10
Cisco ASA Site to Site Verbindung
Hallo Leute ich hab demnächst ein neues Projekt, und dort geht es verstärkt um SIte to Site Verbindungen.
System ist eine Cisco ASA
mein Problem es gibt einfach zu viele Protokolle und viele Möglichkeiten wenn mir da jemand einfach ein wenig helfen könnte das ganze thema ein wenig schneller zu verstehen wäre ich Ihm unendlich dankbar.
ich hab viele Prinzipien verstanden allerdings bin ich ein wenig unsicher was allgemein flex VPN angeht oder den Pollices.
hoffentlich findet sich jemand der mir helfen kann.
Liebe Grüße
Daniel
System ist eine Cisco ASA
mein Problem es gibt einfach zu viele Protokolle und viele Möglichkeiten wenn mir da jemand einfach ein wenig helfen könnte das ganze thema ein wenig schneller zu verstehen wäre ich Ihm unendlich dankbar.
ich hab viele Prinzipien verstanden allerdings bin ich ein wenig unsicher was allgemein flex VPN angeht oder den Pollices.
hoffentlich findet sich jemand der mir helfen kann.
Liebe Grüße
Daniel
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 6429045191
Url: https://administrator.de/contentid/6429045191
Ausgedruckt am: 22.11.2024 um 12:11 Uhr
10 Kommentare
Neuester Kommentar
Nun die Frage ist was willst du mit der VPN ereichen bzw. wie sicher soll das ganze sein.
Und dann gibts noch die Optionen wie Feste IP an beiden Anschlüssen oder nicht oder 1 fest / 1 x dynamisch und und und.
Das ganze fängt bei GRE an und geht über PPTP über L2TP mi oder ohne IPSec zu reinem IPSec mit Pre shared Key bzw. IPSec mit Zertifikaten.
Ich kann dir sagen was wir bei uns in der Regel einsetzen:
Wir verwenden bei uns i.d.R. reine IPSec Verbindungen. Wenn es eigene Standorte sind dann wird das ganze über Zertifikate abgesichert bzw. wenn´s ein Fremdstandort ist dann verwenden wir meisten einen ewig langen PSK.
Zusätzlich nach Möglichkeit haben wir auch die Einwahl IP´s festgelegt wo es geht. Dort wo nicht ist sind wenigstens die Bereiche der Carrier ( DTAG / Level3 / DB-Systel etc.. ) festgelegt.
Unsere Tunnel zu ZScaler hingegen ( ist ja per Def. auch eine Site 2 Site Verbindung ) wurde hingegen früher mittels GRE von der Firewall nach ZScaler aufgebaut - mittlerweile aber IPSec ( und es läuft grottig )
Daher die Frage was soll wie verbunden werden und was sol damit erreicht werden
Und dann gibts noch die Optionen wie Feste IP an beiden Anschlüssen oder nicht oder 1 fest / 1 x dynamisch und und und.
Das ganze fängt bei GRE an und geht über PPTP über L2TP mi oder ohne IPSec zu reinem IPSec mit Pre shared Key bzw. IPSec mit Zertifikaten.
Ich kann dir sagen was wir bei uns in der Regel einsetzen:
Wir verwenden bei uns i.d.R. reine IPSec Verbindungen. Wenn es eigene Standorte sind dann wird das ganze über Zertifikate abgesichert bzw. wenn´s ein Fremdstandort ist dann verwenden wir meisten einen ewig langen PSK.
Zusätzlich nach Möglichkeit haben wir auch die Einwahl IP´s festgelegt wo es geht. Dort wo nicht ist sind wenigstens die Bereiche der Carrier ( DTAG / Level3 / DB-Systel etc.. ) festgelegt.
Unsere Tunnel zu ZScaler hingegen ( ist ja per Def. auch eine Site 2 Site Verbindung ) wurde hingegen früher mittels GRE von der Firewall nach ZScaler aufgebaut - mittlerweile aber IPSec ( und es läuft grottig )
Daher die Frage was soll wie verbunden werden und was sol damit erreicht werden
1
mein Problem es gibt einfach zu viele Protokolle
Das zeigt aber leider klar das du deine Hausaufgaben scheinbar nicht gemacht hast. Cisco kann bekanntlich nur ein VPN Protokoll nämlich IPsec!Wo ist also dein wirkliches Problem? Und...wo ist die konkrete Frage? Du schilderst hier ja mehr oder weniger erstmal nur dein Wissensdefizit.
Kollege @Mr-Gustav hat ja oben schon alles Grundlegende zur Thematik gesagt. Jetzt musst du nur noch machen.
@ aqui
Kann die ASA wirklich kein PPTP ( ja ich weiß unsicher as Hell ) und L2TP mit / ohne IPSec mehr ?
