Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Zwei IPSEC VPN Client Groups für verschiedene VLANS

Frage Netzwerke

Mitglied: 1x1speed

1x1speed (Level 1) - Jetzt verbinden

08.11.2010, aktualisiert 18.10.2012, 3199 Aufrufe, 6 Kommentare, 1 Danke

Hallo miteinander,

ich hab mal wieder ein spezielles Problem bei dem ich nicht so recht weiter komme. Ich habe einen Cisco 2851 auf dem ich die VPN für User mit dem Cisco VPN-Client und für Site-2-Site VPN zum laufen bekommen hab. Nun brauch ich aber eine zweite Gruppe für VPN-Client User, die wie folgt nur in ein spezielles VLAN dürfen.

VPN-Gruppe1 sollen über IP-Sec-Client ins VLAN 10,20,30,40,50,60 (192.168.1.0/24 - 192.168.6.0/24)
VPN-Gruppe2 sollen über IP-Sec-Client nur ins VLAN 100 (192.168.50.0/24)

Meine aktuelle Config der VPN schaut so aus:


01.
crypto keyring spokes 
02.
  pre-shared-key address 0.0.0.0 0.0.0.0 key 6 L2L-key 
03.
04.
crypto isakmp policy 10 
05.
 encr aes 256 
06.
 authentication pre-share 
07.
 group 2 
08.
09.
crypto isakmp client configuration group VPN-GROUP-1 
10.
 key group1key 
11.
 dns 192.168.1.21  
12.
 wins 192.168.1.21 
13.
 domain mydomain.local 
14.
 pool ippool 
15.
 netmask 255.255.255.0 
16.
crypto isakmp profile L2L 
17.
   description LAN-to-LAN for spoke router(s) connection 
18.
   keyring spokes 
19.
   match identity address 0.0.0.0 
20.
crypto isakmp profile VPNclient 
21.
   description VPN clients profile 
22.
   match identity group VPN-GROUP-1 
23.
   client authentication list userauthen 
24.
   isakmp authorization list groupauthor 
25.
   client configuration address respond 
26.
27.
28.
crypto ipsec transform-set myset esp-aes 256 esp-sha-hmac 
29.
30.
crypto dynamic-map dynmap 5 
31.
 set transform-set myset 
32.
 reverse-route 
33.
crypto dynamic-map dynmap 10 
34.
 set transform-set myset 
35.
 set isakmp-profile L2L 
36.
37.
38.
crypto map mymap 10 ipsec-isakmp dynamic dynmap 
39.
40.
41.
42.
43.
ip local pool ippool 10.10.0.1 10.10.0.254 
44.
45.
46.
ip access-list extended ACL_NAT 
47.
 deny   ip 192.168.0.0 0.0.255.255 10.10.2.0 0.0.0.255 
48.
 deny   ip 192.168.0.0 0.0.255.255 10.10.0.0 0.0.0.255 
49.
 permit ip 192.168.0.0 0.0.255.255 any 
50.
51.
dialer-list 1 protocol ip permit 
52.
dialer-list 2 protocol ip permit 
53.
54.
55.
56.
57.
route-map nat_primary permit 10 
58.
 match ip address ACL_NAT 
59.
 match interface Dialer1 
60.
 
Meine überlegungen dazu sind folgende:

1. eine VPN-Group2 anlegen analog Group1

01.
crypto isakmp client configuration group VPN-GROUP-2 
02.
 key group1key 
03.
 dns 192.168.5.1  
04.
 pool ippool2 
05.
 netmask 255.255.255.0
2. einen zweiten IP-Pool

01.
ip local pool ippool2 10.10.1.1 10.10.1.254
3. eine ACL für die zweite Gruppe, da komm ich grad nicht weiter. Wie muss die ACL ausschauen und vor allem wie wende ich die ACLs dann für die Gruppen auf den Dialer 1 an?


Danke schon mal!
Mitglied: aqui
08.11.2010 um 18:31 Uhr
Die Frage ist WO die beiden VLANs angelegt sind ?? Wenn sie auf diesem Router selber liegen reicht eine simple ACL ala
access-list 110 permit ip 10.10.1.0 0.0.0.255 192.168.50.0 0.0.0.255
an interface VLAN 100
access-list 110 permit ip 10.10.0.0 0.0.0.255 192.168.0.0 0.0.3.255
an den anderen VLAN Interfaces

