Site to Site mit Lancom dynamischer IP zu Cisco ASA statisch

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
capricorn72
Beiträge: 38
Registriert: 18 Jul 2005, 08:33

Site to Site mit Lancom dynamischer IP zu Cisco ASA statisch

Beitrag von capricorn72 »

Hi,

auf anraten unseres Lancom Vertriebskontaktes, wende ich mich an dieses Forum mit einer sehr brisanten Frage:
Wer kann eine Anleitung liefern wie eine Lancom mit dynamischer Public IP zu einem CISCO ASA Gateway 5515 einen Site to Site Tunnel aufbauen kann?
Es geht darum hauptsächlich um die Konfiguration der Cisco, da diese (ignorant wie nun mal die Cisco Leute eben sind) keine dynamic DNS Auflösung zu lassen.
Es kann in der Cisco leider immer nur eine statische IP anstelle FQDN Namen angegeben werden.

Daher auch die Frage ob Cisco überhaupt dynamische VPN Tunnels von Drittherstellen akzeptiert? Denn 2 ASAs können per dyndns miteinander anscheinend verbunden werden.
Aber da ich nicht unbedingt Freund von Cisco bin, möchte ich erst mal versuchen die Lancom´s an die Cisco zu bringen.

Und Nein eine config existiert nicht, wird aber gesucht, falls diese Frage aufkommt.
Desweiteren möchte ich darauf hinweisen, dass wir auch schon den Cisco Support kontaktierten und dieser lapidar meinte: "nehmen Sie 2 ASAs".
Und das Web bietet leider auch nichts an, was mit dynamic third party zu static ASA sich befasst. Irgendwie sehr ernüchternd.
Es gibt schließlich nicht nur static IPs auf dieser Welt.

Vielen Dank für jede Hilfe!

Grüße

M. Müller
Es gibt immer eine Lösung, man muss sie nur finden!
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: Site to Site mit Lancom dynamischer IP zu Cisco ASA stat

Beitrag von Dr.Einstein »

Hoi capricorn72,

das einfachste wäre Aggressive Mode zur ASA, wobei die Sicherheit dadurch minimal leidet. Dazu müsstet ihr die Verhandlung einfach um Local/Remote IDs erweitern, die du im Lancom unter VPN / IKE-IPSEC / IKE-Schlüssel. Die ASA verwendet soweit mir bekannt ist als deren local ID (also deine Remote ID) ihre eigene WAN-IP als Typ IPv4-Adresse. Eine genaue Anleitung, wie man jetzt die ASA konfiguriert, habe ich allerdings nicht.

Alternativ den Main Mode um Zertifikate erweitern.

Gruß Dr.Einstein
Benutzeravatar
Bernie137
Beiträge: 1700
Registriert: 17 Apr 2013, 21:50
Wohnort: zw. Chemnitz und Annaberg-Buchholz

Re: Site to Site mit Lancom dynamischer IP zu Cisco ASA stat

Beitrag von Bernie137 »

Hallo capricorn72,

wir haben zwei VPN Site2Site Tunnel zu Cisco Routern, wobei es sich meiner Kenntniss entzieht, was für Geräte es genau auf der Gegenseite sind.

Im einfacheren ersten Fall habe ich mit dem Setup-Assistenten für Site2Site Tunnel die Verbindung hergestellt. Auf meine Bitte hin wurde "angeblich" im Cisco für meine öffentliche IP ein FQDN verwendet. Somit könnte ich auf meiner Seite jederzeit die IP ändern, da ich selbst für die Namensauflösung sorge. Getestet wurde das bisher nie.

Im zweiten komplizierteren Fall ist der Lancom Router stellvertretend für eine VPN Client Einwahl in ein Rechenzentrum, er macht NAT auf dem VPN Tunnel und Aggressive Mode. Das hatten wir hier durchgekaut: http://www.lancom-forum.de/fragen-zum-t ... t8851.html

vg Bernie
Man lernt nie aus.
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: Site to Site mit Lancom dynamischer IP zu Cisco ASA stat

Beitrag von MariusP »

Hi,
Kann man im Cisco keine URLs per DNS auflösen lassen?
Ich würde ja sagen das kann nicht dein Ernst sein, aber ansonsten würdest du hier wohl nicht schreiben.
Wie wär es mit einem gewollten Man in the Middle der eine feste IP hat?
Aber mir deine Frage scheint mir dennoch besser in einem Cisco Forum aufgehoben zu sein.
Denn 2 ASAs können per dyndns miteinander anscheinend verbunden werden.
Aber wie wenn man keine DNS-Services nutzen kann?
Daher auch die Frage ob Cisco überhaupt dynamische VPN Tunnels von Drittherstellen akzeptiert?
Da müsste man sich die Verhandlung im unverschlüsseltem Zustand anschauen können um zu sehen wie der Cisco auf unterschiedliche Vendor-IDs reagiert und wie er diese dyndns Sachen verhandelt.
Bietet der Cisco das an?
*Hust* Lancom kann sowas anzeigen mit dem VPN-Ike Trace *Hust*
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
capricorn72
Beiträge: 38
Registriert: 18 Jul 2005, 08:33

Re: Site to Site mit Lancom dynamischer IP zu Cisco ASA stat

Beitrag von capricorn72 »

