Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Cisco ASA VPN Side-to-Side

Frage Netzwerke Router & Routing

Mitglied: Hajo2006

Hajo2006 (Level 2) - Jetzt verbinden

17.09.2012 um 17:25 Uhr, 4608 Aufrufe, 14 Kommentare

Hallo,

ich würde gerne wissen, wie man zwischen zwei oder mehreren Cisco ASA`s eine Side-to-Side VPN Verbindung aufbaut, wenn auf dem Zielsystem sich die IP`s wechseln. Geht das überhaupt oder funktioniert eine Side-to-Side VPN Verbindung nur mit festen IP`s zwischen den ASA`s.

Wie man eine VPN Side-to-Side VPN Verbindung erstellt, weiß ich schon so im allgemeinen. Jedoch finde ich nichts darüber, wie man das macht wenn sich die IP auf dem Zielsystem ändert. So das dann weiterhin die VPN Verbindung gehalten wird bzw. aufgebaut werden kann.

Kann mir da jemand vielleicht Links zu den Infos posten oder mir erklären was zu beachten ist.

Gruß

Hajo
Mitglied: aqui
17.09.2012, aktualisiert um 17:56 Uhr
Das ist ganz einfach ! Der Hersteller selber hat eine ganze Reihe an Beispielkonfigs dazu die du einfach nur abtippen musst:

http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/prod_configuratio ...
--> Stichwort "Site to Site VPN (L2L) with ASA/PIX"
Bei sich ändernden IPs aktivierst du einfach einen DynDNS Dienst unter IOS.
Guckst du hier:
http://www.cisco.com/en/US/docs/security/asa/asa83/configuration/guide/ ...
Findet man alles eigentlich in 3 Minuten wenn man mal auf der Herstellerseite sucht
Bitte warten ..
Mitglied: Hajo2006
17.09.2012 um 18:28 Uhr
Danke aqui,

ich habe bisher wohl nicht passend gesucht. Werde mir nun mal deine Links genauer anschauen. Eine Frage hätte ich dann noch, rein der Verständis halber. Der DynDNS Dienst sollte dann wo laufen? Dort wo sich die IP ändert oder dort wo man die veränderte IP benötigt? Denn wenn ich das in der Konfiguration für eine Side-to-Side VPN richtig gelesen habe werden ja beim erstellen die IP`s eingetragen und nicht ein FQDN Name.

Werde nun mal mit dem lesen beginnen, vielleicht finde ich dann ja auch schon etwas wo der DynDNS Dienst hin muß und was ich wo einstellen muß auf den ASA`s.

Gruß
Hajo
Bitte warten ..
Mitglied: brammer
17.09.2012 um 22:39 Uhr
Hallo,

dyndns läuft auf der MAschine auf der sich die IP ändert... die muss ja Bescheid sagen das sich was geändert hat...

Wie Soll die andere ASA sonst ihr gegenüber wieder finden?

den FQDN stellt ja dyndns für die ASA als public identifier zur Verfügung.

brammer
Bitte warten ..
Mitglied: Hajo2006
17.09.2012 um 23:39 Uhr
Hallo Brammer,

wie trage ich aber den FQDN Namen in der ASA ein die die Feste IP hat, dort kann ich doch nur eine IP bzw einen IP Bereich eintragen zu wem ein VPN Tunnel erstellt werden darf bzw. wird.

Habe ein wenig bei Cisco geschaut und folgenden Eintrag in der Konfig gefunden, ist das der Eintrag der auf der ASA mit der festen IP gesetzt werden muß um so einen VPN Tunnel zu erstellen?

isakmp key address 0.0.0.0 netmask 0.0.0.0

Gruß

Hajo
Bitte warten ..
Mitglied: brammer
18.09.2012 um 06:35 Uhr
Hallo,

wie aqui schon meinte.. steht alles in der Dokumentation beim Hersteller...

https://supportforums.cisco.com/thread/2012474

brammer
Bitte warten ..
Mitglied: Hajo2006
18.09.2012 um 08:04 Uhr
Hallo brammer,

leider reichen meine Rechte wohl nicht aus bei Cisco um die Page zu öffnen auf die Du in deinem Link verwiesen hast. Könntest Du mir diese Page vielleicht als PDF zukommen lassen so das ich dort mal rein lesen kann. Denn es scheint wohl genau das zu sein was ich suche.

Gruß
Hajo
Bitte warten ..
Mitglied: brammer
18.09.2012 um 08:30 Uhr
Hallo,

beim suchen nach "asa site site vpn dynamic ip" kommen 65800 links...