Alternativ ginge es mit PBR wenn das Gateway zu den VLANs extern liegt.
access-list 110 permit ip 10.10.1.0 0.0.0.255 192.168.50.0 0.0.0.255
route-map vpngruppe2 permit 10
match ip address 110
set ip next-hop <IP Addresse Gateway>
interface xyz
ip address xyz
ip policy route-map vpngruppe2
Bitte warten ..
Mitglied: 1x1speed
08.11.2010 um 20:17 Uhr
Hi Aqui,

danke für Deine Antwort. Die VLANS sind nicht auf dem Router sondern auf zwei L3 Switchen mit HSRP konfiguriert. Das VLAN 100 ist bereits abgegrenzt durch eine ACL die anderen VLANs werden gegenseitig geroutet.
Bitte warten ..
Mitglied: aqui
09.11.2010, aktualisiert 18.10.2012
OK, dann heisst die goldene Lösung für die PBR wie oben beschrieben. Ist auch einfacher umzusetzen !
Ein ähnliches Beispiel findest du hier:
http://www.administrator.de/forum/cisco-router-2-gateways-f%c3%bcr-vers ...
Bitte warten ..
Mitglied: 1x1speed
09.11.2010 um 17:35 Uhr
...schönen guten abend,

hab heut in den freien Minuten die VPN Config mit den beiden Gruppen zusammengebastelt. Werd es aber erst testen wenn ich vor Ort bin, bin mir nich so ganz sicher ob es klappt :D

01.
crypto keyring spokes 
02.
  pre-shared-key address 0.0.0.0 0.0.0.0 key 6 L2L-key 
03.
04.
crypto isakmp policy 10 
05.
 encr aes 256 
06.
 authentication pre-share 
07.
 group 2 
08.
09.
crypto isakmp client configuration group vpngroup01 
10.
 key <VPN-GROUP01-KEY> 
11.
 dns 192.168.1.21  
12.
 wins 192.168.1.21 
13.
 domain mydomain.local 
14.
 pool ippool01 
15.
 netmask 255.255.255.0 
16.
!  
17.
! zusaetzliche Gruppe  
18.
crypto isakmp client configuration group vpngroup02 
19.
 key <VPN-GROUP02-KEY> 
20.
 dns 192.168.50.1 
21.
 pool ippool02 
22.
 netmask 255.255.255.0  
23.
24.
!  
25.
crypto isakmp profile L2L 
26.
   description LAN-to-LAN for spoke router(s) connection 
27.
   keyring spokes 
28.
   match identity address 0.0.0.0 
29.
crypto isakmp profile VPNClientMember 
30.
   description VPN clients profile for members access all VLANs 
31.
   match identity group vpngroup01 
32.
   client authentication list userauthen 
33.
   isakmp authorization list groupauthor 
34.
   client configuration address respond 
35.
crypto isakmp profile VPNClientGuest 
36.
   description VPN clients profile for guests access only VLAN 100 
37.
   match identity group vpngroup02  
38.
   client authentication list userauthen 
39.
   isakmp authorization list groupauthor 
40.
   client configuration address respond    
41.
42.
ip policy route-map vpngroup02 
43.
44.
crypto ipsec transform-set myset esp-aes 256 esp-sha-hmac 
45.
46.
crypto dynamic-map dynmap 5 
47.
 set transform-set myset 
48.
 reverse-route 
49.
crypto dynamic-map dynmap 10 
50.
 set transform-set myset 
51.
 set isakmp-profile L2L 
52.
53.
54.
crypto map mymap 10 ipsec-isakmp dynamic dynmap 
55.
56.
57.
ip local pool ippool01 10.10.0.1 10.10.0.254 
58.
ip local pool ippool02 10.10.1.1 10.10.1.254  
59.
60.
61.
ip access-list extended ACL_NAT 
62.
 deny   ip 192.168.0.0 0.0.255.255 10.10.2.0 0.0.0.255 
63.
 deny   ip 192.168.0.0 0.0.255.255 10.10.0.0 0.0.0.255 
64.
 permit ip 192.168.0.0 0.0.255.255 any 
65.
66.
ip access-list extended ACL_NAT_VLAN100  
67.
 permit ip 10.10.1.0 0.0.0.255 192.168.50.0 0.0.255.255 
68.
69.
dialer-list 1 protocol ip permit 
70.
71.
72.
route-map nat_primary permit 10 
73.
 match ip address ACL_NAT 
74.
 match interface Dialer1 
75.
76.
route-map vpngroup02 permit 10 
77.
 match ip address ACL_NAT_VLAN100
Bitte warten ..
Mitglied: aqui
10.11.2010 um 08:52 Uhr
Das Kommando
ip policy route-map vpngroup02

fehlt noch auf dem entsprechenden Interface...dann funktioniert es auch
Bitte warten ..
Mitglied: 1x1speed
30.11.2010 um 08:59 Uhr
hi aqui,

hat ein weilchen gedauert bis ich mal zeit hatte an dem bastelprojekt weiter zu machen. ich hab wie folgt die gruppen, ippool, etc. angelegt. die einwahl über die gruppe vpngroup00 funktioniert auch ohne probleme nur greift die rout policy nich wie sie soll. ich hab in der config mal noch die interface des routers mit aufgeführt.

hab ich die rout-map auf das falsche interface gelegt?

01.
crypto isakmp client configuration group vpngroup00 
02.
 key <key> 
03.
 dns 192.168.60.10 
04.
 pool ippool00 
05.
 netmask 255.255.255.0 
06.
  
07.
crypto isakmp client configuration group vpngroup20 
08.
 key <key> 
09.
 dns 192.168.60.10 
10.
 pool ippool20 
11.
 netmask 255.255.255.0 
12.
  
