Cisco VPN IPSEC nur bestimmte feste Provider IP zulassen
Hallo Forum Gemeinde,
ich habe es endlich geschafft eine VPN Verbindung aufzubauen.
Ich will nun aber die VPN Verbindung nur von einer bestimmten IP zulassen (Provider IP, nicht lokale IP).
Wie kann ich dies an meinem Router verwirklichen?
ich habe es endlich geschafft eine VPN Verbindung aufzubauen.
Ich will nun aber die VPN Verbindung nur von einer bestimmten IP zulassen (Provider IP, nicht lokale IP).
Wie kann ich dies an meinem Router verwirklichen?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 237744
Url: https://administrator.de/forum/cisco-vpn-ipsec-nur-bestimmte-feste-provider-ip-zulassen-237744.html
Ausgedruckt am: 23.12.2024 um 15:12 Uhr
11 Kommentare
Neuester Kommentar
Hallo,
Wenn es ein IOS VPN Router ist, mit dem Befehl
Set peer <IP address>
http://www.cisco.com/c/en/us/td/docs/ios/12_2/security/command/referenc ...
Brammer
Wenn es ein IOS VPN Router ist, mit dem Befehl
Set peer <IP address>
http://www.cisco.com/c/en/us/td/docs/ios/12_2/security/command/referenc ...
Brammer
Oder mit einer simplen Inbound Access Liste am WAN Port ! Ein einfacher Klassiker....
Die Frage ist so oder so wie du den WAN Port definiert hast. Leider hast du es ja nicht für nötig befunden hier mal einen Konfig Auszug zu posten
Wenn du wie es üblich ist ein Firewall IPsec Router Image verwendest dann hast du ja die Firewall und CBAC konfiguriert.
Damit stellt sich deine Frage dann auch gar nicht, denn in die CBAC Firewall kannst du ja dann einzig nur diese Ausnahme der IP eintragen in die Inbound ACL am WAN Port.
Hier kannst du sehen wie man das macht:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Wo ist also dein Problem ?
Die Frage ist so oder so wie du den WAN Port definiert hast. Leider hast du es ja nicht für nötig befunden hier mal einen Konfig Auszug zu posten
Wenn du wie es üblich ist ein Firewall IPsec Router Image verwendest dann hast du ja die Firewall und CBAC konfiguriert.
Damit stellt sich deine Frage dann auch gar nicht, denn in die CBAC Firewall kannst du ja dann einzig nur diese Ausnahme der IP eintragen in die Inbound ACL am WAN Port.
Hier kannst du sehen wie man das macht:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Wo ist also dein Problem ?
Was soll uns diese Konfig denn nun sagen...???
Ansatz ist richtig aber Ausführung nicht !
Sieh dir bitte die Inbound ACL "INTERNET_IN" nochmal genau an ! Die gillt nur Inbound also für ALLE Packete die IN das Interface von außen (Internet) hineinfliessen. (Ausnahme ist die Dialer IP selber)
Dann lässt du deine Logik nochmal Revue passieren gerade in Bezug auf Source- und Destination IP und Port und prüfst ob diese Statements in der ACL schlüssig sind !
Willst du eigentlich generell ALLES sperren und nur den VPN Tunnel durchlassen ?? Oder soll alles erlaubt sein aber beim VPN willst du diesen nur auf eine bestimmte IP begrenzen ?!
Ansatz ist richtig aber Ausführung nicht !
Sieh dir bitte die Inbound ACL "INTERNET_IN" nochmal genau an ! Die gillt nur Inbound also für ALLE Packete die IN das Interface von außen (Internet) hineinfliessen. (Ausnahme ist die Dialer IP selber)
Dann lässt du deine Logik nochmal Revue passieren gerade in Bezug auf Source- und Destination IP und Port und prüfst ob diese Statements in der ACL schlüssig sind !
Willst du eigentlich generell ALLES sperren und nur den VPN Tunnel durchlassen ?? Oder soll alles erlaubt sein aber beim VPN willst du diesen nur auf eine bestimmte IP begrenzen ?!
die ACL Internet_IN ist dafür ob den Daten-Verkehr vom Internet abzuschotten. -> funktioniert soweit,
Ja das ist mit deiner Konfig auch richtig so.Hast du auf dem Router ein Firewall Image ???
