Whistleblower 45 Geschrieben 27. Mai 2010 Melden Teilen Geschrieben 27. Mai 2010 Hi, wir stehen vor der Herausforderung, eine Niederlassung mit denkbar ungünstigen Rahmenbedingungen zuverlässig an eine Zentrale (ASA 5505) anzubinden. Der Standort der Niederlassung erlaubt leider keinen brauchbaren ADSL-Anschluss, so dass bisher nur eine 1-2MBit ADSL-Leitung (mit fester IP über PPPoE) vorhanden war, mit einem Upload von 96-128 KBit... :( Dass darüber weder RDP-Sessions von VoIP annehmbar möglich sind, brauche ich nicht zu erwähnen. Folglich gibt es jetzt eine zweite Anbindung über Kabel, die auch ziemlich performant ist (32MBit, in der Praxis ca. 20-25 downstream), allerdings keine feste IP beinhaltet. Um eine grundsätzliche Erreichbarkeit des Standortes sicherzustellen, würde jetzt im Idealfall die Kabelstrecke hauptsächlich genutzt werden, und nur bei Ausfall ein Backup über die langsame Anbindung erfolgen. Lässt sich das mit dem 871 der Niederlassung und der ASA 5505 in der Zentrale realisieren? VPN-Verbindung müsste von der Niederlassung initialisiert werden oder über dyndns laufen. Gibt es noch andere Wege, beide Leitungen sinnvoll zu nutzen? Hatte auch schon an eine einfache Lastverteilung anhand des Zielnetzes (VPN über eine Strecke, Internet über andere) nachgedacht, aber performant sollte am besten beides sein, somit bleibt eigentlich nur der Aufbau mit Backup... Hat jemand so ein Konstrukt am laufen? Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 27. Mai 2010 Melden Teilen Geschrieben 27. Mai 2010 EasyVPN und Dual ISP Backup (such nach EasyVPN bei Cisco). Geht wunderbar ... Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 27. Mai 2010 Autor Melden Teilen Geschrieben 27. Mai 2010 Hi Wordo, um EasyVPN habe ich bisher immer einen Bogen gemacht, weil auch VPNs zu Nicht-Cisco Endpunkten aufgebaut werden (z.B. Astaro, Juniper, Nokia), auch von dieser Niederlassung aus. Vermutlich wird das also nicht ohne größere Änderungen möglich sein, ich werd mich aber mal in das Thema einlesen... Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 27. Mai 2010 Melden Teilen Geschrieben 27. Mai 2010 Eine Niederlassung macht eigentlich kein VPN zu Extern, das sollte ueber die Zentrale laufen ... Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 27. Mai 2010 Autor Melden Teilen Geschrieben 27. Mai 2010 Ja, eigentlich... Wir haben aber eine vermaschte VPN-Struktur, da alle Niederlassungen relativ selbstständig sind, und zudem einige Niederlassungen noch VPN-Verbindungen zu Dritten betreiben, die nicht über die Zentrale laufen müssen/sollen. Dadurch auch die gemischte VPN-Landschaft... Ist Easy-VPN denn ein Muss dafür? Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 27. Mai 2010 Melden Teilen Geschrieben 27. Mai 2010 Da die Niederlassung keine feste IP hat muss sie sich entweder anmelden mit User/PW oder Zertifikat, wenn diese Voraussetzung geschaffen ist kannst es auch mit nem einfachen Tracking und loesen. Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 28. Mai 2010 Autor Melden Teilen Geschrieben 28. Mai 2010 Hi, ein grundlegendes Backup (erstmal nur für reinen Internetzugang) über Tracking sollte doch auch mit PBR und Multiple Tracking möglich sein, oder? Policy Based Routing with the Multiple Tracking Options Feature Configuration Example [iP Routed Protocols] - Cisco Systems Leider kann ich dem nicht entnehmen, ob das auch mit Dialer Interfaces funktioniert... Ich such nochmal weiter... Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 29. Mai 2010 Melden Teilen Geschrieben 29. Mai 2010 Die Syntax hat sich mittlerweile etwas geaendert. Mach einfach ein Tracking mit SLA. Dann 2 Default Routen, eine mit Track auf die ID und die andere mit ner hoeheren AD. Das reicht ... Hier ist noch mal NAT Problematik und parallele Nutzung beschrieben: HA-VPN, Surfen und VPN trennen, Failover fuer alles Network Blog Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 31. Mai 2010 Autor Melden Teilen Geschrieben 31. Mai 2010 Hm, nach wie vor bin ich mir nicht sicher, ob sich EasyVPN mit der bestehenden Config verträgt. Deswegen wird wohl erstmal der Router auf den KabelDeutschland-Anschluss umkonfiguriert, und der DSL-Anschluss nur für ein einziges VPN genutzt, alles andere soll dann über Kabel gehen... Ein Backup von Kabel auf DSL wird dann später nachträglich konfiguriert. Am meisten stört mich die dynIP bei der Geschichte, aber da gibt's momentan leider keine Alternative zu ...:( Ich poste hier nachher mal die Konfig, wie ich mir das vorgestellt habe (testen kann ich leider erst später...) PS: Der obige Blog ist leider grad offline... :( Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 31. Mai 2010 Melden Teilen Geschrieben 31. Mai 2010 Hm, bei mir ists erreichbar. Du bist natuerlich nicht an EasyVPN gebunden, aber wenn du ne dynamische IP hast musst du einen PSK fuer alle verwenden, sofern du keine Zertifikate oder XAUTH verwendest. Wenn dir das egal ist reicht ein Object Tracking. Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 31. Mai 2010 Autor Melden Teilen Geschrieben 31. Mai 2010 Jo, Blog war wohl nur temporär offline... Anbei mal die Konfig, basierend auf aktuellen Einstellungen - hoffentlich nicht zu konfus, musste natürlich einiges durch Suchen&Ersetzen ändern... ;) Teil 1 von 3: ! version 12.4 no service pad service tcp-keepalives-in service tcp-keepalives-out service timestamps debug datetime msec localtime show-timezone service timestamps log datetime msec localtime show-timezone service password-encryption service sequence-numbers ! hostname router ! boot-start-marker boot system flash c870-advsecurityk9-mz.124-24.T.bin boot-end-marker ! logging message-counter syslog no logging buffered logging rate-limit 1 logging console critical enable secret 5 xxx ! aaa new-model ! ! aaa authentication login default local aaa authentication login remoteaccess local aaa authorization exec default local aaa authorization network allusers local ! ! aaa session-id common clock timezone CET 1 clock summer-time CEST recurring clock save interval 24 ! crypto pki trustpoint TP-self-signed-2481874788 [..] ! ! crypto pki certificate chain TP-self-signed-2481874788 certificate self-signed 01 [..] quit dot11 syslog no ip source-route ! ! ip cef ip inspect name ethernet_0 tcp router-traffic ip inspect name ethernet_0 ftp ip inspect name ethernet_0 udp ip inspect name ethernet_0 realaudio ip inspect name ethernet_0 h323 ip inspect name ethernet_0 sip ip inspect name ethernet_0 sip-tls ip inspect name ethernet_0 fragment maximum 256 timeout 1 ip inspect name ethernet_0 pptp no ip bootp server ip domain name irgendwas.local ip name-server 217.237.149.205 ip name-server 217.237.151.51 ip name-server 194.25.2.129 ! ! vpdn enable ! ! ! username xxx ! crypto keyring L2Lkeyring description PSK for L2L peers with dynamic addressing crypto keyring vpn1_keyring description PSK for vpn1 pre-shared-key address IP_vpn1 key xxx crypto keyring vpn2_keyring description PSK for vpn2 pre-shared-key address