13.
ip local pool ippool00 10.10.0.1 10.10.0.254 
14.
ip local pool ippool00 10.10.1.1 10.10.1.254 
15.
ip local pool ippool20 10.10.2.1 10.10.2.254 
16.
 
17.
no crypto isakmp profile VPNClientGuest 
18.
crypto isakmp profile VPNClient00 
19.
   description VPN clients profile for guests access only Vlan 100 
20.
   match identity group vpngroup00 
21.
   client authentication list userauthen 
22.
   isakmp authorization list groupauthor 
23.
   client configuration address respond 
24.
    
25.
crypto isakmp profile VPNClient20 
26.
   description VPN clients profile members  
27.
   match identity group vpngroup20 
28.
   client authentication list userauthen 
29.
   isakmp authorization list groupauthor 
30.
   client configuration address respond 
31.
 
32.
 
33.
ip access-list extended ACL_NAT 
34.
 deny   ip 192.168.0.0 0.0.255.255 10.10.0.0 0.0.0.255 
35.
 deny   ip 192.168.0.0 0.0.255.255 10.10.1.0 0.0.0.255 
36.
 deny   ip 192.168.0.0 0.0.255.255 10.10.2.0 0.0.0.255 
37.
 permit ip 192.168.0.0 0.0.255.255 any 
38.
 
39.
ip access-list extended ACL_VLAN100 
40.
 permit ip 10.10.0.0 0.0.0.255 192.168.50.0 0.0.0.255 
41.
 
42.
route-map vpngroup100 permit 10 
43.
 match ip address ACL_VLAN100 
44.
  
45.
route-map nat_backup permit 10 
46.
 match ip address ACL_NAT 
47.
 match interface Dialer2 
48.
49.
route-map nat_primary permit 10 
50.
 match ip address ACL_NAT 
51.
 match interface Dialer1 
52.
53.
router ospf 1 
54.
 router-id ... 
55.
 log-adjacency-changes 
56.
 auto-cost reference-bandwidth 10000 
57.
 area 0 authentication message-digest 
58.
 redistribute connected metric-type 1 subnets 
59.
 redistribute static metric-type 1 subnets 
60.
 passive-interface Dialer1 
61.
 passive-interface Dialer2 
62.
 passive-interface Loopback0 
63.
 network 10.10.0.0 0.0.0.255 area 0 
64.
 network 10.10.1.0 0.0.0.255 area 0 
65.
 network 10.10.2.0 0.0.0.255 area 0 
66.
 network 192.168.5.2 0.0.0.0 area 0 
67.
 ... 
68.
 default-information originate metric-type 1 
69.
!  
70.
interface Loopback0 
71.
 description VPN_ROUTER_02 
72.
 ip address 192.168.5.2 255.255.255.255 
73.
 ip nat inside 
74.
 ip virtual-reassembly 
75.
76.
interface GigabitEthernet0/0 
77.
 description Link to VPN2851-R2 
78.
 ip address 192.168.5.18 255.255.255.252 
79.
 ip nat inside 
80.
 ip virtual-reassembly 
81.
 ip policy route-map vpngroup100 
82.
 ip ospf message-digest-key 1 md5 7 <key> 
83.
 duplex full 
84.
 speed 1000 
85.
86.
interface GigabitEthernet0/1 
87.
 description Link to Switch-02 
88.
 ip address 192.168.5.25 255.255.255.252 
89.
 ip nat inside 
90.
 ip virtual-reassembly 
91.
 ip policy route-map vpngroup100 
92.
 ip ospf message-digest-key 1 md5 7 <key> 
93.
 duplex full 
94.
 speed 1000 
95.
  
96.
interface FastEthernet0/3/0 
97.
 description DSL1 
98.
 switchport access vlan 80 
99.
100.
interface FastEthernet0/3/1 
101.
 description DSL2 
102.
 switchport access vlan 81  
103.
  
104.
interface Vlan1 
105.
 no ip address 
106.
107.
interface Vlan80 
108.
 description DSL1 
109.
 no ip address 
110.
 pppoe enable group 1 
111.
 pppoe-client dial-pool-number 1 
112.
113.
interface Vlan81 
114.
 description DSL2 
115.
 no ip address 
116.
 pppoe enable group global 
117.
 pppoe-client dial-pool-number 2  
118.
  
119.
interface Dialer1 
120.
 description DSL1 
121.
 ... 
122.
 ip nat outside 
123.
 crypto map mymap 
124.
  
125.
interface Dialer2 
126.
 description DSL2 
127.
 ... 
128.
 ip nat outside 
129.
 crypto map mymap 
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Firewall
gelöst Site-to-Site-VPN und Cisco VPN-Client von gleicher IP (2)

Frage von TripleDouble zum Thema Firewall ...

Router & Routing
gelöst 18 Standorte via IPSEC VPN verbinden (26)

Frage von Nichtsnutz zum Thema Router & Routing ...

LAN, WAN, Wireless
gelöst Windows 7 IP-Sec VPN Client Alternative (4)

Frage von mario87 zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
gelöst L2TP-IPsec VPN pfSense 2.3 (6)

Frage von maddig zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (19)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...