Vernetzung zweier Standorte mit Cisco 876 Router
Standort (Zentrale)
Netzwerk A: 10.10.0.0/16
Windows Server 2003, XP
Cisco 876 Router
SDSL mit statischer IP
Standort (Niederlassung)
Netzwerk B: 10.20.20.0/24
Windows XP, 2000
Cisco 876 Router
SDSL mit statischer IP
Alle Rechner (Zentrale u. Niederlassung) sollen vollständigen Internetzugriff erhalten.
Die Rechner der Niederlassung sollen auf Terminalserver der Zentrale zugreifen können, vorzugsweise via ICA-Client.
In der Zentrale steht ein Exchange-Server 2003. Der Mailverkehr soll über den Cisco Router der Zentrale abgewickelt werden.
Meine Frage ist nun, geht das überhaupt so und wie müssen die Cisco Router minimal konfiguriert werden (Internetzugang, VPN), damit alles so funktionieren kann?
Vielen Dank für eure Hilfe
Netzwerk A: 10.10.0.0/16
Windows Server 2003, XP
Cisco 876 Router
SDSL mit statischer IP
Standort (Niederlassung)
Netzwerk B: 10.20.20.0/24
Windows XP, 2000
Cisco 876 Router
SDSL mit statischer IP
Alle Rechner (Zentrale u. Niederlassung) sollen vollständigen Internetzugriff erhalten.
Die Rechner der Niederlassung sollen auf Terminalserver der Zentrale zugreifen können, vorzugsweise via ICA-Client.
In der Zentrale steht ein Exchange-Server 2003. Der Mailverkehr soll über den Cisco Router der Zentrale abgewickelt werden.
Meine Frage ist nun, geht das überhaupt so und wie müssen die Cisco Router minimal konfiguriert werden (Internetzugang, VPN), damit alles so funktionieren kann?
Vielen Dank für eure Hilfe
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 113776
Url: https://administrator.de/contentid/113776
Ausgedruckt am: 23.11.2024 um 10:11 Uhr
5 Kommentare
Neuester Kommentar
Ja, natürlich klappt das ! Das ist ein Paradebeispiel für eine VPN Anwendung über einen IPsec Tunnel und natürlich ein Heimspiel für einen Cisco Router.
Siehe dazu auch HIER!
Mit folgender Konfiguration hast du das im Handumdrehen aufgesetzt: (DSL Provider T-Online als Beispiel hier für alle anderen gilt das analog)
Bedenke das du für die andere Seite die IP Adressen und ACLs entsprechend "anders rum" anpassen musst. (Überall wo ein (*) steht !!)
Das Beispiel oben geht von den lokalen Router IP Adressen 10.10.0.254 /26 und 10.20.20.254 /24 aus.
Die Provider IP Adressen der Router musst du entsprechend einsetzen.
Falls du keine festen IPs vom Provider hast und mit DynDNS arbeiten musst dann musst du die Cisco Konfig um die folgende Zeile erweitern:
und dann die DynDNS Domain Namen bei den VPN Peer Tunnel Adressen verwenden !!
Damit funktioniert deine Anforderung problemlos !
Siehe dazu auch HIER!
Mit folgender Konfiguration hast du das im Handumdrehen aufgesetzt: (DSL Provider T-Online als Beispiel hier für alle anderen gilt das analog)
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
!
hostname Router
!
clock timezone CET 1
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
ip subnet-zero
!
ip tcp path-mtu-discovery
ip domain-name meine.domain
ip name-server <provider_dns_IP>
!
crypto isakmp policy 100
hash md5
authentication pre-share
crypto isakmp key Geheim address <öffentl._IP_router_andere_Seite> (*)
!
crypto ipsec transform-set esp/des/md5 esp-des esp-md5-hmac
!
crypto map vpntunnel 10 ipsec-isakmp
set peer <öffentl._ip_andere_seite> (*)
set transform-set esp/des/md5
match address vpntraffic
!
interface Ethernet0
description Lokales Ethernet
ip address 10.10.0.254 255.255.0.0 (*)
ip nat inside
!
interface ATM0
no ip address
no atm ilmi-keepalive
pvc 1/32
pppoe-client dial-pool-number 1
!
