Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Cisco ASA VPN Side-to-Side

Mitglied: Hajo2006

Hajo2006 (Level 2) - Jetzt verbinden

17.09.2012 um 17:25 Uhr, 4876 Aufrufe, 14 Kommentare

Hallo,

ich würde gerne wissen, wie man zwischen zwei oder mehreren Cisco ASA`s eine Side-to-Side VPN Verbindung aufbaut, wenn auf dem Zielsystem sich die IP`s wechseln. Geht das überhaupt oder funktioniert eine Side-to-Side VPN Verbindung nur mit festen IP`s zwischen den ASA`s.

Wie man eine VPN Side-to-Side VPN Verbindung erstellt, weiß ich schon so im allgemeinen. Jedoch finde ich nichts darüber, wie man das macht wenn sich die IP auf dem Zielsystem ändert. So das dann weiterhin die VPN Verbindung gehalten wird bzw. aufgebaut werden kann.

Kann mir da jemand vielleicht Links zu den Infos posten oder mir erklären was zu beachten ist.

Gruß

Hajo
Mitglied: aqui
17.09.2012, aktualisiert um 17:56 Uhr
Das ist ganz einfach ! Der Hersteller selber hat eine ganze Reihe an Beispielkonfigs dazu die du einfach nur abtippen musst:

http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/prod_configuratio ...
--> Stichwort "Site to Site VPN (L2L) with ASA/PIX"
Bei sich ändernden IPs aktivierst du einfach einen DynDNS Dienst unter IOS.
Guckst du hier:
http://www.cisco.com/en/US/docs/security/asa/asa83/configuration/guide/ ...
Findet man alles eigentlich in 3 Minuten wenn man mal auf der Herstellerseite sucht
Bitte warten ..
Mitglied: Hajo2006
17.09.2012 um 18:28 Uhr
Danke aqui,

ich habe bisher wohl nicht passend gesucht. Werde mir nun mal deine Links genauer anschauen. Eine Frage hätte ich dann noch, rein der Verständis halber. Der DynDNS Dienst sollte dann wo laufen? Dort wo sich die IP ändert oder dort wo man die veränderte IP benötigt? Denn wenn ich das in der Konfiguration für eine Side-to-Side VPN richtig gelesen habe werden ja beim erstellen die IP`s eingetragen und nicht ein FQDN Name.

Werde nun mal mit dem lesen beginnen, vielleicht finde ich dann ja auch schon etwas wo der DynDNS Dienst hin muß und was ich wo einstellen muß auf den ASA`s.

Gruß
Hajo
Bitte warten ..
Mitglied: brammer
17.09.2012 um 22:39 Uhr
Hallo,

dyndns läuft auf der MAschine auf der sich die IP ändert... die muss ja Bescheid sagen das sich was geändert hat...

Wie Soll die andere ASA sonst ihr gegenüber wieder finden?

den FQDN stellt ja dyndns für die ASA als public identifier zur Verfügung.

brammer
Bitte warten ..
Mitglied: Hajo2006
17.09.2012 um 23:39 Uhr
Hallo Brammer,

wie trage ich aber den FQDN Namen in der ASA ein die die Feste IP hat, dort kann ich doch nur eine IP bzw einen IP Bereich eintragen zu wem ein VPN Tunnel erstellt werden darf bzw. wird.

Habe ein wenig bei Cisco geschaut und folgenden Eintrag in der Konfig gefunden, ist das der Eintrag der auf der ASA mit der festen IP gesetzt werden muß um so einen VPN Tunnel zu erstellen?

isakmp key address 0.0.0.0 netmask 0.0.0.0

Gruß

Hajo
Bitte warten ..
Mitglied: brammer
18.09.2012 um 06:35 Uhr
Hallo,

wie aqui schon meinte.. steht alles in der Dokumentation beim Hersteller...

https://supportforums.cisco.com/thread/2012474

brammer
Bitte warten ..
Mitglied: Hajo2006
18.09.2012 um 08:04 Uhr
Hallo brammer,

leider reichen meine Rechte wohl nicht aus bei Cisco um die Page zu öffnen auf die Du in deinem Link verwiesen hast. Könntest Du mir diese Page vielleicht als PDF zukommen lassen so das ich dort mal rein lesen kann. Denn es scheint wohl genau das zu sein was ich suche.

