VPN Server - IPSEC - Cisco?

Dus je wilt je hele netwerk in vpn zetten? Dan kun je nog altijd dhcp gebruiken, iets met een vlan volgens mij. Het juiste weet ik ook niet, maar de pro's zullen wel antwoorden.

Heb je GRE (protocol 47) doorgelaten in je FW? Het is ook vrij belangrijk dat je klokken goed staan. Destination NAT rule voor prot 47 naar je libreswan.

Ik gebruik geen Cisco apparatuur dus kan je daar niet mee helpen, ik gebruik overal Vyatta wat even strak in elkaar steekt als een Cisco CLI.

Wat je eigenlijk zoekt is een soort VPN appliance welke VPN connecties beëindigt en routeert over je netwerk. By default ga je sowieso de VPN appliance kunnen bereiken maar niet de rest van het netwerk omdat je lan machines hun antwoord naar dat vreemde VPN client IP niet herkennen en forwarden naar de default gateway (je KPN doos). Deze moet dus op de hoogte zijn van je VPN IP subnet en dat dus forwarden naar je appliance (static route, rip, ospf, ...). Je hebt dan een asymmetrisch netwerk pad (heen en terug lopen anders). Je kan het ook oplossen door alle trafiek uit je VPN tunnel te NAT'en waardoor het lijkt dat alle requests vanaf je VPN appliance komen, dit is een lokaal adres en zullen je LAN toestellen dan ook beantwoorden.

Dit hele probleem omzeil je dus als je KPN doos VPN tunnels doet (omdat hij toevallig de default gw is). Ik ken overigens libreswan niet, ik ken wel freeswan.

@Damic: hij wilt vanaf het internet een VPN kunnen opzetten waarmee zijn volledig intern netwerk mee kan bereiken.

GRE protocol wordt niet gebruikt bij IPSec. (Dwz, niet aan de buitenkant-- GRE door IPSec heen proppen is een veel gebruikte techniek die ik zelf ook toepas.) Je moet UDP over poorten 500 en 4500 forwarden. (Typisch gezien gebruikt IPSec protocol 50, ESP, maar dat werkt niet door NAT heen.)

Ik bedoelde ESP ja, sorry verwarring, laat. ESP werkt niet door NAT heen maar je kan wel een destination nat rule maken waarbij al het ESP traffiek (of afhankelijk van de source) naar een bepaalde LAN machine gaat.

Nu herinner ik me de verwarring weer: GRE is zodat je multicast kan versturen zodat je OSPF kan doen. OSPF routing updates over multicast over GRE over IPsec over internet, hoezo stacked.

[ Voor 96% gewijzigd door analog_ op 01-06-2013 20:48 ]

MPLS over GRE over IPSEC

analog_ schreef op zaterdag 01 juni 2013 @ 20:42:
Ik bedoelde ESP ja, sorry verwarring, laat. ESP werkt niet door NAT heen maar je kan wel een destination nat rule maken waarbij al het ESP traffiek (of afhankelijk van de source) naar een bepaalde LAN machine gaat.

ESP kun je alleen in tunnel mode door NAT heen proppen, maar VPN clients gebruiken naar mijnweten altijd transport mode. Dat gaat echter niet door NAT (het aanpassen van de packets wat NAT doet maakt dat de authentication niet meer klopt), dus daar is een andere oplossing voor: NAT-T. Wat neer komt op het hele zooitje nóg een keer inpakken in een udp pakketje.

Nu herinner ik me de verwarring weer: GRE is zodat je multicast kan versturen zodat je OSPF kan doen. OSPF routing updates over multicast over GRE over IPsec over internet, hoezo stacked.

Correct. Dat kan ook wel met andere protocollen overigens maar GRE is lekker simpel en wodt breed ondersteund.