Hej.
Niestety moja wiedza dot. połączeń VPN jest dość uboga, więc proszę was o pomoc. Szukam najbardziej odpowiedniego rozwiązania do zestawienia tunelu site-to-site, gdzie jedna ze stron otrzymuje dynamicznie IP zewnętrzne, które zmienia się dość często (raz na dobę).
Znana mi konfiguracja tuneli ipsecowych wymaga podania adresu peer'a, dlatego stwierdziłem, że taki tunel odpada (chyba że da się to jakoś obejść?). Z tego co się doszukałem router cisco nie może być konfigurowany jako klient PPTP. Tunel GRE też odpada jako, że również należy podać adresy destination/source.
Zastanawiałem się nad tunelem l2tp / l2tpv3, niestety strona z wytłumaczeniem konfiguracji i zasad działania jest dośc uboga:
http://www.cisco.com/en/US/docs/ios/12_ ... #wp1065917
Pytania:
1) Czy taki tunel (L2TP) będzie odpowiedni dla dynamicznego IP zew. ?
2) Da się to wykonać na IPSecu ?
3) Czy możecie mi powiedzieć czy jest kurs Ciscowy, który szczegółowo opisuje rodzaje tuneli, konfigurację itd ? Bo materiał ccna, ccnp tego nie pokrywa. A może jakaś dobra literatura do tego ?
4) Troszke poza tematem - jakie są korzyści z konfiguracji IPSec'a bez wykorzystania interfejsów tunnelowych ?
Dzięki za pomoc.
VPN + dynamic IP
Re: VPN + dynamic IP
Ad. 1. Najlepiej i najłatwiej zrobić Remote Access VPN. Na takie właśnie sytuacje został wymyślony.zahir pisze: Pytania:
1) Czy taki tunel (L2TP) będzie odpowiedni dla dynamicznego IP zew. ?
2) Da się to wykonać na IPSecu ?
3) Czy możecie mi powiedzieć czy jest kurs Ciscowy, który szczegółowo opisuje rodzaje tuneli, konfigurację itd ? Bo materiał ccna, ccnp tego nie pokrywa. A może jakaś dobra literatura do tego ?
4) Troszke poza tematem - jakie są korzyści z konfiguracji IPSec'a bez wykorzystania interfejsów tunnelowych ?
Ad. 2. Da się. Jw.
Ad. 3. Kursy do CCSP. Jeśli po prostu chcesz skonfigurować, to w sieci jest dodatkowo mnóstwo przykładów, jak to zrobić.
Ad. 4. Działają z innymi platformami, niż Cisco. Tak poza tym jakichś szczególnych korzyści nie ma, za to jest trochę wad, np. słabo się przesyła multicasty i są ograniczone możliwości w zakresie QoS.
Jeśli będziesz robił na Cisco po obu stronach to proponuję ezvpn z network extenderem po stronie z dynamicznym IP. Router zachowuje się jak klient VPN remote access, ale na routerze przyjmującym połączenie "wstrzyknie" trasy do sieci która jest za routerem zdalnym. Znakomicie się sprawdza na łączach typu CDMA czy 3G ze zmiennym IP.
Przykład hub-a:
router zdalny:
Czasem dodaję jeszcze jakieś ip sla monitorujące stan tunelu i resetujące sesję ezvpn gdy sla padnie.
Tunel w takiej konfiguracji zestawi się automatycznie ("connect auto") oczywiście może być też aktywowany ruchem lub nawet ręcznie po zalogowaniu się na router.
Przykład hub-a:
Kod: Zaznacz cały
aaa new-model
aaa authentication login userauthen local
aaa authorization network groupauthor local
username rtr@ezvpn-group secret 5 .........................
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
lifetime 28800
crypto isakmp client configuration group ezvpn-group
key .........................
pool ezvpn-group-pool
group-lock
save-password
pfs
crypto isakmp profile isakmp-profile-ezvpn
description Profil ISAKMP dla polaczen EZVPN
match identity group ezvpn-group
client authentication list userauthen
isakmp authorization list groupauthor
client configuration address respond
virtual-template 2
interface Virtual-Template2 type tunnel
ip unnumbered GigabitEthernet0/0
no snmp trap link-status
tunnel mode ipsec ipv4
tunnel protection ipsec profile ipsec-prof-ezvpn
ip local pool ezvpn-group-pool 10.10.10.1 10.10.10.10
Kod: Zaznacz cały
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
lifetime 28800
crypto ipsec client ezvpn CLIENT-EZ
connect auto
group ezvpn-group key ...................
mode network-extension
peer 10.10.10.10 ! <- IP peer-a
virtual-interface 5
username rtr@ezvpn-group password ..................
xauth userid mode local
interface FastEthernet0
desc internet
crypto ipsec client ezvpn CLIENT-EZ
interface Virtual-Template5
ip unnumbered Vlan1
!
interface Vlan1
description LAN
crypto ipsec client ezvpn CLIENT-EZ inside
Tunel w takiej konfiguracji zestawi się automatycznie ("connect auto") oczywiście może być też aktywowany ruchem lub nawet ręcznie po zalogowaniu się na router.
<: Enceladus :>
hej.
Dzięki za podpowiedź. Nietstey jak się okazuje urządzenia z serii 2600 nie mogą być klientem ezVPN. :/ tak mówi feature navigator. Co dziwne mogą być serwerem.
Nie mogę nigdzie odszukać jak skonfigurować stronę klienta pod zwykłego ipseca remote-access (tzn router 2600 ma być klientem). Macie może jakieś doświadczenie w tej materii ?
Dzięki za podpowiedź. Nietstey jak się okazuje urządzenia z serii 2600 nie mogą być klientem ezVPN. :/ tak mówi feature navigator. Co dziwne mogą być serwerem.
Nie mogę nigdzie odszukać jak skonfigurować stronę klienta pod zwykłego ipseca remote-access (tzn router 2600 ma być klientem). Macie może jakieś doświadczenie w tej materii ?
Rozwiązanie mojego problemu dla potomnych
Configuring an IPsec Router Dynamic LAN-to-LAN Peer and VPN Clients
http://www.cisco.com/en/US/partner/tech ... ddbb.shtml
Configuring an IPsec Router Dynamic LAN-to-LAN Peer and VPN Clients
http://www.cisco.com/en/US/partner/tech ... ddbb.shtml