Archiv der Kategorie 'Cisco IOS'

VPN Verbindungsprobleme zwischen strongSwan 4.1.11 und Cisco Router mit IOS 15.0(1)M7

Veröffentlicht April 23, 2012 Cisco IOS , Linux , Netzwerk Hinterlasse einen Kommentar
Schlagworte: , , , , , ,

Bei einem kürzlichen Test ließ sich partout keine IPSec Verbindung zwischen einem Linux mit strongSwan und dem Cisco Router 881 aufbauen; bei jedem Verbindungsaufbau seitens strongSwan kam es zu folgendem Fehler:

vpn:~# ipsec up linux-cisco
002 "linux-cisco" #17326: initiating Main Mode
104 "linux-cisco" #17326: STATE_MAIN_I1: initiate
003 "linux-cisco" #17326: received Vendor ID payload [RFC 3947]
002 "linux-cisco" #17326: enabling possible NAT-traversal with method 3
106 "linux-cisco" #17326: STATE_MAIN_I2: sent MI2, expecting MR2
003 "linux-cisco" #17326: ignoring Vendor ID payload [Cisco-Unity]
003 "linux-cisco" #17326: received Vendor ID payload [Dead Peer Detection]
003 "linux-cisco" #17326: ignoring Vendor ID payload [3bdf474ef95bfef528d85476c8e3efbc]
003 "linux-cisco" #17326: received Vendor ID payload [XAUTH]
003 "linux-cisco" #17326: NAT-Traversal: Result using RFC 3947: no NAT detected
108 "linux-cisco" #17326: STATE_MAIN_I3: sent MI3, expecting MR3
003 "linux-cisco" #17326: discarding duplicate packet; already STATE_MAIN_I3
010 "linux-cisco" #17326: STATE_MAIN_I3: retransmission; will wait 20s for response
003 "linux-cisco" #17326: discarding duplicate packet; already STATE_MAIN_I3
003 "linux-cisco" #17326: discarding duplicate packet; already STATE_MAIN_I3
010 "linux-cisco" #17326: STATE_MAIN_I3: retransmission; will wait 40s for response
003 "linux-cisco" #17326: discarding duplicate packet; already STATE_MAIN_I3
031 "linux-cisco" #17326: max number of retransmissions (2) reached STATE_MAIN_I3.  Possible authentication failure: no acceptable response to our first encrypted message
000 "linux-cisco" #17326: starting keying attempt 2 of at most 3, but releasing whack

Auf dem Cisco Router war zeitgleich folgendes zu sehen:

cisco-881#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id status
51.243.239.41   223.23.80.47    MM_KEY_EXCH       2019 ACTIVE

cisco-881#show crypto session
Crypto session current status

Interface: FastEthernet4
Session status: DOWN-NEGOTIATING
Peer: 223.23.80.47 port 500
  IKE SA: local 51.243.239.41/500 remote 223.23.80.47/500 Inactive
  IKE SA: local 51.243.239.41/500 remote 223.23.80.47/500 Inactive
  IPSEC FLOW: permit ip 192.168.5.0/255.255.255.0 190.0.0.0/255.255.0.0
        Active SAs: 0, origin: crypto map

In strongSwan war der Tunnel wie folgt definiert:

conn linux-cisco
        left=223.23.80.47
        leftsubnet=190.0.0.0/16
        #
        keyexchange=ikev1
        #
        ike=aes-sha-modp1536
        esp=aes-sha1
        #
        right=51.243.239.41
        rightsubnet=192.168.5.0/24
        #
        keylife=1h
        ikelifetime=4h
        #
        authby=secret
        auto=start

Und auf dem Cisco-Router sah die Definition so aus:

crypto isakmp policy 1
 encr aes
 authentication pre-share
 group 5
 lifetime 14400
crypto isakmp key PSK address 223.23.80.47
!
!
crypto ipsec transform-set linux-cisco esp-aes esp-sha-hmac
!
crypto map linux-cisco 10 ipsec-isakmp
 set peer 223.23.80.47
 set transform-set linux-cisco
 set pfs group2
 match address 103
!
!
interface FastEthernet4
 description WAN
 ip address 51.243.239.41 255.255.255.248
 ip access-group 101 in
 duplex auto
 speed auto
 crypto map linux-cisco
!
access-list 103 permit ip 192.168.5.0 0.0.0.255 190.0.0.0 0.0.255.255

