Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Zwei IPSEC VPN Client Groups für verschiedene VLANS

Frage Netzwerke

Mitglied: 1x1speed

1x1speed (Level 1) - Jetzt verbinden

08.11.2010, aktualisiert 18.10.2012, 3266 Aufrufe, 6 Kommentare, 1 Danke

Hallo miteinander,

ich hab mal wieder ein spezielles Problem bei dem ich nicht so recht weiter komme. Ich habe einen Cisco 2851 auf dem ich die VPN für User mit dem Cisco VPN-Client und für Site-2-Site VPN zum laufen bekommen hab. Nun brauch ich aber eine zweite Gruppe für VPN-Client User, die wie folgt nur in ein spezielles VLAN dürfen.

VPN-Gruppe1 sollen über IP-Sec-Client ins VLAN 10,20,30,40,50,60 (192.168.1.0/24 - 192.168.6.0/24)
VPN-Gruppe2 sollen über IP-Sec-Client nur ins VLAN 100 (192.168.50.0/24)

Meine aktuelle Config der VPN schaut so aus:


01.
crypto keyring spokes 
02.
  pre-shared-key address 0.0.0.0 0.0.0.0 key 6 L2L-key 
03.
04.
crypto isakmp policy 10 
05.
 encr aes 256 
06.
 authentication pre-share 
07.
 group 2 
08.
09.
crypto isakmp client configuration group VPN-GROUP-1 
10.
 key group1key 
11.
 dns 192.168.1.21  
12.
 wins 192.168.1.21 
13.
 domain mydomain.local 
14.
 pool ippool 
15.
 netmask 255.255.255.0 
16.
crypto isakmp profile L2L 
17.
   description LAN-to-LAN for spoke router(s) connection 
18.
   keyring spokes 
19.
   match identity address 0.0.0.0 
20.
crypto isakmp profile VPNclient 
21.
   description VPN clients profile 
22.
   match identity group VPN-GROUP-1 
23.
   client authentication list userauthen 
24.
   isakmp authorization list groupauthor 
25.
   client configuration address respond 
26.
27.
28.
crypto ipsec transform-set myset esp-aes 256 esp-sha-hmac 
29.
30.
crypto dynamic-map dynmap 5 
31.
 set transform-set myset 
32.
 reverse-route 
33.
crypto dynamic-map dynmap 10 
34.
 set transform-set myset 
35.
 set isakmp-profile L2L 
36.
37.
38.
crypto map mymap 10 ipsec-isakmp dynamic dynmap 
39.
40.
41.
42.
43.
ip local pool ippool 10.10.0.1 10.10.0.254 
44.
45.
46.
ip access-list extended ACL_NAT 
47.
 deny   ip 192.168.0.0 0.0.255.255 10.10.2.0 0.0.0.255 
48.
 deny   ip 192.168.0.0 0.0.255.255 10.10.0.0 0.0.0.255 
49.
 permit ip 192.168.0.0 0.0.255.255 any 
50.
51.
dialer-list 1 protocol ip permit 
52.
dialer-list 2 protocol ip permit 
53.
54.
55.
56.
57.
route-map nat_primary permit 10 
58.
 match ip address ACL_NAT 
59.
 match interface Dialer1 
60.
 
Meine überlegungen dazu sind folgende:

1. eine VPN-Group2 anlegen analog Group1

01.
crypto isakmp client configuration group VPN-GROUP-2 
02.
 key group1key 
03.
 dns 192.168.5.1  
04.
 pool ippool2 
05.
 netmask 255.255.255.0
2. einen zweiten IP-Pool

01.
ip local pool ippool2 10.10.1.1 10.10.1.254
3. eine ACL für die zweite Gruppe, da komm ich grad nicht weiter. Wie muss die ACL ausschauen und vor allem wie wende ich die ACLs dann für die Gruppen auf den Dialer 1 an?