Meine ASA Kenntnisse sind da etwas ein gerichtet. Lang lang ist her der CCIE oder wars der CCNP ?
Kann die ASA wirklich kein PPTP ( ja ich weiß unsicher as Hell ) und L2TP mit / ohne IPSec mehr ?
Meine ASA Kenntnisse sind da etwas ein gerichtet. Lang lang ist her der CCIE oder wars der CCNP ?
PPTP geht auch noch aber ist ja sinnlos, denn welcher VPN Client supportet das noch?? Aus allen Windows und Apple Endgeräten ist es aus guten Gründen schon vor Langem entfernt worden.
https://www.heise.de/hintergrund/Der-Todesstoss-fuer-PPTP-1701365.html
Die Cisco Release Notes besagen das es depricated ist und dann vermutlich auch verschwinden wird. Im FirePower OS ist es nicht mehr enthalten. Zu Recht...
L2TP mit IPsec ist weiterhin voll supportet. Ist ja auch im IOS und IOS XE noch voll supportet wie du hier sehen kannst!
https://www.heise.de/hintergrund/Der-Todesstoss-fuer-PPTP-1701365.html
Die Cisco Release Notes besagen das es depricated ist und dann vermutlich auch verschwinden wird. Im FirePower OS ist es nicht mehr enthalten. Zu Recht...
L2TP mit IPsec ist weiterhin voll supportet. Ist ja auch im IOS und IOS XE noch voll supportet wie du hier sehen kannst!
Lang lang ist her der CCIE oder wars der CCNP
Du hast beide Zertifizierungen?? Respekt! 😉
Jupp beide gemacht aber schon gefühlt wieder mehr vergessen als jemals gelernt 
Aber die Grundlagen sind ja das wichtige. CLI kann man ja nachlesen denn da fehlt mir echt einiges seit dem ich
irgendwie in der Virtualisierungswelt mit VMWare und Hyper-V gelandet bin. Switche und Router mach ich seit dem eher weniger. Finde ich pers. sehr schade aber gut. Was VMWare angeht da hab ich keine einzige, aber die Zertifizierung ist ja nicht das wesentliche
Aber die Grundlagen sind ja das wichtige. CLI kann man ja nachlesen denn da fehlt mir echt einiges seit dem ich
irgendwie in der Virtualisierungswelt mit VMWare und Hyper-V gelandet bin. Switche und Router mach ich seit dem eher weniger. Finde ich pers. sehr schade aber gut. Was VMWare angeht da hab ich keine einzige, aber die Zertifizierung ist ja nicht das wesentliche
1
Hallo erst mal vielen dank für die schnelle Antwort.
Hm was genau genutzt wird kann ich nicht sagen ich weiß auf jeden fall dass Cryptomap wichtig sein wird.
ES gibt international Standorte und Deutschlandweit und ich denke gewisse Dienstleister werden ebenfalls für einen gewissen Zeitraum (Eventuell für einen Patch usw) eine Verbindung haben oder erhalten
mir geht es generell mehr, um Erfahrungswerte was man auf keinem fall machen sollte was für Erfahrungen gemacht wurden Fehler.
zb wie startet Ihr den Prozess, ruft ihr die Gegenstelle an und klärt erst mal die aushandlung am Telefon der Prozess generell würde mich schon deutlich weiterbringen.
ich kann aktuell auch nicht sagen, ob die Verbindungen über Cli eingerichtet werden oder ADSM.
zb frage ich mich,
macht es sinn über die Running Config sich erst mal eine Übersicht zu holen.
schauen wie Site to Site dort angewandt wird und eventuell sich daraus erst mal eine Vorlage zu basteln.
ich konnte in einfachen Umgebungen. bereits VPN umsetzten mit GRE / Ipsec oder einfach mit isakmp/Ipsec
ike/Ipsec entschuldigt wenn ich eventuell mal den ein oder anderen begriff durcheinander bringe ich hab erst letzte Woche angefangen mich in das Thema einzulesen.
Alleine mit Erfahrenden Leuten zu schreiben bringt mich weiter. Weil ich dort ja auch erst merke was für ein Blödsinn ich rede
Aber jeder Anfang ist schwer.
Hm was genau genutzt wird kann ich nicht sagen ich weiß auf jeden fall dass Cryptomap wichtig sein wird.