Das Problem ließ sich dadurch beheben, in dem die Verschlüsselungsdefinition von AES auf AES128 angepasst wurde:

conn linux-cisco
        left=223.23.80.47
        leftsubnet=190.0.0.0/16
        #
        keyexchange=ikev1
        #
        ike=aes128-sha-modp1536
        esp=aes128-sha1
        #
        right=51.243.239.41
        rightsubnet=192.168.5.0/24
        #
        keylife=1h
        ikelifetime=4h
        #
        authby=secret
        auto=start

Anschließend ließ sich die Verbindung problemlos aufbauen:

vpn:~# ipsec up linux-cisco
002 "linux-cisco" #17332: initiating Main Mode
104 "linux-cisco" #17332: STATE_MAIN_I1: initiate
003 "linux-cisco" #17332: received Vendor ID payload [RFC 3947]
002 "linux-cisco" #17332: enabling possible NAT-traversal with method 3
106 "linux-cisco" #17332: STATE_MAIN_I2: sent MI2, expecting MR2
003 "linux-cisco" #17332: ignoring Vendor ID payload [Cisco-Unity]
003 "linux-cisco" #17332: received Vendor ID payload [Dead Peer Detection]
003 "linux-cisco" #17332: ignoring Vendor ID payload [3bdf474e9d021e282b05ba8c081723e4]
003 "linux-cisco" #17332: received Vendor ID payload [XAUTH]
003 "linux-cisco" #17332: NAT-Traversal: Result using RFC 3947: no NAT detected
108 "linux-cisco" #17332: STATE_MAIN_I3: sent MI3, expecting MR3
002 "linux-cisco" #17332: Peer ID is ID_IPV4_ADDR: '51.243.239.41'
002 "linux-cisco" #17332: ISAKMP SA established
004 "linux-cisco" #17332: STATE_MAIN_I4: ISAKMP SA established
002 "linux-cisco" #17333: initiating Quick Mode PSK+ENCRYPT+TUNNEL+PFS+UP+MOBIKE {using isakmp#17332}
112 "linux-cisco" #17333: STATE_QUICK_I1: initiate
003 "linux-cisco" #17333: ignoring informational payload, type IPSEC_RESPONDER_LIFETIME
002 "linux-cisco" #17333: sent QI2, IPsec SA established {ESP=>0xa022fd69 0xa022fd69 <0x177a68e7}

Zur Ergänzung noch die funktionierende Verbindung auf Cisco-Seite:

cisco-881#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id status
51.243.239.41   223.23.80.47   QM_IDLE           2023 ACTIVE


cisco-881#show crypto session
Crypto session current status

Interface: FastEthernet4
Session status: UP-ACTIVE
Peer: 223.23.80.47 port 500
  IKE SA: local 51.243.239.41/500 remote 223.23.80.47/500 Active
  IPSEC FLOW: permit ip 192.168.5.0/255.255.255.0 190.0.0.0/255.255.0.0
        Active SAs: 2, origin: crypto map

InterVLAN Routing für mehrere SSIDs mit Cisco 881 Security Router und WAP4410N Access Points

Veröffentlicht März 5, 2012 Cisco IOS , Netzwerk Hinterlasse einen Kommentar
Schlagworte: , , , , , , , , , ,

Vor ein paar Wochen habe ich für eine kleine Firma mit 30 Mitarbeitern ein günstiges Wireless-LAN implementiert. Angefordert war die Abdeckung von drei Etagen und die Einrichtung von einem internen und einem Gäste-WLAN bei einem Budget von 1.000,- EUR.

Nach kurzer Recherche haben wir uns für eine Lösung bestehend aus drei WAP4410N Access Points und dem 881 Security Router von Cisco entschieden. Mit 650,- EUR liegt das sogar noch deutlich unter dem Budget. Der Internetzugang für das Gäste-WLAN wird über ein bestehendes Gateway realisiert, der Router wird lediglich für das Routing zwischen den VLANs benötigt.

Zuerst wird mithilfe der seriellen Schnittstelle die Initialkonfiguration des Routers vorgenommen, wobei als erstes die nicht benötige Standardkonfiguration des Routers gelöscht wird:

cisco-881#erase startup-config
Erasing the nvram filesystem will remove all configuration files! Continue? [confirm][OK]
Erase of nvram: complete
Mar  5 08:26:08.663: %SYS-7-NV_BLOCK_INIT: Initialized the geometry of nvram
cisco-881#reload

Proceed with reload? [confirm]

Mar  5 08:26:13.951: %SYS-5-RELOAD: Reload requested by cisco on console. Reload
Reason: Reload Command.

