Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Vernetzung zweier Standorte mit Cisco 876 Router

Frage Netzwerke Router & Routing

Mitglied: cridom

cridom (Level 1) - Jetzt verbinden

14.04.2009, aktualisiert 10:14 Uhr, 11368 Aufrufe, 5 Kommentare

Standort (Zentrale)
Netzwerk A: 10.10.0.0/16
Windows Server 2003, XP
Cisco 876 Router
SDSL mit statischer IP

Standort (Niederlassung)
Netzwerk B: 10.20.20.0/24
Windows XP, 2000
Cisco 876 Router
SDSL mit statischer IP

Alle Rechner (Zentrale u. Niederlassung) sollen vollständigen Internetzugriff erhalten.
Die Rechner der Niederlassung sollen auf Terminalserver der Zentrale zugreifen können, vorzugsweise via ICA-Client.
In der Zentrale steht ein Exchange-Server 2003. Der Mailverkehr soll über den Cisco Router der Zentrale abgewickelt werden.

Meine Frage ist nun, geht das überhaupt so und wie müssen die Cisco Router minimal konfiguriert werden (Internetzugang, VPN), damit alles so funktionieren kann?

Vielen Dank für eure Hilfe
Mitglied: aqui
14.04.2009, aktualisiert 28.03.2013
Ja, natürlich klappt das ! Das ist ein Paradebeispiel für eine VPN Anwendung über einen IPsec Tunnel und natürlich ein Heimspiel für einen Cisco Router.

Mit folgender Konfiguration hast du das im Handumdrehen aufgesetzt: (DSL Provider T-Online als Beispiel hier für alle anderen gilt das analog)
01.
service timestamps debug datetime localtime 
02.
service timestamps log datetime localtime 
03.
service password-encryption 
04.
05.
hostname Router 
06.
07.
clock timezone CET 1 
08.
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00 
09.
ip subnet-zero 
10.
11.
ip tcp path-mtu-discovery 
12.
ip domain-name meine.domain 
13.
ip name-server <provider_dns_IP> 
14.
15.
crypto isakmp policy 100 
16.
 hash md5 
17.
 authentication pre-share 
18.
crypto isakmp key Geheim address <öffentl._IP_router_andere_Seite>  (*) 
19.
20.
crypto ipsec transform-set esp/des/md5 esp-des esp-md5-hmac 
21.
22.
crypto map vpntunnel 10 ipsec-isakmp 
23.
 set peer <öffentl._ip_andere_seite> (*) 
24.
 set transform-set esp/des/md5 
25.
 match address vpntraffic 
26.
27.
interface Ethernet0 
28.
 description Lokales Ethernet  
29.
 ip address 10.10.0.254 255.255.0.0 (*) 
30.
 ip nat inside 
31.
32.
interface ATM0 
33.
 no ip address 
34.
 no atm ilmi-keepalive 
35.
 pvc 1/32 
36.
 pppoe-client dial-pool-number 1 
37.
38.
dsl operating-mode annexb-ur2 
39.
40.
interface Dialer1 
41.
 description Internet DSL Verbindung 
42.
 ip address negotiated 
43.
 ip mtu 1492 
44.
 ip nat outside 
45.
 no cdp enable 
46.
 crypto map vpntunnel 
47.
 encapsulation ppp   
48.
 dialer pool 1 
49.
 dialer-group 1 
50.
 ppp authentication pap callin 
51.
 ppp pap sent-username 0011234567891234567896543#0001@t-online.de 
52.
 password Geheim 
53.
54.
ip nat inside source list 101 interface Dialer1 overload 
55.
56.
ip classless 
57.
ip route 0.0.0.0 0.0.0.0 int dialer 1 
58.
no ip http server 
59.
60.
ip access-list extended vpntraffic (*) 
61.
 permit ip 10.10.0.0 0.0.255.255 10.20.20.0 0.0.0.255 
62.
63.
access-list 101 deny   ip 10.10.0.0 0.0.255.255 10.20.20.0 0.0.0.255 (*) 
64.
access-list 101 permit ip 10.10.0.0 0.0.255.255 any 
65.
access-list 101 deny   ip any any 
66.
67.
end
Bedenke das du für die andere Seite die IP Adressen und ACLs entsprechend "anders rum" anpassen musst. (Überall wo ein (*) steht !!)
Das Beispiel oben geht von den lokalen Router IP Adressen 10.10.0.254 /26 und 10.20.20.254 /24 aus.
Die Provider IP Adressen der Router musst du entsprechend einsetzen.
Falls du keine festen IPs vom Provider hast und mit DynDNS arbeiten musst dann musst du die Cisco Konfig um die folgende Zeile erweitern:
01.
ip ddns update method dyndns 
02.
 HTTP 
03.
 add http://<username>:<pw>:@members.dyndns.org/nic/update?system=dyndns&hostname=<h>&myip=<a> 
04.
 interval maximum 1 0 0 0 
05.
!
und dann die DynDNS Domain Namen bei den VPN Peer Tunnel Adressen verwenden !!

