ExtraIP GRE tunnel op Ubiqtuiti Edgerouter Lite

Vraag

vrijdag 6 juli 2018 22:38

Acties:

0 Henk 'm!

Topicstarter

Via via leerde ik over extraip.com. Hier kun je als bedrijf 8 extra ip adressen afnemen voor een klein bedrag. Deze kun je vervolgens via een GRE protocol naar je eigen verbinding krijgen en er op deze manier mee werken.

Ik ben al de hele dag aan het rommelen om de test-range aan het werk te krijgen, maar het lukt me niet. En om eerlijk te zijn, zie ik ook niet zo goed wat ik goed en/of fout doe. Wellicht dat jullie me wat meer kunnen uitleggen en/of de goede kant op kunnen sturen.

Mijn public IP zit op ETH0, mijn interne lan zit op ETH1.

Dit zijn de commando's die extraip zelf aangeeft die je moet gebruiken:

code:

configure
edit interfaces tunnel tun0
set encapsulation gre
set local-ip 1<mijn huidige public IP>

set remote-ip 87.233.64.250

set description "Extra-IP" 

set interfaces ethernet eth1 address 37.148.196.33/29

set protocols static route 87.233.64.250/32 <GATEWAY PROVIDER>
set protocols static interface-route 0.0.0.0/0 next-hop-interface tun0

exit
commit

Als ik bovenstaande domweg uitvoer, gaat het mis bij 'set interfaces ethernet eth1 address...'. Er wordt dan een foutmelding gegeven dat het commando niet (juist) herkend wordt. Als ik tussen 'set description' en 'set interfaces' een exit doe, dan kan ik de overige configuratie wel voltooien.

Echter, ik heb hier eth1 vervangen door eth0, omdat daar mijn internet op zit. Lijkt me onlogisch om public IP's op een intern netwerk te laten binnenkomen. Of zie ik dat verkeerd? (heb overigens eerst eth1 geprobeerd, dit werkte niet, dus vandaar eth0 ook geprobeerd, wat mij logischer leek)

Vervolgens loop ik vast bij '... static route...'. Dit krijg ik niet werkend. Heb geprobeerd om ook hier 'next-hop' erbij te zetten en dan loopt het commando wel, maar of dit goed is... geen idee.

Ik vind het ook heel lastig om te testen of iets nu werkt of niet. Logging is miniem of ... lastig te zien.

Wie heeft hier ervaring mee en kan/wil meedenken wat er hier mis gaat en hoe ik dit werkend kan krijgen?

PS: de range is een tijdelijke range. Vandaar dat het me niet nodig lijkt om te maskeren.

Alle reacties

zondag 8 juli 2018 18:50

Acties:

0 Henk 'm!

Bastiaan V

Tux's lil' helper

Weet je zeker dat interface eth1 wel bestaat?

zondag 8 juli 2018 19:11

Acties:

0 Henk 'm!

Massiefje

Topicstarter

Ja, 100%. Eth0, Eth1 en Eth2.

OP Eth0 zit mijn internet (en dus externe IP), op Eth1 zit mijn lokale lan en eth2 is onbenut op het moment

zondag 8 juli 2018 20:03

Acties:

0 Henk 'm!

Dafjedavid

Het lijkt erop dat je dehandleiding volgt op hun website die er op zich prima uitziet.

Zal zo eens testen of ik het na kan maken voor je.

(edit): ff gemist dat je een KvK nummer moet hebben.
Denk dat je met je routes sowieso misgaat, want neem aan dat je je default gateway het internet op via je provider wil laten lopen:

set protocols static interface-route 37.148.196.32/29 next-hop-interface tun0
set protocols static interface-route 0.0.0.0/0 next-hop-interface eth0

Wat ik er verder van zie moet t dan wel kloppen.

[ Voor 140% gewijzigd door Dafjedavid op 08-07-2018 21:08 ]

Who Needs Windows...

zondag 8 juli 2018 21:36

Acties:

0 Henk 'm!

Massiefje

Topicstarter

Dafjedavid schreef op zondag 8 juli 2018 @ 20:03:
Het lijkt erop dat je dehandleiding volgt op hun website die er op zich prima uitziet.

Zal zo eens testen of ik het na kan maken voor je.

(edit): ff gemist dat je een KvK nummer moet hebben.
Denk dat je met je routes sowieso misgaat, want neem aan dat je je default gateway het internet op via je provider wil laten lopen:

set protocols static interface-route 37.148.196.32/29 next-hop-interface tun0
set protocols static interface-route 0.0.0.0/0 next-hop-interface eth0

Wat ik er verder van zie moet t dan wel kloppen.

Okay, maar wat is er dan nog nodig om (bv) poort 80 te forwarden? En hoe test ik of het daadwerkelijk ook werkt?

En die IP reeks, komt die op ETH1 (local lan) of ETH0 (internet) interface?