Danke schon mal!
Mitglied: aqui
08.11.2010 um 18:31 Uhr
Die Frage ist WO die beiden VLANs angelegt sind ?? Wenn sie auf diesem Router selber liegen reicht eine simple ACL ala
access-list 110 permit ip 10.10.1.0 0.0.0.255 192.168.50.0 0.0.0.255
an interface VLAN 100
access-list 110 permit ip 10.10.0.0 0.0.0.255 192.168.0.0 0.0.3.255
an den anderen VLAN Interfaces

Alternativ ginge es mit PBR wenn das Gateway zu den VLANs extern liegt.
access-list 110 permit ip 10.10.1.0 0.0.0.255 192.168.50.0 0.0.0.255
route-map vpngruppe2 permit 10
match ip address 110
set ip next-hop <IP Addresse Gateway>
interface xyz
ip address xyz
ip policy route-map vpngruppe2
Bitte warten ..
Mitglied: 1x1speed
08.11.2010 um 20:17 Uhr
Hi Aqui,

danke für Deine Antwort. Die VLANS sind nicht auf dem Router sondern auf zwei L3 Switchen mit HSRP konfiguriert. Das VLAN 100 ist bereits abgegrenzt durch eine ACL die anderen VLANs werden gegenseitig geroutet.
Bitte warten ..
Mitglied: aqui
09.11.2010, aktualisiert 18.10.2012
OK, dann heisst die goldene Lösung für die PBR wie oben beschrieben. Ist auch einfacher umzusetzen !
Ein ähnliches Beispiel findest du hier:
http://www.administrator.de/forum/cisco-router-2-gateways-f%c3%bcr-vers ...
Bitte warten ..
Mitglied: 1x1speed
09.11.2010 um 17:35 Uhr
...schönen guten abend,

hab heut in den freien Minuten die VPN Config mit den beiden Gruppen zusammengebastelt. Werd es aber erst testen wenn ich vor Ort bin, bin mir nich so ganz sicher ob es klappt :D

01.
crypto keyring spokes 
02.
  pre-shared-key address 0.0.0.0 0.0.0.0 key 6 L2L-key 
03.
04.
crypto isakmp policy 10 
05.
 encr aes 256 
06.
 authentication pre-share 
07.
 group 2 
08.
09.
crypto isakmp client configuration group vpngroup01 
10.
 key <VPN-GROUP01-KEY> 
11.
 dns 192.168.1.21  
12.
 wins 192.168.1.21 
13.
 domain mydomain.local 
14.
 pool ippool01 
15.
 netmask 255.255.255.0 
16.
!  
17.
! zusaetzliche Gruppe  
18.
crypto isakmp client configuration group vpngroup02 
19.
 key <VPN-GROUP02-KEY> 
20.
 dns 192.168.50.1 
21.
 pool ippool02 
22.
 netmask 255.255.255.0  
23.
24.
!  
25.
crypto isakmp profile L2L 
26.
   description LAN-to-LAN for spoke router(s) connection 
27.
   keyring spokes 
28.
   match identity address 0.0.0.0 
29.
crypto isakmp profile VPNClientMember 
30.
   description VPN clients profile for members access all VLANs 
31.
   match identity group vpngroup01 
32.
   client authentication list userauthen 
33.
   isakmp authorization list groupauthor 
34.
   client configuration address respond 
35.
crypto isakmp profile VPNClientGuest 
36.
   description VPN clients profile for guests access only VLAN 100 
37.
   match identity group vpngroup02  
38.
   client authentication list userauthen 
39.
   isakmp authorization list groupauthor 
40.
   client configuration address respond    
41.
42.
ip policy route-map vpngroup02 
43.
44.
crypto ipsec transform-set myset esp-aes 256 esp-sha-hmac 
45.
46.
crypto dynamic-map dynmap 5 
47.
 set transform-set myset 
48.
 reverse-route 
49.
crypto dynamic-map dynmap 10 
50.
 set transform-set myset 
51.
 set isakmp-profile L2L 
52.
53.
54.
crypto map mymap 10 ipsec-isakmp dynamic dynmap 
55.
56.
57.
ip local pool ippool01 10.10.0.1 10.10.0.254 
58.
ip local pool ippool02 10.10.1.1 10.10.1.254  
59.
60.
61.
ip access-list extended ACL_NAT 
62.
 deny   ip 192.168.0.0 0.0.255.255 10.10.2.0 0.0.0.255 
63.
 deny   ip 192.168.0.0 0.0.255.255 10.10.0.0 0.0.0.255 
64.
 permit ip 192.168.0.0 0.0.255.255 any 
65.
66.
ip access-list extended ACL_NAT_VLAN100  
67.
 permit ip 10.10.1.0 0.0.0.255 192.168.50.0 0.0.255.255 
68.
69.
dialer-list 1 protocol ip permit 
70.
71.
72.
route-map nat_primary permit 10 
73.
 match ip address ACL_NAT 
74.
 match interface Dialer1 
75.
76.
route-map vpngroup02 permit 10 
77.
 match ip address ACL_NAT_VLAN100
Bitte warten ..
Mitglied: aqui
10.11.2010 um 08:52 Uhr
Das Kommando
ip policy route-map vpngroup02