Nach dem Reboot des Routers wird der Initial Configuration Dialog durchlaufen und damit Hostname, Zugangsdaten und IP-Adresse des Standard VLANs definiert:

Would you like to enter the initial configuration dialog? [yes/no]: yes

At any point you may enter a question mark '?' for help.
Use ctrl-c to abort configuration dialog at any prompt.
Default settings are in square brackets '[]'.

Basic management setup configures only enough connectivity
for management of the system, extended setup will ask you
to configure each interface on the system

Would you like to enter basic management setup? [yes/no]: yes
Configuring global parameters:

  Enter host name [Router]: cisco-881

  The enable secret is a password used to protect access to
  privileged EXEC and configuration modes. This password, after
  entered, becomes encrypted in the configuration.
  Enter enable secret: password1

  The enable password is used when you do not specify an
  enable secret password, with some older software versions, and
  some boot images.
  Enter enable password: password1

  The virtual terminal password is used to protect
  access to the router over a network interface.
  Enter virtual terminal password: login
  Configure SNMP Network Management? [yes]: 
    Community string [public]:

Current interface summary

Any interface listed with OK? value "NO" does not have a valid configuration

Interface                  IP-Address      OK? Method Status                Protocol

FastEthernet0              unassigned      YES unset  down                  down

FastEthernet1              unassigned      YES unset  down                  down

FastEthernet2              unassigned      YES unset  down                  down

FastEthernet3              unassigned      YES unset  down                  down

FastEthernet4              unassigned      NO  unset  down                  down

Vlan1                      unassigned      YES unset  down                  down


Enter interface name used to connect to the
management network from the above interface summary: vlan1

Configuring interface Vlan1:
  Configure IP on this interface? [no]: yes
    IP address for this interface: 172.16.10.103
    Subnet mask for this interface [255.255.255.0] :
    Class C network is 172.16.10.0, 24 subnet bits; mask is /24

The following configuration command script was created:

hostname cisco-881
enable secret 5 $1$h/Ct$GqBK5RTlIUfCz13eKO0.y/
enable password password1
line vty 0 4
password login
snmp-server community public
!
no ip routing

!
interface FastEthernet0
shutdown
no ip address
!
interface FastEthernet1
shutdown
no ip address
!
interface FastEthernet2
shutdown
no ip address
!
interface FastEthernet3
shutdown
no ip address
!
interface FastEthernet4
shutdown
no ip address
!
interface Vlan1
no shutdown
ip address 172.16.10.103 255.255.255.0
!
end

[0] Go to the IOS command prompt without saving this config.
[1] Return back to the setup without saving this config.
[2] Save this configuration to nvram and exit.

Enter your selection [2]: 2
Building configuration...
Use the enabled mode 'configure' command to modify this configuration.

Als nächstes wird SSH konfiguriert, ein Benutzer angelegt, der Session-Timeout für Terminalverbindungen festgelegt und die Interfaces aktiviert:

cisco-881>ena
Password:
cisco-881#conf term
Enter configuration commands, one per line.  End with CNTL/Z.
cisco-881(config)#ip domain-name layer9.intern
cisco-881(config)#crypto key generate rsa
The name for the keys will be: cisco-881.layer9.intern
Choose the size of the key modulus in the range of 360 to 2048 for your
  General Purpose Keys. Choosing a key modulus greater than 512 may take
  a few minutes.

How many bits in the modulus [512]: 2048
% Generating 2048 bit RSA keys, keys will be non-exportable...[OK]

cisco-881(config)#ip ssh rsa keypair-name cisco-881.layer9.intern
cisco-881(config)#
Mar  5 08:44:58.511: %SSH-5-DISABLED: SSH 1.99 has been disabled
Mar  5 08:44:58.511: %SSH-5-ENABLED: SSH 1.99 has been enabled

