cridom
Goto Top

Vernetzung zweier Standorte mit Cisco 876 Router

Standort (Zentrale)
Netzwerk A: 10.10.0.0/16
Windows Server 2003, XP
Cisco 876 Router
SDSL mit statischer IP

Standort (Niederlassung)
Netzwerk B: 10.20.20.0/24
Windows XP, 2000
Cisco 876 Router
SDSL mit statischer IP

Alle Rechner (Zentrale u. Niederlassung) sollen vollständigen Internetzugriff erhalten.
Die Rechner der Niederlassung sollen auf Terminalserver der Zentrale zugreifen können, vorzugsweise via ICA-Client.
In der Zentrale steht ein Exchange-Server 2003. Der Mailverkehr soll über den Cisco Router der Zentrale abgewickelt werden.

Meine Frage ist nun, geht das überhaupt so und wie müssen die Cisco Router minimal konfiguriert werden (Internetzugang, VPN), damit alles so funktionieren kann?

Vielen Dank für eure Hilfe

Content-ID: 113776

Url: https://administrator.de/contentid/113776

Ausgedruckt am: 02.11.2024 um 22:11 Uhr

aqui
aqui 14.04.2009, aktualisiert am 05.01.2023 um 10:53:53 Uhr
Goto Top
Ja, natürlich klappt das ! Das ist ein Paradebeispiel für eine VPN Anwendung über einen IPsec Tunnel und natürlich ein Heimspiel für einen Cisco Router.
Siehe dazu auch HIER!

Mit folgender Konfiguration hast du das im Handumdrehen aufgesetzt: (DSL Provider T-Online als Beispiel hier für alle anderen gilt das analog)
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
!
hostname Router
!
clock timezone CET 1
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
ip subnet-zero
!
ip tcp path-mtu-discovery
ip domain-name meine.domain
ip name-server <provider_dns_IP>
!
crypto isakmp policy 100
 hash md5
 authentication pre-share
crypto isakmp key Geheim address <öffentl._IP_router_andere_Seite>  (*)
!
crypto ipsec transform-set esp/des/md5 esp-des esp-md5-hmac
!
crypto map vpntunnel 10 ipsec-isakmp
 set peer <öffentl._ip_andere_seite> (*)
 set transform-set esp/des/md5
 match address vpntraffic
!
interface Ethernet0
 description Lokales Ethernet 
 ip address 10.10.0.254 255.255.0.0 (*)
 ip nat inside
!
interface ATM0
 no ip address
 no atm ilmi-keepalive
 pvc 1/32
 pppoe-client dial-pool-number 1
!
dsl operating-mode annexb-ur2
!
interface Dialer1
 description Internet DSL Verbindung
 ip address negotiated
 ip mtu 1492
 ip nat outside
 no cdp enable
 crypto map vpntunnel
 encapsulation ppp  
 dialer pool 1
 dialer-group 1
 ppp authentication pap callin
 ppp pap sent-username 0011234567891234567896543#0001@t-online.de
 password Geheim
!
ip nat inside source list 101 interface Dialer1 overload
!
ip classless
ip route 0.0.0.0 0.0.0.0 int dialer 1
no ip http server
!
ip access-list extended vpntraffic (*)
 permit ip 10.10.0.0 0.0.255.255 10.20.20.0 0.0.0.255
!
access-list 101 deny   ip 10.10.0.0 0.0.255.255 10.20.20.0 0.0.0.255 (*)
access-list 101 permit ip 10.10.0.0 0.0.255.255 any
access-list 101 deny   ip any any
!
end

Bedenke das du für die andere Seite die IP Adressen und ACLs entsprechend "anders rum" anpassen musst. (Überall wo ein (*) steht !!)
Das Beispiel oben geht von den lokalen Router IP Adressen 10.10.0.254 /26 und 10.20.20.254 /24 aus.
Die Provider IP Adressen der Router musst du entsprechend einsetzen.
Falls du keine festen IPs vom Provider hast und mit DynDNS arbeiten musst dann musst du die Cisco Konfig um die folgende Zeile erweitern:
ip ddns update method dyndns
 HTTP
 add http://<username>:<pw>:@members.dyndns.org/nic/update?system=dyndns&hostname=<h>&myip=<a>
 interval maximum 1 0 0 0
!

und dann die DynDNS Domain Namen bei den VPN Peer Tunnel Adressen verwenden !!

Damit funktioniert deine Anforderung problemlos !
cridom
cridom 15.04.2009 um 08:24:02 Uhr
Goto Top
Vielen Dank für die schnelle Antwort.

Die Cisco 876 Router haben 4x FastEthernet Interfaces.

Wird das SDSL-Modem mit dem 10BaseT-Anschluss direkt mit einem FastEthernet Port verbunden und wie sieht dann die Konfigugartion aus?

Nocheinmal vielen Dank für eure Hilfe
aqui
aqui 15.04.2009 um 16:20:05 Uhr
Goto Top
Ooops, das war aus deinem Tread nicht so ganz klar....sorry.
Ohne ein integriertes DSL Modem sieht die Konfig dann geringfügig anders aus:
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
!
hostname Router
!
clock timezone CET 1
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
ip subnet-zero
!
ip tcp path-mtu-discovery
ip domain-name meine.domain
ip name-server <provider_dns_IP>
!
vpdn enable
!
vpdn-group pppoe
 request-dialin
  protocol pppoe
!
crypto isakmp policy 100
 hash md5
 authentication pre-share
 lifetime 3600
crypto isakmp key Geheim address <öffentl._IP_router_andere_Seite>  (*)
!
crypto ipsec transform-set esp/des/md5 esp-des esp-md5-hmac
!
crypto map <vpn_ACL_name> 10 ipsec-isakmp
 set peer <öffentl._ip_andere_seite> (*)
 set transform-set esp/des/md5
 match address <vpn_ACL_name>
!
interface Tunnel0
 description IPsec VPN Tunnel andere Seite
 no ip address
 ip mtu 1440
 tunnel source Ethernet0
 tunnel destination 10.20.20.254 (*)
 crypto map <vpn_ACL_name>
!
interface FastEthernet0
 description Lokales Ethernet 
 ip address 10.10.0.254 255.255.0.0 (*)
 ip nat inside
!
interface FastEthernet4
 description SDSL Anschluss ans Modem
 no ip address
 pppoe enable
 pppoe-client dial-pool-number 1
!
interface Dialer1
 description Internet DSL Verbindung
 ip address negotiated
 ip mtu 1492
 ip nat outside
 no cdp enable
 crypto map <vpn_ACL_name>
 encapsulation ppp  
 dialer pool 1
 dialer-group 1
 ppp authentication pap callin
 ppp pap sent-username 0011234567891234567896543#0001@t-online.de
 password Geheim
!
ip nat inside source list 101 interface Dialer1 overload
!
ip classless
ip route 0.0.0.0 0.0.0.0 int dialer 1
no ip http server
!
ip access-list extended <vpn_ACL_name> (*)
 permit ip 10.10.0.0 0.0.255.255 10.20.20.0 0.0.0.255
 permit gre host 10.10.0.254 host 10.20.20.254
!
access-list 101 deny   ip 10.10.0.0 0.0.255.255 10.20.20.0 0.0.0.255 (*)
access-list 101 permit ip 10.10.0.0 0.0.255.255 any
access-list 101 deny   ip any any
!
end
cridom
cridom 16.04.2009 um 09:49:28 Uhr
Goto Top
Die Anleitung hat mir weitergeholfen.


Vielen Dank.
aqui
aqui 16.04.2009 um 10:52:06 Uhr
Goto Top
Dann bitte auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !!!