IPSec in L2TP

[bookweb 10]

Hallo zusammen,

 

ich habe ihr ein Netzwerk, dass aus mehreren Standorten besteht. Alle Außenstellen verbinden sich derzeit über L2TP-Tunnel zur Zentrale. Genauer gesagt wählen sich die Router (div. Cisco-Modelle) an den Standorten mittels PPPoE in das Internet ein. Der BRAS des Providers initiiert dann den L2TP-Tunnel zwischen sich selbst und dem Tunnelterminierungsrouter (Cisco 7300).

 

Nun würde ich zwischen den Standort-Router und dem Tunnelterminierungsrouter gerne IPSec einsetzen, um die Kommunikation zu verschlüsseln. Gleichzeitig soll sich auf Seiten des Providers möglichst wenig ändern, sodass nach wie vor der L2TP-Tunnel genutzt werden soll, um darin IP-SEC zu übertragen.

 

Ist das so verständlich?

 

Wie realisiere ich das am einfachsten? Bisher habe ich nur Informationen gefunden, wie man innerhalb von IP SEC L2TP überträgt.

 

Ich wäre für jeden Tipp dankbar!

 

Danke,

Christian

[Wordo 11]

Du brauchst in der Zentrale einen VPN Konzentrator, anders gehts nicht. Der Provider wird und soll dir da nicht helfen. Ansonsten sieht er den verschluesselten Traffic und dann kanns wiederrum plain durchs Netz.

[nimrod_ 11]

frage: kann man bei einem solchen problem mit GET irgendwas werden?

 

grüße

Jörg

[bookweb 10]

Moin Jörg,

so wie ich das sehe, ist GET VPN hier nicht geeignet, da wir kein Any-to-Any-VPN haben möchten, sondern weiterhin tunnelbasiert, quasi Hub and Spoke, arbeiten möchten. Mit GET würden wir den Grund des zentralen Ansatzes aushebeln: die zentrale Firewall am Hauptstandort.

 

Beste Grüße

Christian

[nimrod_ 11]

stimmt *tröt* voll drüber weggelesen... bleibt also die frage, welche anderen möglichkeiten, außer VPN Concentrator noch bestehen.

 

kann der aufbau eines l2tp tunnel als, ich sag mal trigger-event benutzt werden, um dem zentralen router zu sagen, zur quelle des l2tp tunnels einen ipsec tunnel aufzubauen

 

ablauf:

1. cpe baut l2tp tunnel zu zentralem router auf
   
2. zentraler router initialisiert durch l2tp tunnel einen ipsec tunnel
   
3. cpe nimmt ipsec tunnel an
   
4. alle sind froh :D
   

 

*riesenfragezeichen*

 

gruß

 

Jörg

[Wordo 11]

Es geht hier doch sicher um ne ZISP ISP-Gate Variante oder sowas?

Router macht PPPoE Einwahl auf LAC, der tunnelt das mit L2TP zum LNS und dort kommt IP raus. Das die Strecke zwischen LAC und LNS mit IPSec IM Tunnel verschluesselt wird is ja Aufgabe des Kunden, nicht des Providers, waer ja unprofessionell ...

[bookweb 10]

Genau, du hast die Thematik erkannt!

 

Mal angenommen, man würde das so unprofessionell machen wollen (warum auch immer...), hast du da einen Tipp oder gar eine Config, wie man sowas anstellen könnte?

 

Danke,

Christian

[Wordo 11]

Hast du Router beim Kunden und LNS unter deiner Kontrolle?

[bookweb 10]

Es handelt sich um einen Testaufbau, bei dem ich alle Geräte konfigurieren kann.

[Wordo 11]

Und auf dem LNS soll IPSec terminiert werden?

[bookweb 10]

Genau, das ist der Plan!

[Wordo 11]

Hm .. habs zwar selbst noch nicht gemacht, aber mein erster Ansatz waere:

 

Loopback IF eine IP geben, den LNS als EasyVPN Server konfigurieren und an Loopback binden. Die Router beim Kunden als EasyVPN Remotes konfigurieren ..