Unter anderem dieser hier!

brammer
Bitte warten ..
Mitglied: Hajo2006
18.09.2012 um 16:04 Uhr
Hallo brammer und aqui,

leider habe ich durch komunikation im Cisco Support Forum erfahren das es den
DynDNS Dienst so nicht gibt auf einer ASA. Leider komme ich auch mit dem was
ich von Euch an Links bekomme kaum weiter.

Deswegen frage ich nun auch alle anderen, wer kann mir sagen ob die folgende
Konfiguration geht und wo ich bei einer Site-to-Site VPN verbindung zwischen
den Standorten wo eingeben muß. Ich benötige keine komplette Konfiguration,
es reicht mir wenn ich die wichtigen Dinge die zu beachten sind erfahre. Hier
das Senario:

(HQ)Network <- ASA -> Feste IP <- Internet -> Dynamische IP <- ASA -> Network (BO)

Habe ja in meinen vorrigen Posts schon mal etwas gepostet was ich gefunden habe
doch wurde mir gesagt das (Wildcard PSK) man das eigentlich nicht so machen sollte.

Würde mich über Hilfe freuen.

Gruß
hajo
Bitte warten ..
Mitglied: brammer
18.09.2012 um 16:27 Uhr
Hallo,

ich habe jetzt gerade mal eine ASA aus dem Schrank geholt und ausprobiert...

es geht!

http://www.cisco.com/en/US/docs/security/asa/asa72/configuration/guide/ ...

Zumindest nimmt die ASA die entsprechenden Befehle an.

brammer
Bitte warten ..
Mitglied: Hajo2006
18.09.2012 um 16:51 Uhr
Hallo,

da Du ja dort bei Dir eine ASA hast, könntest du schauen wie du dann DynDNS mitteilen kannst das sich die IP von example.dyndns.org nach einer Erneuerung auch dort bekannt wird. Denn was ich so immer wieder lese ist das es leider keine http-Methode gibt sondern nur eine IETF-Methode. Und um beim dynDNS Provider bescheid zu geben wird die http-Methode benötigt.

Oder weißt du wie man das mit der IETF-Methode auch machen kann. Dann bliebe nur noch wie man den DNS Namen auf der ASA einträgt um so dann immer die aktuelle IP für den VPN-Tunnel zu haben.

Gruß
Hajo
Bitte warten ..
Mitglied: aqui
21.09.2012 um 19:58 Uhr
Hier kannst du sehen wie eine funktionierende DynDNS Konfig aussieht:
http://www.administrator.de/contentid/179345
Bitte warten ..
Mitglied: Hajo2006
21.09.2012 um 22:20 Uhr
Hallo,

also es ist ja schön das Du das für einen Router machst, doch
ich suche das für eine ASA und dort gibt es für das ddns keine
http-Methode, sondern nur die IETF-Methode.

Deswegen bin ich ja auf der Suche wie man bei wechselnder IP
im BO trotzdem noch einen Site-to-Site VPN Tunnel aufbaut.

Gruß
Hajo
Bitte warten ..
Mitglied: aqui
22.09.2012 um 10:27 Uhr
Das spielt doch keinerlei Rolle ! ASA und Router nutzen doch beide IOS Kommandos und die sind ja nunmal gleich egal welche Plattform du benutzt.
http://www.cisco.com/en/US/docs/security/asa/asa72/configuration/guide/ ...
Bitte warten ..
Mitglied: Hajo2006
22.09.2012 um 10:53 Uhr
Hallo,

es stimmt schon das beide Router sowie auch ASA IOS Kommandos nutzen, jedoch
unterstützt der Router die http-Methode bei ddns um so an einen DynDNS Provider
Veränderungen (änderung der IP) melden zu können. Jedoch ist die http-Methode
nicht bei der ASA mit im IOS drinnen, dort wird nur die IETF-Methode unterstüztzt.

Bin nun auch schon dabei mit einer Wildcard-PSK zu arbeiten um so dann einen
Site-to-Site VPN Tunnel erstellen zu können. Als Option habe ich erfahren würde
auch noch ein Zertifikat gehen oder der Weg über das EasyVPN auf den ASA`s. Wo
man dann eine VPN-Group erstellt und eine ASA dann Server und die andere Client
ist.

Gruß
Hajo
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Router & Routing
Cisco IPSEC VPN - Magic Packet (WOL) - ip helper-address (4)

Frage von Bernhard-B zum Thema Router & Routing ...

LAN, WAN, Wireless
Cisco ASA Priority Queue via ACL (2)

Frage von maxmax zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
gelöst Cisco ASA hinter Router mit NAT (2)

Frage von maxmax zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...