins Internet sollen, dann passt die dialer list schon. Das mit der Zentrale ist zwar eine gute Sache da man alles zentral auf einer FW oder eben einem Proxy verwalten kann (eher ersteres) aber ich sehe immer wieder das dann die nötige Leitungskapazität der Zentral nicht gegeben ist und man sich so nur noch mehr Probleme macht. Abgesehen davon schafft man sich mit sowas einen "Single Point of Failure", ist die Zentrale weg, dann geht an den anderen Standorten nix mehr Also würde ich doch eher jeden notwendigen IPSec Tunnel erstellen und ganz normal von jedem Standort aus ins Internet gehen Zitieren Link zu diesem Kommentar
Ciscler 10 Geschrieben 7. Oktober 2007 Autor Melden Teilen Geschrieben 7. Oktober 2007 Hallo, ja ich habe es jetzt auch so gemacht das ich die IPSEC Verbindungen von den Außenstellen zu der Zentralle aufgebaut habe. Zusätzlich habe ich an jede Lokation das Inet frei gegeben sodass sie alle über Ihren eigenen DSLer surfen und nicht die Bandbreite der Zentrale belasten. Läuft aber alles gut ;) Danke für die Hilfe Gruß Dirk Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 8. Oktober 2007 Melden Teilen Geschrieben 8. Oktober 2007 Je nach Anforderungen und Gegenbenheiten wäre in Zukunft ein MPLS über euren Provider evtl zu überlegen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.