Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Cisco VPN IPSEC nur bestimmte feste Provider IP zulassen

Frage Netzwerke Router & Routing

Mitglied: frank99

frank99 (Level 1) - Jetzt verbinden

10.05.2014, aktualisiert 15.06.2014, 2891 Aufrufe, 11 Kommentare

Hallo Forum Gemeinde,

ich habe es endlich geschafft eine VPN Verbindung aufzubauen.

Ich will nun aber die VPN Verbindung nur von einer bestimmten IP zulassen (Provider IP, nicht lokale IP).

Wie kann ich dies an meinem Router verwirklichen?
Mitglied: brammer
11.05.2014 um 11:57 Uhr
Hallo,

Wenn es ein IOS VPN Router ist, mit dem Befehl

Set peer <IP address>

http://www.cisco.com/c/en/us/td/docs/ios/12_2/security/command/referenc ...

Brammer
Bitte warten ..
Mitglied: aqui
11.05.2014, aktualisiert um 15:49 Uhr
Oder mit einer simplen Inbound Access Liste am WAN Port ! Ein einfacher Klassiker....
Die Frage ist so oder so wie du den WAN Port definiert hast. Leider hast du es ja nicht für nötig befunden hier mal einen Konfig Auszug zu posten

Wenn du wie es üblich ist ein Firewall IPsec Router Image verwendest dann hast du ja die Firewall und CBAC konfiguriert.
Damit stellt sich deine Frage dann auch gar nicht, denn in die CBAC Firewall kannst du ja dann einzig nur diese Ausnahme der IP eintragen in die Inbound ACL am WAN Port.
Hier kannst du sehen wie man das macht:
http://www.administrator.de/wissen/konfiguration-cisco-886va-mit-adsl-o ...

Wo ist also dein Problem ?
Bitte warten ..
Mitglied: frank99
16.05.2014 um 17:01 Uhr
-> "Oder mit einer simplen Inbound Access Liste am WAN Port ! Ein einfacher Klassiker...." das verstehe ich nicht! ich kann doch den WAN-Port auf eine IP begrenzen



hier ist meine aktuelle config:

version 15.0
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname test-router
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 3 log
security passwords min-length 6
logging buffered 51200
logging console critical
enable secret 5 xxxxxxxxxxxxxxxxx
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication login vpn_xauth_ml_1 local
aaa authentication login sslvpn local
aaa authorization network vpn_group_ml_1 local
!
!
!
!
!
aaa session-id common
memory-size iomem 15
clock timezone PCTime 1
clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00
!