[ Voor 4% gewijzigd door Massiefje op 08-07-2018 21:37 ]

zondag 8 juli 2018 23:48

Acties:

0 Henk 'm!

Dafjedavid

Ik ben ff aan t kijken of ik iemand zo gek krijg voor mij een account aan te laten maken zodat ik de config ff goed kan krijgen. Zal je vragen dan meenemen

In het kader van kennisverbreding

Who Needs Windows...

zondag 8 juli 2018 23:56

Acties:

0 Henk 'm!

Massiefje

Topicstarter

Dat wordt heel erg gewaardeerd, Dafjedavid!

Thanks!

maandag 9 juli 2018 07:21

Acties:

0 Henk 'm!

Dafjedavid

Account gemaakt, vanavond ff proberen

Who Needs Windows...

maandag 9 juli 2018 07:34

Acties:

0 Henk 'm!

TommieW

Numa numa.

Weet je heel zeker dat je het IP van eth0 moet veranderen en niet dat van de virtuele interface?

1700X@3,9GHZ - Asus Crosshair VI Hero - 32GB Corsair LPX - GTX 1070Ti
iPhone 13 Pro Max - Macbook Pro 16" M1 Pro

maandag 9 juli 2018 07:39

Acties:

0 Henk 'm!

Vorkie

configure
edit interfaces tunnel tun0
set encapsulation gre
set local-ip Uw publieke IP-adres
set remote-ip 85.12.12.12
set address XXX.XXX.XXX.XXX/YY
set description "Extra-IP"
exit
commit

Waarom zit je ETH1 aan te passen?

Je moet je TUN0 aanpassen, zoals je ziet in de voorbeeldconfig

https://extraip.com/configuraties/vyatta

[ Voor 6% gewijzigd door Vorkie op 09-07-2018 07:39 ]

maandag 9 juli 2018 10:02

Acties:

0 Henk 'm!

Massiefje

Topicstarter

KRGT: Als je een account hebt met een IP-reeks en je gaat naar je controlpanel toe, geven ze voor jouw specifieke configuratie de 'juiste' configuratie instellingen. Dat is wat ik hierboven gepost heb.

Wat jij hier neerzet heb ik uiteraard ook gezien, maar wijkt af van het control panel en is mist onderdelen.

Zoals ik al zei: ik heb niet genoeg kennis om te zien hoe de configuratie nou precies zou moeten zijn en dus te zien waar de fouten eventueel zitten.

Bovendien gaat het mis op dit stuk:

code:

set interfaces ethernet eth1 address 37.148.196.33/29

set protocols static route 87.233.64.250/32 <GATEWAY PROVIDER>
set protocols static interface-route 0.0.0.0/0 next-hop-interface tun0

Hier wordt wel degelijk verwezen naar ETH1 en dit stuk mist ook in de algemene config die jij net gaf

[ Voor 27% gewijzigd door Massiefje op 09-07-2018 10:03 ]

maandag 9 juli 2018 10:35

Acties:

0 Henk 'm!

Vorkie

Massiefje schreef op maandag 9 juli 2018 @ 10:02:
KRGT: Als je een account hebt met een IP-reeks en je gaat naar je controlpanel toe, geven ze voor jouw specifieke configuratie de 'juiste' configuratie instellingen. Dat is wat ik hierboven gepost heb.

Wat jij hier neerzet heb ik uiteraard ook gezien, maar wijkt af van het control panel en is mist onderdelen.

Zoals ik al zei: ik heb niet genoeg kennis om te zien hoe de configuratie nou precies zou moeten zijn en dus te zien waar de fouten eventueel zitten.

Bovendien gaat het mis op dit stuk:
code:
1
2
3
4
set interfaces ethernet eth1 address 37.148.196.33/29

set protocols static route 87.233.64.250/32 <GATEWAY PROVIDER>
set protocols static interface-route 0.0.0.0/0 next-hop-interface tun0
Hier wordt wel degelijk verwezen naar ETH1 en dit stuk mist ook in de algemene config die jij net gaf

Ik heb zelf ook een account en een aantal subnets bij ExtraIP.

Ik roep dus niet zomaar iets, net zoals bij PFsense en alle overige configuraties, dient er op de tunnel interface een IP adres te worden gezet. (De eerst beschikbare)

Stel dat je een reeks hebt:
x.x.x.10 = Network adres
x.x.x.11 = tun0 adres
x.x.x.12 = vrij adres
x.x.x.13 = vrij adres
x.x.x.14 = vrij adres
x.x.x.15 = vrij adres
x.x.x.16 = vrij adres
x.x.x.17 = Broadcast adres

Zodra je deze TUN0 hebt geconfigureerd met het eerst beschikbare IP adres heb je dus een DIRECT connect op jouw subnet, de /29.

