Zwei IPSEC VPN Client Groups für verschiedene VLANS
Hallo miteinander,
ich hab mal wieder ein spezielles Problem bei dem ich nicht so recht weiter komme. Ich habe einen Cisco 2851 auf dem ich die VPN für User mit dem Cisco VPN-Client und für Site-2-Site VPN zum laufen bekommen hab. Nun brauch ich aber eine zweite Gruppe für VPN-Client User, die wie folgt nur in ein spezielles VLAN dürfen.
VPN-Gruppe1 sollen über IP-Sec-Client ins VLAN 10,20,30,40,50,60 (192.168.1.0/24 - 192.168.6.0/24)
VPN-Gruppe2 sollen über IP-Sec-Client nur ins VLAN 100 (192.168.50.0/24)
Meine aktuelle Config der VPN schaut so aus:
Meine überlegungen dazu sind folgende:
1. eine VPN-Group2 anlegen analog Group1
2. einen zweiten IP-Pool
3. eine ACL für die zweite Gruppe, da komm ich grad nicht weiter. Wie muss die ACL ausschauen und vor allem wie wende ich die ACLs dann für die Gruppen auf den Dialer 1 an?
Danke schon mal!
ich hab mal wieder ein spezielles Problem bei dem ich nicht so recht weiter komme. Ich habe einen Cisco 2851 auf dem ich die VPN für User mit dem Cisco VPN-Client und für Site-2-Site VPN zum laufen bekommen hab. Nun brauch ich aber eine zweite Gruppe für VPN-Client User, die wie folgt nur in ein spezielles VLAN dürfen.
VPN-Gruppe1 sollen über IP-Sec-Client ins VLAN 10,20,30,40,50,60 (192.168.1.0/24 - 192.168.6.0/24)
VPN-Gruppe2 sollen über IP-Sec-Client nur ins VLAN 100 (192.168.50.0/24)
Meine aktuelle Config der VPN schaut so aus:
crypto keyring spokes
pre-shared-key address 0.0.0.0 0.0.0.0 key 6 L2L-key
!
crypto isakmp policy 10
encr aes 256
authentication pre-share
group 2
!
crypto isakmp client configuration group VPN-GROUP-1
key group1key
dns 192.168.1.21
wins 192.168.1.21
domain mydomain.local
pool ippool
netmask 255.255.255.0
crypto isakmp profile L2L
description LAN-to-LAN for spoke router(s) connection
keyring spokes
match identity address 0.0.0.0
crypto isakmp profile VPNclient
description VPN clients profile
match identity group VPN-GROUP-1
client authentication list userauthen
isakmp authorization list groupauthor
client configuration address respond
!
!
crypto ipsec transform-set myset esp-aes 256 esp-sha-hmac
!
crypto dynamic-map dynmap 5
set transform-set myset
reverse-route
crypto dynamic-map dynmap 10
set transform-set myset
set isakmp-profile L2L
!
!
crypto map mymap 10 ipsec-isakmp dynamic dynmap
!
!
!
!
ip local pool ippool 10.10.0.1 10.10.0.254
!
!
ip access-list extended ACL_NAT
deny ip 192.168.0.0 0.0.255.255 10.10.2.0 0.0.0.255
deny ip 192.168.0.0 0.0.255.255 10.10.0.0 0.0.0.255
permit ip 192.168.0.0 0.0.255.255 any
!
dialer-list 1 protocol ip permit
dialer-list 2 protocol ip permit
!
!
!
!
route-map nat_primary permit 10
match ip address ACL_NAT
match interface Dialer1
Meine überlegungen dazu sind folgende:
1. eine VPN-Group2 anlegen analog Group1
crypto isakmp client configuration group VPN-GROUP-2
key group1key
dns 192.168.5.1
pool ippool2
netmask 255.255.255.0
2. einen zweiten IP-Pool
ip local pool ippool2 10.10.1.1 10.10.1.254
3. eine ACL für die zweite Gruppe, da komm ich grad nicht weiter. Wie muss die ACL ausschauen und vor allem wie wende ich die ACLs dann für die Gruppen auf den Dialer 1 an?
Danke schon mal!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 154585
Url: https://administrator.de/forum/zwei-ipsec-vpn-client-groups-fuer-verschiedene-vlans-154585.html
Ausgedruckt am: 23.12.2024 um 19:12 Uhr
6 Kommentare
Neuester Kommentar
Die Frage ist WO die beiden VLANs angelegt sind ?? Wenn sie auf diesem Router selber liegen reicht eine simple ACL ala
access-list 110 permit ip 10.10.1.0 0.0.0.255 192.168.50.0 0.0.0.255
an interface VLAN 100
access-list 110 permit ip 10.10.0.0 0.0.0.255 192.168.0.0 0.0.3.255
an den anderen VLAN Interfaces
Alternativ ginge es mit PBR wenn das Gateway zu den VLANs extern liegt.
access-list 110 permit ip 10.10.1.0 0.0.0.255 192.168.50.0 0.0.0.255
route-map vpngruppe2 permit 10
match ip address 110
set ip next-hop <IP Addresse Gateway>
interface xyz
ip address xyz
ip policy route-map vpngruppe2
access-list 110 permit ip 10.10.1.0 0.0.0.255 192.168.50.0 0.0.0.255
an interface VLAN 100
access-list 110 permit ip 10.10.0.0 0.0.0.255 192.168.0.0 0.0.3.255
an den anderen VLAN Interfaces
Alternativ ginge es mit PBR wenn das Gateway zu den VLANs extern liegt.
access-list 110 permit ip 10.10.1.0 0.0.0.255 192.168.50.0 0.0.0.255
route-map vpngruppe2 permit 10
match ip address 110
set ip next-hop <IP Addresse Gateway>
interface xyz
ip address xyz
ip policy route-map vpngruppe2
OK, dann heisst die goldene Lösung für die PBR wie oben beschrieben. Ist auch einfacher umzusetzen !
Ein ähnliches Beispiel findest du hier:
Cisco Router 2 Gateways für verschiedene Clients
Ein ähnliches Beispiel findest du hier:
Cisco Router 2 Gateways für verschiedene Clients