frank99
Goto Top

Cisco Router VPN einen FaPort zuweisen

Hallo Forum Gemeinde,

ich habe auf meinem Cisco Router 881 mir ein zusätzlicher VPN Zugang hinzu gefügt. Dieser soll für Service Zwecke sein, so das der Maschinen Hersteller auf seine Maschine per VPN zugreifen kann.
Dieser VPN Zugang soll nur auf den Port "FastEthernet2" Zugriff haben, und zwar diesen Port ohne IP-Bereich (ich kenne den IP-Bereich der Maschine nicht). Der Maschinen Hersteller soll natürlich nicht auf die anderer VLAN´s zugreifen können.
Die VPN Verbindung funktioniert, aber ich kann über den VPN Zugang auch das 192.168.17.0 Netz an pingen.

Nun meine Frage, geht das ohne ACL? Wenn ja wie? was stimmt bei meinem Code nicht?
mit ACL habe ich es hinbekommen.


crypto isakmp client configuration group vpnservice
key xxxxxxxx
pool VPN-Pool
max-users 1

crypto isakmp profile vpn-ike-profile-3
match identity group vpnservice
client authentication list vpn_xauth_ml_1
isakmp authorization list vpn_group_ml_1
client configuration address respond
virtual-template 3

interface Virtual-Template3 type tunnel
description VPN-service
ip unnumbered FastEthernet2
ip access-group 124 in
tunnel mode ipsec ipv4
tunnel protection ipsec profile VPN-Profile-1

interface FastEthernet2
description LAN Servce VPN Port
switchport mode access
switchport access vlan 50

interface Vlan50
description Service VLAN
no ip address


hier der ACL code:
interface Virtual-Template3 type tunnel
description VPN-service
ip unnumbered FastEthernet2
ip access-group 124 in
tunnel mode ipsec ipv4
tunnel protection ipsec profile VPN-Profile-1

no access-list 124
access-list 124 remark [VPN Traffic für Service sperren]
access-list 124 deny ip 192.168.2.0 0.0.0.255 host 192.168.17.0
access-list 124 deny ip 192.168.17.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 124 remark


Danke für eure Hilfe

Content-ID: 267795

Url: https://administrator.de/forum/cisco-router-vpn-einen-faport-zuweisen-267795.html

Ausgedruckt am: 23.12.2024 um 14:12 Uhr

aqui
Lösung aqui 29.03.2015, aktualisiert am 30.03.2015 um 21:11:05 Uhr
Goto Top
Der Fehler liegt in deinem Template. Das aktive IP Interface ist das Interface "vlan 50" und NICHT das Fa2, denn das reicht ja als Switchport nur durch.
interface Virtual-Template3 type tunnel
description VPN-service
ip unnumbered vlan 50
ip access-group 124 in
tunnel mode ipsec ipv4
tunnel protection ipsec profile VPN-Profile-1

Sollte dein Problem schnell fixen.
Dem VLAN 50 musst du dann noch irgendwie eine gültige IP Adresse beibringen face-wink

Beispiele dazu findest du auch hier:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
frank99
frank99 30.03.2015 um 21:10:49 Uhr
Goto Top
Hallo aqui,
Vielen Dank für deine Antwort, habe es heute getestet - es funktioniert
IP-Adresse habe ich noch hinzu gefügt
Danke
aqui
aqui 31.03.2015 um 10:23:52 Uhr
Goto Top
Alles wird gut face-big-smile