Hjelp til oppsett av Cisco 1710, VPN

[GrH]

Hei;)

 

Jeg skal sette opp en VPN løsning, slik at man kan koble opp en/flere client pc(r ) til et nettverk.

Det har jeg tenkt å gjøre med en Cisco 1710 Security Router, med en såkalt VPN modul installert og den har IOS 12.4 (mener jeg vet var)

 

Selve nettverket i dag er delt inn i mange VLAN for å dele inn nettverket i segmenter.

Det jeg har tenkt er å lage et nytt VLAN for VPN slik at jeg kan bestemme hvor VPN klientene skal ha tilgang til (Setter jeg opp i ruteren)

 

Har laget en liten tegning av hvordan jeg har tenkt å ha det! Håper dere forstår:

 

 

 

Men så lurer jeg da på hvordan jeg skal konfigurere cisco boksen. Jeg har ikke så mye peiling på cisco heller. Har lest noen guider og gjort litt småting med den! (Noob med andre ord!)

 

Kan jeg droppe hele VLAN 15?

Slik at den får innkommende VPN tilkoblinger på FastEthernet0?

Da slipper den jo på en måte og route det imellom to nett. Men kanskje den må det?

Hadde tenkt at VLAN 15 blir på en måte ”internett” for den og

VLAN 16 blir på en måte ”LAN” for den.

Men slipper jeg å ha to nett for det, hadde jo det vert lettere.

Er det noen som vet om det er mulig?

 

Noen innspill til mitt skjema?

Og ikke minst til hvordan jeg skal konfigurere den!

 

Hvor skal jeg starte ?

 

 

Tusen takk for all hjelp =)

Endret 19. april 2008 av Djgunnah

[Knopfix]

Hvis du ikke er vant til CLI og kjent med kommandoene så anbefaler jeg å skaffe Cisco SDM som gjør dette via webinterface.

Innstaller SDM på en PC da du muligens ikke ha nok minne i ruteren til SDM.

Velg å konfiguere en VPN server så blir du guidet gjennom en forenklet versjon eller en step by step prosess som gir deg muligheten til å skreddesy oppsettet.

Du velger utgående interface på ruter,subnet som skal krypteres,krypering osv.

Tilsutt har du testfunksjon som automatisk finner feil i oppsettet.

[GrH]

Hvis du ikke er vant til CLI og kjent med kommandoene så anbefaler jeg å skaffe Cisco SDM som gjør dette via webinterface.

Innstaller SDM på en PC da du muligens ikke ha nok minne i ruteren til SDM.

Velg å konfiguere en VPN server så blir du guidet gjennom en forenklet versjon eller en step by step prosess som gir deg muligheten til å skreddesy oppsettet.

Du velger utgående interface på ruter,subnet som skal krypteres,krypering osv.

Tilsutt har du testfunksjon som automatisk finner feil i oppsettet.

 

Nå har jeg fått innstalert det og testet det og SMD var jo GENIALT

 

Men har litt problemer med tingene fordi ?!

 

Se hær, Slik vil jeg ha det ( hvis det er mulig såklart )

 

 

 

Har klart nå å koble meg opp å Autorisere, slik at vpn clienten sier "connected" .. men får ikke det til og gå noe trafikk igjennom VPN tunellen! (Da sitter og client pcn på samme subnet)

 

Og det største problemet er vell at jeg klarer heller ikke å nå cisco boksen fra et annet subnet, Hverken med Ping, SMD, Eller VPN.

 

Og jeg har trippelt skjekket at det ikke er noe feil med routeren som router mellom Subnet`ene. Klarer og nå alle pc`ne som sitter på det subnet`et til cisco`en. Men ikke selve Cisco boksen, Som at den ikke var dær!

 

 

 

 

Takk for oppmerksomheten

Og takk for svaret hvis du har et (Setter pris på det ja )

[Knopfix]

Tror ikke det fungerer og koble opp klientene fra samme subnet de skal nå.

Du klarer ikke å nå Cisco boksen fra et annet subnet?Sikker på at ruting er riktig og at du ikke har på en brannmur som sperrer?

Skal du ha tilgang til både kryptert og ikke kryptert trafikk må du velge Split tunneling under Group authorization and user group policies\Add.

Du må passe på at visse porter er åpne.

Port UDP 500 for IKE og UDP 4500 må være åpen.

Siden trafikken er kryptert så klarer ikke rutere å lese TCP\UDP headeren(etter som hvordan du krypterer IP pakken).Det vil si rutere kan ikke bruke vanlig NAT når den ikke kan lese av kryptert portnummer.

Hvis UDP\TCP headeren er kryptert så kan rutere som forstår NAT-T kjøre NAT-T ved hjelp av en ekstra UDP header som sørger for NAT funksjon foran den krypterte pakken og da må port 4500 UDP være åpen.Så den porten må åpnes hvis du kjører IPSEC med kryptert TCP\UDP header.

Port 500 UDP IKE\ISAKMP(Internet key exchange) brukes til å åpne VPN oppkoblingen med autentisering,krypering osv og må være åpen.Den bruker UDP som default.

Bruker du TCP må du sette en statisk port selv.

Så hvis du har en brannmur\ruter må de portene være tilgjengelig.

I tillegg må protokoll for ESP(Encapsulation payload) 50 være åpen,og protokoll 51 hvis du bruker AH(Authentication header).

 

Eks på access list i ruter her.Hvis du ikke har en access list fra før trenger du ikke legge de til men du må eventuelt åpne for portene og protokollene i en annen brannmur hvis du har det.Mener SDM åpner disse portene automatisk i ruteren din.Er interfacet på ruteren med server konfigen direkte ut mot Internet og det kryptere nettet på et Interface bak?Og kobler du deg opp med Cisco VPN client?

Endret 26. april 2008 av Knopfix

[GrH]

Hei ...

Tuuusen takk for svar

 

Skjønte ikke alt du sa om NAT greiene. ( Skjønner at jeg må åpne porter ut mot internett ja, men jeg får ikke til og connecte til cisco boksen fra andre Subnett, Jeg er 1000% sikker på at der er alle portene åpne (skal i alle fall vere det) Dvs ikke noe feil med kjerne routeren)

 

Må jeg åpne i ciscoen, for og "godta" Connections fra andre subnet ?

 

La oss si at jeg går tilbake til det jeg først tenkte (Det Bildet i første post) Med et subnett for innkommende VPN connections, og et subnett for der vpn clientene får kontakt med.

 

Da er det jo standar internett på begge sidene av cisco boksen, Hvordan går det med den da ?

Fordi den har jo normalt internett bare på den ene siden.

Blir det ikke en slags loop da ?

 

 

 

 

Tuuusen takk for svar, Setter stor pris på det