Verder zegt de configuratie niets over of je deze daadwerkelijk zo kan implementeren bij jouw, dit ligt geheel aan je eigen configuratie en wensen. (Ik gebruik ze veelal op PFSense, daar is geeneens een config van...)

maandag 9 juli 2018 10:53

Acties:

0 Henk 'm!

Massiefje

Topicstarter

@Vorkie Bedankt voor je reactie.

Wat ik gewoon zou willen, is dat deze ip-reeks zich gedraagt alsof hij op mijn externe interface zit. Kan dat niet, dan alsof het een extra interface is, waarop ik kan natten en routeren waar nodig.

Daarom was ik ook in de war waarom ze ETH1 (of ETH0?) erbij betrekken.

En tot op heden snap ik nog steeds niet wat ze nu willen en hoe ze het voor zich zien.

maandag 9 juli 2018 10:54

Acties:

0 Henk 'm!

Vorkie

Heel misschien kan @Operations je even op weg helpen, deze had deze combinatie namelijk draaien.

maandag 9 juli 2018 11:31

Acties:

0 Henk 'm!

Sneezydevil

Volgens mij moet je inderdaad gewoon zorgen dat je GRE tunnel online is met het eerste IP adres wat je van extraip krijgt. Wat je dan met de rest van de adressen doet is aan jou.

Je kunt ze doorzetten naar een server of aan je router hangen en dan forwarden.

Ik zou dus beginnen met de tunnel, zie de post van @Vorkie

Kijk of je dat eerste IP dan kunt benaderen / pingen (Wel toestaan in de firewall natuurlijk).

Zodra je die online hebt kun je gaan kijken wat je met de rest van de ip adressen wil doen.

Mocht het niet lukken, dan wil best even voor je proberen, ik beheer genoeg EdgeMax routers om ergens wat te testen.

maandag 9 juli 2018 11:36

Acties:

0 Henk 'm!

Operations

Heb je deze vraag ook op het Unifi forum gesteld? Daar zitten een aantal mensen die ook met een GRE tunnel werken.

Waar ik zijdelings benieuwd naar ben is waarom wil je extra IP adressen? Heeft dit toevallig te maken met een mailserver en mail die in de Spam folder komen?

PC1: ASUS B650-Plus WiFi -- 9900X incl. X72 -- 64GB DDR5-6000Mhz -- Kingston Fury Renegade G5 2TB -- HP Z43 | Servers: 2x DELL R730 -- E5-2660 v4 -- 256GB -- Synology DS3617xs: 4x1,92TB SSD RAID F1 -- 6x8TB WD Purple RAID5

maandag 9 juli 2018 11:41

Acties:

0 Henk 'm!

Massiefje

Topicstarter

Operations schreef op maandag 9 juli 2018 @ 11:36:
Heb je deze vraag ook op het Unifi forum gesteld? Daar zitten een aantal mensen die ook met een GRE tunnel werken.

Waar ik zijdelings benieuwd naar ben is waarom wil je extra IP adressen? Heeft dit toevallig te maken met een mailserver en mail die in de Spam folder komen?

Nee, heb deze vraag nog niet op het Unifi forum gesteld. Dat kan ik ook nog wel doen. Mijn 'goto' plek is altijd Tweakers, vandaar.

En ik wil extra IP-adressen, om meerdere redenen:
1. Ik heb een dikke internet verbinding en draai wat servers hier. Zou het netjes willen inrichten, zoals het hoort
2. Vakidioot. Gewoon lekker 'speulen' met dit soort technieken, kijken wat er mogelijk is. Usecases maken voor klanten, etc etc.

Ik heb inderdaad wel een mailserver draaien, maar geen enkel probleem met het verdwijnen van mijn mail in spamfolders

maandag 9 juli 2018 12:12

Acties:

0 Henk 'm!

Massiefje

Topicstarter

Zojuist enkel de interface aangemaakt met de standaard commando's die ze geven. Daarna een default gateway ingesteld voor 87.233.64.50 naar mijn eigen gateway toe.

Vervolgens een firewall policy ruleset aangemaakt en hierin poort 443 toegang gegeven.

Tot slot een NAT rule op 443 naar een intern IP ingesteld.

Getest vanaf extern netwerk. Niets, nakkes, nada. Ik zie niet eens dat hij geblokkeerd wordt. Stats blijven op 0 packets staan. Er lijkt dus gewoon niets binnen te komen.

En zodra ik dit commando geef, begint mijn normale internet te klapperen (wat helemaal niet logisch is voor mij)

code:

1	set protocols static interface-route 0.0.0.0/0 next-hop-interface tun0

Ik zou verwachten dat het of wel werkt, of niet werkt. Maar sommige websites doen het wel, anderen doen het niet. RDP krijg ik wel een certificaat melding, maar mag niet inloggen. Pingen naar Google werkt ook niet. Heel vreemd.