fehlt noch auf dem entsprechenden Interface...dann funktioniert es auch
Bitte warten ..
Mitglied: 1x1speed
30.11.2010 um 08:59 Uhr
hi aqui,

hat ein weilchen gedauert bis ich mal zeit hatte an dem bastelprojekt weiter zu machen. ich hab wie folgt die gruppen, ippool, etc. angelegt. die einwahl über die gruppe vpngroup00 funktioniert auch ohne probleme nur greift die rout policy nich wie sie soll. ich hab in der config mal noch die interface des routers mit aufgeführt.

hab ich die rout-map auf das falsche interface gelegt?

01.
crypto isakmp client configuration group vpngroup00 
02.
 key <key> 
03.
 dns 192.168.60.10 
04.
 pool ippool00 
05.
 netmask 255.255.255.0 
06.
  
07.
crypto isakmp client configuration group vpngroup20 
08.
 key <key> 
09.
 dns 192.168.60.10 
10.
 pool ippool20 
11.
 netmask 255.255.255.0 
12.
  
13.
ip local pool ippool00 10.10.0.1 10.10.0.254 
14.
ip local pool ippool00 10.10.1.1 10.10.1.254 
15.
ip local pool ippool20 10.10.2.1 10.10.2.254 
16.
 
17.
no crypto isakmp profile VPNClientGuest 
18.
crypto isakmp profile VPNClient00 
19.
   description VPN clients profile for guests access only Vlan 100 
20.
   match identity group vpngroup00 
21.
   client authentication list userauthen 
22.
   isakmp authorization list groupauthor 
23.
   client configuration address respond 
24.
    
25.
crypto isakmp profile VPNClient20 
26.
   description VPN clients profile members  
27.
   match identity group vpngroup20 
28.
   client authentication list userauthen 
29.
   isakmp authorization list groupauthor 
30.
   client configuration address respond 
31.
 
32.
 
33.
ip access-list extended ACL_NAT 
34.
 deny   ip 192.168.0.0 0.0.255.255 10.10.0.0 0.0.0.255 
35.
 deny   ip 192.168.0.0 0.0.255.255 10.10.1.0 0.0.0.255 
36.
 deny   ip 192.168.0.0 0.0.255.255 10.10.2.0 0.0.0.255 
37.
 permit ip 192.168.0.0 0.0.255.255 any 
38.
 
39.
ip access-list extended ACL_VLAN100 
40.
 permit ip 10.10.0.0 0.0.0.255 192.168.50.0 0.0.0.255 
41.
 
42.
route-map vpngroup100 permit 10 
43.
 match ip address ACL_VLAN100 
44.
  
45.
route-map nat_backup permit 10 
46.
 match ip address ACL_NAT 
47.
 match interface Dialer2 
48.
49.
route-map nat_primary permit 10 
50.
 match ip address ACL_NAT 
51.
 match interface Dialer1 
52.
53.
router ospf 1 
54.
 router-id ... 
55.
 log-adjacency-changes 
56.
 auto-cost reference-bandwidth 10000 
57.
 area 0 authentication message-digest 
58.
 redistribute connected metric-type 1 subnets 
59.
 redistribute static metric-type 1 subnets 
60.
 passive-interface Dialer1 
61.
 passive-interface Dialer2 
62.
 passive-interface Loopback0 
63.
 network 10.10.0.0 0.0.0.255 area 0 
64.
 network 10.10.1.0 0.0.0.255 area 0 
65.
 network 10.10.2.0 0.0.0.255 area 0 
66.
 network 192.168.5.2 0.0.0.0 area 0 
67.
 ... 
68.
 default-information originate metric-type 1 
69.
!  
70.
interface Loopback0 
71.
 description VPN_ROUTER_02 
72.
 ip address 192.168.5.2 255.255.255.255 
73.
 ip nat inside 
74.
 ip virtual-reassembly 
75.
76.
interface GigabitEthernet0/0 
77.
 description Link to VPN2851-R2 
78.
 ip address 192.168.5.18 255.255.255.252 
79.
 ip nat inside 
80.
 ip virtual-reassembly 
81.
 ip policy route-map vpngroup100 
82.
 ip ospf message-digest-key 1 md5 7 <key> 
83.
 duplex full 
84.
 speed 1000 
85.
86.
interface GigabitEthernet0/1 
87.
 description Link to Switch-02 
88.
 ip address 192.168.5.25 255.255.255.252 
89.
 ip nat inside 
90.
 ip virtual-reassembly 
91.
 ip policy route-map vpngroup100 
92.
 ip ospf message-digest-key 1 md5 7 <key> 
93.
 duplex full 
94.
 speed 1000 
95.
  
