5
Routing Cisco ASA 5540 VPN - dynamische IP
Hallo liebe Wissende 
Ich habe eine Frage bezüglich des Routings von VPN Verkehr mit einer Cisco ASA 5540 in Zusammenhang mit dynamischen IPs.
Wir sind ein Studentenwohnheim und steigen momentan um von einer festen SDSL-Verbindung zum Rechenzentrum hin zu Business-(V)DSL/Kabel-Verbindung mit VPN zum Rechenzentrum.
Als Gegenstelle im Rechenzentrum ist (lt. meiner Info) eine Cisco ASA 5540 vorhanden.
Wir haben nun als Info erhalten, dass das Routing (LAN-2-LAN) über VPN nur funktioniert, falls an unserer Gegenstelle eine feste IP vorhanden ist. Das Routing in unser Subnetz wird sozusagen auf die feste IP festgemacht.
Ist dies wirklich so richtig? Ist hier wirklich kein Routing/VPN auf dynamische IPs möglich?
Selbst habe ich administrativ leider nur Erfahrung in der Einrichtung von OpenVPN. Dort legt OpenVPN beim Eingang einer neuen Verbindung ein TAP-device an und erstellt eine Route in das entsprechende Subnetz über das entsprechende TAP-device.
Vielen Dank für eine Antwort,
Gruß flippo
Ich habe eine Frage bezüglich des Routings von VPN Verkehr mit einer Cisco ASA 5540 in Zusammenhang mit dynamischen IPs.
Wir sind ein Studentenwohnheim und steigen momentan um von einer festen SDSL-Verbindung zum Rechenzentrum hin zu Business-(V)DSL/Kabel-Verbindung mit VPN zum Rechenzentrum.
Als Gegenstelle im Rechenzentrum ist (lt. meiner Info) eine Cisco ASA 5540 vorhanden.
Wir haben nun als Info erhalten, dass das Routing (LAN-2-LAN) über VPN nur funktioniert, falls an unserer Gegenstelle eine feste IP vorhanden ist. Das Routing in unser Subnetz wird sozusagen auf die feste IP festgemacht.
Ist dies wirklich so richtig? Ist hier wirklich kein Routing/VPN auf dynamische IPs möglich?
Selbst habe ich administrativ leider nur Erfahrung in der Einrichtung von OpenVPN. Dort legt OpenVPN beim Eingang einer neuen Verbindung ein TAP-device an und erstellt eine Route in das entsprechende Subnetz über das entsprechende TAP-device.
Vielen Dank für eine Antwort,
Gruß flippo
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 162430
Url: https://administrator.de/contentid/162430
Ausgedruckt am: 25.11.2024 um 01:11 Uhr
5 Kommentare
Neuester Kommentar
Hallo,
bei Open VPN ist das TAP Device eine virtuelle Netzwerkkarte auf die gebridged wird und eigentlich nur eine "hilfskrücke" um Routing zu umgehen, da durch die fehlende statische IP kein fest konfiguriertes Routing möglich ist.
Ich gehe davon aus das wir hier von einem IPSec Tunnel reden, dafür benötigst du dann eine feste öffentliche IP.
Da solltet ihr mal beim Provider nachfragen wie das mit einer festen IP aussieht.
brammer
bei Open VPN ist das TAP Device eine virtuelle Netzwerkkarte auf die gebridged wird und eigentlich nur eine "hilfskrücke" um Routing zu umgehen, da durch die fehlende statische IP kein fest konfiguriertes Routing möglich ist.
Ich gehe davon aus das wir hier von einem IPSec Tunnel reden, dafür benötigst du dann eine feste öffentliche IP.
Da solltet ihr mal beim Provider nachfragen wie das mit einer festen IP aussieht.
brammer
Leider hatten wir fest mit einem VDSL (50/10 Mbit) Anschluss durch die Telekom gerechnet. Nur macht diese jetzt, aufgrund von unfähigen Mitarbeitern, einen Strich durch die Rechnung. Alternative sind jetzt DSL Leitung(en) (16/1 Mbit) und/oder Kabel Deutschland Business Anschluss mit (100/6 Mbit).
Ich weiß auch, dass Kabel ein shared medium ist. Aber das würde uns die (nominell) höchste Bandbreite bieten, wenn man mal von (VPN-)Drosselung von Kabel Deutschland absieht.
Kabel Deutschland bietet leider keine festen IPs an (wohl auch aus diesem Grund), allerdings ändert sich die IP normalerweise auch nicht, wenn das Modem ständig eingeloggt ist.
Naja mal sehen, jedenfalls Danke für die Antwort.
Ich weiß auch, dass Kabel ein shared medium ist. Aber das würde uns die (nominell) höchste Bandbreite bieten, wenn man mal von (VPN-)Drosselung von Kabel Deutschland absieht.
Kabel Deutschland bietet leider keine festen IPs an (wohl auch aus diesem Grund), allerdings ändert sich die IP normalerweise auch nicht, wenn das Modem ständig eingeloggt ist.
Naja mal sehen, jedenfalls Danke für die Antwort.
Das Cisco VPN funktioniert auch mit einer DynDNS Verbindung. Wenn ihr also einen Cisco auf eurer Seite habt der am Kabel TV Modem angeschlossen ist dann einfach eingeben:
ip ddns update method dyndns
HTTP add http:/ /<username>:<pw>:@members.dyndns.org/nic/update?system=dyndns&hostname=<h>&myip=<a>
interval maximum 1 0 0 0
!
...und die ASA auf den Hostname einstellen. Fertisch...
ip ddns update method dyndns
HTTP add http:/ /<username>:<pw>:@members.dyndns.org/nic/update?system=dyndns&hostname=<h>&myip=<a>
interval maximum 1 0 0 0
!
...und die ASA auf den Hostname einstellen. Fertisch...
Hallo,
da habe ich mal wieder zu kurz gedacht, mit dyndns geht es auch.
Ist nur die Frage ob die Leute im RZ der Uni mitspielen.
brammer
da habe ich mal wieder zu kurz gedacht, mit dyndns geht es auch.
Ist nur die Frage ob die Leute im RZ der Uni mitspielen.
brammer
Hi,
eine Cisco ASA5505 als Easy VPN Client (möglichwerweise mit Network-Extension Mode) konfiguriert wäre eine Lösung.
Mit der dynamischen IP auf Deiner Seite kommt die ASA im Rechenzentrum nicht klar, da diese keine DNS-Auflösung machen kann.
Viele Grüße,
Alex
eine Cisco ASA5505 als Easy VPN Client (möglichwerweise mit Network-Extension Mode) konfiguriert wäre eine Lösung.
Mit der dynamischen IP auf Deiner Seite kommt die ASA im Rechenzentrum nicht klar, da diese keine DNS-Auflösung machen kann.
Viele Grüße,
Alex
