CISCO ASA 5055 / Site-to-Site VPN korrekt einrichten

[Draco Malfoy]

Hi zusammen

Ich hoffe, jemand kann mir hier mit meinen grundsätzlichen Verständnisproblemen helfen.

Also, eins vorab: Ja, ich habe mich bereits selber ausführlich informiert. Ich habe zahlreiche Artikel gelesen, Cisco Dokumentation und Einrichtungsbeispiele angeguckt und sogar Erklärungsvideos angeschaut.

Und nein, ich verstehe es immer noch nicht.

Also, ich möchte (muss...) einem Mitarbeiter, der von extern arbeitet, einen vollumfänglichen Zugriff auf unser Firmennetzwerk hier ermöglichen. Inclusive allem, also externe Laufwerke die er dann verbinden kann und Telefonie über Systemtelefone als VoIP Clients an der diesseitigen Anlage.

Nach grundsätzlicher Informationslage habe ich gedacht, daß ein Site-to-Site VPN Netztwerk für diese Bedürfnisse die richtige Lösung darstellen würde. Aber ich bin langsam ziemlich verzweifelt. In allen - zumeist spärlichen Erklärungen und Beispielen zur Einrichtung eines Site-By-Site VPN tauchen in der Regel unterschiedliche (interne) Adressräume von dem Standort 1 und 2 auf. Und, nein, dieser Umstand wird nirgends erklärt.

Siehe hier: https://www.cisco.com/c/en/us/suppo...113337-ccp-vpn-routerA-routerB-config-00.html

Ich verstehe es nicht und ich finde es ist langsam zum Kotzen, Erklärungen zu lesen, die nichts erklären. Also folgende Fragen:

- Wie, zum Satan, sollen die Geräte, um beim obigen Cisco-Beispiel zu bleiben, im selben Netzwerk sein, wenn auf der einen Seite IP-Adressraum 10.10.10.xy angeboten wird und auf der anderen Seite IP-Adressraum 10.20.10.xy angeboten werden ?
- Wieso existieren in diesem und allen anderen Erklärungen die ich finden konnte, zwei verschiedene DHCP Server wenn wir vom selben Netzwerk reden ?

- Wie kann ich mein Problem so lösen, daß meine Geräte die ich extern anbinden möchte, wirklich in meinem Netzwerk, mit meinem DHCP Server, der hier steht, und meinem Addressraum, den ich auf dieser Seite definieren kann, laufen ? Als Hardware habe ich aktuell zum Beispiel die Cisco ASA5055 Geräte zur Verfügung. Wäre cool, wenn sich damit was einrichten lässt - und wenn nicht, wäre nice zu verstehen, was ich stattdessen brauche.

Danke im Voraus.

 

[snaxilian]

Um dir einen Gefallen zu tun: Nein, du willst kein Layer 2 Site-to-Site VPN. Das bringt nur totalen Config Overhead und Probleme in der Zukunft.

Du müsstest auf beiden beteiligten Routern/Firewalls jeweils ein NAT einrichten, z.B. so:
Site A - LAN - 10.0.0.0/24 (Reale IP Addressen)
Site A - NAT - 192.168.1.0 /24 ( NAT IP Subnet für 10.0.0.0/24 in Site A)

Site B - LAN - 10.0.0.0/24 (Reale IP Addressen)
Site B - NAT - 192.168.2.0 /24 ( NAT IP Subnet für 10.0.0.0/24 in Site B)

Die Encryption Domain, sprich den IPsec Tunnel musst dann für die zwei 192er Netze bauen. Jetzt kommt der eklige Teil: Die beiden Richtung LAN zeigenden Interface auf beiden Seiten musst du bridgen. Vermutlich musst aber noch alle möglichen sinnvollen default Configs umgehen damit die Bridge funktioniert und wirklich jeder Broadcast und sonstiger Layer 2 Traffic da durch geht.

Besser wäre: Layer 3 Site-to-Site und entsprechend auf beiden Seiten das Routing + Firewall-Regelwerk setzen.

 

[Draco Malfoy]

Hi, Danke für die Rückmeldung.

Ich muss ehrlich sagen, ich bin zwar auch Ingenieur, aber das Thema ist für mich neu - und ich frage besser 2x nach, bevor ich irgendwelche wichtige Details verpasse.

Also -

1) Ein VPN wo alle Teilnehmer im selben Netz liegen heißt "Layer 2 VPN" - funktioniert es dann wirklich wie ein Layer-2 Switch ? Heißt dieses mein Wunsch-Modell in der Fachwelt so, oder muss ich noch nach irgendeinem anderen Begriff suchen, um Anleitungen zu finden ?

