Archiv für den Monat: Mai 2010

Cisco Router, NAT und IPSec

Vielleicht kommt man mal in die Verlegenheit, das man nicht alle Daten in einen VPN Tunnel schicken will, sondern einen „local internet breakout“ haben möchte. Man schmeisst also nur ein paar Daten in den Tunnel, der Rest wird dynamisch genattet..

Nehmen wir an das lokale Netz ist 10.10.1.0/24 die Netze in der zentrale, die per Tunnel erreicht werden sind 10.10.20.0/24 und 172.16.2.0/24.

Man erstellt eine ACL die den zu verschlüsselnden Traffic denied

access-list 110 deny ip 10.10.1.0 0.0.0.255 10.10.20.0 0.0.0.255
access-list 110 deny ip 10.10.1.0 0.0.0.255 172.16.2.0 0.0.0.255
access-list 110 permit ip 10.10.1.0 0.0.0.255 any

Jetzt bindet man das an eine Routemap

route-map permit_NAT
permit 10 match ip address 110

Danach benutzt man die Routemap im nat statement:

ip nat inside source route-map permit_NAT interface fast0/0 overload

Und definioert nachher noch nat Inside und outside


int fa0/0
description outside
nat outside
[..]
int fa0/1
description inside
nat inside
[..]

Natürlich muss man auch sicherstellen, dass die routen für den verschlüsselten Traffic auch auf die Tunnel Interface zeigen (dynamisches Routing Protokolle wie eigrp/ospf oder statische Routen)

mit show ip nat translation kann man schauen ob es translations fürs Internet gibt, ansonsten mal testen ob der zugriff in die Zentrale noch geht.

SSL Zertifikat beantragen

openssl req -new -newkey rsa:2048 -nodes -keyout mdc_mykey.key -out mdc_mykey.csr

Danach ein SSL Zertifikat kaufen und dabei den csr signen lassen (z.B. psw.net)

Authentifizieren und danach das Zertifikat und den Key in seinen Services (apache, postfix, dovecot, ftp) einbinden.