no ip source-route
!
!
ip dhcp excluded-address 192.168.17.1 192.168.17.49
!
ip dhcp pool gastLAN
import all
network 172.16.17.0 255.255.255.0
default-router 172.16.17.1
!
ip dhcp pool intLAN
import all
network 192.168.17.0 255.255.255.0
default-router 192.168.17.1
!
!
ip cef
no ip bootp server
no ip domain lookup
ip domain name test.local
no ipv6 cef
!
!
license udi pid CISCO881-K9 sn FCZ14529130
!
!
username test privilege 15 secret 5 xxxxxxxxxxxxxxxxxxxxxxxxx
!
!
ip tcp synwait-time 10
ip ssh time-out 60
ip ssh authentication-retries 2
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
!
crypto isakmp policy 2
encr 3des
hash md5
authentication pre-share
group 2
!
crypto isakmp client configuration group vpntest
key cisco123
pool VPN-Pool
acl 120
max-users 5
!
crypto isakmp client configuration group vpnextern
key cisco123
pool VPN-Pool
acl 120
max-users 1
crypto isakmp profile vpn-ike-profile-1
match identity group vpntest
match identity group vpnextern
client authentication list vpn_xauth_ml_1
isakmp authorization list vpn_group_ml_1
client configuration address respond
virtual-template 2
!
!
crypto ipsec transform-set encrypt-method-1 esp-3des esp-sha-hmac
!
crypto ipsec profile VPN-Profile-1
set transform-set encrypt-method-1
!
!
!
!
!
!
interface FastEthernet0
description LAN intern Port
!
interface FastEthernet1
description LAN intern Port
!
interface FastEthernet2
description LAN intern Port
!
interface FastEthernet3
description LAN Gast Port
switchport access vlan 2
!
interface FastEthernet4
description WAN-Port
no ip address
no ip redirects
no ip unreachables
duplex auto
speed auto
pppoe-client dial-pool-number 1
!
interface Virtual-Template1 type tunnel
description VPN-complete
ip unnumbered Vlan1
ip access-group 122 in
tunnel mode ipsec ipv4
tunnel protection ipsec profile VPN-Profile-1
!
interface Virtual-Template2 type tunnel
ip unnumbered Vlan1
tunnel mode ipsec ipv4
tunnel protection ipsec profile VPN-Profile-1
!
interface Vlan1
description LAN-intern
ip address 192.168.17.1 255.255.255.0
ip access-group intLAN in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1412
!
interface Vlan2
description Gast LAN
ip address 172.16.17.1 255.255.255.0
ip access-group GastLAN in
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1412
!
interface Dialer0
description $FW_OUTSIDE$
ip address negotiated
ip access-group INTERNET_IN in
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1452
ip flow ingress
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname xxxxxxxxxxxxxxxx
ppp chap password 7 xxxxxxxxxxx
ppp pap sent-username xxxxxxxxxxxxx password 7 xxxxxxxxxxxxxxxxxx
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
no cdp enable
!
ip local pool VPN-Pool 192.168.2.20 192.168.2.21
ip forward-protocol nd
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip dns server
ip nat inside source list 100 interface Dialer0 overload
!
ip access-list extended GastLAN
deny ip 172.16.17.0 0.0.0.255 192.168.17.0 0.0.0.255
permit ip any any
ip access-list extended INTERNET_IN
permit gre any any
permit esp any any
permit icmp any any echo-reply
permit icmp any any echo
permit icmp any any ttl-exceeded
permit udp any eq domain any
permit tcp any eq www any
permit tcp any any eq www
permit tcp any eq 443 any
permit tcp any any eq 443
permit tcp any eq smtp any
permit udp any eq isakmp any
permit udp any any eq isakmp
permit udp any eq non500-isakmp any
permit udp any any eq non500-isakmp
permit udp any eq 3000 any
permit udp any eq 10000 any
permit tcp any any eq 1723
permit tcp any eq 1723 any
permit tcp any any established
deny ip any any
ip access-list extended intLAN
deny ip 192.168.17.0 0.0.0.255 172.16.17.0 0.0.0.255
permit ip any any
!
logging trap debugging
access-list 10 remark Permittable Subnet To Access
access-list 10 permit 192.168.2.0 0.0.0.255
access-list 10 permit 192.168.17.0 0.0.0.255
access-list 10 permit 172.16.17.0 0.0.0.255
access-list 100 remark [Deny NAT fuer VPN Clients Only ]=-
access-list 100 deny ip 192.168.17.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 100 permit ip 192.168.17.0 0.0.0.255 any
access-list 100 permit ip 172.16.17.0 0.0.0.255 any
access-list 120 remark [kein NAT fuer VPN traffic]
access-list 120 permit ip 192.168.17.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 122 remark [VPN Traffic speziell sperren]
access-list 122 permit ip 192.168.2.0 0.0.0.255 host 192.168.17.50
access-list 122 deny ip any any
access-list 122 remark
dialer-list 1 protocol ip permit
no cdp run

!
!
!
!
!
control-plane
!
banner login ^CCAuthorized access only!
Disconnect IMMEDIATELY if you are not an authorized user!^C
!
line con 0
no modem enable
transport output telnet
line aux 0
transport output telnet
line vty 0 4
privilege level 15
transport input telnet ssh
!
scheduler max-task-time 5000
scheduler allocate 4000 1000
scheduler interval 500
end
Bitte warten ..
Mitglied: aqui
16.05.2014, aktualisiert um 17:57 Uhr
Was soll uns diese Konfig denn nun sagen...???
Ansatz ist richtig aber Ausführung nicht !

Sieh dir bitte die Inbound ACL "INTERNET_IN" nochmal genau an ! Die gillt nur Inbound also für ALLE Packete die IN das Interface von außen (Internet) hineinfliessen. (Ausnahme ist die Dialer IP selber)
Dann lässt du deine Logik nochmal Revue passieren gerade in Bezug auf Source- und Destination IP und Port und prüfst ob diese Statements in der ACL schlüssig sind !

