GRE Tunnel mit dynamischen IPs

[Moepi 10]

Ich bin grade mal wieder dabei zu versuchen, was bestimmt 1000 Leute vor mir versucht haben - hoffentlich hatten einige von Ihnen mehr Erfolg...

 

Also kurzes Umfeld:

2 Router (Cisco 1721 und 1841) an T-DSL Anschlüssen (also dynamische IPs). Ziehl ist es, mit den beiden Routern einen geschützten VPN Tunnel aufzubauen, der mir auch Routingprotokolle (OSPF) ermöglicht. Schritt 1 ist demnach ein Tunnel Interface für GRE, Schritt 2 ein IPSec Protection.

 

Auf den beiden Routern sieht die Tunnel Config derzeit etwa so aus:

 

interface tunnel 0
 tunnel source dialer 0
 tunnel destination xxx.xxx.xxx.xxx
 tunnel mode gre ipv4
[/Code]

 

Das funktioniert prächtig, solang keiner der Router sich neu ins Netz einwählt :(

Es muss doch ne Möglichkeit für so nen Tunnel zwischen 2 Geräten mit jeweils dynamischen IPs geben. Hatte schon an NHRP gedacht aber auch da haben die Hub Router feste IPs.

 

 

Hat jemand Vorschläge oder ein absolut sicheres "Das geht nicht" ? Danke!

[sch4k 10]

Sobald aber der "24H-Kick" kommt muss der tunnel an beiden endgeräten neu eingerichtet werden.

Dyndns wird ja wohl kaum funktionieren?!

[Wordo 11]

Also von GRE Tunneln hab ich nich so die Ahnung, aber Probier doch mal loopback auf ip unnumbered dialer 0 und source interface beim Tunnel auf loopback. Dann isses wenigstens always-up

 

 

EDIT: Oder du konfigurierst fuer die loopbacks auf beiden Seiten ein Transfer-Netz mit statischen (privaten) IP's und routest die dann durch den Dialer!

[Moepi 10]

Und wie kontaktiert er bei Deiner Lösung die Gegenseite? Einzige Chance ist die dynamische WAN IP - das is ja eben der Knackpunkt.

 

Hab gestern Nacht ne abenteuerliche Lösung gefunden, die so sicher in keinem Lehrbuch steht - klappt aber prächtig:

 

event manager session cli username moepi
event manager applet update_tr-muc_ip
event timer cron cron-entry "0-59 * * * *"
action command1 cli command "enable"
action command2 cli command "configure terminal"
action command3 cli command "interface tunnel 0"
action command4 cli command "tunnel destination xxx.dyndns.org"

 

Das ganze ist ein CLI Script für Ciscos Event Manager, ausgeführt via Cronjob einmal pro Minute und aktualisiert die Interfaceconfig für den Tunnel. Da das IOS anstatt der IP auch nen FQDN als tunnel destination annimmt, klappt das wunderbar.

(Der FQDN wird beim Bestätigen aufgelöst und durch die IP ersetzt, daher wird überhaupt erst der Affengriff nötig)

 

Jetzt leg ich heute noch IPSec übern Tunnel und fertig is das DynToDyn VPN ;)

 

*schweinischgutfühl* *michvonmeinemprofheutwiederdeprimierenlass*

[Wordo 11]

Naja, aber ob du jetzt im Tunnel0 sagst:

 

tunnel dest loopback-ip-routergegenstelle

 

.. und dann eine statische route setzt:

 

ip route loopback-ip-routergegenstelle 255.255.255.255 dialer 0

 

sollte doch auch helfen ?!

[Moepi 10]

Naja, aber ob du jetzt im Tunnel0 sagst:

 

tunnel dest loopback-ip-routergegenstelle

 

.. und dann eine statische route setzt:

 

ip route loopback-ip-routergegenstelle 255.255.255.255 dialer 0

 

sollte doch auch helfen ?!

 

 

Was bringt mir ne Route zum Loopback der Gegenstelle? Die is für gewöhnlich mit ner privaten IP konfiguriert. Und selbst wenn das Loopback mit der WAN Ip konfiguriert wäre, wüsste das der Router auf der anderen Seite nicht!

Und einfach übers Dialer 0 raus bringst ja auch nicht. Woher weiß mein ISP wohin er routen soll wenn ich ein Paket an ne private IP schicke? Der weiß doch vom Loopback auch nichts...

[Wordo 11]

oh .. da is natuerlich was dran :)

[xymos 10]

hallo,

 

 

Probiert mal das:

 

http://www.ichmussweg.com/index.php?option=content&task=view&id=14&Itemid=54

 

Funzt SUPER

 

-xymos.

[adowoMAC 10]

muss man dann aber nicht andauernd diesen Mist updaten?`Oder macht der Router dass dann selbst?