Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

SiteToSiteVPN PaloAlto und Cisco ASA5505

Mitglied: Yannosch

Yannosch (Level 2) - Jetzt verbinden

24.10.2017 um 10:10 Uhr, 820 Aufrufe, 5 Kommentare

Hallo zusammen,

folgende Konstellation:

Standort 1:
Palo Alto PA-200 Firewall mit End-to-Site Client-VPN [Verbindung mit Global Protect Agent]
Davor: Telekom Gerät für 10 Mbit/s CompanyConnect

Standort 2:
Cisco ASA5505 mit End-to-Site Client-VPN [Verbindung mit Shrew-Soft-VPN-Client]
Davor: Kevag Kabelmodem Thompson 100 Mbit/s Anschluss

Soll-Zustand:
IPsec Site-to-Site-VPN zwischen den beiden Geräten/Standorten.
Jeder Standort sollte zum surfen den jeweils eigenen Internetzugang nutzen.

End-To-Site war bisher kein wirkliches Problem bei mir - nur habe ich noch kein Site-To-Site aufgebaut.

  • Auf was sollte ich noch achten was die Umsetzbarkeit betrifft?

  • Ist es überhaupt möglich ein zuverlässiges Site to Site zwischen den beiden Geräten aufzubauen?

  • Benötige ich für die Cisco eine neuere Lizenz? [Derzeit habe ich hier die Base Lizenz mit 50 Inside Hosts]
asa5505 - Klicke auf das Bild, um es zu vergrößern

  • Wie würdet ihr vorgehen eine stabile und zuverlässige Site-to-Site Verbindung herzustellen? Die ASA durch eine zweite PA ersetzen, damit die Kompatibilität gewährleistet ist?

  • Kennt jemand vielleicht ein zuverlässiges Tutorial welches für genau mein Szenario ausgelegt ist?

bin für jeden Tipp dankbar!

liebe Grüße
Yannosch



Mitglied: aqui
24.10.2017, aktualisiert um 10:44 Uhr
Davor: Telekom Gerät für 10 Mbit/s CompanyConnect
Hier mal wieder die obligatorische Frage weil mal wieder nicht beschrieben: WAS ist das ??
  • reines Modem = öffentliche Provider IP an der Palo Alto
  • Ein transparenter Router OHNE NAT der ein öffentliches Subnetz oder IP auf die PA routet
  • Ein NAT Router sprich das design arbeitet in einer Router Kaskade ?
Davor: Kevag Kabelmodem Thompson 100 Mbit/s Anschluss
Auch hier wieder dieselbe Leier:
  • Ist das ein reines Modem, d.h. Provider IP an der ASA ?
  • Ist das Modem doch ein Router also Kaskade mit doppeltem NAT ?
Das ist essentiell wichtig zu wissen, denn ein NAT Router VOR den beiden Firewalls die NAT machen blockieren per default wesentliche Anteile der IPsec Protokoll Suite (UDP 500, 4500 und ESP Protokoll) so das in einem klassichen Kaskaden Design mit NAT kein IPsec VPN Tunnel zustande kommen würde.
Das solltest du also dringenst technsich genau klären !!!
Wenn es irgendwo eine Router Kaskade mit NAT sein sollte musst du dafür sorgen das UDP 500, 4500 und ESP vom davor kaskadierten Router per Port Forwarding auf die FW weitergeleitet werden.
Für die Details in so einem Kaskaden Design guckst du hier:
https://www.administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-fi ...
Mit reinem Modem oder transparentem Router entfällt dieser Zwang natürlich.

