Shootz007 10 Geschrieben 14. Oktober 2008 Melden Teilen Geschrieben 14. Oktober 2008 Hallo ihr!! Ich hoffe es geht euch gut.. Ich suche was, spezifisch darüber wie man einen GRE-Tunnel trotz NAT verschlüsseln kann... Versuche es jetzt schon ein paar Tage aber mit dem einfachen CCNA den ich hab, kommt man da einfach nicht sehr weit... Liebe Grüsse, eure Shootz007 Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 14. Oktober 2008 Melden Teilen Geschrieben 14. Oktober 2008 Der CCNA hat damit nichts zu tun ;) Ich versteh grad nicht wieso der Tunnel genattet werden soll? Das macht doch nicht wirklich Sinn ... Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 14. Oktober 2008 Melden Teilen Geschrieben 14. Oktober 2008 doch, wenn man auf beiden Seiten die gleichen Ranges hat :) Zitieren Link zu diesem Kommentar
mr-windows 10 Geschrieben 14. Oktober 2008 Melden Teilen Geschrieben 14. Oktober 2008 nun gut... Wordo hat schon recht. Sollte man nicht zusehen, dass man auf beiden Sites verschiedene Ranges hat? Das macht doch auch das Routing einfacher, ist übersichtlicher usw... Gruß Christian Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 14. Oktober 2008 Melden Teilen Geschrieben 14. Oktober 2008 wenn dir nicht beide sites gehören und niemand renumbern will hast keine andere Möglichkeit Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 14. Oktober 2008 Melden Teilen Geschrieben 14. Oktober 2008 Und wozu dann GRE? Zitieren Link zu diesem Kommentar
Shootz007 10 Geschrieben 14. Oktober 2008 Autor Melden Teilen Geschrieben 14. Oktober 2008 Liebe Leute, nicht der Tunnel ist genattet, sondern die Netze hinter den Routern: Internes Netz, mit NAT-Translation im Router... dann kommt der Tunnel... das Netz auf der anderen Seite ist dann wieder genattet, jetzt hab ich das Problem das NAT das Paket ändert... und in dem Moment wo ich den Tunnel verschlüssel, ändert diese Verschlüsselung das Paket ebenfalls... wenn es jetzt zurückkommt erkennt NAT es nicht mehr als sein Paket und verwirft es... So ich hoffe ich hab mich jetzt besser ausgedrückt, bin noch nicht so lang dabei.... Liebe Grüsse, eure Shootz007 – Hi Otaku19, ich bin momentan Praktikantin, hab mehrere Router etc. bekommen, habe also auf beide Seiten kompletten Zugriff... Liebe Grüsse, Shootz007 – Ihr wisst immer noch nicht was ich meine, oder? Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 14. Oktober 2008 Melden Teilen Geschrieben 14. Oktober 2008 Ja, du solltest mal schreiben welche IPs Netz A und Netz B haben, welches Netz auf was genattet wird und warum du GRE benoetigst. EDIT: Und natuerlich der Grund warum genattet werden soll. ;) Zitieren Link zu diesem Kommentar
Shootz007 10 Geschrieben 14. Oktober 2008 Autor Melden Teilen Geschrieben 14. Oktober 2008 so ich setze euch mal die beiden Teile der Routerkonfig rein die mit Nat & dem Tunnel zutun haben... RouterA: ! interface Tunnel0 ip address 192.168.100.1 255.255.255.0 tunnel source 10.1.0.2 tunnel destination 10.2.0.2 ! interface Ethernet0 ip address 192.168.1.1 255.255.255.0 ip nat inside half-duplex ! interface FastEthernet0 ip address 10.1.0.2 255.255.255.0 ip nat outside speed auto ! router rip version 2 network 10.0.0.0 ! ip classless ip route 0.0.0.0 0.0.0.0 10.1.0.1 ip route 10.2.0.0 255.255.255.0 FastEthernet0 ip route 192.168.2.0 255.255.255.0 Tunnel0 no ip http server no ip http secure-server ip nat pool Netz1 10.1.0.2 10.1.0.2 netmask 255.255.255.0 ip nat inside source list 1 pool Netz1 overload ! ! ! access-list 1 permit 192.168.1.0 0.0.0.255 RouterB: ! interface Tunnel0 ip address 192.168.100.2 255.255.255.0 tunnel source 10.2.0.2 tunnel destination 10.1.0.2 ! interface FastEthernet0/0 ip address 10.2.0.2 255.255.255.0 ip nat outside ip virtual-reassembly duplex auto speed auto ! interface FastEthernet0/1 ip address 192.168.2.1 255.255.255.0 ip nat inside ip virtual-reassembly duplex auto speed auto ! router rip version 2 network 10.0.0.0 ! ip classless ip route 0.0.0.0 0.0.0.0 10.2.0.1 ip route 10.1.0.0 255.255.255.0 FastEthernet0/0 ip route 192.168.1.0 255.255.255.0 Tunnel0 ! ! no ip http server no ip http secure-server ip nat translation timeout 120 ip nat pool Netz2 10.2.0.2 10.2.0.2 netmask 255.255.255.0 ip nat inside source list 1 pool Netz2 overload ! access-list 1 permit 192.168.2.0 0.0.0.255 ! so das ist jeweils der Teil mit Tunnel & Nat... und warum ich das machen soll? Jaaaaaaaaaa... gute Frage!! Also ich hab in Belgien CCNA-Ausbildung gemacht was dort gleichzeitig eine schulische Ausbiildung als Netzwerktechnikerin ist, diese wird in Deutschland nicht anerkannt & jetzt möchte ich eine verkürzte Ausbildung in einer Firma machen, in der ich gerade ein dreimonatiges Praktikum mache... ich weiss auch das das irgendwie geht,ist CCNA-Security, quasi mit Nat-T oder so, aber ich kriegs nicht richtig hin... LG eure Shootz007 Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 14. Oktober 2008 Melden Teilen Geschrieben 14. Oktober 2008 Wo ist IPSec? Das hier ist ein unverschluesselter GRE-Tunnel. Sind die externen IPs wirklich privat? Ist davor noch ein Router der nattet, oder ist das nur ein Testszenario? Nochmal die Frage: Gibts einen vernuenftigen Grund fuer GRE? Zitieren Link zu diesem Kommentar