Gruß
Hajo
Bitte warten ..
Mitglied: brammer
18.09.2012 um 08:30 Uhr
Hallo,

beim suchen nach "asa site site vpn dynamic ip" kommen 65800 links...

Unter anderem dieser hier!

brammer
Bitte warten ..
Mitglied: Hajo2006
18.09.2012 um 16:04 Uhr
Hallo brammer und aqui,

leider habe ich durch komunikation im Cisco Support Forum erfahren das es den
DynDNS Dienst so nicht gibt auf einer ASA. Leider komme ich auch mit dem was
ich von Euch an Links bekomme kaum weiter.

Deswegen frage ich nun auch alle anderen, wer kann mir sagen ob die folgende
Konfiguration geht und wo ich bei einer Site-to-Site VPN verbindung zwischen
den Standorten wo eingeben muß. Ich benötige keine komplette Konfiguration,
es reicht mir wenn ich die wichtigen Dinge die zu beachten sind erfahre. Hier
das Senario:

(HQ)Network <- ASA -> Feste IP <- Internet -> Dynamische IP <- ASA -> Network (BO)

Habe ja in meinen vorrigen Posts schon mal etwas gepostet was ich gefunden habe
doch wurde mir gesagt das (Wildcard PSK) man das eigentlich nicht so machen sollte.

Würde mich über Hilfe freuen.

Gruß
hajo
Bitte warten ..
Mitglied: brammer
18.09.2012 um 16:27 Uhr
Hallo,

ich habe jetzt gerade mal eine ASA aus dem Schrank geholt und ausprobiert...

es geht!

http://www.cisco.com/en/US/docs/security/asa/asa72/configuration/guide/ ...

Zumindest nimmt die ASA die entsprechenden Befehle an.

brammer
Bitte warten ..
Mitglied: Hajo2006
18.09.2012 um 16:51 Uhr
Hallo,

da Du ja dort bei Dir eine ASA hast, könntest du schauen wie du dann DynDNS mitteilen kannst das sich die IP von example.dyndns.org nach einer Erneuerung auch dort bekannt wird. Denn was ich so immer wieder lese ist das es leider keine http-Methode gibt sondern nur eine IETF-Methode. Und um beim dynDNS Provider bescheid zu geben wird die http-Methode benötigt.

Oder weißt du wie man das mit der IETF-Methode auch machen kann. Dann bliebe nur noch wie man den DNS Namen auf der ASA einträgt um so dann immer die aktuelle IP für den VPN-Tunnel zu haben.

Gruß
Hajo
Bitte warten ..
Mitglied: aqui
21.09.2012 um 19:58 Uhr
Hier kannst du sehen wie eine funktionierende DynDNS Konfig aussieht:
https://www.administrator.de/contentid/179345
Bitte warten ..
Mitglied: Hajo2006
21.09.2012 um 22:20 Uhr
Hallo,

also es ist ja schön das Du das für einen Router machst, doch
ich suche das für eine ASA und dort gibt es für das ddns keine
http-Methode, sondern nur die IETF-Methode.

Deswegen bin ich ja auf der Suche wie man bei wechselnder IP
im BO trotzdem noch einen Site-to-Site VPN Tunnel aufbaut.