Damit funktioniert deine Anforderung problemlos !
Bitte warten ..
Mitglied: cridom
15.04.2009 um 08:24 Uhr
Vielen Dank für die schnelle Antwort.

Die Cisco 876 Router haben 4x FastEthernet Interfaces.

Wird das SDSL-Modem mit dem 10BaseT-Anschluss direkt mit einem FastEthernet Port verbunden und wie sieht dann die Konfigugartion aus?

Nocheinmal vielen Dank für eure Hilfe
Bitte warten ..
Mitglied: aqui
15.04.2009 um 16:20 Uhr
Ooops, das war aus deinem Tread nicht so ganz klar....sorry.
Ohne ein integriertes DSL Modem sieht die Konfig dann geringfügig anders aus:
01.
service timestamps debug datetime localtime 
02.
service timestamps log datetime localtime 
03.
service password-encryption 
04.
05.
hostname Router 
06.
07.
clock timezone CET 1 
08.
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00 
09.
ip subnet-zero 
10.
11.
ip tcp path-mtu-discovery 
12.
ip domain-name meine.domain 
13.
ip name-server <provider_dns_IP> 
14.
15.
vpdn enable 
16.
17.
vpdn-group pppoe 
18.
 request-dialin 
19.
  protocol pppoe 
20.
21.
crypto isakmp policy 100 
22.
 hash md5 
23.
 authentication pre-share 
24.
 lifetime 3600 
25.
crypto isakmp key Geheim address <öffentl._IP_router_andere_Seite>  (*) 
26.
27.
crypto ipsec transform-set esp/des/md5 esp-des esp-md5-hmac 
28.
29.
crypto map <vpn_ACL_name> 10 ipsec-isakmp 
30.
 set peer <öffentl._ip_andere_seite> (*) 
31.
 set transform-set esp/des/md5 
32.
 match address <vpn_ACL_name> 
33.
34.
interface Tunnel0 
35.
 description IPsec VPN Tunnel andere Seite 
36.
 no ip address 
37.
 ip mtu 1440 
38.
 tunnel source Ethernet0 
39.
 tunnel destination 10.20.20.254 (*) 
40.
 crypto map <vpn_ACL_name> 
41.
42.
interface FastEthernet0 
43.
 description Lokales Ethernet  
44.
 ip address 10.10.0.254 255.255.0.0 (*) 
45.
 ip nat inside 
46.
47.
interface FastEthernet4 
48.
 description SDSL Anschluss ans Modem 
49.
 no ip address 
50.
 pppoe enable 
51.
 pppoe-client dial-pool-number 1 
52.
53.
interface Dialer1 
54.
 description Internet DSL Verbindung 
55.
 ip address negotiated 
56.
 ip mtu 1492 
57.
 ip nat outside 
58.
 no cdp enable 
59.
 crypto map <vpn_ACL_name> 
60.
 encapsulation ppp   
61.
 dialer pool 1 
62.
 dialer-group 1 
63.
 ppp authentication pap callin 
64.
 ppp pap sent-username 0011234567891234567896543#0001@t-online.de 
65.
 password Geheim 
66.
67.
ip nat inside source list 101 interface Dialer1 overload 
68.
69.
ip classless 
70.
ip route 0.0.0.0 0.0.0.0 int dialer 1 
71.
no ip http server 
72.
73.
ip access-list extended <vpn_ACL_name> (*) 
74.
 permit ip 10.10.0.0 0.0.255.255 10.20.20.0 0.0.0.255 
75.
 permit gre host 10.10.0.254 host 10.20.20.254 
76.
77.
access-list 101 deny   ip 10.10.0.0 0.0.255.255 10.20.20.0 0.0.0.255 (*) 
78.
access-list 101 permit ip 10.10.0.0 0.0.255.255 any 
79.
access-list 101 deny   ip any any 
80.
81.
end
Bitte warten ..
Mitglied: cridom
16.04.2009 um 09:49 Uhr
Die Anleitung hat mir weitergeholfen.


Vielen Dank.
Bitte warten ..
Mitglied: aqui
16.04.2009 um 10:52 Uhr
Dann bitte auch
http://www.administrator.de/index.php?faq=32
nicht vergessen !!!
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Router & Routing
Verbinden zweier Standorte mit einem Router (17)

Frage von franksig zum Thema Router & Routing ...

Router & Routing
OpenConnect Hardware Gateway (Cisco ASA Router) (1)

Frage von K-ist-K zum Thema Router & Routing ...

DSL, VDSL
gelöst VPN-Probleme (CISCO AnyConnect) in Zusammenhang mit Router "Vodafone EasyBox" (7)

Frage von donnyS73lb zum Thema DSL, VDSL ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (13)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Backup
Clients als Server missbrauchen? (9)

Frage von 1410640014 zum Thema Backup ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...