Alles bij elkaar is dit waarom ik zo in de war bent. Het voelt 'onlogisch' wat hier gebeurd.

[ Voor 35% gewijzigd door Massiefje op 09-07-2018 12:21 ]

maandag 9 juli 2018 12:28

Acties:

0 Henk 'm!

Sneezydevil

Kun je de commando's die je nu gebruikt hebt eens posten?

Uit je eerste post dacht ik begrepen te hebben dat 87.233.64.250 het remote ip is van je van hun je gekregen hebt. Nu zie ik 87.233.64.50 is 1 van de 2 een typo?

Heb je de reeks of 1 van de ip adressen ook al toegewezen aan een interface?

code:

1	set protocols static interface-route 0.0.0.0/0 next-hop-interface tun0

Dit zou ik alleen doen, als je al je internet verkeer over de tunnel wil laten lopen.

[ Voor 22% gewijzigd door Sneezydevil op 09-07-2018 12:32 ]

maandag 9 juli 2018 12:36

Acties:

0 Henk 'm!

Massiefje

Topicstarter

@Sneezydevil Dit zijn de commando's in volgorde:

code:

configure
edit interfaces tunnel tun0
set encapsulation gre
set local-ip <MIJN PUBLIC IP>
set remote-ip 87.233.64.250
set address 37.148.196.33/29
set description "Extra-IP"
exit
commit

configure
set protocols static route 87.233.64.250/32 next-hop <MIJN ISP GATEWAY>

Vervolgens heb ik op ETH0 (mijn WAN port) 37.148.196.34/29 toegevoegd.

maandag 9 juli 2018 12:40

Acties:

0 Henk 'm!

Vorkie

Laat je GRE verkeer wel toe?

De Unifi / Vyatta oplossing valt /staat het heel erg met firewall rules, net zoals Mikrotik.

Is die .33 het eerst beschikbare IP adres? Dus de .11 uit mijn voorbeeld? Of gebruik je nu de .10 uit mijn voorbeeld?

En daarbij deze al doorgenomen?

https://community.ubnt.co...t-GRE-tunnel/td-p/1526748

[ Voor 19% gewijzigd door Vorkie op 09-07-2018 12:42 ]

maandag 9 juli 2018 12:44

Acties:

0 Henk 'm!

Massiefje

Topicstarter

@KRGT: Ik volg simpelweg de handleiding. Als ik ergens GRE verkeer moet toestaan... is dat niet vermeld, blijkbaar. Ik durf daar dus geen antwoord op te geven. Zou dat een firewall rule moeten zijn? Zo ja, hoe sta ik deze dan toe? Ik weet hoe ik de firewall moet instellen, maar doe ik dat op ETH0? OF tun0? Als eerste regel? Als laatste? Moet ik een nieuwe ruleset maken voor tun0? Moet ik tun0 toevoegen aan de standaard WAN_IN ruleset?

Allemaal vragen waar ik (nog) geen antwoord/logica in zie.

De range waar ik nu mee mag spelen is: 37.148.196.32/29

tun0 interface heeft 37.148.196.33/29 (zoals in documentatie en eerder door jou genoemde voorbeeld). Op ETH0 (WAN interface) staat nu 37.148.196.34/29

Intern kan ik pingen naar 37.148.196.34, maar dat zegt uiteraard niets. Enkel dat het op de interface is ingesteld, lijkt mij.

maandag 9 juli 2018 12:49

Acties:

0 Henk 'm!

Massiefje

Topicstarter

Vorkie schreef op maandag 9 juli 2018 @ 12:40:
En daarbij deze al doorgenomen?

https://community.ubnt.co...t-GRE-tunnel/td-p/1526748

Jazeker, daar ben ik mee begonnen. Maar hij gebruikt zoveel regels (met een andere wens dan ik), dat ik niet zie hoe dat aansluit op mijn wensen.

Ik probeer overigens het volgende (wat hij ook gebruikt):

code:

1	traceroute -i tun0 8.8.8.8

Ook hier zie ik geen traceroute lopen. Lijkt wel of er uberhaubt geen verkeer is.

[ Voor 20% gewijzigd door Massiefje op 09-07-2018 13:07 ]

maandag 9 juli 2018 13:57

Acties:

0 Henk 'm!

Sneezydevil

Default is dit wat je nodig hebt om GRE toe te staan:

code:

configure
set firewall name WAN_LOCAL rule 100 action accept
set firewall name WAN_LOCAL rule 100 description 'Allow GRE'
set firewall name WAN_LOCAL rule 100 protocol gre
commit
save
exit

Let ook op dat /29 een subnet van 8 adressen is dus als je .33/29 op tun0 hebt staan en .34/29 op eth0 heb je overlap.

maandag 9 juli 2018 14:06

Acties:

0 Henk 'm!

Massiefje

Topicstarter

Sneezydevil schreef op maandag 9 juli 2018 @ 13:57:
Default is dit wat je nodig hebt om GRE toe te staan:
code:
1
2
3
4
5
6
7
configure
set firewall name WAN_LOCAL rule 100 action accept
set firewall name WAN_LOCAL rule 100 description 'Allow GRE'
set firewall name WAN_LOCAL rule 100 protocol gre
commit
save
exit
Let ook op dat /29 een subnet van 8 adressen is dus als je .33/29 op tun0 hebt staan en .34/29 op eth0 heb je overlap.

