IPSec VPN mit dynamischen IPs

Es ist nicht das Gelbe vom Ei aber auch mit zwei ADSL Anschlüssen und dynamischen IPs kann man ein nutzbares und verfügbares IPSec VPN aufbauen.

Ich habe es mit einer Mischung aus DynDNS, crypto dynamic-map und event manager applet’s gelöst.

Bei zwei Standorten sieht das wie folgt aus. Beide Router nutzen DynDNS. Der Router am ersten Standort bekommt eine ganz normale crypto map und einen Eintrag im event manager. Über einen Cronjob möchte ich die Tunnel nach einer eventuellen Trennung wieder vom Standort 1 aus zum Leben erwecken. Die folgende Konfig zeigt nur die relevanten Ausschnitte:

! Router 1
ip ddns update method dyndns
HTTP
add http://username:kennwort@<s>/nic/update?system=dyndns&hostname=&myip=<a>
interval maximum 0 1 0 0
!
! […]
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
crypto isakmp key !geheimgeheimgeheim! address 0.0.0.0 0.0.0.0 no-xauth
crypto isakmp identity hostname
crypto isakmp keepalive 20
!
!
crypto ipsec transform-set TRANSSECUR esp-3des esp-sha-hmac
!
crypto map Foo 20 ipsec-isakmp
set peer standort2.dyndns.org dynamic
set security-association lifetime seconds 28800
set transform-set TRANSSECUR
set pfs group2
match address 130
! […]
interface Dialer1
! […]
ip ddns update hostname standort1.dyndns.org
ip ddns update dyndns host members.dyndns.org
crypto map Foo
![…]
!
access-list 130 permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
! […]
event manager applet pingpeers
event timer cron name „pingpeers-schedule“ cron-entry „*/1 * * * *“
action 01.0 cli command „ping 192.168.1.1 source vlan 1“
![…]

Der zweite Standort bekommt die Dynamic Map.

! Router 2
ip ddns update method dyndns
HTTP
add http://username:kennwort@<s>/nic/update?system=dyndns&hostname=&myip=<a>
interval maximum 0 1 0 0
!
! […]
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
crypto isakmp key !geheimgeheimgeheim! address 0.0.0.0 0.0.0.0 no-xauth
crypto isakmp identity hostname
crypto isakmp keepalive 20
!
!
crypto ipsec transform-set TRANSSECUR esp-3des esp-sha-hmac
!
crypto dynamic-map Foo-dynamic 10
set security-association lifetime seconds 28800
set transform-set TRANSSECUR
set pfs group2
match address 130
!
crypto map Foo 30 ipsec-isakmp dynamic Foo-dynamic
! […]
interface Dialer1
! […]
ip ddns update hostname standort2.dyndns.org
ip ddns update dyndns host members.dyndns.org
crypto map Foo
!
![…]
access-list 130 permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
![…]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Time limit is exhausted. Please reload CAPTCHA.