Shootz007 10 Geschrieben 14. Oktober 2008 Autor Melden Teilen Geschrieben 14. Oktober 2008 ja das ist ein Testszenario, diese beiden Router machen NAT und das ganze ist dafür gedacht zu testen wie gut oder eben wie schlecht ich bin.... Ich möchte ja mit ipsec verschlüsseln, aber da macht mir Nat ja einen Strich durch die Rechnung... ;) LG Shootz007 – oder gibt es noch eine andere Möglichkeit zum Tunneln? ich meine ausser GRE? Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 14. Oktober 2008 Melden Teilen Geschrieben 14. Oktober 2008 Oh ok ... dann mal ein paar Facts: - IPSec machst du z.B. mit crypto-maps - In deinem Fall ins GRE nicht noetig - NAT gibts ueberall im Internet, also hat Cisco auch da ne Loesung: du definierst in der crypto Config die Netze die verschluesselt werden sollen und machst fuer NAT eine Ausnahme ;) - Schlimmstenfalls gaebe es noch NAT-T, aber das brauchst du nicht - Such hier im Board nach 876er Router und crypto-map, da findest du genuegend Beispiele - Bring erst mal einen IPSec-Tunnel zum laufen und dann mach mit GRE weiter wenn dus unbedingt brauchst Zitieren Link zu diesem Kommentar
Shootz007 10 Geschrieben 14. Oktober 2008 Autor Melden Teilen Geschrieben 14. Oktober 2008 okay, danke ich werd mal danach suchen, es probieren und dann melde ich mich wieder... Danke schön!!!! Liebe Grüsse, Shootz007 Zitieren Link zu diesem Kommentar
Shootz007 10 Geschrieben 16. Oktober 2008 Autor Melden Teilen Geschrieben 16. Oktober 2008 Erstmal ein Hallo an alle!!! So, ich hab jetzt mal die Konfigs gemacht... hoffe jemand von euch kennt sich damit aus und ist so lieb und sagt mir ob es so richtig ist, bzw. ob etwas falsch ist/etwas fehlt oder ob ich auf einem ganz falschen Weg bin... RouterA:... ! crypto isakmp policy 10 authentication pre-share crypto isakmp key ciscokey address 10.2.0.2 ! ! crypto ipsec transform-set myset esp-des esp-md5-hmac ! crypto map myvpn 10 ipsec-isakmp set peer 10.2.0.2 set transform-set myset match address 101 ! ! ! interface Ethernet0 ip address 192.168.1.1 255.255.255.0 ip nat inside half-duplex ! interface FastEthernet0 ip address 10.1.0.2 255.255.255.0 ip nat outside speed auto crypto map myvpn ! ip classless ip route 0.0.0.0 0.0.0.0 10.1.0.1 ip route 10.2.0.0 255.255.255.0 FastEthernet0 no ip http server no ip http secure-server ip nat pool Netz1 10.1.0.2 10.1.0.2 netmask 255.255.255.0 ip nat inside source list 175 interface FastEthernet0 overload ! ! ! access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 access-list 175 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 access-list 175 permit ip 192.168.1.0 0.0.0.255 any ! RouterB:... ! crypto isakmp policy 10 authentication pre-share crypto isakmp key ciscokey address 10.1.0.2 no crypto isakmp ccm ! ! crypto ipsec transform-set myset esp-des esp-md5-hmac ! crypto map myvpn 10 ipsec-isakmp set peer 10.1.0.2 set transform-set myset match address 101 ! ! ! ! interface FastEthernet0/0 ip address 10.2.0.2 255.255.255.0 ip nat outside ip virtual-reassembly duplex auto speed auto crypto map myvpn ! interface FastEthernet0/1 ip address 192.168.2.1 255.255.255.0 ip nat inside ip virtual-reassembly duplex auto speed auto ! ip classless ip route 0.0.0.0 0.0.0.0 10.2.0.1 ip route 10.1.0.0 255.255.255.0 FastEthernet0/0 ! ! ip http server no ip http secure-server ip nat pool Netz2 10.2.0.2 10.2.0.2 netmask 255.255.255.0 ip nat inside source list 175 interface FastEthernet0/0 overload ! access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 access-list 175 deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 access-list 175 permit ip 192.168.2.0 0.0.0.255 any ! Liebe Grüsse, eure Shootz007 Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 16. Oktober 2008 Melden Teilen Geschrieben 16. Oktober 2008 Das sollte gerade reichen, nat pool wirste nicht brauchen, wenn du FA0/0 beider Router miteinander Cross verbindest sind die in unterschiedlichen Netzen. Wenn du aber dazwischen noch ein Geraet hast wuerde auch nur die Defaultroute auf beiden Routern reichen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.