Firewall rule aangemaakt. Thanks.

Maar hoe definieer ik dan het adres? Dit is namelijk exact zoals ze het zelf aangeven dat het zou moeten. Of gaat het HIER dus mis?

code:

1	set interfaces ethernet eth0 address 37.148.196.33/29

[ Voor 5% gewijzigd door Massiefje op 09-07-2018 14:07 ]

maandag 9 juli 2018 14:10

Acties:

0 Henk 'm!

Sneezydevil

Massiefje schreef op maandag 9 juli 2018 @ 14:06:
[...]

Firewall rule aangemaakt. Thanks.

Maar hoe definieer ik dan het adres? Dit is namelijk exact zoals ze het zelf aangeven dat het zou moeten. Of gaat het HIER dus mis?
code:
1
set interfaces ethernet eth0 address 37.148.196.33/29

Door er /32 van te maken dan heb je 1 adres. Zij zetten het hele subnet in 1 keer op eth1.

code:

1	set interfaces ethernet eth0 address 37.148.196.33/32

maandag 9 juli 2018 14:17

Acties:

0 Henk 'm!

Massiefje

Topicstarter

@Sneezydevil Goede tip, zojuist geprobeerd, maar er verandert helaas niets.

Ik heb niet eens een ping of traceroute over tun0, zo lijkt het. Er gaat (denk ik) wat mis met routing en/of firewalling. Maar ik weet niet hoe ik moet testen waar het mis gaat.

code:

root@asprout001# sudo traceroute -i tun0 8.8.8.8
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 38 byte packets
 1  *  *  *
 2  *  *  *

[ Voor 23% gewijzigd door Massiefje op 09-07-2018 14:19 ]

maandag 9 juli 2018 14:43

Acties:

0 Henk 'm!

Sneezydevil

Wat ik zei over die overlap klopt trouwens niet helemaal. Ik ben routers door elkaar aan het gooien denk ik

Zie je wel verkeer op je tun0?

code:

1	show interfaces tunnel tun0

maandag 9 juli 2018 14:47

Acties:

0 Henk 'm!

Massiefje

Topicstarter

Sneezydevil schreef op maandag 9 juli 2018 @ 14:43:
Wat ik zei over die overlap klopt trouwens niet helemaal. Ik ben routers door elkaar aan het gooien denk ik

Zie je wel verkeer op je tun0?
code:
1
show interfaces tunnel tun0

code:

root@asprout001# show interfaces tunnel tun0
 address 37.148.196.33/29
 description Extra-IP
 encapsulation gre
 firewall {
     in {
         name WAN_IN
     }
     local {
         name WAN_LOCAL
     }
 }
 local-ip <MIJN WAN IP>
 remote-ip 87.233.64.250

Hoe kan ik verkeer zien met dit commando?

maandag 9 juli 2018 14:57

Acties:

0 Henk 'm!

Sneezydevil

Je zit waarschijnlijk in configuration mode, de output van dat commando is dan anders.

code:

1 2	exit show interfaces tunnel tun0

maandag 9 juli 2018 14:58

Acties:

0 Henk 'm!

Massiefje

Topicstarter

Ah, thanks! Weer wat geleerd!

Output:

code:

root@asprout001:~# show interfaces tunnel tun0
tun0@NONE: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1476 qdisc noqueue state UNKNOWN group default
    link/gre <MIJN IP> peer 87.233.64.250
    inet 37.148.196.33/29 brd 37.148.196.39 scope global tun0
       valid_lft forever preferred_lft forever
    inet6 fe80::200:5efe:b95c:46cd/64 scope link
       valid_lft forever preferred_lft forever
    Description: Extra-IP

    RX:  bytes    packets     errors    dropped    overrun      mcast
             0          0          0          0          0          0
    TX:  bytes    packets     errors    dropped    carrier collisions
             0          0         12          0          0          0

maandag 9 juli 2018 15:02

Acties:

0 Henk 'm!

Equator

Crew Council

#whisky #barista

Move naar Netwerken

maandag 9 juli 2018 15:14

Acties:

0 Henk 'm!

Massiefje

Topicstarter

Via de UBNT community dit commando uitgevoerd:

code:

1	sudo tcpdump -i <WAN-Interface> -n proto gre

Vervolgens een PING opgezet naar een van de ExtraIP-adressen vanaf een externe server. Vervolgens zie ik in de output van het commando daadwerkelijk het origin-IP van de ping voorbij komen. Er lijkt dus wel iets te werken.