IP_vpn2 key xxx crypto keyring vpn3_keyring description PSK for vpn3 pre-shared-key address IP_vpn3 key xxx crypto keyring vpn4_keyring description PSK for vpn4 pre-shared-key address IP_vpn4 key xxx crypto keyring vpn5_keyring description PSK for vpn5 pre-shared-key address IP_vpn5 key xxx ! crypto isakmp policy 1 encr 3des authentication pre-share group 2 ! crypto isakmp policy 2 encr 3des authentication pre-share group 2 ! crypto isakmp policy 3 encr 3des hash md5 authentication pre-share group 2 lifetime 3600 ! crypto isakmp policy 4 encr 3des authentication pre-share group 2 lifetime 7200 ! crypto isakmp policy 10 encr 3des authentication pre-share group 2 ! crypto isakmp client configuration group allusers key xxx dns 10.x.x.x wins 10.x.x.x domain irgendwas.local pool clientpool acl 106 split-dns irgendwas.local split-dns irgendwas2.local pfs Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 31. Mai 2010 Autor Melden Teilen Geschrieben 31. Mai 2010 Teil 2: crypto isakmp profile allusersprofile description Remote access users profile match identity group allusers client authentication list remoteaccess isakmp authorization list allusers client configuration address respond crypto isakmp profile vpn1_profile description Tunnel vpn1_zuNiederlassung keyring vpn1_keyring match identity address IP_vpn1 255.255.255.255 crypto isakmp profile vpn2_profile description Tunnel vpn2_zuNiederlassung keyring vpn2_keyring match identity address IP_vpn2 255.255.255.255 crypto isakmp profile vpn3_profile description Tunnel vpn3_zuNiederlassung keyring vpn3_keyring match identity address IP_vpn3 255.255.255.255 crypto isakmp profile vpn4_profile description Tunnel vpn4_zuNiederlassung keyring vpn4_keyring match identity address IP_vpn4 255.255.255.255 crypto isakmp profile vpn5_profile description Tunnel vpn5_zuNiederlassung keyring vpn5_keyring match identity address IP_vpn5 255.255.255.255 ! ! crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto ipsec transform-set VPN_vpn1_ esp-3des esp-md5-hmac crypto ipsec transform-set VPN_vpn1_2 esp-aes 256 esp-sha-hmac crypto ipsec transform-set VPN_vpn4 esp-3des esp-md5-hmac crypto ipsec transform-set ESP-AES192-SHA esp-aes 192 esp-sha-hmac ! crypto dynamic-map dynmap 5 set transform-set ESP-3DES-SHA set isakmp-profile allusersprofile ! ! crypto map ext_staticmap 1 ipsec-isakmp description Tunnel to vpn1 set peer IP_vpn1 set transform-set VPN_vpn1_ set isakmp-profile vpn1_profile match address vpn_vpn1_ ! crypto map staticmap 1 ipsec-isakmp description Tunnel to vpn5_ set peer IP_vpn5 set transform-set ESP-3DES-SHA set pfs group2 set isakmp-profile vpn5_profile match address vpn_vpn5 crypto map staticmap 4 ipsec-isakmp description Tunnel to vpn4_ set peer IP_vpn4 set transform-set VPN_vpn4 set pfs group2 set isakmp-profile vpn4_profile match address vpn_vpn4_ crypto map staticmap 5 ipsec-isakmp description Tunnel to vpn2_ set peer IP_vpn2 set transform-set ESP-3DES-SHA set pfs group2 set isakmp-profile vpn2_profile match address vpn_vpn2 crypto map staticmap 7 ipsec-isakmp description Tunnel to vpn3_ set peer IP_vpn3 set transform-set ESP-3DES-SHA set isakmp-profile vpn3_profile match address vpn_vpn3 crypto map staticmap 65535 ipsec-isakmp dynamic dynmap ! archive log config hidekeys ! ! ip tcp synwait-time 10 ip tftp source-interface Vlan1 ip ssh authentication-retries 2 ! ! ! interface Null0 no ip unreachables ! interface FastEthernet0 ! interface FastEthernet1 ! interface FastEthernet2 ! interface