Zu deinen Fragen:
Auf was sollte ich noch achten was die Umsetzbarkeit betrifft?
Auf das obige und das beide Seiten IPsec im Agressive Mode als VPN Protokoll supporten.
Ist es überhaupt möglich ein zuverlässiges Site to Site zwischen den beiden Geräten aufzubauen?
Natürlich ! IPsec ist ein weltweiter Standard und wenn beide Seiten es supporten ist das logischerweise problemlos möglich. Du fragst ja auch nicht ob dein Auto auch englisches oder italienisches Superbenzin verträgt, oder ?
Benötige ich für die Cisco eine neuere Lizenz?
Nein, ist alles onboard !
https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-ne ...
damit die Kompatibilität gewährleistet ist?
Ist natürlich Quatsch ! IPsec ist ein Standard wo jeder mit jedem kann. Siehe Benzin oben oder lies bitte dieses Tutorial dazu:
https://www.administrator.de/wissen/ipsec-vpn-praxis-standort-kopplung-c ...
Was die können kann auch die PA und Cisco allemal !
Kennt jemand vielleicht ein zuverlässiges Tutorial
Guckst du hier:
https://blog.webernetz.net/2014/01/27/ipsec-site-to-site-vpn-palo-alto-c ...
Einfach nur abtippen oder via Klicki Bunti.
Bitte warten ..
Mitglied: Yannosch
24.10.2017 um 10:55 Uhr
Zitat von aqui:

Davor: Telekom Gerät für 10 Mbit/s CompanyConnect
Hier mal wieder die obligatorische Frage weil mal wieder nicht beschrieben: WAS ist das ??
  • reines Modem = öffentliche Provider IP an der Palo Alto
  • Ein transparenter Router OHNE NAT der ein öffentliches Subnetz oder IP auf die PA routet
  • Ein NAT Router sprich das design arbeitet in einer Router Kaskade ?

reines Modem mit öffentlicher Provider IP an der Palo Alto

Davor: Kevag Kabelmodem Thompson 100 Mbit/s Anschluss
Auch hier wieder dieselbe Leier:
  • Ist das ein reines Modem, d.h. Provider IP an der ASA ?
  • Ist das Modem doch ein Router also Kaskade mit doppeltem NAT ?
Das ist essentiell wichtig zu wissen, denn ein NAT Router VOR den beiden Firewalls die NAT machen blockieren per default wesentliche Anteile der IPsec Protokoll Suite (UDP 500, 4500 und ESP Protokoll) so das in einem klassichen Kaskaden Design mit NAT kein IPsec VPN Tunnel zustande kommen würde.

auch hier ein reines Kabelmodem mit Provider IP an der nachfolgenden ASA5505.

Das solltest du also dringenst technsich genau klären !!!

Ich habe ja an beiden Standorten das Client-To-Site VPN am laufen. Auch mittels ipsec

Wenn es irgendwo eine Router Kaskade mit NAT sein sollte musst du dafür sorgen das UDP 500, 4500 und ESP vom davor kaskadierten Router per Port Forwarding auf die FW weitergeleitet werden.

Werde ich sicherheitshalber nochmal bei der Telekom erfragen ... sollten die überhaupt auf solche Fragen antworten können

Für die Details in so einem Kaskaden Design guckst du hier:
https://www.administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-fi ...
Mit reinem Modem oder transparentem Router entfällt dieser Zwang natürlich.

Zu deinen Fragen:
Auf was sollte ich noch achten was die Umsetzbarkeit betrifft?
Auf das obige und das beide Seiten IPsec im Agressive Mode als VPN Protokoll supporten.

Es supporten beide Seiten den aggrassive Mode ... nur Main Mode sollte doch auch möglich sein?....

Ist es überhaupt möglich ein zuverlässiges Site to Site zwischen den beiden Geräten aufzubauen?
Natürlich ! IPsec ist ein weltweiter Standard und wenn beide Seiten es supporten ist das logischerweise problemlos möglich. Du fragst ja auch nicht ob dein Auto auch englisches oder italienisches Superbenzin verträgt, oder ?
Benötige ich für die Cisco eine neuere Lizenz?
Nein, ist alles onboard !
https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-ne ...

Okay - super! Danke dir...

damit die Kompatibilität gewährleistet ist?
Ist natürlich Quatsch ! IPsec ist ein Standard wo jeder mit jedem kann. Siehe Benzin oben oder lies bitte dieses Tutorial dazu:
https://www.administrator.de/wissen/ipsec-vpn-praxis-standort-kopplung-c ...
Was die können kann auch die PA und Cisco allemal !
Kennt jemand vielleicht ein zuverlässiges Tutorial
Guckst du hier:
https://blog.webernetz.net/2014/01/27/ipsec-site-to-site-vpn-palo-alto-c ...
Einfach nur abtippen oder via Klicki Bunti.