cisco-881#show ip ssh
SSH Enabled - version 1.99
Authentication timeout: 120 secs; Authentication retries: 3
Minimum expected Diffie Hellman key size : 1024 bits
IOS Keys in SECSH format(ssh-rsa, base64 encoded):
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCxPGJ4UPVGDKn5tupexGjOrwmMfJa6SsAJ
c8ZOMeL5FoAE9IYMxdUSZORRezWMD95NOUMPGR4GtFw6uhlg1MPqCMu0Bzx2A/TA
BnariuSkFfD6U7eEYZh7/qk48rqLBZOQSo0bnmGYA0mVkFPjFRqUiUyzw9cRsT5k
Fwhd/v63Z2XIP1hZJUa3Mg9pc/AWkXGgc170bl5aLU0Q1F372aiIF/xDdQFElsEG
DvOVUK6IRkkw1n0+eZ+xSzmlO/fc/iRhqKwnhqOVgf7TPI886WhSsjYFUaC96gmo
eYSzDXBTZWJz52o7XtsMh21AbNz378xde6Ot7A+BrxQ+RJQNv903

cisco-881(config)#username layer9 password login
cisco-881(config)#aaa new-model
cisco-881(config)#aaa authentication login default local

cisco-881(config)#line vty 0 4
cisco-881(config-line)#session-timeout 120

cisco-881(config)#interface range fastEthernet 0-3
cisco-881(config-if-range)#no shutdown
Mar  5 08:48:46.107: %LINK-3-UPDOWN: Interface FastEthernet0, changed state to up
Mar  5 08:48:46.123: %LINK-3-UPDOWN: Interface FastEthernet1, changed state to up
Mar  5 08:48:46.135: %LINK-3-UPDOWN: Interface FastEthernet2, changed state to down
Mar  5 08:48:46.143: %LINK-3-UPDOWN: Interface FastEthernet3, changed state to down
Mar  5 08:48:47.107: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0, changed state to up
Mar  5 08:48:47.123: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet1, changed state to up
Mar  5 08:49:16.959: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state to up

Anschließend werden NTP-Server und Logging eingerichtet:

cisco-881(config)#ntp server 172.16.10.1
cisco-881(config)#clock timezone CET +1
cisco-881(config)#clock summer-time CET recurring last Sun Mar 2:00 last Sun Oct 2:00
Mar  5 09:08:44.988: %SYS-6-CLOCKUPDATE: System clock has been updated from 09:08:44
UTC Mon Mar 5 2012 to 10:08:44 CET Mon Mar 5 2012
Mar  5 09:09:04.692: %SYS-6-CLOCKUPDATE: System clock has been updated from 10:09:04
CET Mon Mar 5 2012 to 10:09:04 CET Mon Mar 5 2012

cisco-881(config)#logging 172.16.10.20
cisco-881(config)#logging trap debugging
cisco-881(config)#service timestamps debug datetime localtime msec
cisco-881(config)#service timestamps log datetime localtime msec
cisco-881(config)#service sequence-numbers
000042: Mar  5 10:11:26.371: %SYS-6-LOGGINGHOST_STARTSTOP: Logging to host
172.16.10.20 port 514 started - CLI initiated

Im nächsten Schritt wird das Routing aktiviert und die Default-Route hinterlegt, über die später auch der Internetzugriff für das Gäste-WLAN erfolgt:

cisco-881(config)#ip routing
cisco-881(config)#ip route 0.0.0.0 0.0.0.0 172.16.10.1
cisco-881(config)#end

cisco-881#show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, + - replicated route

Gateway of last resort is 172.16.10.1 to network 0.0.0.0

S*    0.0.0.0/0 [1/0] via 172.16.10.1
      172.16.10.0/24 is variably subnetted, 2 subnets, 2 masks
C        172.16.10.0/24 is directly connected, Vlan1
L        172.16.10.103/32 is directly connected, Vlan1

Jetzt wird das VLAN bzw. SVI für das Gäste-WLAN erstellt, dessen IP-Adresse später als Standardgateway für dort befindlichen Clients verwendet wird.

cisco-881(config)#vlan 5
cisco-881(config-vlan)#name wlan-guests
cisco-881(config-vlan)#exit
cisco-881(config)#interface vlan 5
cisco-881(config-if)#ip address 192.168.5.1 255.255.255.0

cisco-881#show vlan-switch

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa0, Fa1, Fa2, Fa3
5    wlan-guests                       active
1002 fddi-default                     act/unsup
1003 token-ring-default               act/unsup
1004 fddinet-default                  act/unsup
1005 trnet-default                    act/unsup