96.
interface FastEthernet0/3/0 
97.
 description DSL1 
98.
 switchport access vlan 80 
99.
100.
interface FastEthernet0/3/1 
101.
 description DSL2 
102.
 switchport access vlan 81  
103.
  
104.
interface Vlan1 
105.
 no ip address 
106.
107.
interface Vlan80 
108.
 description DSL1 
109.
 no ip address 
110.
 pppoe enable group 1 
111.
 pppoe-client dial-pool-number 1 
112.
113.
interface Vlan81 
114.
 description DSL2 
115.
 no ip address 
116.
 pppoe enable group global 
117.
 pppoe-client dial-pool-number 2  
118.
  
119.
interface Dialer1 
120.
 description DSL1 
121.
 ... 
122.
 ip nat outside 
123.
 crypto map mymap 
124.
  
125.
interface Dialer2 
126.
 description DSL2 
127.
 ... 
128.
 ip nat outside 
129.
 crypto map mymap 
Bitte warten ..
Ähnliche Inhalte
Router & Routing
VPN IPsec zweier Netzwerke
gelöst Frage von shearer9Router & Routing28 Kommentare

Hallo, habe bei uns in der Firma den zweiten Standort mit einer VPN IPsec Verbindung vernetzt. Habe dazu zwei ...

Windows 7
Ipsec-VPN Win7-Client
Frage von today12Windows 7

Hallo Leute, ich habe mir vor einiger zeit den l2tp/IPSec - Server auf meinen Raspberry installiert. Hier der Link ...

Router & Routing
Mikrotik - Wie bekomme ich die Clients auf verschiedene Vlans ?
gelöst Frage von lars2015Router & Routing3 Kommentare

Hallo zusammen, (zunächst mal : tolles Forum) habe mich etwas Wund gelesen und komme nicht weiter (vermutlich iwo einen ...

Linux Netzwerk
VPN Client für Linux mit IPsec - in der Console
Frage von sudusuLinux Netzwerk2 Kommentare

Hi, ich bin heute schon denn ganzen Tag dran einen VPN Client für Linux mit IPsec zufinden denn ich ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 17 StundenWindows 102 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 19 StundenSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 1 TagInternet3 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 1 TagDSL, VDSL2 Kommentare

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
TK-Netze & Geräte
VPN-fähige IP-Telefone
Frage von the-buccaneerTK-Netze & Geräte16 Kommentare

Hi! Weiss noch jemand ein VPN-fähiges IP-Telefon mit dem man z.B. einen Heimarbeitsplatz gesichert anbinden könnte? Habe nur einen ...

Windows Server
GPO nur für bestimmte Computer
Frage von Leo-leWindows Server13 Kommentare

Hallo Forum, gern würde ich ein Robocopy script per Bat an eine GPO hängen. Wichtig wäre aber dort der ...

Windows Server
KMS Facts for Client configuration
Frage von winlinWindows Server13 Kommentare

Hey Leute, wir haben in unserem Netz nun einen neuen KMS Server. Haben Bestands-VMs die noch nicht aktiviert sind. ...

Windows Tools
Software-Tool zum Entfernen von bösartigem Windows
Frage von emeriksWindows Tools11 Kommentare

Hi, siehe Betreff hat das jemals irgendjemand schonmal sinnvoll eingesetzt? (MRT) E.