Okay ich werde es sicherheitshalber auf das Wochenende verlegen, damit ich hier im laufenden Betrieb nichts zerschieße...

Vielen Dank für deine Tipps bis hierher ... sollte es noch Fragen geben melde ich mich einfach nochmal in diesem Thread.
Bitte warten ..
Mitglied: aqui
24.10.2017, aktualisiert um 11:44 Uhr
Werde ich sicherheitshalber nochmal bei der Telekom erfragen
Musst du nicht unbedingt.
Wenn du an beiden Firewalls am WAN Port die öffentliche Provider IP hast ist das OK. Dann kann man davon ausgehen das kein NAT gemacht wird und du damit dann auch keinerlei Port Forwarding irgendwo machen musst. Das sind dann eigentlich sehr gute Vorausetzungen das es problemlos klappt.
nur Main Mode sollte doch auch möglich sein?....
Technisch ja, sollte man in heterogenen Umgebungen wie bei dir aber besser nie machen. Agressive Mode ist hier also ein Muß für dich.
Dann viel Erfolg ! Feedback wär mal ganz spannend
Bitte warten ..
Mitglied: Yannosch
24.10.2017 um 12:10 Uhr
Zitat von aqui:

Werde ich sicherheitshalber nochmal bei der Telekom erfragen
Musst du nicht unbedingt.
Wenn du an beiden Firewalls am WAN Port die öffentliche Provider IP hast ist das OK. Dann kann man davon ausgehen das kein NAT gemacht wird und du damit dann auch keinerlei Port Forwarding irgendwo machen musst. Das sind dann eigentlich sehr gute Vorausetzungen das es problemlos klappt.

Das ist in der Tat so bei beiden Firewalls.

nur Main Mode sollte doch auch möglich sein?....
Technisch ja, sollte man in heterogenen Umgebungen wie bei dir aber besser nie machen. Agressive Mode ist hier also ein Muß für dich.

Okay, dann stell ich es eben auf Aggressive um - kein Problem

Dann viel Erfolg ! Feedback wär mal ganz spannend

Ein "Testszenario" gibt es da ja wohl eher nicht ... oder? Weil ich will ungern im Live-Betrieb an den Dingern schrauben ... dann eher auf das WE legen oder wie würdest du da vorgehen?

Welche Frage ich dann noch hätte:
Bei der PA gibt es solche Virtuellen Router die beim anlegen des Tunnelinterface mitgegeben werden müssen.

Da existiert bereits einer für meine VPN-Client Umgebung die auf der PA Läuft.

Lieber noch einen eigenen für das Site-to-Site anlegen oder kann ich denselben nehmen?

Danke bis hierher - Feeback kommt natürlich wenn alles funktioniert ...

LG Yannosch
Bitte warten ..
Mitglied: aqui
24.10.2017, aktualisiert um 15:24 Uhr
Ein "Testszenario" gibt es da ja wohl eher nicht ... oder?
Doch natürlich. Besorge dir 2 Demo Geräte und baue das auf und teste das. Was hindert dich ??
Wenn du die nicht hast und es auf den Live Geräten machen musst dann solltest du das in der Tat nach Feierabend machen.
Allerdings wirst du den Protduktivbetrtieb ja niemals stören.
Den Tunnel gibt es ja noch gar nicht...also grüne Wiese für dich. Schlimmstenfalls kommt der VPN Tunnel nicht zustande und da du an der bestehen Konfig ja nichts fummelst was soll da also passieren ??
Theoretisch kann man es also auch problemlos im Live Betrieb machen.
Aber du weißt ja...Murphy lauert überall. Um nicht unter Druck zu geraten ist es also sinnvoller das zu betreibsarmen Zeiten zu machen.
oder kann ich denselben nehmen?
Besser nicht. Den lass mal lieber separat die Clients bedienen. Das hat sicher einen Sinn mit der Virtualisierung und das Site2Site solltest du besser auf ein separates virtuelles System legen. Denk an den Live Betrieb den du nicht ärgern willst...
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
VPN Cisco ASA5505 PaloAlto PA-200
gelöst Frage von YannoschLAN, WAN, Wireless60 Kommentare

Hallo zusammen, ich würde gerne ein Site-to-Site VPN zwischen den beiden Standorten aufbauen. PaloAlto PA200 Internetanschluss Deutsche Telekom GK ...

