Cisco VPN auf IOS-Router mit policy-based routing

Herausforderung

Es besteht eine Standardgateway über eine schnelle Leitung mit dynamischer IP. Eine zweite Leitung mit statischer IP soll für Email verwendet werden. Zusätzlich soll auch eine VPN-Einwahl auf der Leitung mit statischer IP möglich sein. Das Problem hier ist, dass mit klassischen Anleitungen im Netz zwar die Einwahl funktioniert, der Traffic im VPN aber nicht durch das korrekte Interface geschickt wird.

Folgend die Konfiguration die man i.d.R. findet:

aaa authentication login vpn_authentication local
aaa authorization network vpn_authorization local

crypto isakmp policy 1
 encr aes
 authentication pre-share
 group 2
!
crypto isakmp client configuration group vpn
 key <KEY>
 dns 192.168.1.100
 domain vpn.intern
 pool vpnpool
 acl 165
crypto isakmp profile vpn_ike-profile
   match identity group vpn
   client authentication list vpn_authentication
   isakmp authorization list vpn_authorization
   client configuration address respond
   virtual-template 1
!
!
crypto ipsec transform-set aesset esp-aes esp-sha-hmac
 mode tunnel
!
!
crypto ipsec profile vpn_ipsec-profile
 set transform-set aesset
 
 set isakmp-profile vpn_ike-profile
 
interface Virtual-Template1 type tunnel
 ip unnumbered Vlan1
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile vpn_ipsec-profile
 
interface Vlan1
 description LAN
 ip address 192.168.1.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1452
 ip policy route-map routing
 no autostate
!
interface Vlan2
 description SDSL
 ip address S.S.S.S 255.255.255.252
 ip nat outside
 ip virtual-reassembly in
 no autostate
!
interface Vlan3
 description VDSL
 ip address V.V.V.V 255.255.255.0
 ip nat outside
 ip virtual-reassembly in
 no autostate
!
ip local policy route-map routing
ip local pool vpnpool 192.168.1.70 192.168.1.80

ip route 0.0.0.0 0.0.0.0 V.V.V.V

access-list 100 permit ip host S.S.S.S any

access-list 165 permit ip 192.168.1.0 0.0.0.255 any

Ursache und Lösung

Man kann zwar ein VPN über die SDSL IP S.S.S.S aufbauen, Rückpakete gehen aber über die VDSL-Leitung ins Leere. Der entscheidende Parameter, der fehlt, ist „set reverse-route gateway <SDSL-Gateway>“. Dieser ist unter „crypto ipsec profile vpn_ipsec-profile“ zu setzen.

Kontakt

Wenn Sie Fragen oder Anmerkungen zu diesem Artikel haben, melden Sie sich bitte bei uns:
techcorner@max-it.de.

Über m.a.x. Informationstechnologie AG:
Als etabliertes Münchner Systemhaus zeichnen wir uns seit 1989 als verlässlicher IT-Partner mittelständischer und großer Unternehmen aus. Unser Portfolio reicht von IT- Services über individuelle Softwareentwicklung bis hin zu Cybersecurity.

Tags

Cisco IOS Client VPN Einwahl policy-based routing