Maar wat mis ik dan nog?

code:

1	15:11:11.851245 IP 87.233.64.250 > <MIJN WAN IP>: GREv0, length 64: IP <ORIGIN-IP> 37.148.196.34: ICMP echo request, id 1, seq 22826, length 40

[ Voor 18% gewijzigd door Massiefje op 09-07-2018 15:15 ]

woensdag 5 juni 2019 22:59

Acties:

0 Henk 'm!

Operations

Is er toevallig inmiddels iemand die dit voor elkaar gekregen heeft? Ik zou ook graag een Extra-IP IPv4 blok aan mijn Ubiquiti Lite of PoE koppelen. Maar ook ik mis een stukje configuratie waarschijnlijk.

woensdag 2 december 2020 10:07

Acties:

0 Henk 'm!

Joopvankuzindo

IPSec

De bovenste router is de router die beide routes kent van router 2 en 3. Router 2 en 3 kennen alleen router 1
Eerst maak je een tunnel aan op router 1 2en 3.
Ip add 192.168.0.1 en 0.2 en 0.3
Tunnel source is port waarvan hij het uitzend bijv. fa0/1
Tunnel destination is ip waar router 3 het op ontvangt dus bijv 192.168.2.10. dit doe je ook bij router 3 maar dan met het ip van router 1.
Daarna doe je tunnel mode gre ip.
Dan doe je ip route (IP van het netwerk waar je mee wilt verbinden) 255.255.255.0 (IP van de isp waar de router waar je mee wilt verbinden, verbonden is)

code:

license boot module c1900 technology-package securityk9
copy run start
reload

R1
LET OP IEDERE ROUTER MOET ANDERE NAMEN HEBBEN VOOR DE MAPS, SETS etc.

Eerst Access-list maken voor router 2 en 3 dus bijv. 
R1 (Config)# access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
R1 (Config)# access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255

Dan doe je op R2 en R3 Hetzelfde maar dan alleen voor R1 Dus bijv.
R2 (Config)# access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
R3 (Config)# access-list 101 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255

Crypto isakmp policy 101 
Encryption aes
Authentication pre-share
Group 5
Exit
Crypto isakmp key (naam bijv. wassimkey) address (ip van routers aan andere kant)
R1(config)# crypto isakmp key wkey address 2.2.2.2
R1(config)# crypto isakmp key wkey address 3.3.3.2

Crypto ipsec transform-set (naam bijv. wassimset) esp-aes esp-sha-hmac

Crypto map (naam bijv. wmap) 101 ipsec-isakmp
R1(config)#crypto map wmap 101 ipsec-isakmp

Set peer (ip van r3 die verbonden is met isp)
R1(config-crypto-map)#set peer 2.2.2.2
R1(config-crypto-map)#set peer 3.3.3.2

Set transform-set (ZELFDE NAAM ALS TRANSFORM SET NAAM ‘wassimset’)
R1(config-crypto-map)#set transform-set wset

Match address (ZELFDE NAAM ALS GEMAAKTE ACCESSLIST)
R1(config-crypto-map)#match address 101

Interface (Interface die is verbonden isp)
Crypto map (ZELFDE NAAM ALS AANGEMAAKTE CRYPTO MAP ‘wmap’)
Do wr
Dit doe je aan beide kanten – Controle doe je met show crypto isakmp sa en show crypto ipsec sa

[ Voor 42% gewijzigd door rens-br op 07-12-2020 07:52 . Reden: Quote tags toegevoegd ]

zondag 6 december 2020 13:45

Acties:

0 Henk 'm!

Joopvankuzindo

code:

IPSec Create an IPsec VPN tunnel 

license boot module c1900 technology-package securityk9 

copy run start 

reload


2) Starting configurations for R1, ISP, and R3. Paste to global config mode :  

hostname R1  

interface g0/1 ip address 192.168.1.1 255.255.255.0  

no shut  

interface g0/0 ip address 209.165.100.1 255.255.255.0  

no shut  

exit  

ip route 0.0.0.0 0.0.0.0 209.165.100.2  

hostname ISP  

interface g0/1 ip address 209.165.200.2 255.255.255.0  

no shut  

interface g0/0 ip address 209.165.100.2 255.255.255.0  

no shut  

exit  

hostname R3  

interface g0/1 ip address 192.168.3.1 255.255.255.0  

no shut  

interface g0/0 ip address 209.165.200.1 255.255.255.0  

no shut  

exit  

ip route 0.0.0.0 0.0.0.0 209.165.200.2


3) Configure IPsec on the routers at each end of the tunnel (R1 and R3) 