Nach Hinzufügen des VLANs ist das SVI (Switched Virtual Interface) zunächst noch down, sprich für das Netz 192.168.5.0/24 existiert noch kein Eintrag in der Routing-Tabelle. Um das virtuelle Interface zu aktivieren, muss sich zunächst ein Port im entsprechenden VLAN befinden und ein Gerät angeschlossen sein. Da sich die Access Points neben dem Gäste VLAN5 auch im Management VLAN1 befinden, müssen die entsprechenden Ports am Router als Trunk konfiguriert werden – hier beispielhaft für das Interface fastEthernet 1:

cisco-881(config)#interface fastEthernet 1
cisco-881(config-if)#switchport mode trunk
000046: Mar  5 10:31:48.239: %DTP-5-TRUNKPORTON: Port Fa1 has become dot1q trunk

Ist ein Gerät angeschlossen und das Interface damit “up”, aktiviert sich auch das SVI und das Netz erscheint in der Routing-Tabelle:

cisco-881#show ip route

Gateway of last resort is 172.16.10.1 to network 0.0.0.0

S*    0.0.0.0/0 [1/0] via 172.16.10.1
      172.16.10.0/24 is variably subnetted, 2 subnets, 2 masks
C        172.16.10.0/24 is directly connected, Vlan1
L        172.16.10.103/32 is directly connected, Vlan1
      192.168.5.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.5.0/24 is directly connected, Vlan5
L        192.168.5.1/32 is directly connected, Vlan5

Da auf dem Router standardmäßig jeglicher Verkehr erlaubt ist, muss mittels einer Access List die Kommunikation zwischem dem Gäste-WLAN (192.168.5.0/24) und dem internen Netzwerk (172.16.10.0/24) verhindert werden.

Grundsätzlich wird bei Traffic auf dem Router zwischen In/Out und bei den Access Lists zwischen Inbound und Outbound unterschieden [1]:

  • Out — Traffic that has already been through the router and leaves the interface. The source is where it has been, on the other side of the router, and the destination is where it goes.
  • In — Traffic that arrives on the interface and then goes through the router. The source is where it has been and the destination is where it goes, on the other side of the router.
  • Inbound — If the access list is inbound, when the router receives a packet, the Cisco IOS software checks the criteria statements of the access list for a match. If the packet is permitted, the software continues to process the packet. If the packet is denied, the software discards the packet.
  • Outbound — If the access list is outbound, after the software receives and routes a packet to the outbound interface, the software checks the criteria statements of the access list for a match. If the packet is permitted, the software transmits the packet. If the packet is denied, the software discards the packet.

Um Traffic vom Gäste WLAN zum internen Netzwerk zu unterbinden, muss also eine Inbound-Access-List eingerichtet werden, die am Interface VLAN5 eingehenden Traffic von 192.168.5.0/24 zum Netz 172.16.10.0/24 blockiert. Gleichzeitig muss sichergestellt sein, dass DHCP-Requests zum internen DHCP Server und jeglicher anderer Traffic zwecks Internetzugriff zugelassen werden.

Dazu wird eine entsprechende Access List erstellt und anschließend Inbound an das Interface gebunden:

cisco-881(config)#ip access-list extended 100
cisco-881(config-ext-nacl)#permit icmp any any
cisco-881(config-ext-nacl)#permit udp any any eq 67
cisco-881(config-ext-nacl)#deny ip any 172.16.10.0 0.0.0.255
cisco-881(config-ext-nacl)#permit ip any any
cisco-881(config-ext-nacl)#exit

cisco-881(config)#interface vlan 5
cisco-881(config-if)#ip access-group 100 in

Anschließend kann die Konfiguration der Access List wie folgt überprüft werden:

cisco-881#show running-config interface vlan 5
Building configuration...

