Cisco VPN auf IOS-Router mit policy-based routing
Inhaltsverzeichnis
Herausforderung
Es besteht eine Standardgateway über eine schnelle Leitung mit dynamischer IP. Eine zweite Leitung mit statischer IP soll für Email verwendet werden. Zusätzlich soll auch eine VPN-Einwahl auf der Leitung mit statischer IP möglich sein. Das Problem hier ist, dass mit klassischen Anleitungen im Netz zwar die Einwahl funktioniert, der Traffic im VPN aber nicht durch das korrekte Interface geschickt wird.
Folgend die Konfiguration die man i.d.R. findet:
aaa authentication login vpn_authentication local aaa authorization network vpn_authorization local crypto isakmp policy 1 encr aes authentication pre-share group 2 ! crypto isakmp client configuration group vpn key <KEY> dns 192.168.1.100 domain vpn.intern pool vpnpool acl 165 crypto isakmp profile vpn_ike-profile match identity group vpn client authentication list vpn_authentication isakmp authorization list vpn_authorization client configuration address respond virtual-template 1 ! ! crypto ipsec transform-set aesset esp-aes esp-sha-hmac mode tunnel ! ! crypto ipsec profile vpn_ipsec-profile set transform-set aesset set isakmp-profile vpn_ike-profile interface Virtual-Template1 type tunnel ip unnumbered Vlan1 tunnel mode ipsec ipv4 tunnel protection ipsec profile vpn_ipsec-profile interface Vlan1 description LAN ip address 192.168.1.1 255.255.255.0 ip nat inside ip virtual-reassembly in ip tcp adjust-mss 1452 ip policy route-map routing no autostate ! interface Vlan2 description SDSL ip address S.S.S.S 255.255.255.252 ip nat outside ip virtual-reassembly in no autostate ! interface Vlan3 description VDSL ip address V.V.V.V 255.255.255.0 ip nat outside ip virtual-reassembly in no autostate ! ip local policy route-map routing ip local pool vpnpool 192.168.1.70 192.168.1.80 ip route 0.0.0.0 0.0.0.0 V.V.V.V access-list 100 permit ip host S.S.S.S any access-list 165 permit ip 192.168.1.0 0.0.0.255 any
Ursache und Lösung
Man kann zwar ein VPN über die SDSL IP S.S.S.S aufbauen, Rückpakete gehen aber über die VDSL-Leitung ins Leere. Der entscheidende Parameter, der fehlt, ist „set reverse-route gateway <SDSL-Gateway>“. Dieser ist unter „crypto ipsec profile vpn_ipsec-profile“ zu setzen.
Kontakt
Wenn Sie Fragen oder Anmerkungen zu diesem Artikel haben, melden Sie sich bitte bei uns:
techcorner@max-it.de.
Über m.a.x. Informationstechnologie AG:
Als etabliertes Münchner Systemhaus zeichnen wir uns seit 1989 als verlässlicher IT-Partner mittelständischer und großer Unternehmen aus. Unser Portfolio reicht von IT- Services über individuelle Softwareentwicklung bis hin zu Cybersecurity.
Tags
Cisco IOS Client VPN Einwahl policy-based routing