!R1  

access-list 100 permit [b](source + destination network ID)[/b] 

crypto isakmp policy 10  

encryption aes 256  

authentication pre-share  

group 5  

! 

crypto isakmp key [b]secretkey[/b] address 209.165.200.1  

! 

crypto ipsec transform-set [b]R1-R3[/b] esp-aes 256 esp-sha-hmac  

! 

crypto map [b]IPSEC-MAP 10[/b] (iedere interface zelfde naam maar ander nummer) ipsec-isakmp


set peer [b]( destination ip address )[/b] 

set pfs group5  

set security-association lifetime seconds 86400  

set transform-set R1-R3  

match address 100  

! 

interface [b]GigabitEthernet0/0[/b]  

crypto map [b]IPSEC-MAP[/b]  

!


!R3  

access-list 100 permit [b](source + destination network ID)[/b] 

crypto isakmp policy 10  

encryption aes 256  

authentication pre-share  

group 5


!  

crypto isakmp key [b]secretkey[/b] address 209.165.100.1  

!  

crypto ipsec transform-set [b]R3-R1[/b] esp-aes 256 esp-sha-hmac  

! 

crypto map [b]IPSEC-MAP 10[/b] (Bij iedere interface ander nummer maar zelfde naam) ipsec-isakmp


set peer [b](destination IP)[/b] 

set pfs group5  

set security-association lifetime seconds 86400  

set transform-set [b]R3-R1[/b]  

match address 100  

!  

interface [b]GigabitEthernet0/0[/b]  

crypto map [b]IPSEC-MAP[/b]  

!


show crypto ipsec sa is voor de status of de VPN ipsec werkt

[ Voor 15% gewijzigd door rens-br op 07-12-2020 07:52 . Reden: Quote tags toegevoegd ]

zondag 6 december 2020 16:48

Acties:

0 Henk 'm!

Joopvankuzindo

Objectives

Part 1: Verify Router Connectivity

Part 2: Enable Security Features

Part 3: Configure IPSec Parameters

Part 4: Configure GRE Tunnels over IPSec

Part 5: Verify Connectivity

code:

Scenario

You are the network administrator for a company which wants to set up a GRE tunnel over IPsec to remote offices. All networks are locally configured, and need only the tunnel and the encryption configured.

Part 1: Verify Router Connectivity

Step 1: Ping R2 and R3 from R1.

a. From R1, ping the IP address of S0/0/0 on R2.

b. From R1, ping the IP address of S0/0/0 on R3.

Step 2: Ping Server1 from L2 and PC3.

Attempt to ping the IP address of Server1 from L2. We will repeat this test after configuring the GRE tunnel over IPsec. What were the ping results? Why?

Step 3: Ping PC3 from L2.

Attempt to ping the IP address of PC3 from L2. We will repeat this test after configuring the GRE tunnel over IPsec. What were the ping results? Why?

Part 2: Enable Security Features

Step 1: Activate securityk9 module.

The Security Technology Package license must be enabled to complete this activity.

a. Issue the show version command in the user EXEC or privileged EXEC mode to verify that the Security Technology Package license is activated.

----------------------------------------------------------------

Technology Technology-package Technology-package

Current Type Next reboot

-----------------------------------------------------------------

ipbase ipbasek9 Permanent ipbasek9

security None None None

uc None None None

data None None None

Configuration register is 0x2102

b. If not, activate the securityk9 module for the next boot of the router, accept the license, save the configuration, and reboot.

R1(config)# license boot module c2900 technology-package securityk9

R1(config)# end

R1# copy running-config startup-config

R1# reload

c. After the reloading is completed, issue the show version again to verify the Security Technology Package license activation.

Technology Package License Information for Module:'c2900'

----------------------------------------------------------------

Technology Technology-package Technology-package

Current Type Next reboot

-----------------------------------------------------------------

ipbase ipbasek9 Permanent ipbasek9

security securityk9 Evaluation securityk9

uc None None None

data None None None

d. Repeat Steps 1a to 1c with R2 and R3.

Part 3: Configure IPsec Parameters

Step 1: Identify interesting traffic on R1.

a. Configure ACL 101 to identify the traffic from the LAN on R1 to the LAN on R2 and R3 as interesting. This interesting traffic will trigger the IPsec VPN to be implemented whenever there is traffic between the R1 and R2 - R3 LANs. All other traffic sourced from the LANs will not be encrypted. Remember that because of the implicit deny any, there is no need to add the statement to the list.

R1(config)# access-list 101 permit ip 10.0.0.0 0.255.255.255 172.16.0.0 0.0.3.255

b. Repeat Step 1a to configure ACL 101 to identify the traffic on the LAN of R3 as interesting.