Willst du eigentlich generell ALLES sperren und nur den VPN Tunnel durchlassen ?? Oder soll alles erlaubt sein aber beim VPN willst du diesen nur auf eine bestimmte IP begrenzen ?!
Bitte warten ..
Mitglied: frank99
16.05.2014 um 18:14 Uhr
es soll alles erlaubt sein,
und beim VPN-Tunnel nur diese eine IP-Adresse
Bitte warten ..
Mitglied: frank99
16.05.2014 um 22:00 Uhr
Zitat von frank99:

es soll alles erlaubt sein,
und beim VPN-Tunnel nur diese eine IP-Adresse

Ich meinte es eigentlich so:
die ACL Internet_IN ist dafür ob den Daten-Verkehr vom Internet abzuschotten. -> funktioniert soweit, Portscanner sagt mir das alles ok ist
die ACL 122 ist dafür da, das der VPN Zugang nur auf bestimmt Teile des Netztes zugreifen kann -> funktioniert soweit.
Nun benötige ich noch eine Möglichkeit, das der VPN Tunnel nur zustande kommen soll, wenn die IP Adresse des Client xyz ist. Wie ich aber das umsetze ist mir leider unklar. Vielleicht kann mir hier jemand helfen und den passenden Code posten.

Vielen Dank
Bitte warten ..
Mitglied: aqui
LÖSUNG 17.05.2014, aktualisiert 15.06.2014
die ACL Internet_IN ist dafür ob den Daten-Verkehr vom Internet abzuschotten. -> funktioniert soweit,
Ja das ist mit deiner Konfig auch richtig so.
Hast du auf dem Router ein Firewall Image ???
Wenn ja solltest du besser eine CBAC Konfig mit der Firewall machen, denn das würde dir solch eine ACL ersparen.
Aber egal es funktioniert ja auch mit dem umständlichen Weg wie bei dir und das zählt erstmal...
VPN Tunnel nur zustande kommen soll, wenn die IP Adresse des Client xyz ist.
Das ist ja kinderleicht....
Dazu passt du deine "INTERNET_IN" ACL einfach ein wenig an...
Statt:
permit esp any any
permit udp any any eq isakmp
Die ja den Zugriff von jeglicher IP Adresse im Internet (any) zulassen...
Lässt du diese Protokolle eben nur von der Absender IP xyz zu (ESP Protokoll und UDP 500 (isakmp, ike) ist IPsec)
Dort sollte dann stehen:
permit esp host xyz any
permit udp host xyz eq isakmp any

Fertisch !
Damit kann dann nur noch ein Absender mit der IP xyz auf den Router zugreifen. Das "any" bei der Zieladresse muss so bleiben da du ja vermutlich dynamisch wechselnde IPs auf dem Dialer Interface bekommst ?!
Weitere Infos zu IPsec findest du auch hier:
http://www.administrator.de/wissen/ipsec-vpn-mit-cisco-mikrotik-pfsense ...
Bitte warten ..
Mitglied: frank99
15.06.2014 um 02:34 Uhr
Vielen Dank aqui,
so klappst, es hat bei mir funktioniert.

ein kleines Problem habe ich dabei, ich habe zwei verschiedene VPN User. Der eine soll nur von der bestimmten IP einloggen, der andere hat den vollen Zugriff.
Mit der jetzigen Lösung bezieht sich auf alle VPN Verbindungen.+
Bitte warten ..
Mitglied: aqui
15.06.2014, aktualisiert um 15:36 Uhr
Das geht so nicht ! Ist ja auch logisch, denn wenn du den VPN Zugriff beschränken willst kannst du ihn ja nicht für einen anderen wieder freischalten wenn der immer wechselnde Adressen hat ?!
Was du machen kannst ist den Bereich freischalten von dem er seine IPs bekommt wenn er z.B. immer von zuhause arbeitet und immer wechselnde IPs bekommt die alle mit 85.x.y.z anfangen.
Dann sieht die ACL z.B. so aus:

permit esp host x.y.z.z any
permit esp 85.0.0.0 0.255.255.255 any
permit udp host x.y.z.z eq isakmp any
permit udp 85.0.0.0 0.255.255.255 eq isakmp any


Das grenzt dann den IP Zugriff eben auf diesen Einzelnen Host ein und alle IPs die mit 85.x.y.z anfangen.
Reist der in der Welt rum und hat alle möglichen Adressen geht das dann nicht mehr denn dann müsste deine ACL Millionen Einträge haben und wäre damit dann ja sinnfrei, denn du kannst ja dann so oder so alles freigeben, da du die IPs ja nicht vorhersehen kannst.
Bitte warten ..
Mitglied: frank99
15.06.2014 um 15:09 Uhr
nein, so war es nicht gedacht.