Hi all,

das zentrale Cisco ASA Gateway besitzt eine statische IP und kann definitiv keine DNS Auflösung für dynamic DNS Adressen konfiguriert bekommen im VPN Tunnel.
Daher muss die ASA irgendeinen Mechanismus konfiguriert bekommen welche eine andere Authentifizierungsmethode verwendet, damit ein Lancom mit x-beliebiger öffentlicher IP der Initiator des Tunnels werden kann.
Und ja mit statischen IPs auf beiden Seiten funktioniert es prima. Aber das ist nicht mein Sinn und Zweck hier.
Denn ich benötige konkret eine Konfiguration auf Cisco Seite nicht auf Lancom Seite.
In einem Cisco Forum ist die Frage auch möglich, aber dort hat keiner Erfahrungen mit Lancom Routern, geschweige denn mit 3rd Party Herstellern.
Da wird das Ganze eher als Beleidigung aufgefasst, wenn man 2 unterschiedliche Hersteller miteinander "verheiraten" möchte.
Daher ist es eher wahrscheinlich, dass ein Lancom Forum solch eine Lösung abwirft.

Vielen Dank!

Grüße

M. Müller
Es gibt immer eine Lösung, man muss sie nur finden!
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: Site to Site mit Lancom dynamischer IP zu Cisco ASA stat

Beitrag von MariusP »

Hi,
Was hast du denn von meiner vorherigen Idee gehalten?
Wie wär es mit einem gewollten Man in the Middle der eine feste IP hat?
Du baust die Verbindung mit einem Server mit statische Ip auf und von dort verwendest du einen Dienst/Software die Dyndns unterstützt?
So das du quasi 2 VPN Tunnel hast?
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: Site to Site mit Lancom dynamischer IP zu Cisco ASA stat

Beitrag von Dr.Einstein »

Was spricht gegen Aggressive Mode VPN oder Zertifikate ?
capricorn72
Beiträge: 38
Registriert: 18 Jul 2005, 08:33

Re: Site to Site mit Lancom dynamischer IP zu Cisco ASA stat

Beitrag von capricorn72 »

Hi MariusP,

Danke für diesen Vorschlag, aber das läuft vermutlich auf einen externen Dienstleister hinaus, und das gegen unsere Unternehmenspolicy.
Gerne engagiere ich einen Cisco Spezialisten der mit Lancom dieses Szenario aufgebaut hat. Dafür wären wir auch bereit zu bezahlen.

Danke dennoch!

Grüße

M. Müller
Es gibt immer eine Lösung, man muss sie nur finden!
capricorn72
Beiträge: 38
Registriert: 18 Jul 2005, 08:33

Re: Site to Site mit Lancom dynamischer IP zu Cisco ASA stat

Beitrag von capricorn72 »

Hi Dr.Einstein,

Gute Idee mit Aggressive Mode. Hast Du Erfahrung mit Cisco ASA config im Aggressive Mode?
Falls ja kannst Du ein paar Tips oder ein How to geben?

Danke!

Grüße

M. Müller
Es gibt immer eine Lösung, man muss sie nur finden!
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: Site to Site mit Lancom dynamischer IP zu Cisco ASA stat

Beitrag von Dr.Einstein »

Hallo capricorn72,

kenne mich leider mit der ASA Config nicht aus. Aber theoretisch bleibt die komplette Config wie beim Main Mode VPN gleich, bis aus der Ziel-IP -> 0.0.0.0 und Modus von Main auf Aggressive. Das mit den IDs macht glaube die ASA selbst, ansonsten googln / Anleitung. Sollte im Prinzip ein Standardszenario sein.

Gruß Dr.Einstein
robert-132
Beiträge: 13
Registriert: 04 Mai 2016, 14:06

Re: Site to Site mit Lancom dynamischer IP zu Cisco ASA stat

Beitrag von robert-132 »

Hallo,

ist zwar schön älter der Thread, aber ich häng mich mal da dran.

Hat inzwischen jemand eine Lösung für das Problem dynamische IP und Cisco ASA?

Ich möchte einen VPN über UMTS aufbauen und hier gibt es keine festen IPs.

Gruß
Robert
XJ8
Beiträge: 33
Registriert: 19 Okt 2019, 18:17

Re: Site to Site mit Lancom dynamischer IP zu Cisco ASA statisch

Beitrag von XJ8 »

Ist in der Tat etwas angestaubt dieser Thread ....

Aber ich antworte dennoch mal:

Ja, es funktioniert.
Bin auch auf der Suche nach einem Hinweis zum Thema LTE ==> Cisco ASA hier gestranded.

Auf der Filialseite ist ein 1781 irgendwas mit LTE Modem, mit aktueller Fimware - auf der Cisco Seite eine 5500-X mit 9.9.2 SW

Das klappt nur (IMHO) im Aggressiv-mode und wenn man bei Lancom keinen Wizard nimmt sondern alles schön zu Fuss durchklickt.

Nachtrag: natürlich kann die ASA in den derzeit supporteten Versionen auch IKEv2 ...

Beste Grüße
Zuletzt geändert von XJ8 am 19 Dez 2019, 22:08, insgesamt 1-mal geändert.
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: Site to Site mit Lancom dynamischer IP zu Cisco ASA statisch

Beitrag von GrandDixence »

Wenn dieser Cisco ASA nur IKEv1/IPSec unterstützt, gehört dieses Gerät entsorgt.
Aus Sicherheitsgründen sollte die Version 1 von IKE (IKEv1) durch die Version 2 ersetzt werden (IKEv2). Heute setzt ja auch niemand mehr WPA1 ein...
viewtopic.php?f=14&t=17739&p=100557#p100557
Antworten