Home » Blog » VPN mit Cisco-Devices
- Anzeige -
Software Asset Management beim Fachmann

VPN mit Cisco-Devices

Basierend auf diesen Artikel hier einige Notizen zur Konfiguration eines VPN. Simuliert wird das alles unter "Packet Tracer".

Die Ausgangskonfiguration sieht so aus:

VPN mit Cisco

Konfig des Routers "Left"

hostname Left
!
!
!
!
!
!
!
!
ip cef
no ipv6 cef
!
!
!
!
crypto isakmp policy 5
 encr 3des
 authentication pre-share
 group 2
 lifetime 72000
!
crypto isakmp key cisco address 10.0.0.2
!
!
!
crypto ipsec transform-set STRONG esp-3des esp-sha-hmac
!
crypto map CISCO 10 ipsec-isakmp 
 set peer 10.0.0.2
 set pfs group2
 set transform-set STRONG 
 match address 101
!
!
!
!
!
!
spanning-tree mode pvst
!
!
!
!
!
!
interface FastEthernet0/0
 ip address 10.0.0.1 255.0.0.0
 duplex auto
 speed auto
 crypto map CISCO
!
interface FastEthernet0/1
 ip address 192.168.0.1 255.255.255.0
 duplex auto
 speed auto
!
interface Vlan1
 no ip address
 shutdown
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.0.0.0 
ip route 192.168.2.0 255.255.255.0 10.0.0.2 
!
ip flow-export version 9
!
!
access-list 101 permit ip 192.168.0.0 0.0.0.255 192.168.2.0 0.0.0.255
!
!
!
!
!
line con 0
!
line aux 0
!
line vty 0 4
 login
!
!
!
end

Konfig des Routers "Right"

hostname Right
!
!
!
!
!
!
!
!
ip cef
no ipv6 cef
!
!
!
!
crypto isakmp policy 5
 encr 3des
 authentication pre-share
 group 2
 lifetime 72000
!
crypto isakmp key cisco address 10.0.0.1
!
!
!
crypto ipsec transform-set STRONG esp-3des esp-sha-hmac
!
crypto map Cisco 10 ipsec-isakmp 
 set peer 10.0.0.1
 set pfs group2
 set transform-set STRONG 
 match address 101
!
!
!
!
!
!
spanning-tree mode pvst
!
!
!
!
!
!
interface FastEthernet0/0
 ip address 10.0.0.2 255.0.0.0
 duplex auto
 speed auto
 crypto map Cisco
!
interface FastEthernet0/1
 ip address 192.168.2.1 255.255.255.0
 duplex auto
 speed auto
!
interface Vlan1
 no ip address
 shutdown
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.0.0.0 
ip route 192.168.0.0 255.255.255.0 10.0.0.1 
!
ip flow-export version 9
!
!
access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.0.255
!
!
!
!
!
line con 0
!
line aux 0
!
line vty 0 4
 login
!
!
!
end

Erklärung

Zunächst einmal eine handschriftliche Notiz, die die Zusammenhänge etwas verdeutlichen soll...

VPN mit Cisco

Mit dem Abschnitt...

crypto isakmp policy 5
 encr 3des
 authentication pre-share
 group 2
 lifetime 72000

...wird die isakmp Policy definiert. Internet Security Association and Key Management Protocol (ISAKMP) ist ein Protokoll zum Aufbau von sicheren Verbindungen und Austausch von kryptographischen Schlüsseln im Internet.

Die Verschlüsselung wird mit "encr 3des" auf Triple DES gesetzt. 3DES ist ein weit verbreiteter symmetrischer Verschlüsselungsalgorithmus.

Der vorher vereinbarte Schlüssel ("autentication pre-share") wird verwendet.

Schlüsselaustausch erfolgt nach Diffie-Hellman Gruppe 2 ("group 2").

Das Tunnel wird 72000 Sekunden offen gehalten ("lifetime 72000"). Beim Testen im Packet Tracer (und womöglich auch live) wird das Tunnel nicht sofort aufgebaut. Die ersten drei Pings schlagen daher erst einmal fehl.

crypto isakmp key cisco address 10.0.0.2

Für die Verschlüsselung mit der Remote-Stelle 10.0.0.2 wird das Passwort "cisco" verwendet.

crypto ipsec transform-set STRONG esp-3des esp-sha-hmac

Diese Anweisung definiert das transform-set, also die Kombination aus Sicherheits-Protokoll und Algorithmus. Ihm wird der Name "Strong" zugewiesen.

access-list 101 permit ip 192.168.0.0 0.0.0.255 192.168.2.0 0.0.0.255

Diese Anweisung, die viel weiter unten steht, definiert die access-list. Sie gibt an, welcher Verkehr verschlüsselt wird. Die access-list erhält die Nummer 101. Die Anweisung oben erlaubt konkret den kompletten IP-Vekehr von 192.168.0.0/24 zu 192.168.2.0/24. Die sehr komplexe Syntax kann hier nachgelesen werden.

crypto map CISCO 10 ipsec-isakmp 
 set peer 10.0.0.2
 set pfs group2
 set transform-set STRONG 
 match address 101

Diese Anweisungen definieren die sogenannte crypto map. Sie definiert...

Ryan Linfield erklärt die Theorie dazu ganz gut in diesem englischen Video:

interface FastEthernet0/0
 ip address 10.0.0.1 255.0.0.0
 duplex auto
 speed auto
 crypto map CISCO
 

Dieser und der nächste Abschnitt sind reine Interface-Definitionen. Dem oben gelisteten Interface "FastEthernet0/0" wird zusätzlich die crypto map CISCO zugeordnet.



War der Artikel hilfreich? Bitte liken und sharen. Danke!

it-zeugs.de ist auch auf Facebook...

Schreibe einen Kommentar - aber kein SPAM - der wird zuverlässig gefiltert!

  • Erforderliche Felder sind markiert mit *.

If you have trouble reading the code, click on the code itself to generate a new random code.