VPN + dynamic IP

Problemy związane z routingiem

Moderatorzy: mikrobi, aron, garfield, gangrena, Seba

Wiadomość
Autor
zahir
wannabe
wannabe
Posty: 101
Rejestracja: 23 lis 2009, 20:59

VPN + dynamic IP

#1

#1 Post autor: zahir » 09 lut 2012, 19:45

Hej.
Niestety moja wiedza dot. połączeń VPN jest dość uboga, więc proszę was o pomoc. Szukam najbardziej odpowiedniego rozwiązania do zestawienia tunelu site-to-site, gdzie jedna ze stron otrzymuje dynamicznie IP zewnętrzne, które zmienia się dość często (raz na dobę).
Znana mi konfiguracja tuneli ipsecowych wymaga podania adresu peer'a, dlatego stwierdziłem, że taki tunel odpada (chyba że da się to jakoś obejść?). Z tego co się doszukałem router cisco nie może być konfigurowany jako klient PPTP. Tunel GRE też odpada jako, że również należy podać adresy destination/source.
Zastanawiałem się nad tunelem l2tp / l2tpv3, niestety strona z wytłumaczeniem konfiguracji i zasad działania jest dośc uboga:
http://www.cisco.com/en/US/docs/ios/12_ ... #wp1065917

Pytania:
1) Czy taki tunel (L2TP) będzie odpowiedni dla dynamicznego IP zew. ?
2) Da się to wykonać na IPSecu ?
3) Czy możecie mi powiedzieć czy jest kurs Ciscowy, który szczegółowo opisuje rodzaje tuneli, konfigurację itd ? Bo materiał ccna, ccnp tego nie pokrywa. A może jakaś dobra literatura do tego ?
4) Troszke poza tematem - jakie są korzyści z konfiguracji IPSec'a bez wykorzystania interfejsów tunnelowych ?
Dzięki za pomoc.

dorvin
CCIE
CCIE
Posty: 1688
Rejestracja: 21 sty 2008, 13:21
Lokalizacja: Wrocław
Kontakt:

Re: VPN + dynamic IP

#2

#2 Post autor: dorvin » 09 lut 2012, 21:48

zahir pisze: Pytania:
1) Czy taki tunel (L2TP) będzie odpowiedni dla dynamicznego IP zew. ?
2) Da się to wykonać na IPSecu ?
3) Czy możecie mi powiedzieć czy jest kurs Ciscowy, który szczegółowo opisuje rodzaje tuneli, konfigurację itd ? Bo materiał ccna, ccnp tego nie pokrywa. A może jakaś dobra literatura do tego ?
4) Troszke poza tematem - jakie są korzyści z konfiguracji IPSec'a bez wykorzystania interfejsów tunnelowych ?
Ad. 1. Najlepiej i najłatwiej zrobić Remote Access VPN. Na takie właśnie sytuacje został wymyślony.
Ad. 2. Da się. Jw.
Ad. 3. Kursy do CCSP. Jeśli po prostu chcesz skonfigurować, to w sieci jest dodatkowo mnóstwo przykładów, jak to zrobić.
Ad. 4. Działają z innymi platformami, niż Cisco. Tak poza tym jakichś szczególnych korzyści nie ma, za to jest trochę wad, np. słabo się przesyła multicasty i są ograniczone możliwości w zakresie QoS.

zahir
wannabe
wannabe
Posty: 101
Rejestracja: 23 lis 2009, 20:59

#3

#3 Post autor: zahir » 09 lut 2012, 23:20

A na jakiej zasadzie zestawiany jest taki tunel ? W momencie kiedy klient będzie inicjował połączenie to router brzegowy skonfigurowany jako klient IPSecowy zainicjuje tunel ? Czy ruch wychodzący z samego urządzenia zainicjuje tunel ? A może jest on zestawiony cały czas ?

Awatar użytkownika
enceladus
inner circle
inner circle
Posty: 506
Rejestracja: 27 paź 2003, 14:32
Lokalizacja: Poznan

#4

#4 Post autor: enceladus » 10 lut 2012, 08:32

Jeśli będziesz robił na Cisco po obu stronach to proponuję ezvpn z network extenderem po stronie z dynamicznym IP. Router zachowuje się jak klient VPN remote access, ale na routerze przyjmującym połączenie "wstrzyknie" trasy do sieci która jest za routerem zdalnym. Znakomicie się sprawdza na łączach typu CDMA czy 3G ze zmiennym IP.
Przykład hub-a:

Kod: Zaznacz cały

aaa new-model
aaa authentication login userauthen local
aaa authorization network groupauthor local 
username rtr@ezvpn-group secret 5 .........................
crypto isakmp policy 10
 encr 3des
 authentication pre-share
 group 2
 lifetime 28800
crypto isakmp client configuration group ezvpn-group
 key .........................
 pool ezvpn-group-pool
 group-lock
 save-password
 pfs
crypto isakmp profile isakmp-profile-ezvpn
   description Profil ISAKMP dla polaczen EZVPN
   match identity group ezvpn-group
   client authentication list userauthen
   isakmp authorization list groupauthor
   client configuration address respond
   virtual-template 2

interface Virtual-Template2 type tunnel
 ip unnumbered GigabitEthernet0/0
 no snmp trap link-status
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile ipsec-prof-ezvpn

ip local pool ezvpn-group-pool 10.10.10.1 10.10.10.10
router zdalny:

Kod: Zaznacz cały

crypto isakmp policy 10
 encr 3des
 authentication pre-share
 group 2
 lifetime 28800
crypto ipsec client ezvpn CLIENT-EZ
 connect auto
 group ezvpn-group key ...................
 mode network-extension
 peer 10.10.10.10 ! <- IP peer-a
 virtual-interface 5
 username rtr@ezvpn-group password ..................
 xauth userid mode local
interface FastEthernet0
 desc internet
  crypto ipsec client ezvpn CLIENT-EZ
interface Virtual-Template5 
 ip unnumbered Vlan1
!
interface Vlan1
 description LAN
 crypto ipsec client ezvpn CLIENT-EZ inside
Czasem dodaję jeszcze jakieś ip sla monitorujące stan tunelu i resetujące sesję ezvpn gdy sla padnie.
Tunel w takiej konfiguracji zestawi się automatycznie ("connect auto") oczywiście może być też aktywowany ruchem lub nawet ręcznie po zalogowaniu się na router.
<: Enceladus :>

zahir
wannabe
wannabe
Posty: 101
Rejestracja: 23 lis 2009, 20:59

#5

#5 Post autor: zahir » 15 lut 2012, 14:58

hej.
Dzięki za podpowiedź. Nietstey jak się okazuje urządzenia z serii 2600 nie mogą być klientem ezVPN. :/ tak mówi feature navigator. Co dziwne mogą być serwerem.
Nie mogę nigdzie odszukać jak skonfigurować stronę klienta pod zwykłego ipseca remote-access (tzn router 2600 ma być klientem). Macie może jakieś doświadczenie w tej materii ?

zahir
wannabe
wannabe
Posty: 101
Rejestracja: 23 lis 2009, 20:59

#6

#6 Post autor: zahir » 16 lut 2012, 13:54

Rozwiązanie mojego problemu dla potomnych ;)

Configuring an IPsec Router Dynamic LAN-to-LAN Peer and VPN Clients

http://www.cisco.com/en/US/partner/tech ... ddbb.shtml

ODPOWIEDZ