FastEthernet3 description *** Link KabelDeutschland *** switchport access vlan 199 ! interface FastEthernet4 no ip address no ip redirects no ip unreachables no ip proxy-arp ip nat outside no ip virtual-reassembly duplex auto speed auto pppoe enable group global pppoe-client dial-pool-number 1 ! interface Vlan1 description LAN_inside$FW_INSIDE$ ip address 10.150.1.1 255.255.255.0 ip access-group inside_rule out no ip redirects no ip unreachables no ip proxy-arp ip inspect ethernet_0 in ip nat inside ip virtual-reassembly ip tcp adjust-mss 1300 no ip mroute-cache ! interface Vlan199 description VLAN_fuer_KabelDeutschland-Link ip address dhcp client-id FastEthernet3 ip access-group outside_rule in no ip redirects no ip unreachables no ip proxy-arp ip flow ingress ip nat outside ip virtual-reassembly crypto map ext_staticmap ! Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 31. Mai 2010 Autor Melden Teilen Geschrieben 31. Mai 2010 Teil 3: interface Dialer1 description tdsl_flat$FW_OUTSIDE$ bandwidth 2048 ip address negotiated ip access-group outside_rule in no ip redirects no ip unreachables no ip proxy-arp ip mtu 1492 ip nat outside no ip virtual-reassembly encapsulation ppp no ip route-cache cef no ip route-cache no ip mroute-cache dialer pool 1 dialer-group 1 no cdp enable ppp authentication chap pap callin ppp chap hostname xxx ppp chap password 7 xxx crypto map staticmap ! ip local pool clientpool 192.168.50.240 192.168.50.254 ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 FastEthernet3 ip route 10.150.4.0 255.255.255.0 10.150.1.254 ip route 10.150.5.0 255.255.255.0 10.150.1.254 ip route 10.150.14.0 255.255.255.0 10.150.1.254 ip route 192.168.93.0 255.255.255.0 Dialer1 ip route IP_vpn1 255.255.255.255 Dialer1 ip route 192.168.99.0 255.255.255.0 10.160.1.1 no ip http server ip http secure-server ip http secure-port 50443 ! ip nat inside source route-map KABEL interface FastEthernet3 overload ip nat inside source route-map TDSL interface Dialer1 overload ip nat inside source static tcp 10.150.1.210 80 dyn_pubIP_Kabel 80 route-map NAT_rule extendable ip nat inside source static tcp 10.150.1.210 443 dyn_pubIP_Kabel 443 route-map N-rule extendable ! ip access-list extended NAT_rule remark NAT-Ausnahme Site2Site deny ip 10.150.0.0 0.0.255.255 10.160.0.0 0.0.255.255 deny ip 10.150.1.0 0.0.0.255 192.168.99.0 0.0.0.255 deny ip 10.150.0.0 0.0.255.255 10.120.0.0 0.0.255.255 deny ip 10.150.0.0 0.0.255.255 10.170.0.0 0.0.255.255 deny ip 10.150.1.0 0.0.0.255 192.168.93.0 0.0.0.255 deny ip 10.150.1.0 0.0.0.255 192.168.1.0 0.0.0.255 deny ip 10.150.0.0 0.0.255.255 192.168.210.0 0.0.0.255 deny ip 10.150.1.0 0.0.0.255 192.168.85.0 0.0.0.255 deny ip 10.150.0.0 0.0.255.255 192.168.60.0 0.0.0.255 deny ip 10.150.0.0 0.0.255.255 192.168.50.0 0.0.0.255 remark Alles andere natten permit ip 10.150.0.0 0.0.255.255 any ip access-list extended inside_rule remark ### Traffic_Site2Site ### permit ip 10.160.0.0 0.0.255.255 any permit ip 192.168.99.0 0.0.0.255 10.150.1.0 0.0.0.255 permit ip 10.170.0.0 0.0.255.255 10.150.0.0 0.0.255.255 permit ip 192.168.93.0 0.0.0.255 10.150.0.0 0.0.255.255 permit ip 192.168.1.0 0.0.0.255 10.150.1.0 0.0.0.255 permit ip 192.168.85.0 0.0.0.255 10.150.1.0 0.0.0.255 permit ip 10.120.0.0 0.0.255.255 10.150.0.0 0.0.255.255 permit ip 192.168.210.0 0.0.0.255 10.150.0.0 0.0.255.255 permit ip 192.168.60.0 0.0.0.255 any permit ip 192.168.50.0 0.0.0.255 any permit ip 192.168.15.0 0.0.0.255 host 10.150.4.108 permit gre any any log permit icmp any