Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Vernetzung zweier Standorte mit Cisco 876 Router

Frage Netzwerke Router & Routing

Mitglied: cridom

cridom (Level 1) - Jetzt verbinden

14.04.2009, aktualisiert 10:14 Uhr, 11644 Aufrufe, 5 Kommentare

Standort (Zentrale)
Netzwerk A: 10.10.0.0/16
Windows Server 2003, XP
Cisco 876 Router
SDSL mit statischer IP

Standort (Niederlassung)
Netzwerk B: 10.20.20.0/24
Windows XP, 2000
Cisco 876 Router
SDSL mit statischer IP

Alle Rechner (Zentrale u. Niederlassung) sollen vollständigen Internetzugriff erhalten.
Die Rechner der Niederlassung sollen auf Terminalserver der Zentrale zugreifen können, vorzugsweise via ICA-Client.
In der Zentrale steht ein Exchange-Server 2003. Der Mailverkehr soll über den Cisco Router der Zentrale abgewickelt werden.

Meine Frage ist nun, geht das überhaupt so und wie müssen die Cisco Router minimal konfiguriert werden (Internetzugang, VPN), damit alles so funktionieren kann?

Vielen Dank für eure Hilfe
Mitglied: aqui
14.04.2009, aktualisiert 28.03.2013
Ja, natürlich klappt das ! Das ist ein Paradebeispiel für eine VPN Anwendung über einen IPsec Tunnel und natürlich ein Heimspiel für einen Cisco Router.

Mit folgender Konfiguration hast du das im Handumdrehen aufgesetzt: (DSL Provider T-Online als Beispiel hier für alle anderen gilt das analog)
01.
service timestamps debug datetime localtime 
02.
service timestamps log datetime localtime 
03.
service password-encryption 
04.
05.
hostname Router 
06.
07.
clock timezone CET 1 
08.
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00 
09.
ip subnet-zero 
10.
11.
ip tcp path-mtu-discovery 
12.
ip domain-name meine.domain 
13.
ip name-server <provider_dns_IP> 
14.
15.
crypto isakmp policy 100 
16.
 hash md5 
17.
 authentication pre-share 
18.
crypto isakmp key Geheim address <öffentl._IP_router_andere_Seite>  (*) 
19.
20.
crypto ipsec transform-set esp/des/md5 esp-des esp-md5-hmac 
21.
22.
crypto map vpntunnel 10 ipsec-isakmp 
23.
 set peer <öffentl._ip_andere_seite> (*) 
24.
 set transform-set esp/des/md5 
25.
 match address vpntraffic 
26.
27.
interface Ethernet0 
28.
 description Lokales Ethernet  
29.
 ip address 10.10.0.254 255.255.0.0 (*) 
30.
 ip nat inside 
31.
32.
interface ATM0 
33.
 no ip address 
34.
 no atm ilmi-keepalive 
35.
 pvc 1/32 
36.
 pppoe-client dial-pool-number 1 
37.
38.
dsl operating-mode annexb-ur2 
39.
40.
interface Dialer1 
41.
 description Internet DSL Verbindung 
42.
 ip address negotiated 
43.
 ip mtu 1492 
44.
 ip nat outside 
45.
 no cdp enable 
46.
 crypto map vpntunnel 
47.
 encapsulation ppp   
48.
 dialer pool 1 
49.
 dialer-group 1 
50.
 ppp authentication pap callin 
51.
 ppp pap sent-username 0011234567891234567896543#0001@t-online.de 
52.
 password Geheim 
53.
54.
ip nat inside source list 101 interface Dialer1 overload 
55.
56.
ip classless 
57.
ip route 0.0.0.0 0.0.0.0 int dialer 1 
58.
no ip http server 
59.
60.
ip access-list extended vpntraffic (*) 
61.
 permit ip 10.10.0.0 0.0.255.255 10.20.20.0 0.0.0.255 
62.
63.
access-list 101 deny   ip 10.10.0.0 0.0.255.255 10.20.20.0 0.0.0.255 (*) 
64.
access-list 101 permit ip 10.10.0.0 0.0.255.255 any 
65.
access-list 101 deny   ip any any 
66.
67.
end
Bedenke das du für die andere Seite die IP Adressen und ACLs entsprechend "anders rum" anpassen musst. (Überall wo ein (*) steht !!)
Das Beispiel oben geht von den lokalen Router IP Adressen 10.10.0.254 /26 und 10.20.20.254 /24 aus.
Die Provider IP Adressen der Router musst du entsprechend einsetzen.
Falls du keine festen IPs vom Provider hast und mit DynDNS arbeiten musst dann musst du die Cisco Konfig um die folgende Zeile erweitern:
01.
ip ddns update method dyndns 
02.
 HTTP 
03.
 add http://<username>:<pw>:@members.dyndns.org/nic/update?system=dyndns&hostname=<h>&myip=<a> 
04.
 interval maximum 1 0 0 0 
05.
!
und dann die DynDNS Domain Namen bei den VPN Peer Tunnel Adressen verwenden !!

Damit funktioniert deine Anforderung problemlos !
Bitte warten ..
Mitglied: cridom
15.04.2009 um 08:24 Uhr
Vielen Dank für die schnelle Antwort.

Die Cisco 876 Router haben 4x FastEthernet Interfaces.