dsl operating-mode annexb-ur2
!
interface Dialer1
description Internet DSL Verbindung
ip address negotiated
ip mtu 1492
ip nat outside
no cdp enable
crypto map vpntunnel
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication pap callin
ppp pap sent-username 0011234567891234567896543#0001@t-online.de
password Geheim
!
ip nat inside source list 101 interface Dialer1 overload
!
ip classless
ip route 0.0.0.0 0.0.0.0 int dialer 1
no ip http server
!
ip access-list extended vpntraffic (*)
permit ip 10.10.0.0 0.0.255.255 10.20.20.0 0.0.0.255
!
access-list 101 deny ip 10.10.0.0 0.0.255.255 10.20.20.0 0.0.0.255 (*)
access-list 101 permit ip 10.10.0.0 0.0.255.255 any
access-list 101 deny ip any any
!
end
Bedenke das du für die andere Seite die IP Adressen und ACLs entsprechend "anders rum" anpassen musst. (Überall wo ein (*) steht !!)
Das Beispiel oben geht von den lokalen Router IP Adressen 10.10.0.254 /26 und 10.20.20.254 /24 aus.
Die Provider IP Adressen der Router musst du entsprechend einsetzen.
Falls du keine festen IPs vom Provider hast und mit DynDNS arbeiten musst dann musst du die Cisco Konfig um die folgende Zeile erweitern:
ip ddns update method dyndns
HTTP
add http://<username>:<pw>:@members.dyndns.org/nic/update?system=dyndns&hostname=<h>&myip=<a>
interval maximum 1 0 0 0
!
und dann die DynDNS Domain Namen bei den VPN Peer Tunnel Adressen verwenden !!
Damit funktioniert deine Anforderung problemlos !
Ooops, das war aus deinem Tread nicht so ganz klar....sorry.
Ohne ein integriertes DSL Modem sieht die Konfig dann geringfügig anders aus:
Ohne ein integriertes DSL Modem sieht die Konfig dann geringfügig anders aus:
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
!
hostname Router
!
clock timezone CET 1
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
ip subnet-zero
!
ip tcp path-mtu-discovery
ip domain-name meine.domain
ip name-server <provider_dns_IP>
!
vpdn enable
!
vpdn-group pppoe
request-dialin
protocol pppoe
!
crypto isakmp policy 100
hash md5
authentication pre-share
lifetime 3600
crypto isakmp key Geheim address <öffentl._IP_router_andere_Seite> (*)
!
crypto ipsec transform-set esp/des/md5 esp-des esp-md5-hmac
!
crypto map <vpn_ACL_name> 10 ipsec-isakmp
set peer <öffentl._ip_andere_seite> (*)
set transform-set esp/des/md5
match address <vpn_ACL_name>
!
interface Tunnel0
description IPsec VPN Tunnel andere Seite
no ip address
ip mtu 1440
tunnel source Ethernet0
tunnel destination 10.20.20.254 (*)
crypto map <vpn_ACL_name>
!
interface FastEthernet0
description Lokales Ethernet
ip address 10.10.0.254 255.255.0.0 (*)
ip nat inside
!
interface FastEthernet4
description SDSL Anschluss ans Modem
no ip address
pppoe enable
pppoe-client dial-pool-number 1
!
interface Dialer1
description Internet DSL Verbindung
ip address negotiated
ip mtu 1492
ip nat outside
no cdp enable
crypto map <vpn_ACL_name>
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication pap callin
ppp pap sent-username 0011234567891234567896543#0001@t-online.de
password Geheim
!
ip nat inside source list 101 interface Dialer1 overload
!
ip classless
ip route 0.0.0.0 0.0.0.0 int dialer 1
no ip http server
!
ip access-list extended <vpn_ACL_name> (*)
permit ip 10.10.0.0 0.0.255.255 10.20.20.0 0.0.0.255
permit gre host 10.10.0.254 host 10.20.20.254
!
access-list 101 deny ip 10.10.0.0 0.0.255.255 10.20.20.0 0.0.0.255 (*)
access-list 101 permit ip 10.10.0.0 0.0.255.255 any
access-list 101 deny ip any any
!
end