14
Cisco ASA VPN Side-to-Side
Hallo,
ich würde gerne wissen, wie man zwischen zwei oder mehreren Cisco ASA`s eine Side-to-Side VPN Verbindung aufbaut, wenn auf dem Zielsystem sich die IP`s wechseln. Geht das überhaupt oder funktioniert eine Side-to-Side VPN Verbindung nur mit festen IP`s zwischen den ASA`s.
Wie man eine VPN Side-to-Side VPN Verbindung erstellt, weiß ich schon so im allgemeinen. Jedoch finde ich nichts darüber, wie man das macht wenn sich die IP auf dem Zielsystem ändert. So das dann weiterhin die VPN Verbindung gehalten wird bzw. aufgebaut werden kann.
Kann mir da jemand vielleicht Links zu den Infos posten oder mir erklären was zu beachten ist.
Gruß
Hajo
ich würde gerne wissen, wie man zwischen zwei oder mehreren Cisco ASA`s eine Side-to-Side VPN Verbindung aufbaut, wenn auf dem Zielsystem sich die IP`s wechseln. Geht das überhaupt oder funktioniert eine Side-to-Side VPN Verbindung nur mit festen IP`s zwischen den ASA`s.
Wie man eine VPN Side-to-Side VPN Verbindung erstellt, weiß ich schon so im allgemeinen. Jedoch finde ich nichts darüber, wie man das macht wenn sich die IP auf dem Zielsystem ändert. So das dann weiterhin die VPN Verbindung gehalten wird bzw. aufgebaut werden kann.
Kann mir da jemand vielleicht Links zu den Infos posten oder mir erklären was zu beachten ist.
Gruß
Hajo
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 191366
Url: https://administrator.de/contentid/191366
Printed on: April 19, 2024 at 21:04 o'clock
14 Comments
Latest comment
Das ist ganz einfach ! Der Hersteller selber hat eine ganze Reihe an Beispielkonfigs dazu die du einfach nur abtippen musst:
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/prod_configuratio ...
--> Stichwort "Site to Site VPN (L2L) with ASA/PIX"
Bei sich ändernden IPs aktivierst du einfach einen DynDNS Dienst unter IOS.
Guckst du hier:
http://www.cisco.com/en/US/docs/security/asa/asa83/configuration/guide/ ...
Findet man alles eigentlich in 3 Minuten wenn man mal auf der Herstellerseite sucht
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/prod_configuratio ...
--> Stichwort "Site to Site VPN (L2L) with ASA/PIX"
Bei sich ändernden IPs aktivierst du einfach einen DynDNS Dienst unter IOS.
Guckst du hier:
http://www.cisco.com/en/US/docs/security/asa/asa83/configuration/guide/ ...
Findet man alles eigentlich in 3 Minuten wenn man mal auf der Herstellerseite sucht
Danke aqui,
ich habe bisher wohl nicht passend gesucht. Werde mir nun mal deine Links genauer anschauen. Eine Frage hätte ich dann noch, rein der Verständis halber. Der DynDNS Dienst sollte dann wo laufen? Dort wo sich die IP ändert oder dort wo man die veränderte IP benötigt? Denn wenn ich das in der Konfiguration für eine Side-to-Side VPN richtig gelesen habe werden ja beim erstellen die IP`s eingetragen und nicht ein FQDN Name.
Werde nun mal mit dem lesen beginnen, vielleicht finde ich dann ja auch schon etwas wo der DynDNS Dienst hin muß und was ich wo einstellen muß auf den ASA`s.
Gruß
Hajo
ich habe bisher wohl nicht passend gesucht. Werde mir nun mal deine Links genauer anschauen. Eine Frage hätte ich dann noch, rein der Verständis halber. Der DynDNS Dienst sollte dann wo laufen? Dort wo sich die IP ändert oder dort wo man die veränderte IP benötigt? Denn wenn ich das in der Konfiguration für eine Side-to-Side VPN richtig gelesen habe werden ja beim erstellen die IP`s eingetragen und nicht ein FQDN Name.
Werde nun mal mit dem lesen beginnen, vielleicht finde ich dann ja auch schon etwas wo der DynDNS Dienst hin muß und was ich wo einstellen muß auf den ASA`s.
Gruß
Hajo
Hallo,
dyndns läuft auf der MAschine auf der sich die IP ändert... die muss ja Bescheid sagen das sich was geändert hat...
Wie Soll die andere ASA sonst ihr gegenüber wieder finden?
den FQDN stellt ja dyndns für die ASA als public identifier zur Verfügung.
brammer
dyndns läuft auf der MAschine auf der sich die IP ändert... die muss ja Bescheid sagen das sich was geändert hat...