Gruß
Hajo
Bitte warten ..
Mitglied: aqui
22.09.2012 um 10:27 Uhr
Das spielt doch keinerlei Rolle ! ASA und Router nutzen doch beide IOS Kommandos und die sind ja nunmal gleich egal welche Plattform du benutzt.
http://www.cisco.com/en/US/docs/security/asa/asa72/configuration/guide/ ...
Bitte warten ..
Mitglied: Hajo2006
22.09.2012 um 10:53 Uhr
Hallo,

es stimmt schon das beide Router sowie auch ASA IOS Kommandos nutzen, jedoch
unterstützt der Router die http-Methode bei ddns um so an einen DynDNS Provider
Veränderungen (änderung der IP) melden zu können. Jedoch ist die http-Methode
nicht bei der ASA mit im IOS drinnen, dort wird nur die IETF-Methode unterstüztzt.

Bin nun auch schon dabei mit einer Wildcard-PSK zu arbeiten um so dann einen
Site-to-Site VPN Tunnel erstellen zu können. Als Option habe ich erfahren würde
auch noch ein Zertifikat gehen oder der Weg über das EasyVPN auf den ASA`s. Wo
man dann eine VPN-Group erstellt und eine ASA dann Server und die andere Client
ist.

Gruß
Hajo
Bitte warten ..
Ähnliche Inhalte
Netzwerkmanagement
PPTP VPN zu Side to Side VPN
Frage von klaus.micheaellNetzwerkmanagement10 Kommentare

Hallo Leute, ich steh mal wieder vor einem größeren Problem, bei dem ich nicht weiter komme. Das Problem sieht ...

Router & Routing

Fortigate 50B hinter Fritz Box 7490 - Side to Side VPN

gelöst Frage von teletownRouter & Routing12 Kommentare

Hallo zusammen, versuche gerade ein Side-to-Side VPN zwischen zwei Fortigates einzurichten. In der Zentrale steht eine 40C, in der ...

Windows Installation

SID vs WSUS-SID?

Frage von 114068Windows Installation1 Kommentar

Hallöchen, weiß jemand, ob es einen Unterschied zwischen einer SID und einer WSUS SID gibt? Kommt mir halt etwas ...

Windows Server

Manuelles eintragen der SID in die SID-History von neuen Usern

gelöst Frage von DerWindoofFuchsWindows Server2 Kommentare

Guten Tag Zusammen, hab da ein kleines Problem Domain-A = alt Domain-B = neu Domains sind Trusted. ich sollte ...

Neue Wissensbeiträge
Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 11 StundenHumor (lol)3 Kommentare

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 1 TagGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Sicherheit

Intel gibt neue Spectre V2-Microcode-Updates frei (20.02.2018)

Information von kgborn vor 1 TagSicherheit

Intel hat zum 20. Februar 2018 weitere Microcode-Updates für OEMs freigegeben, um Systeme mit neueren Prozessoren gegen die Spectre ...

Microsoft
ARD-Doku - Das Microsoft Dilemma
Tipp von Knorkator vor 1 TagMicrosoft3 Kommentare

Hallo zusammen, vor einigen Tagen lief in der ARD u.a. Reportage. Das Youtube Video dazu dürfte länger verfügbar sein. ...

Heiß diskutierte Inhalte
Windows Server
AD DS findet Domäne nicht, behebbar?
Frage von schapitzWindows Server45 Kommentare

Guten Tag, ich habe bei einem Kunden ein Problem mit den AD DS. Umgebung ist folgende: Windows Server 2016 ...

Router & Routing
LANCOM VPN CLIENT einrichten
Frage von Finchen961988Router & Routing27 Kommentare

Hallo, ich habe ein Problem und hoffe ihr könnt mir helfen, wir haben einen Kunden der hat einen Speedport ...

Server-Hardware
Welche Rolle spielt Design bei Enterprise IT Hardware?
Frage von ApolloXServer-Hardware16 Kommentare

Ich arbeite für einen internationalen Elektronikhersteller in der Forschung und meine Aufgabe ist es, Feedback von Nutzern in Hinsicht ...

Switche und Hubs
Cisco SG350X-48 AdminIP in anderes VLAN
Frage von lcer00Switche und Hubs14 Kommentare

Hallo zusammen, ich habe ein Problem mir einem Cisco SG350X-48 bei der Erstinstallation wurde eine IP 192.168.0.254 (Default VLAN ...