atbs84
Goto Top

älterer Cisco Router als VPN Server

Unsere Firma ist über einen Cisco C3620 Router ans Internet angeschlossen. Ich würde das Gerät gern als VPN-Server konfigurieren - allerdings nur falls der Zugang auch wirklich sicher ist.

Cisco Internetwork Operating System SoftwareIOS (tm) 3600 Software (C3620-I-M), Version 12.0(13), RELEASE SOFTWARE (fc1)Copyright (c) 1986-2000 by cisco Systems, Inc.Compiled Wed 06-Sep-00 00:08 by ...

Da ich mich mit Cisco-Produkten nicht gut auskenne, wäre meine Frage ob man da Bedenken haben sollte da die Firmware (und das Gerät) schon so alt sind?
Der Router gehört uns nicht (ist geliehen), der Eigentümer (unser "Provider") kennt sich mit VPN aber auch nicht aus und kann mir bei solchen Fragen nicht helfen - gibt es den VPN-Client auf jeden Fall kostenlos von Cisco wenn wir so ein Gerät "haben"? Oder muss dazu noch ein Service-Vertrag zwischen Cisco und dem Eigentümer des Geräts bestehen?

Content-ID: 130089

Url: https://administrator.de/contentid/130089

Ausgedruckt am: 22.11.2024 um 11:11 Uhr

tikayevent
tikayevent 24.11.2009 um 09:35:14 Uhr
Goto Top
Naja, aus der Information kann ich nicht wirklich viel ziehen, weil ich auch kein Ciscoianer bin, ich weiß aber, dass es für den 3620, von dem ich auch noch zwei im Büro liegen habe, etwa 10 verschiedene Images gibt. Mit VPN, ohne VPN, mit Routing, mit VoIP, mit Firewall oder auch komplett ohne alles.

Den Cisco-VPN-Clienten gibts nur kostenlos, wenn man im Erstbesitz eines VPN-Concentrators ist, ansonsten muss dieser nachlizenziert werden.
atbs84
atbs84 24.11.2009 um 09:46:59 Uhr
Goto Top
Hmm was versteht man unter "VPN-Concentrator " - zählt unser 3620 dazu? Der Erstbesitzer ist ja unser Provider, d.h. ich müsste über den dann den VPN Client bekommen können...
tikayevent
tikayevent 24.11.2009 um 10:54:37 Uhr
Goto Top
Nein, die VPN-Concentratoren sind z.B. die VPN3000 oder die ASA5000. Die rein für VPN-Zwecke gedacht sind.
Dani
Dani 24.11.2009 um 12:40:17 Uhr
Goto Top
Moin,
eine VPN-Einwahl per IPSec sollte auf den Routern noch machbar sein. Bedenke aber dass die 3600er Reihe den "End of Life" - Stempel fast haben! D.h. wenn du danach Support haben möchtest, darfst du zahlen. face-smile
Grundsätzlich sollte es möglich sein mit dem richtigen IOS. Bei der 3600er weiß ich gerade aber den IOS Stand nicht auswendig, aber das Aktuelle IOS dürfte relativ neu sein. So wie ich sehe, ist das aber der falscheTyp. Es gibt extra IPSEC-IOS dass die Feature mitbringt. Das kostet natürlich Geld...oder wird bei euch über den Vertrag mit dem Provider geregelt.

Der VPN-Client ist so eine Sache...der Cisco VPN Client wird nicht mehr weiterentwickelt so dass du die Software für ca 30,00€ bekommst. Beim Nachfolger AnyConnect (SSL-VPN) sieht es schon anders aus. Da kostest die Lizenz ca. 125$ / Client. Dieser basiert eben nicht mehr auf IPSEC-VPN sondern auf SSL-VPN - zwei völlig verschiedene Dinge!


An deiner Stelle würde ich mir die Lösungen von Sonicwall und Zyxel anschauen...sind etwas preiswerter und haben eine GUI - das hast du bei deinem Cisco 3600 definitv nicht!


Grüße,
Dani
tikayevent
tikayevent 24.11.2009 um 14:13:39 Uhr
Goto Top
Das neuste IOS für den 3620 ist 12.3.26, Stand 18. März 2008

Das Image was du für IPSec benötigst ist folgendes:

IP/FW/IDS PLUS IPSEC 3DES BASIC NO VOICE  
c3620-ik9o3s7-mz.123-26.bin
Release Date: 18/Mar/2008
Size: 15696.50 KB  (16073208 bytes)
Minimum Memory: DRAM:64 MB  Flash:32 MB

Ich habe es, darf es aber natürlich nicht herausgeben (ich müsste es auch erstmal suchen).

AnyConnect läuft auf den 3620 nicht, weswegen ist die Geräte für nen Appel und ein Ei bekommen habe. Im Gegenzug läuft der normale VPN-Client nicht unter 64bit Umgebungen.
aqui
aqui 25.11.2009, aktualisiert am 18.10.2012 um 18:40:05 Uhr
Goto Top
Und wie man den VPN Server dann auf dem Cisco konfiguriert kannst du für
1.) PPTP hier sehen:
VPNs einrichten mit PPTP
Damit funktioniert dann jeder PPTP Client den Windows, OS-X, Linux iPhone etc. mit an Bord hat

2.) und für IPsec hier sehen:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
atbs84
atbs84 25.11.2009 um 18:56:48 Uhr
Goto Top
Danke für die Info..

So wie ich das bis jetzt verstanden habe gibt es beim Thema Sicherheit keinen klaren Sieger oder? Welches Protokoll und welche Vorgehensweise zur Authentifizierung wird denn da im professionellen Umfeld genutzt?
tikayevent
tikayevent 25.11.2009 um 19:03:20 Uhr
Goto Top
IPSec ist definitiv sicherer, weil bei PPTP die Sicherheit vom benutzten Passwort abhängt.

Sehr verbreitet ist IPSec mit XAuth.