Wie Soll die andere ASA sonst ihr gegenüber wieder finden?
den FQDN stellt ja dyndns für die ASA als public identifier zur Verfügung.
brammer
Hallo Brammer,
wie trage ich aber den FQDN Namen in der ASA ein die die Feste IP hat, dort kann ich doch nur eine IP bzw einen IP Bereich eintragen zu wem ein VPN Tunnel erstellt werden darf bzw. wird.
Habe ein wenig bei Cisco geschaut und folgenden Eintrag in der Konfig gefunden, ist das der Eintrag der auf der ASA mit der festen IP gesetzt werden muß um so einen VPN Tunnel zu erstellen?
isakmp key address 0.0.0.0 netmask 0.0.0.0
Gruß
Hajo
wie trage ich aber den FQDN Namen in der ASA ein die die Feste IP hat, dort kann ich doch nur eine IP bzw einen IP Bereich eintragen zu wem ein VPN Tunnel erstellt werden darf bzw. wird.
Habe ein wenig bei Cisco geschaut und folgenden Eintrag in der Konfig gefunden, ist das der Eintrag der auf der ASA mit der festen IP gesetzt werden muß um so einen VPN Tunnel zu erstellen?
isakmp key address 0.0.0.0 netmask 0.0.0.0
Gruß
Hajo
Hallo,
wie aqui schon meinte.. steht alles in der Dokumentation beim Hersteller...
https://supportforums.cisco.com/thread/2012474
brammer
wie aqui schon meinte.. steht alles in der Dokumentation beim Hersteller...
https://supportforums.cisco.com/thread/2012474
brammer
Hallo brammer,
leider reichen meine Rechte wohl nicht aus bei Cisco um die Page zu öffnen auf die Du in deinem Link verwiesen hast. Könntest Du mir diese Page vielleicht als PDF zukommen lassen so das ich dort mal rein lesen kann. Denn es scheint wohl genau das zu sein was ich suche.
Gruß
Hajo
leider reichen meine Rechte wohl nicht aus bei Cisco um die Page zu öffnen auf die Du in deinem Link verwiesen hast. Könntest Du mir diese Page vielleicht als PDF zukommen lassen so das ich dort mal rein lesen kann. Denn es scheint wohl genau das zu sein was ich suche.
Gruß
Hajo
Hallo,
beim suchen nach "asa site site vpn dynamic ip" kommen 65800 links...
Unter anderem dieser hier!
brammer
beim suchen nach "asa site site vpn dynamic ip" kommen 65800 links...
Unter anderem dieser hier!
brammer
Hallo brammer und aqui,
leider habe ich durch komunikation im Cisco Support Forum erfahren das es den
DynDNS Dienst so nicht gibt auf einer ASA. Leider komme ich auch mit dem was
ich von Euch an Links bekomme kaum weiter.
Deswegen frage ich nun auch alle anderen, wer kann mir sagen ob die folgende
Konfiguration geht und wo ich bei einer Site-to-Site VPN verbindung zwischen
den Standorten wo eingeben muß. Ich benötige keine komplette Konfiguration,
es reicht mir wenn ich die wichtigen Dinge die zu beachten sind erfahre. Hier
das Senario:
(HQ)Network <- ASA -> Feste IP <- Internet -> Dynamische IP <- ASA -> Network (BO)
Habe ja in meinen vorrigen Posts schon mal etwas gepostet was ich gefunden habe
doch wurde mir gesagt das (Wildcard PSK) man das eigentlich nicht so machen sollte.
Würde mich über Hilfe freuen.
Gruß
hajo
leider habe ich durch komunikation im Cisco Support Forum erfahren das es den
DynDNS Dienst so nicht gibt auf einer ASA. Leider komme ich auch mit dem was
ich von Euch an Links bekomme kaum weiter.
Deswegen frage ich nun auch alle anderen, wer kann mir sagen ob die folgende
Konfiguration geht und wo ich bei einer Site-to-Site VPN verbindung zwischen
den Standorten wo eingeben muß. Ich benötige keine komplette Konfiguration,
es reicht mir wenn ich die wichtigen Dinge die zu beachten sind erfahre. Hier
das Senario:
(HQ)Network <- ASA -> Feste IP <- Internet -> Dynamische IP <- ASA -> Network (BO)
Habe ja in meinen vorrigen Posts schon mal etwas gepostet was ich gefunden habe
doch wurde mir gesagt das (Wildcard PSK) man das eigentlich nicht so machen sollte.
Würde mich über Hilfe freuen.