Wenn ja solltest du besser eine CBAC Konfig mit der Firewall machen, denn das würde dir solch eine ACL ersparen.
Aber egal es funktioniert ja auch mit dem umständlichen Weg wie bei dir und das zählt erstmal...
VPN Tunnel nur zustande kommen soll, wenn die IP Adresse des Client xyz ist.
Das ist ja kinderleicht....Dazu passt du deine "INTERNET_IN" ACL einfach ein wenig an...
Statt:
permit esp any any
permit udp any any eq isakmp
Die ja den Zugriff von jeglicher IP Adresse im Internet (any) zulassen...
Lässt du diese Protokolle eben nur von der Absender IP xyz zu (ESP Protokoll und UDP 500 (isakmp, ike) ist IPsec)
Dort sollte dann stehen:
permit esp host xyz any
permit udp host xyz eq isakmp any
Fertisch !
Damit kann dann nur noch ein Absender mit der IP xyz auf den Router zugreifen. Das "any" bei der Zieladresse muss so bleiben da du ja vermutlich dynamisch wechselnde IPs auf dem Dialer Interface bekommst ?!
Weitere Infos zu IPsec findest du auch hier:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Das geht so nicht ! Ist ja auch logisch, denn wenn du den VPN Zugriff beschränken willst kannst du ihn ja nicht für einen anderen wieder freischalten wenn der immer wechselnde Adressen hat ?!
Was du machen kannst ist den Bereich freischalten von dem er seine IPs bekommt wenn er z.B. immer von zuhause arbeitet und immer wechselnde IPs bekommt die alle mit 85.x.y.z anfangen.
Dann sieht die ACL z.B. so aus:
permit esp host x.y.z.z any
permit esp 85.0.0.0 0.255.255.255 any
permit udp host x.y.z.z eq isakmp any
permit udp 85.0.0.0 0.255.255.255 eq isakmp any
Das grenzt dann den IP Zugriff eben auf diesen Einzelnen Host ein und alle IPs die mit 85.x.y.z anfangen.
Reist der in der Welt rum und hat alle möglichen Adressen geht das dann nicht mehr denn dann müsste deine ACL Millionen Einträge haben und wäre damit dann ja sinnfrei, denn du kannst ja dann so oder so alles freigeben, da du die IPs ja nicht vorhersehen kannst.
Was du machen kannst ist den Bereich freischalten von dem er seine IPs bekommt wenn er z.B. immer von zuhause arbeitet und immer wechselnde IPs bekommt die alle mit 85.x.y.z anfangen.
Dann sieht die ACL z.B. so aus:
permit esp host x.y.z.z any
permit esp 85.0.0.0 0.255.255.255 any
permit udp host x.y.z.z eq isakmp any
permit udp 85.0.0.0 0.255.255.255 eq isakmp any
Das grenzt dann den IP Zugriff eben auf diesen Einzelnen Host ein und alle IPs die mit 85.x.y.z anfangen.
Reist der in der Welt rum und hat alle möglichen Adressen geht das dann nicht mehr denn dann müsste deine ACL Millionen Einträge haben und wäre damit dann ja sinnfrei, denn du kannst ja dann so oder so alles freigeben, da du die IPs ja nicht vorhersehen kannst.
OK, wenn der Router auch eine feste IP hat dann muss die ACL noch anders aussehen:
permit esp host x.y.z.z host <router_ip>
permit udp host x.y.z.z eq isakmp host <router_ip>
Mit dem VPN User 2 geht das dann nur so wie oben beschrieben mit einer groben Einschränkung sofern er immer von einem oder zwei Standorten arbeitet.
Wenn sich dessen IPs generell in allen möglichen Bereichen bewegen können hast du keine Chance.
permit esp host x.y.z.z host <router_ip>
permit udp host x.y.z.z eq isakmp host <router_ip>
Mit dem VPN User 2 geht das dann nur so wie oben beschrieben mit einer groben Einschränkung sofern er immer von einem oder zwei Standorten arbeitet.
Wenn sich dessen IPs generell in allen möglichen Bereichen bewegen können hast du keine Chance.