Current configuration : 85 bytes
!
interface Vlan5
 ip address 192.168.5.1 255.255.255.0
 ip access-group 100 in
end

cisco-881#show ip access-lists
Extended IP access list 100
    10 permit icmp any any
    20 permit udp any any eq bootps
    30 deny ip any 172.16.10.0 0.0.0.255
    40 permit ip any any

Die Access List definiert dabei folgende Regeln:

  • Regel 10 erlaubt sämtlichen ICMP Verkehr von jeder Quelle (any) zu jedem Ziel (any)
  • Regel 20 erlaubt UDP Verkehr mit Zielport 67 (DHCP Server) von jeder zu jeder Quelle
  • Regel 30 verbietet sämtlichen IP Verkehr von jeder Quelle zum Ziel 172.16.10.0/24
  • Regel 40 erlaubt sämtlichen IP Verkehr von jeder Quelle zu jeder Quelle

Die Regel für den DHCP-Verkehr wird nicht weiter eingeschränkt, weil DHCP Requests als Quelladresse immer 0.0.0.0 und als Zieladresse 255.255.255.255 verwenden. Regel 40 wird deshalb benötigt, weil Clients im Gäste-WLAN unbeschränkten Zugriff auf das Internet erhalten sollen. Existieren noch weitere interne Netzwerke, muss die Kommunikation dorthin natürlich ebenfalls mit einer entsprechenden Regel eingeschränkt werden.

Die Antwortpakete sind in dieser Konfiguration immer erlaubt – schließlich gilt die Inbound Access List nur für Traffic, der von Interface VLAN5 direkt empfangen wird. Möchte man auch die Kommunikation vom internen Netzwerk zum Gäste-WLAN einschränken, muss eine entsprechende Outbound Access List erstellt werden.

Um DHCP-Traffic aus VLAN5 zum internen DHCP-Server weiterzuleiten, muss für VLAN5 noch die IP-Adresse des entsprechenden Servers angegeben werden:

cisco-881(config)#interface vlan 5
cisco-881(config-if)#ip helper-address 172.16.10.45

Auf dem DHCP-Server, z.B. Windows Server 2008 R2, muss dann lediglich ein dem IP-Netz von VLAN5 (192.168.5.0/24) entsprechender Scope existieren.

Wer den Internetzugang für das Gäste-WLAN ebenfalls über den Security Router realisieren möchte, kann natürlich auch das tun. Im folgenden Beispiel existiert ein offizielles Netz mit mehreren IPv4 Adressen, von denen eine für das WAN-Interface des Routers verwendet wird:

cisco-881(config)#interface fastEthernet 4
cisco-881(config-if)#no shutdown
cisco-881(config-if)#ip address 218.14.81.151 255.255.255.248

Entsprechend dem offiziellen IP Netz wird die Default Route auf dem Router angepasst:

cisco-881(config)#ip route 0.0.0.0 0.0.0.0 218.14.81.150

Da auf dem Router standardmäßig jede Kommunikation zugelassen ist, muss anschließend eine Regel erstellt werden, die eingehende Pakete aus dem Internet blockiert. Nur ICMP wird erlaubt:

cisco-881(config)#ip access-list extended 103
cisco-881(config-ext-nacl)#permit icmp any any
cisco-881(config-ext-nacl)#deny ip any any
cisco-881(config-ext-nacl)#exit

cisco-881(config)#interface fastEthernet 4
cisco-881(config-if)#ip access-group 103 in
cisco-881(config-if)#exit

In dieser Konstellation werden nun mit Ausnahme von ICMP alle auf dem WAN Interface eingehenden Pakete blockiert – also auch Antworten auf Verbindungen, die gewünscht sind. Der Internetzugriff für das Gäste WLAN würde so natürlich nicht funktionieren.

Da man nicht für jede Verbindung eine Regel für entsprechende Antwortpakete erstellen kann, muss in diesem Fall mit Stateful Inspection bzw. Context-Based Access Control (CBAC) gearbeitet werden. Bei Verwendung von CBAC prüft der Router die ausgehenden Verbindungen und öffnet dynamisch die für die Antwortpakete benötigen Ports in der Inbound Access List.

Als Beispiel wird eine Stateful Inspection für die wichtigsten Protkolle eingerichtet und die Regel Outbound an das WAN Interface gebunden:

cisco-881(config)#ip inspect name guests-internet tcp
cisco-881(config)#ip inspect name guests-internet udp
cisco-881(config)#ip inspect name guests-internet http
cisco-881(config)#ip inspect name guests-internet https
cisco-881(config)#ip inspect name guests-internet ftp
cisco-881(config)#ip inspect name guests-internet dns

cisco-881(config)#interface fastEthernet 4
cisco-881(config-if)#ip inspect guests-internet out

Anschließend wird NAT so eingerichtet, dass die IP-Adressen des Gäste-WLANs in die offizielle IP-Adresse übersetzt werden [2]:

cisco-881(config)#interface vlan 5
cisco-881(config-if)#ip nat inside
cisco-881(config-if)#exit

cisco-881(config)#interface fastEthernet 4
cisco-881(config-if)#ip nat outside
cisco-881(config-if)#exit

cisco-881(config)#ip access-list extended 102
cisco-881(config-ext-nacl)#permit ip 192.168.5.0 0.0.0.255 any
cisco-881(config-ext-nacl)#exit

cisco-881(config)#ip nat inside source list 102 interface fastEthernet 4 overload

Die Konfiguration des Routers ist damit abgeschlossen und es folgt die Einrichtung der Access Points.