Gruß
hajo
Hallo,
ich habe jetzt gerade mal eine ASA aus dem Schrank geholt und ausprobiert...
es geht!
http://www.cisco.com/en/US/docs/security/asa/asa72/configuration/guide/ ...
Zumindest nimmt die ASA die entsprechenden Befehle an.
brammer
ich habe jetzt gerade mal eine ASA aus dem Schrank geholt und ausprobiert...
es geht!
http://www.cisco.com/en/US/docs/security/asa/asa72/configuration/guide/ ...
Zumindest nimmt die ASA die entsprechenden Befehle an.
brammer
Hallo,
da Du ja dort bei Dir eine ASA hast, könntest du schauen wie du dann DynDNS mitteilen kannst das sich die IP von example.dyndns.org nach einer Erneuerung auch dort bekannt wird. Denn was ich so immer wieder lese ist das es leider keine http-Methode gibt sondern nur eine IETF-Methode. Und um beim dynDNS Provider bescheid zu geben wird die http-Methode benötigt.
Oder weißt du wie man das mit der IETF-Methode auch machen kann. Dann bliebe nur noch wie man den DNS Namen auf der ASA einträgt um so dann immer die aktuelle IP für den VPN-Tunnel zu haben.
Gruß
Hajo
da Du ja dort bei Dir eine ASA hast, könntest du schauen wie du dann DynDNS mitteilen kannst das sich die IP von example.dyndns.org nach einer Erneuerung auch dort bekannt wird. Denn was ich so immer wieder lese ist das es leider keine http-Methode gibt sondern nur eine IETF-Methode. Und um beim dynDNS Provider bescheid zu geben wird die http-Methode benötigt.
Oder weißt du wie man das mit der IETF-Methode auch machen kann. Dann bliebe nur noch wie man den DNS Namen auf der ASA einträgt um so dann immer die aktuelle IP für den VPN-Tunnel zu haben.
Gruß
Hajo
Hier kannst du sehen wie eine funktionierende DynDNS Konfig aussieht:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Hallo,
also es ist ja schön das Du das für einen Router machst, doch
ich suche das für eine ASA und dort gibt es für das ddns keine
http-Methode, sondern nur die IETF-Methode.
Deswegen bin ich ja auf der Suche wie man bei wechselnder IP
im BO trotzdem noch einen Site-to-Site VPN Tunnel aufbaut.
Gruß
Hajo
also es ist ja schön das Du das für einen Router machst, doch
ich suche das für eine ASA und dort gibt es für das ddns keine
http-Methode, sondern nur die IETF-Methode.
Deswegen bin ich ja auf der Suche wie man bei wechselnder IP
im BO trotzdem noch einen Site-to-Site VPN Tunnel aufbaut.
Gruß
Hajo
Das spielt doch keinerlei Rolle ! ASA und Router nutzen doch beide IOS Kommandos und die sind ja nunmal gleich egal welche Plattform du benutzt.
http://www.cisco.com/en/US/docs/security/asa/asa72/configuration/guide/ ...
http://www.cisco.com/en/US/docs/security/asa/asa72/configuration/guide/ ...
Hallo,
es stimmt schon das beide Router sowie auch ASA IOS Kommandos nutzen, jedoch
unterstützt der Router die http-Methode bei ddns um so an einen DynDNS Provider
Veränderungen (änderung der IP) melden zu können. Jedoch ist die http-Methode
nicht bei der ASA mit im IOS drinnen, dort wird nur die IETF-Methode unterstüztzt.
Bin nun auch schon dabei mit einer Wildcard-PSK zu arbeiten um so dann einen
Site-to-Site VPN Tunnel erstellen zu können. Als Option habe ich erfahren würde
auch noch ein Zertifikat gehen oder der Weg über das EasyVPN auf den ASA`s. Wo
man dann eine VPN-Group erstellt und eine ASA dann Server und die andere Client
ist.
Gruß
Hajo
es stimmt schon das beide Router sowie auch ASA IOS Kommandos nutzen, jedoch
unterstützt der Router die http-Methode bei ddns um so an einen DynDNS Provider
Veränderungen (änderung der IP) melden zu können. Jedoch ist die http-Methode
nicht bei der ASA mit im IOS drinnen, dort wird nur die IETF-Methode unterstüztzt.
Bin nun auch schon dabei mit einer Wildcard-PSK zu arbeiten um so dann einen
Site-to-Site VPN Tunnel erstellen zu können. Als Option habe ich erfahren würde
auch noch ein Zertifikat gehen oder der Weg über das EasyVPN auf den ASA`s. Wo
man dann eine VPN-Group erstellt und eine ASA dann Server und die andere Client
ist.
Gruß
Hajo
