3
Cisco Router VPN einen FaPort zuweisen
Hallo Forum Gemeinde,
ich habe auf meinem Cisco Router 881 mir ein zusätzlicher VPN Zugang hinzu gefügt. Dieser soll für Service Zwecke sein, so das der Maschinen Hersteller auf seine Maschine per VPN zugreifen kann.
Dieser VPN Zugang soll nur auf den Port "FastEthernet2" Zugriff haben, und zwar diesen Port ohne IP-Bereich (ich kenne den IP-Bereich der Maschine nicht). Der Maschinen Hersteller soll natürlich nicht auf die anderer VLAN´s zugreifen können.
Die VPN Verbindung funktioniert, aber ich kann über den VPN Zugang auch das 192.168.17.0 Netz an pingen.
Nun meine Frage, geht das ohne ACL? Wenn ja wie? was stimmt bei meinem Code nicht?
mit ACL habe ich es hinbekommen.
crypto isakmp client configuration group vpnservice
key xxxxxxxx
pool VPN-Pool
max-users 1
crypto isakmp profile vpn-ike-profile-3
match identity group vpnservice
client authentication list vpn_xauth_ml_1
isakmp authorization list vpn_group_ml_1
client configuration address respond
virtual-template 3
interface Virtual-Template3 type tunnel
description VPN-service
ip unnumbered FastEthernet2
ip access-group 124 in
tunnel mode ipsec ipv4
tunnel protection ipsec profile VPN-Profile-1
interface FastEthernet2
description LAN Servce VPN Port
switchport mode access
switchport access vlan 50
interface Vlan50
description Service VLAN
no ip address
hier der ACL code:
interface Virtual-Template3 type tunnel
description VPN-service
ip unnumbered FastEthernet2
ip access-group 124 in
tunnel mode ipsec ipv4
tunnel protection ipsec profile VPN-Profile-1
no access-list 124
access-list 124 remark [VPN Traffic für Service sperren]
access-list 124 deny ip 192.168.2.0 0.0.0.255 host 192.168.17.0
access-list 124 deny ip 192.168.17.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 124 remark
Danke für eure Hilfe
ich habe auf meinem Cisco Router 881 mir ein zusätzlicher VPN Zugang hinzu gefügt. Dieser soll für Service Zwecke sein, so das der Maschinen Hersteller auf seine Maschine per VPN zugreifen kann.
Dieser VPN Zugang soll nur auf den Port "FastEthernet2" Zugriff haben, und zwar diesen Port ohne IP-Bereich (ich kenne den IP-Bereich der Maschine nicht). Der Maschinen Hersteller soll natürlich nicht auf die anderer VLAN´s zugreifen können.
Die VPN Verbindung funktioniert, aber ich kann über den VPN Zugang auch das 192.168.17.0 Netz an pingen.
Nun meine Frage, geht das ohne ACL? Wenn ja wie? was stimmt bei meinem Code nicht?
mit ACL habe ich es hinbekommen.
crypto isakmp client configuration group vpnservice
key xxxxxxxx
pool VPN-Pool
max-users 1
crypto isakmp profile vpn-ike-profile-3
match identity group vpnservice
client authentication list vpn_xauth_ml_1
isakmp authorization list vpn_group_ml_1
client configuration address respond
virtual-template 3
interface Virtual-Template3 type tunnel
description VPN-service
ip unnumbered FastEthernet2
ip access-group 124 in
tunnel mode ipsec ipv4
tunnel protection ipsec profile VPN-Profile-1
interface FastEthernet2
description LAN Servce VPN Port
switchport mode access
switchport access vlan 50
interface Vlan50
description Service VLAN
no ip address
hier der ACL code:
interface Virtual-Template3 type tunnel
description VPN-service
ip unnumbered FastEthernet2
ip access-group 124 in
tunnel mode ipsec ipv4
tunnel protection ipsec profile VPN-Profile-1
no access-list 124
access-list 124 remark [VPN Traffic für Service sperren]
access-list 124 deny ip 192.168.2.0 0.0.0.255 host 192.168.17.0
access-list 124 deny ip 192.168.17.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 124 remark
Danke für eure Hilfe
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 267795
Url: https://administrator.de/contentid/267795
Ausgedruckt am: 23.11.2024 um 05:11 Uhr
3 Kommentare
Neuester Kommentar
Der Fehler liegt in deinem Template. Das aktive IP Interface ist das Interface "vlan 50" und NICHT das Fa2, denn das reicht ja als Switchport nur durch.
interface Virtual-Template3 type tunnel
description VPN-service
ip unnumbered vlan 50
ip access-group 124 in
tunnel mode ipsec ipv4
tunnel protection ipsec profile VPN-Profile-1
Sollte dein Problem schnell fixen.
Dem VLAN 50 musst du dann noch irgendwie eine gültige IP Adresse beibringen
Beispiele dazu findest du auch hier:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
interface Virtual-Template3 type tunnel
description VPN-service
ip unnumbered vlan 50
ip access-group 124 in
tunnel mode ipsec ipv4
tunnel protection ipsec profile VPN-Profile-1
Sollte dein Problem schnell fixen.
Dem VLAN 50 musst du dann noch irgendwie eine gültige IP Adresse beibringen
Beispiele dazu findest du auch hier:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Hallo aqui,
Vielen Dank für deine Antwort, habe es heute getestet - es funktioniert
IP-Adresse habe ich noch hinzu gefügt
Danke
Vielen Dank für deine Antwort, habe es heute getestet - es funktioniert
IP-Adresse habe ich noch hinzu gefügt
Danke
Alles wird gut 