ES gibt international Standorte und Deutschlandweit und ich denke gewisse Dienstleister werden ebenfalls für einen gewissen Zeitraum (Eventuell für einen Patch usw) eine Verbindung haben oder erhalten
mir geht es generell mehr, um Erfahrungswerte was man auf keinem fall machen sollte was für Erfahrungen gemacht wurden Fehler.
zb wie startet Ihr den Prozess, ruft ihr die Gegenstelle an und klärt erst mal die aushandlung am Telefon der Prozess generell würde mich schon deutlich weiterbringen.
ich kann aktuell auch nicht sagen, ob die Verbindungen über Cli eingerichtet werden oder ADSM.
zb frage ich mich,
macht es sinn über die Running Config sich erst mal eine Übersicht zu holen.
schauen wie Site to Site dort angewandt wird und eventuell sich daraus erst mal eine Vorlage zu basteln.
ich konnte in einfachen Umgebungen. bereits VPN umsetzten mit GRE / Ipsec oder einfach mit isakmp/Ipsec
ike/Ipsec entschuldigt wenn ich eventuell mal den ein oder anderen begriff durcheinander bringe ich hab erst letzte Woche angefangen mich in das Thema einzulesen.
Alleine mit Erfahrenden Leuten zu schreiben bringt mich weiter. Weil ich dort ja auch erst merke was für ein Blödsinn ich rede
Aber jeder Anfang ist schwer.
Hm was genau genutzt wird kann ich nicht sagen
Wie sollen wir dir dann zielgerichtet helfen?!ruft ihr die Gegenstelle an und klärt erst mal die aushandlung am Telefon
Was für eine "Aushandlung" meinst du hier??ich kann aktuell auch nicht sagen...
Keine guten Voraussetzungen für jemanden der so ein System betreuen soll oder muss. Weisst du ja auch sicher selber. Denk immer dran du stehst in der Autowerkstatt mit deinem Wagen und da steht einer vor dir der sagt: "was genau gemacht wird kann ich nicht sagen, ich weiss nur das Benzin wichtig ist..". Was für eine Empfindung hast du dann? Gleiche Situation wie hier!macht es sinn über die Running Config sich erst mal eine Übersicht zu holen.
Gegenfrage: Macht es Sinn das Auto auf eine Hebebühne zu stellen und sich in aller Ruhe mit Lampe einmal alles zur Bestandsaufnahme anzusehen?Die Frage kannst du dir sicher mit deinem gesunden IT Verstand selber beantworten.
ich konnte in einfachen Umgebungen. bereits VPN umsetzten mit GRE / Ipsec oder einfach mit isakmp/Ipsec
Nach deinen obigen Ausführungen fällt einem das etwas schwer zu glauben, denn dann würdest du keineswegs solche Fragen nach "Telefon Aushandlung" oder ob die Konfig hilfreich ist, stellen. Aber nungut...Alleine mit Erfahrenden Leuten zu schreiben bringt mich weiter. Weil ich dort ja auch erst merke was für ein Blödsinn ich rede
Einsicht ist der erste Weg... 😉Die Cisco Press Lehrbücher sollten für dich immer erste Anlaufstelle sein für ein Selbststudium:
https://www.amazon.de/Cisco-Asa-All-One-Next-Generation/dp/1587143070/re ...
https://www.amazon.de/Cisco-Accidental-Administrators-Step-Step/dp/09836 ...
hm okay okay.
ich hab aktuell ein wenig Verwirrung im Kopf und versuche alles zu ordnen.
Wie sollen wir dir dann zielgerichtet helfen?!
ich hätte gedacht, es gibt 2-3 Situationen und an denen kann man sich ran hangeln. und der Rest sind eher ausnahmen die man sich dann im speziellen anschauen muss.
"Was für eine "Aushandlung" meinst du hier??"
wie übermittle ich am besten den Pre-share Key
wie bespricht ihr zb welche group ihr verwendet.
welches encryption Protokoll zb 3des
einfach aus Erfahrung wie ihr so etwas geht.
"macht es sinn über die Running Config sich erst mal eine Übersicht zu holen.
Gegenfrage: Macht es Sinn das Auto auf eine Hebebühne zu stellen und sich in aller Ruhe mit Lampe einmal alles zur Bestandsaufnahme anzusehen?
Die Frage kannst du dir sicher mit deinem gesunden IT Verstand selber beantworten."
ja hab ich mir auch gedacht dass es sinn macht.
Mir ging es auch darum dass es eventuell keinen sinn macht weil die Verbindungen zu unterschiedlich sind.
Ich hab bis jetzt immer meine Templates gehabt und die werte angepasst. ob es auch in einer großen Umgebung
sinn macht für den Anfang oder macht es keinen sinn weil dass so überhaupt nicht möglich ist.
ich kann mir gut vorstellen dass das für viele dumm klingt bestimmt ist es auch dumm, ich will einfach nur mehrere Ansichten hören um gewisse Zweifel zu eliminieren. Einfach mal schauen welche Möglichkeiten ich habe die für den Anfang sehr hilfreich sind.
ich konnte in einfachen Umgebungen. bereits VPN umsetzten mit GRE / Ipsec oder einfach mit isakmp/Ipsec
Nach deinen obigen Ausführungen fällt einem das etwas schwer zu glauben, denn dann würdest du keineswegs solche Fragen nach "Telefon Aushandlung" oder ob die Konfig hilfreich ist, stellen. Aber nungut...