Step 2: Configure the ISAKMP Phase 1 properties on R1.

a. Configure the crypto ISAKMP policy 101 properties on R1 along with the shared crypto key cisco. Default values do not have to be configured therefore only the encryption, key exchange method, and DH method must be configured.

R1(config)# crypto isakmp policy 101

R1(config-isakmp)# encryption aes

R1(config-isakmp)# authentication pre-share

R1(config-isakmp)# group 5

R1(config-isakmp)# exit

b. Generate isakmp keys for each peer of R1.

R1(config)# crypto isakmp key cisco address 64.100.13.2

R1(config)# crypto isakmp key cisco address 64.102.46.2

Step 3: Configure the ISAKMP Phase 2 properties on R1.

a. Create the transform-set VPN-SET to use esp-aes and esp-sha-hmac. Then create the crypto map VPN-MAP that binds all of the Phase 2 parameters together. Use sequence number 101 and identify it as an ipsec-isakmp map.

R1(config)# crypto ipsec transform-set R1_Set esp-aes esp-sha-hmac

R1(config)# crypto map R1_Map 101 ipsec-isakmp

R1(config-crypto-map)# set peer 64.100.13.2

R1(config-crypto-map)# set peer 64.102.46.2

R1(config-crypto-map)# set transform-set R1_Set

R1(config-crypto-map)# match address 101

R1(config-crypto-map)# exit

Step 4: Configure the crypto map on the outgoing interface.

Finally, bind the R1_Map crypto map to the outgoing Serial 0/0/0 interface. Note: This is not graded.

R1(config)# interface S0/0/0

R1(config-if)# crypto map R1_Map

Step 5: Configure IPsec Parameters on R2 and R3

Repeat Steps 1-4 on R2 and R3. Modify the set, and map names from R1 to R2 and R3. Use the same extended ACL number, 101. Note that each router only needs one encrypted connection to R1. There is no encrypted connection between R2 and R3.

Part 4: Configure GRE Tunnels over IPSec

Step 1: Configure the Tunnel interfaces of R1.

a. Enter into the configuration mode for R1 Tunnel 0.

R1(config)# interface tunnel 0

b. Set the IP address as indicated in the Addressing Table.

R1(config-if)# ip address 192.168.0.1 255.255.255.252

c. Set the source and destination for the endpoints of Tunnel 0.

R1(config-if)# tunnel source s0/0/0

R1(config-if)# tunnel destination 64.100.13.2

d. Configure Tunnel 0 to convey IP traffic over GRE.

R1(config-if)# tunnel mode gre ip

e. The Tunnel 0 interface should already be active. In the event that it is not, treat it like any other interface.

f. Repeat Steps 1a-f to create the Tunnel 1 interface to R3. Change the addressing where appropriate.

Step 2: Configure the Tunnel 0 interface of R2 and R3.

a. Repeat Steps 1a – e with R2. Be sure to change the IP addressing as appropriate.

b. Repeat Steps 1a – e with R3. Be sure to change the IP addressing as appropriate.

Step 3: Configure a route for private IP traffic.

a. Define a route from R1 to the 172.16.0.0 and 172.16.4.0 networks using the next-hop address of the tunnel interface.

b. Define a route from R2 and R3 to the 10.0.0.0 network using the next-hop address of the tunnel interface.

Part 5: Verify Connectivity

Step 1: Ping Server1 from L2 and PC3.

a. Attempt to ping the IP address of Server1 from L2 and PC3. The ping should be successful.

b. Attempt to ping the IP address of L2 from PC3. The ping should fail because there is no tunnel between the two networks.

[ Voor 0% gewijzigd door rens-br op 07-12-2020 07:53 ]

maandag 7 december 2020 07:54

Acties:

0 Henk 'm!

rens-br

Admin IN & Moderator Mobile

@Joopvankuzindo Welkom op Tweakers en bedankt voor je configuratie. Dit topic is alleen al wat ouder en het beantwoorden van oudere topics heeft niet de voorkeur.

Verder heb ik even je posts aangepast, zodat ze wat beter te lezen zijn.

dinsdag 8 december 2020 19:40

Acties:

0 Henk 'm!

Specialistt1

IP route 0.0.0.0 0.0.0.0 [Ip next hop]
IP route 0.0.0.0 0.0.0.0 [IP van router]

Int tunnel 0
- IP address
- tunnel source (s/0/3/0)
- tunnel destination [IP next hop]

Op andere router

- IP address
- Tunnel source
- Tunnel destination

[ Voor 192% gewijzigd door Specialistt1 op 08-12-2020 19:41 ]

dinsdag 8 december 2020 19:45

Acties:

0 Henk 'm!

Specialistt1

*knip*

Het kicken van topics is niet gewenst

[ Voor 100% gewijzigd door rens-br op 08-12-2020 19:50 ]

Pagina: 1

Dit topic is gesloten.

Onderwerpen

Vraag

Alle reacties