VPN Tunnel mit dynamischer IP auf beiden Seiten

Wenn man keine statischen IP Adressen zur Verfügung hat, gestaltet es sich etwas schwieriger eine gesicherte VPN Verbindung aufzubauen. Vor allem wenn eine Seite ein UMTS Router mit nicht öffentlicher IP Adresse ist.

Zum Aufbau :
Router 1 : Cisco 886 ADSL Router mit öffentlicher, dynamischer IP
Router 2 : Cisco 881 UMTS Router mit privater, dynamischer IP

In diesem Fall kann nur der 881er Router die VPN Verbindung initieren.
Die folgenden Einstellungen sind auf beiden Routern ähnlich, man muß nur darauf achten, das jeweils die Gegenstelle einträgt.

Beide Router bekommen einen dynamischen DNS Eintrag (in meinem Fall von no-ip.com) :
ip ddns update method ddnsupdate
HTTP
add http://[E-MAIL:PASSWORT]@dynupdate.no-ip.com/nic/update?hostname=[HOSTNAME].no-ip.org
interval maximum 1 0 0 0

Hinweis : Beim kopieren der Befehle geht das “?” verloren. Die entsprechende Zeile sollte von Hand eingeben werden. Vor dem Fragezeichen einmal “STRG + v” drücken.


Der ausgehenden Schnittstelle (Dialer, Cellular, Ethernet, …) wird dann das DNS Update zugewiesen :
interface [EXTERNE SCHNITTSTELLE]
ip ddns update hostname [HOSTNAME].no-ip.org
ip ddns update ddnsupdate

Nach kurzer Zeit (hängt ein wenig vom DNS Server ab) sollte der ADSL Router über den Hostnamen erreichbar sein.

Danach werden die VPN Einstellungen vorgenommen (Crypto settings).

Die IP Adresse ist hier eine sog. Wildcard, da die IP der Gegenstelle nicht bekannt ist:
crypto isakmp policy 10
authentication pre-share
crypto isakmp key [GEHEIMES PASSWORT] address 0.0.0.0 0.0.0.0
crypto isakmp keepalive 10

Dann die Verschlüsselung selber:
crypto ipsec transform-set myset esp-3des esp-md5-hmac

Und die Cryptomap mit dem Gegenstellen Router:
crypto map myvpn 10 ipsec-isakmp
set peer [HOSTNAME DER GEGENSTELLE].no-ip.org dynamic
set transform-set myset
match address 101

Die benötigten Access Listen:
x – Lokaler, privater IP Bereich
y – entfernter, privater IP Bereich
z – die dazugehörige Wildcard Maske

Die Access-List 101 für die Cryptomap:
access-list 101 permit ip x.x.x.x z.z.z.z y.y.y.y z.z.z.z

Um die Kommunikation zwischen den Routern (in den lokalen, privaten Netzen) zu verschlüsseln und vom NAT auszuschließen:
ip nat inside source list 175 interface [EXTERNE SCHNITTSTELLE] overload
access-list 175 deny ip x.x.x.x z.z.z.z y.y.y.y z.z.z.z
access-list 175 permit ip x.x.x.x z.z.z.z any

Jetzt kann die Cryptomap auf die externe Schnittstelle angewendet werden:
interface [EXTERNE SCHNITTSTELLE]
crypto map myvpn

Da niemand seinen Router offen im Internet betreibt, sind folgende Ports und Dienste in der eingehenden ACL / Firewall einzutragen:
permit tcp any any eq 4500
permit tcp any any eq 500
permit udp any any eq isakmp
permit udp any any eq non500-isakmp
permit tcp any any eq 10000
permit tcp any any eq 8000

Wenn nun ein “Dauerping” vom UMTS Router gestartet wird, wird die VPN Verbindung nach kurzer Zeit gestartet.

Prüfen kann man die VPN Verbindung mit folgenden Befehlen :
show crypto isa sa
show crypto ipsec sa

2 Kommentare

  • Vanny

    Danke für euren Beitrag! Mache eine Ausbildung zur Informatikkauffrau und habe gerade eine ganz ähnliche Aufgabe vor mir. User Chef möchte nämlich eine VPN Verbindung von zu Hause in die Firma. Ich kläre mal mit meinem Vorgesetzten ob wir das so umsetzen können.

    Vielen Dank
    Vanessa

  • Peter Heck

    Genau das Problem was ich grade lösen musste. Ich bin derzeit dabei über NAT auf meinen Airport Extreme eine VPN Verbindung zu Tunneln die nur auf EINER Seite verfügbar sein soll da der Router nur als Zwischenstation dient. VIELEN VIELEN Dank 🙂

Schreibe einen Kommentar

You have to agree to the comment policy.

This Blog will give regular Commentators DoFollow Status. Implemented from IT Blögg