Wird das SDSL-Modem mit dem 10BaseT-Anschluss direkt mit einem FastEthernet Port verbunden und wie sieht dann die Konfigugartion aus?

Nocheinmal vielen Dank für eure Hilfe
Bitte warten ..
Mitglied: aqui
15.04.2009 um 16:20 Uhr
Ooops, das war aus deinem Tread nicht so ganz klar....sorry.
Ohne ein integriertes DSL Modem sieht die Konfig dann geringfügig anders aus:
01.
service timestamps debug datetime localtime 
02.
service timestamps log datetime localtime 
03.
service password-encryption 
04.
05.
hostname Router 
06.
07.
clock timezone CET 1 
08.
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00 
09.
ip subnet-zero 
10.
11.
ip tcp path-mtu-discovery 
12.
ip domain-name meine.domain 
13.
ip name-server <provider_dns_IP> 
14.
15.
vpdn enable 
16.
17.
vpdn-group pppoe 
18.
 request-dialin 
19.
  protocol pppoe 
20.
21.
crypto isakmp policy 100 
22.
 hash md5 
23.
 authentication pre-share 
24.
 lifetime 3600 
25.
crypto isakmp key Geheim address <öffentl._IP_router_andere_Seite>  (*) 
26.
27.
crypto ipsec transform-set esp/des/md5 esp-des esp-md5-hmac 
28.
29.
crypto map <vpn_ACL_name> 10 ipsec-isakmp 
30.
 set peer <öffentl._ip_andere_seite> (*) 
31.
 set transform-set esp/des/md5 
32.
 match address <vpn_ACL_name> 
33.
34.
interface Tunnel0 
35.
 description IPsec VPN Tunnel andere Seite 
36.
 no ip address 
37.
 ip mtu 1440 
38.
 tunnel source Ethernet0 
39.
 tunnel destination 10.20.20.254 (*) 
40.
 crypto map <vpn_ACL_name> 
41.
42.
interface FastEthernet0 
43.
 description Lokales Ethernet  
44.
 ip address 10.10.0.254 255.255.0.0 (*) 
45.
 ip nat inside 
46.
47.
interface FastEthernet4 
48.
 description SDSL Anschluss ans Modem 
49.
 no ip address 
50.
 pppoe enable 
51.
 pppoe-client dial-pool-number 1 
52.
53.
interface Dialer1 
54.
 description Internet DSL Verbindung 
55.
 ip address negotiated 
56.
 ip mtu 1492 
57.
 ip nat outside 
58.
 no cdp enable 
59.
 crypto map <vpn_ACL_name> 
60.
 encapsulation ppp   
61.
 dialer pool 1 
62.
 dialer-group 1 
63.
 ppp authentication pap callin 
64.
 ppp pap sent-username 0011234567891234567896543#0001@t-online.de 
65.
 password Geheim 
66.
67.
ip nat inside source list 101 interface Dialer1 overload 
68.
69.
ip classless 
70.
ip route 0.0.0.0 0.0.0.0 int dialer 1 
71.
no ip http server 
72.
73.
ip access-list extended <vpn_ACL_name> (*) 
74.
 permit ip 10.10.0.0 0.0.255.255 10.20.20.0 0.0.0.255 
75.
 permit gre host 10.10.0.254 host 10.20.20.254 
76.
77.
access-list 101 deny   ip 10.10.0.0 0.0.255.255 10.20.20.0 0.0.0.255 (*) 
78.
access-list 101 permit ip 10.10.0.0 0.0.255.255 any 
79.
access-list 101 deny   ip any any 
80.
81.
end
Bitte warten ..
Mitglied: cridom
16.04.2009 um 09:49 Uhr
Die Anleitung hat mir weitergeholfen.


Vielen Dank.
Bitte warten ..
Mitglied: aqui
16.04.2009 um 10:52 Uhr
Dann bitte auch
http://www.administrator.de/index.php?faq=32
nicht vergessen !!!
Bitte warten ..
Ähnliche Inhalte
Windows Server
gelöst Domänencontroller für zwei Standorte (10)

Frage von thaddaeus93 zum Thema Windows Server ...

LAN, WAN, Wireless
gelöst Cisco mit zwei Internetanschlüssen (20)

Frage von PharIT zum Thema LAN, WAN, Wireless ...

Router & Routing
VoIP hinter Cisco Router (23)

Frage von PharIT zum Thema Router & Routing ...

LAN, WAN, Wireless
Fritz Box als Telefonanlage an Cisco Router (5)

Frage von DaHuber zum Thema LAN, WAN, Wireless ...

Neue Wissensbeiträge
Windows 10

Heise Newsticker: Microsoft veröffentlicht das "Fall Creators Update

(8)

Information von Penny.Cilin zum Thema Windows 10 ...

LAN, WAN, Wireless

Schwachstelle im WPA2 Protokoll veröffentlicht

(3)

Information von colinardo zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Windows Server
gelöst Gruppenrichtlinie greift nicht zu! (23)

Frage von Syosse zum Thema Windows Server ...

Hosting & Housing
Mailserver Software Empfehlungen (16)

Frage von sunics zum Thema Hosting & Housing ...

Windows 7
gelöst Windows 7 Anmeldedomäne festlegen (13)

Frage von flotaut zum Thema Windows 7 ...