Antwort :
ich habe mehre Wan Netzwerke zur Verfügung wo ich vieles Testen konnte, aber ich musste mit niemanden was absprechen weil ich ja selbst alles entschieden habe.
Ich wäre euch auch dankbar wenn die eine oder andere Antwort eventuell nicht so klingen würde als wäre die gegenstelle dumm und er sollte es lieber sein lassen :D ich weiß dass ist bestimmt auch niemanden Intention nur das Gefühl bekommt man.
Aber bevor niemand mehr antwortet ist mir dass dann auch recht und schreibt lieber wie ihr wollt.
Bin froh dass überhaupt Leute Antworten.
ich hab aktuell ein wenig Verwirrung im Kopf und versuche alles zu ordnen.
Wie sollen wir dir dann zielgerichtet helfen?!
ich hätte gedacht, es gibt 2-3 Situationen und an denen kann man sich ran hangeln. und der Rest sind eher ausnahmen die man sich dann im speziellen anschauen muss.
"Was für eine "Aushandlung" meinst du hier??"
wie übermittle ich am besten den Pre-share Key
wie bespricht ihr zb welche group ihr verwendet.
welches encryption Protokoll zb 3des
einfach aus Erfahrung wie ihr so etwas geht.
"macht es sinn über die Running Config sich erst mal eine Übersicht zu holen.
Gegenfrage: Macht es Sinn das Auto auf eine Hebebühne zu stellen und sich in aller Ruhe mit Lampe einmal alles zur Bestandsaufnahme anzusehen?
Die Frage kannst du dir sicher mit deinem gesunden IT Verstand selber beantworten."
ja hab ich mir auch gedacht dass es sinn macht.
Mir ging es auch darum dass es eventuell keinen sinn macht weil die Verbindungen zu unterschiedlich sind.
Ich hab bis jetzt immer meine Templates gehabt und die werte angepasst. ob es auch in einer großen Umgebung
sinn macht für den Anfang oder macht es keinen sinn weil dass so überhaupt nicht möglich ist.
ich kann mir gut vorstellen dass das für viele dumm klingt bestimmt ist es auch dumm, ich will einfach nur mehrere Ansichten hören um gewisse Zweifel zu eliminieren. Einfach mal schauen welche Möglichkeiten ich habe die für den Anfang sehr hilfreich sind.
ich konnte in einfachen Umgebungen. bereits VPN umsetzten mit GRE / Ipsec oder einfach mit isakmp/Ipsec
Nach deinen obigen Ausführungen fällt einem das etwas schwer zu glauben, denn dann würdest du keineswegs solche Fragen nach "Telefon Aushandlung" oder ob die Konfig hilfreich ist, stellen. Aber nungut...
Antwort :
ich habe mehre Wan Netzwerke zur Verfügung wo ich vieles Testen konnte, aber ich musste mit niemanden was absprechen weil ich ja selbst alles entschieden habe.
Ich wäre euch auch dankbar wenn die eine oder andere Antwort eventuell nicht so klingen würde als wäre die gegenstelle dumm und er sollte es lieber sein lassen :D ich weiß dass ist bestimmt auch niemanden Intention nur das Gefühl bekommt man.
Aber bevor niemand mehr antwortet ist mir dass dann auch recht und schreibt lieber wie ihr wollt.
Bin froh dass überhaupt Leute Antworten.
wie übermittle ich am besten den Pre-share Key
Brieftaube, Telefon, SMS, versiegelter Brief, Flaschenpost... Da sind dir und deiner Phantasie keine Grenzen gesetzt. Sofern du mit PSKs aus Sicherheitssicht generell leben kannst. Da ist bekanntlich immer viel Faktor Mensch dabei. Wenn es ganz wasserdicht sein soll wären natürlich Zertifikate besser.welches encryption Protokoll zb 3des
3DES ist sicher nicht dein Ernst, oder? Du solltest wirklich einmal etwas über Grundlagen zur Kryptografie lesen:https://www.heise.de/hintergrund/Der-Krypto-Wegweiser-fuer-Nicht-Kryptol ...
https://www.heise.de/select/ct/2021/7/2102710555771150536
aber ich musste mit niemanden was absprechen weil ich ja selbst alles entschieden habe.
Hier findest du ein paar Praxis Tutorials und weiterführende Links:IPsec IKEv2 Standort VPN Vernetzung mit Cisco, pfSense OPNsense und Mikrotik
Cisco, Mikrotik, pfSense VPN Standort Vernetzung mit dynamischem Routing
Ansonsten bei speziellen Themen einfach hier fragen...
Wenns das denn nun war bitte deinen Thread hier dann auch als erledigt markieren!