Hat der Access Point eine IP-Adresse via DHCP erhalten, wird nach der Anmeldung am Web Interface zunächst eine fest IP-Adresse und ein Hostname konfiguriert:

Anschließend wird wie auch beim Router zwecks korrekter Uhrzeit ein NTP-Server hinterlegt:

Danach werden die WLANs erstellt, in diesem Fall ein WLAN für das interne Netzwerk und eins für Gäste:

Für die soeben erstellten WLANs werden danach die Sicherheitseinstellungen definiert, in diesem Fall WPA2-Personal:

Im letzten Schritt werden die WLANs den entsprechenden VLANS zugeordnet. Das interne WLAN kommt wie das kabelgebundene Netz in VLAN1, das Gäste WLAN wird VLAN5 und damit dem vom Rest abgeschotteten IP-Netz 192.168.5.0/24 zugeordnet:

Damit ist die Einrichtung abgeschlossen und die Konfiguration verhält sich wie folgt:

  • Das interne WLAN “WLAN-Intern” ist VLAN1 zugeordnet. Wireless Clients verhalten sich genauso wie kabelgebundene Clients und befinden sich auch im selben IP-Netz.
  • Das Gäste WLAN “WLAN-Guests” ist VLAN5 zugeordnet. Wireless Clients erhalten mithilfe der konfigurierten IP-Helper-Address eine IP-Adresse aus 192.168.5.0/24 vom DHCP-Server. Das Netzwerk ist sowohl auf Layer 2 (VLAN) als auch auf Layer 3 (Access List) vom internen Netzwerk getrennt. Pakete ins Internet werden über die auf dem Router konfigurierte Default Route entsprechend weitergeleitet.

Alternativ kann man das interne WLAN natürlich ebenfalls in ein separates VLAN und damit eigenes IP-Netz legen. Aufgrund des dadurch entstehenden Overheads (neuer DHCP Scope, neue VPN Tunnel) haben wir uns in diesem Fall aber dagegen entschieden.

Die Verwendung von WPA2-Enterprise mit einem RADIUS-Server wie in meinem Artikel Cisco WLC 5508: Web Authentifizierung mittels RADIUS und Active Directory beschrieben wäre ebenfalls eine Option zur Erhöhung der Sicherheit.

Nachtrag: Wer möchte, kann den Cisco Router auch als Peer für ein Site-to-Site VPN mittels IPsec verwenden. Zunächst müssen hierfür die Protkolle ESP und ISAKMP auf dem WAN Interface erlaubt werden:

cisco-881(config)#ip access-list extended 103
cisco-881(config-ext-nacl)#8 permit udp any any eq isakmp
cisco-881(config-ext-nacl)#9 permit esp any any
cisco-881(config-ext-nacl)#exit

Danach werden die Parameter für IKE Phase 1 festgelegt, bei Bedarf können auch mehrere Policies erstellt werden:

cisco-881(config)#crypto isakmp policy 1
cisco-881(config-isakmp)#encryption aes
cisco-881(config-isakmp)#group 5
cisco-881(config-isakmp)#lifetime 14400
cisco-881(config-isakmp)#authentication pre-share

Im nächsten Schritt wird der Pre-Shared Key in Verbindung mit der IP-Adresse der Gegenseite angegeben:

cisco-881(config)#crypto isakmp key test address 219.82.154.107

Weiterhin wird mittels einer Access List definiert, welcher Datenverkehr per IPsec übermittelt werden soll:

cisco-881(config)#ip access-list extended 104
cisco-881(config-ext-nacl)#permit ip 172.16.10.0 0.0.0.255 192.168.80.0 0.0.0.255
cisco-881(config-ext-nacl)#exit