Router & Routing
Konfiguration Cisco ASA5505
Frage von YannoschRouter & Routing7 Kommentare

Guten Tag zusammen, bin gerade dabei eine Cisco ASA5505 für den Heimgebrauch zu konfigurieren. Möchte auch ein VPN mit ...

Firewall
Cisco ASA5505 das letzte Problem.
gelöst Frage von YannoschFirewall9 Kommentare

Hallo zusammen, ich hoffe ihr hattet ein schönes WE. Bei meiner ASA5505 klappt nun alles. Auch das VPN läuft ...

Voice over IP
Firewall-Regeln Cisco ASA5505 bzgl VoIP
Frage von YannoschVoice over IP9 Kommentare

Hallo zusammen, ich habe mal wieder leichte Differenzen mit meiner Cisco ASA550 :-D Im Rahmer der Anbindung unserer VoIP ...

Neue Wissensbeiträge
Sicherheit

Mehrere Sicherheitslücken in QNAP-NAS-Systemen aufgetaucht

Information von transocean vor 1 TagSicherheit

Moin, QNAP hat drei Sicherheitsprobleme publik gemacht und empfiehlt sofortiges Update. Gruß Uwe

DNS

"Quickie": Unerwünschte Aktivierung von Mozillas "DNS over HTTPS" in pfSense verhindern

Anleitung von FA-jka vor 1 TagDNS6 Kommentare

Hallo, Mozilla macht jetzt wohl wirklich Ernst mit "DNS over HTTPS" (kurz: DoH). Damit werden sämtliche DNS-Anfragen zu entsprechenden ...

Sicherheit
Störung bei Telematikinfrasturktur GEMATIK
Information von lcer00 vor 1 TagSicherheit

Am 27. Mai 2020 ist es offenbar zu einer Fehlkonfiguration in der Zentralen Telematikinfrastruktur gekommen. Nähreres dazu findet sich ...

Informationsdienste

Trump vs Twitter - Angriff auf die Meinungsfreiheit?

Information von Frank vor 2 TagenInformationsdienste3 Kommentare

Trump nutzt Twitter rege. Nach Hinweisen auf Falschbehauptungen drohte er dem Dienst. Was das bedeutet und die Konsequenzen dazu ...

Heiß diskutierte Inhalte
Exchange Server
Automatische Antwort - Weiterleitung - zweite automatische Antwort - keine Weiterleitung?
Frage von dertowaExchange Server18 Kommentare

Hallo zusammen, da mich der Microsoftsupport ein wenig fassungslos machte versuche ich hier mal mein Glück und wenn es ...

Windows Netzwerk
Verbindungsabbrüche Netzwerkkarte
Frage von Dukenukem264Windows Netzwerk14 Kommentare

Hallo Zusammen, habe eine kleine Frage, vielleicht hat der Ein oder Andere schonmal das Problem gehabt. Habe ein MSI ...

Netzwerkgrundlagen
PF Sense - Keine Verbindung nach "außen"
gelöst Frage von mario89Netzwerkgrundlagen14 Kommentare

Hallo Leute, muss euch nochmalum Rat fragen. Weil irgendwie komme ich nicht weiter. Hintergrund ist, dass ich bei meiner ...

Hardware
Anbieter PC-Konfigurator mit Garantie UND vor-Ort-Service
gelöst Frage von ITler7Hardware13 Kommentare

Hallo zusammen, wir suchen aktuell nach einem Anbieter, bei dem wir einen PC konfigurieren können, ähnlich wie bei Alternate ...