any deny ip any any ip access-list extended mgmt_rule remark VTY Access-class list [..] deny ip any any Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 31. Mai 2010 Autor Melden Teilen Geschrieben 31. Mai 2010 Teil 4 (von 3 :D ): ip access-list extended outside_rule remark ### NTP-Server ### permit udp host 192.53.103.104 eq ntp host dyn_pubIP_Kabel eq ntp permit udp host 192.53.103.108 eq ntp host dyn_pubIP_Kabel eq ntp permit udp host 194.25.2.129 eq domain any remark ### VPN vpn2_ ### permit ahp host IP_vpn2 host dyn_pubIP_Kabel permit esp host IP_vpn2 host dyn_pubIP_Kabel permit udp host IP_vpn2 host dyn_pubIP_Kabel eq isakmp remark ### VPN vpn4_ ### permit esp host IP_vpn4 host dyn_pubIP_Kabel permit udp host IP_vpn4 host dyn_pubIP_Kabel eq isakmp remark ### VPN vpn3_ ### permit esp host IP_vpn3 host dyn_pubIP_Kabel permit udp host IP_vpn3 host dyn_pubIP_Kabel eq isakmp remark ### VPN vpn1_ ### permit esp host IP_vpn1 host dyn_pubIP_Kabel permit udp host IP_vpn1 host dyn_pubIP_Kabel eq isakmp remark ### VPN vpn5_ ### permit esp host IP_vpn5 host dyn_pubIP_Kabel permit udp host IP_vpn5 host dyn_pubIP_Kabel eq isakmp permit udp host IP_vpn5 host dyn_pubIP_Kabel eq non500-isakmp remark ### Anti-Spoofing ### deny ip 10.150.0.0 0.0.255.255 any deny ip 10.0.0.0 0.255.255.255 any deny ip 10.48.0.0 0.15.255.255 any deny ip 192.168.0.0 0.0.255.255 any deny ip 127.0.0.0 0.255.255.255 any deny ip host 255.255.255.255 any deny ip host 0.0.0.0 any deny ip any any log ip access-list extended vpn_vpn1_ permit ip 10.150.1.0 0.0.0.255 192.168.93.0 0.0.0.255 deny ip any any ip access-list extended vpn_vpn4_ permit ip 10.150.1.0 0.0.0.255 192.168.1.0 0.0.0.255 log permit ip 10.150.1.0 0.0.0.255 192.168.85.0 0.0.0.255 log deny ip any any ip access-list extended vpn_vpn5 permit ip 10.150.0.0 0.0.255.255 10.160.0.0 0.0.255.255 permit ip 10.150.0.0 0.0.255.255 192.168.60.0 0.0.0.255 permit ip 192.168.50.0 0.0.0.255 10.160.0.0 0.0.255.255 ip access-list extended vpn_vpn2 remark IPSec Rule permit ip 10.150.0.0 0.0.255.255 10.120.0.0 0.0.255.255 deny ip any any ip access-list extended vpn_vpn3 remark IPSec Rule permit ip 10.150.0.0 0.0.255.255 10.170.0.0 0.0.255.255 deny ip any any ! access-list 1 remark INSIDE_IF=vlan1 access-list 1 remark SDM_ACL Category=2 access-list 1 permit 10.150.0.0 0.0.255.255 access-list 2 remark SDM_ACL Category=2 access-list 2 permit 10.150.0.0 0.0.255.255 access-list 106 remark Client_Split access-list 106 permit ip 10.150.0.0 0.0.255.255 any access-list 106 permit ip 10.160.0.0 0.0.255.255 any access-list 106 permit ip 10.120.0.0 0.0.255.255 any access-list 110 permit ip 10.150.0.0 0.0.255.255 192.168.15.0 0.0.0.255 no cdp run ! ! ! route-map TDSL permit 1 match ip address NAT_rule ! route-map Kabel permit 1 match ip address NAT_rule ! ! control-plane ! ! line con 0 logging synchronous no modem enable transport output telnet line aux 0 transport output telnet line vty 0 4 session-timeout 60 access-class mgmt_rule in logging synchronous transport input telnet ssh ! scheduler max-task-time 5000 scheduler allocate 4000 1000 scheduler interval 500 end Sind wahrscheinlich noch einige Fehler drin, muss ich dann vor Ort anpassen. Aber vom Prinzip richtig gedacht? Alles ausser Traffic für vpn1 soll über's "Kabel"-Interface rausgehen... Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 31. Mai 2010 Melden Teilen Geschrieben 31. Mai 2010 Das hat jetzt aber nix mit "HA-VPN" zu tun oder? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.