Anschließend werden die Parameter für IKE Phase 2 definiert:

cisco-881(config)#crypto ipsec transform-set layer9 esp-aes esp-sha-hmac

cisco-881(config)#crypto map layer9 10 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
        and a valid access list have been configured.
cisco-881(config-crypto-map)#set security-association life seconds 3600
cisco-881(config-crypto-map)#set transform-set layer9
cisco-881(config-crypto-map)#set pfs group2
cisco-881(config-crypto-map)#set peer 219.82.154.107
cisco-881(config-crypto-map)#match address 104
cisco-881(config-crypto-map)#exit

Im letzten Schritt werden die definierten IPsec Parameter bzw. die Crypto Map auf das WAN Interface angewandt:

cisco-881(config)#interface fastEthernet 4
cisco-881(config-if)#crypto map layer9

Ist NAT eingerichtet, muss für das Zielnetzwerk auf der Gegenseite noch eine Ausnahmeregel erstellt werden, da Pakete andernfalls genattet werden und niemals bei der Gegenseite ankommen. Dazu wird einfach ein entsprechender Eintrag in der Access List hinzugefügt, die das zu nattende Netzwerk festlegt. Existiert beispielsweise eine Regel, die alle Pakete aus 172.16.10.0/24 nattet, wird für das Zielnetz 192.168.80.0/24 ein Deny-Eintrag vorangeschoben:

cisco-881#show ip access-list 104
Extended IP access list 104
    10 permit ip 172.16.10.0 0.255.255.255 any (243 matches)

cisco-881#conf term
Enter configuration commands, one per line.  End with CNTL/Z.
cisco-881(config)#ip access-list extended 104
cisco-881(config-ext-nacl)#9 deny ip 172.16.10.0 0.0.0.255 192.168.80.0 0.0.0.255

cisco-881#show ip access-list 104
Extended IP access list 104
    9 deny ip 172.16.10.0 0.0.0.255 192.168.80.0 0.0.0.255 
    10 permit ip 172.16.10.0 0.255.255.255 any (243 matches)

Mit einem Ping auf eine IP-Adresse der Gegenseite sollte sich der Tunnel initiieren lassen. Zur Überprüfung stehen folgende Befehle bereit:

cisco-881#show crypto isakmp policy

Global IKE policy
Protection suite of priority 1
        encryption algorithm:   AES - Advanced Encryption Standard (128 bit keys).
        hash algorithm:         Secure Hash Standard
        authentication method:  Pre-Shared Key
        Diffie-Hellman group:   #5 (1536 bit)
        lifetime:               14400 seconds, no volume limit

cisco-881#show crypto map
Crypto Map "layer9" 10 ipsec-isakmp
        Peer = 219.82.154.107
        Extended IP access list 104
            access-list 104 permit ip 172.16.10.0 0.0.0.255 192.168.80.0 0.0.0.255
        Current peer: 219.82.154.107
        Security association lifetime: 4608000 kilobytes/3600 seconds
        Responder-Only (Y/N): N
        PFS (Y/N): Y
        DH group:  group2
        Transform sets={
                layer9:  { esp-aes esp-sha-hmac  } ,
        }
        Interfaces using crypto map layer9:
                FastEthernet4

cisco-881#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id status
219.82.154.107  218.14.81.150   QM_IDLE           2005 ACTIVE

cisco-881#show crypto session
Crypto session current status

Interface: FastEthernet4
Session status: UP-ACTIVE
Peer: 219.82.154.107 port 500
  IKE SA: local 218.14.81.150/500 remote 219.82.154.107/500 Active
  IPSEC FLOW: permit ip 172.16.10.0/255.255.255.0 192.168.80.0/255.255.255.0
        Active SAs: 2, origin: crypto map

Getrennt werden kann eine Verbindung z.B. mit folgendem Befehl:

cisco-881#clear crypto sa peer 219.82.154.107

Interessante Links zum Thema VPN mit IOS sind z.B. Cisco IOS VPN Configuration vom Virtual Private Network Consortium, das Dokument How to configure IPSEC encryption with the Cisco IOS in der Petri IT Knowledgebase sowie das Dokument Cisco IPsec Grundkonfiguration von Ralf Pohlmann.

[1] Cisco Document ID: 23602, Configuring IP Access Lists
[2] Cisco Document ID: 13772, Configuring Network Address Translation: Getting Started

Nächste Seite »

Follow

Bekomme jeden neuen Artikel in deinen Posteingang.