VPN User 1 hat eine feste IP - dieser User soll nur mit dieser IP auf den Router einwählen können
VPN User 2 hat eine dynamische IP
Router hat eine feste IP
Bitte warten ..
Mitglied: aqui
15.06.2014, aktualisiert um 15:36 Uhr
OK, wenn der Router auch eine feste IP hat dann muss die ACL noch anders aussehen:
permit esp host x.y.z.z host <router_ip>
permit udp host x.y.z.z eq isakmp host <router_ip>


Mit dem VPN User 2 geht das dann nur so wie oben beschrieben mit einer groben Einschränkung sofern er immer von einem oder zwei Standorten arbeitet.
Wenn sich dessen IPs generell in allen möglichen Bereichen bewegen können hast du keine Chance.
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Cisco IPSEC VPN - Magic Packet (WOL) - ip helper-address
Frage von Bernhard-BRouter & Routing4 Kommentare

Hallo zusammen, ich möchte gerne Rechner aus der Ferne per Wake on Lan einschalten können. Im Ziel-Netzwerk funktioniert das ...

Sicherheitsgrundlagen
Bestimmte VBA Makros zulassen
Frage von geocastSicherheitsgrundlagen6 Kommentare

Guten Morgen Zusammen Ich habe folgendes Problem. Ich habe auf allen PCs Makros deaktiviert, wie es auch sein soll ...

Router & Routing
Problem mit Cisco Router für IPSEC mit VPN Client einzuwählen
gelöst Frage von frank99Router & Routing10 Kommentare

Hallo Forum-Gemeinde, ich probiere schon seit einigen Tagen, aber irgendwo hängt das Problem ich will vom VPN-Client auf einem ...

Router & Routing
Mikrotik - Cisco RV042 IPSec VPN Tunnel
Frage von AndroxinRouter & Routing5 Kommentare

Moin, ich probiere gerade einen Mikrotik Router mit einem CISCO RV042 Router über einen IPSec Tunnel zu verbinden. (Siehe: ...

Neue Wissensbeiträge
Router & Routing

Lets Encrypt kommt auf die FritzBox

Information von bitcoin vor 2 StundenRouter & Routing

In der neuesten Labor-Version der FB7490 integriert AVM unter anderem einen Let's Encrypt Client für Zugriffe auf das Webinterface ...

Internet

Was nützt HTTPS, wenn es auch von Phishing Web-Seiten genutzt wird

Information von Penny.Cilin vor 3 TagenInternet17 Kommentare

HTTPS richtig einschätzen Ob man eine Webseite via HTTPS aufruft, zeigt ein Schloss neben der Adresse im Webbrowser an. ...

Webbrowser

Bugfix für Firefox Quantum released - Installation erfolgt teilweise nicht automatisch!

Erfahrungsbericht von Volchy vor 4 TagenWebbrowser8 Kommentare

Hallo zusammen, gem. dem Artike von heise online wurde mit VersionFirefox 57.0.1 sicherheitsrelevante Bugs behoben. Entgegen der aktuellen Veröffentlichung ...

Sicherheit

Teamviewer Sessions können gekapert werden - Update tw. verfügbar

Information von sabines vor 4 TagenSicherheit7 Kommentare

In bestimmten Konstellationen können Teamviewer Sessions gekapert werden, wahrscheinlich aber ein recht unwahrscheinliches Szenario. Da der Teamviewer gerne für ...

Heiß diskutierte Inhalte
Vmware
Installation Windows 10 VMware
Frage von Ghost108Vmware17 Kommentare

Hallo zusammen, versuche gerade mit Hilfe des vshpere clients eine virtuelle Windows 10 maschine aufzusetzen. 1. virtuelle Maschine erstellt ...

Exchange Server
SBS 2011 E-Mails können gesendet werden, aber nicht von extern empfangen
Frage von andreas1234Exchange Server14 Kommentare

Hallo Community, ich habe das Problem, dass seit knapp zwei Wochen die E-Mails von meinem SBS 2011 einwandfrei gesendet ...

Voice over IP
Telefonstörung - Ortsrufnummern kein Verbindungsaufbau
Frage von Windows10GegnerVoice over IP10 Kommentare

Hallo, sowohl bei uns als auch beim Opa ist es über VoIP nicht möglich Ortsrufnummern anzurufen. Es kommt nach ...

Windows Server
Server 2012 über Eingabeaufforderung devmgmt.msc geht nicht
gelöst Frage von achim222Windows Server9 Kommentare

Hallo, ich habe hier einen Server 2012 der im Reparaturmodus startet. Es liegt an einem falschen VirtIO Treiber für ...