1) Verstehe ich das richtig, daß es keine fertige Lösungen, etwa von Cisco, gibt, die mir mit irgendeiner nicht astronomisch teueren Hardware einfach diesen Layer-2 VPN Tunnel ohne großen Bohai bereit stellen ? Wieso ist es so ? Es müsste doch eine häufig anzutreffende Anforderung darstellen ?

2) Ich weiß nicht, ob und inwiefern ein Layer-3 VPN mir bei meinem Problem hilft. Dafür verstehe ich die Funktionsweise dieses Layer-3 Routings zu wenig, und kenne mich mit den Eigenschaften der betreffenden Applikation, die diesen VPN nutzen soll, zu wenig aus. Um diese Fragen zu beantworten, müsste ich nämlich Spezialisten in der Siemens HiPath VoIP Telefonanlagen-Welt bemühen, und diese Leute sind extrem teuer. Nach meiner Information ist Layer-3 Routing zumindest nicht offiziell freigegen. Möglicherweise ist es doch einfacher, eine Layer-2 Verbindung herzustellen.

3) Noch eine weitere Schwierigkeit, die ich eben festestellt habe: Firmenstandort hat eine fixe äußere IP. Der Standort des abgestzten Mitarbeiters hat wahrscheinlich eine dynamische und dazu mir unbekannte IP.

Thanx im Voraus

 

[snaxilian]

Wow, okay ich dachte da schreibt wenigstens ein Admin der nur selten Netzwerkmagie machen soll aber offenbar hast du den Job des Admins gerade gewonnen. Doofe Idee. Dein Chef soll jemanden dafür einstellen, der dies kann. Du fummelst da an Dingen rum, die bei falscher Handhabe das gesamte Firmennetz Richtung Internet öffnen.

Wenn alle Teilnehmer im selben Subnetz sind ja dann ist dies eine Lyer 2 Verbindung. Grundlegendes OSI Modell (https://www.elektronik-kompendium.de/sites/kom/0301201.htm)
Fertige Lösungen gibt es kaum da ein VPN auf Layer 2 wesentlich mehr Probleme als Lösungen mit sich bringt. Daher nimmt man bei VPNs, egal ob site-to-site oder site-to-client, idR immer Layer 3 und routet den Traffic entsprechend. Nur ein einziges internes Netz im Unternehmen.. naja je nach Größe kann man das machen, muss es aber nicht. Im besten Fall landen alle VPN-Clients in einem oder mehreren diversen Netzen und der Zugriff wird von da aus per Firewall aufs nötigste eingeschränkt.

Wenn du dir unbedingt in den Fuß schießen möchtest oder musst weil dein Chef ignorant und geizig ist, dann wäre openVPN eine Möglichkeit. Inzwischen gibt es sogar ne klickibunti Appliance, dann musst dich nicht mit der CLI auseinander setzen (was aber der richtigere Weg ist mMn) und eine Anleitung für genau deinen Use Case: https://docs.openvpn.net/how-to-tutorialsguides/site-to-site-layer-2-bridging-using-openvpn-access-server/. Ist halt ne Appliance für HyperV oder ESXi und kostet auch Geld. Nen fähiger Linux- & Netzwerk-Admin spart sich das Geld und setzt das direkt auf. Benötigt dann trotzdem ne VM oder 2x kleine Server/PCs auf denen Linux läuft. Sollte bereits mit nem NUC möglich sein je nach Anforderung der Bandbreite. In dem Fall dann halt hier entlang: https://openvpn.net/index.php/open-source.html

 

[Draco Malfoy]

Hi, wiederum danke für die Rückmeldung.

Ich denke, ich sollte über meine Rolle in der Sache aufklären. Ich habe keinen Chef, sondern bin selber der Chef, und die Unternehmensgröße ist nicht so daß ich hier einen SysAdmin einstellen könnte. Der Punkt ist allerdings der - ich habe kein Vertrauen in Leute die einen Stundensatz nahe meinem verlangen und dabei etwas richten sollen wo ich selber nicht mal den geringsten Durchblick habe. Ich möchte mich wenigstens im Groben über den Gegenstand informieren, bevor ich externe Leute buche deren Arbeit ich dann nicht qualitativ bewerten kann.

Das OSI-Modell ist mir bekannt. Hätte aber sein können, daß speziell dieser Anwendungsfall in Fachkreisen "Rotkäppchen-Kaninchen" heißt.

Zu dem Sachverhalt:

1) Ich habe hier eine Anleitung hier gefunden: http://www.cisco.com/c/en/us/td/doc...on/guide/asa_90_cli_config/vpn_l2tp_ipsec.pdf
Hilft dies mir weiter ?

2) Geht das was ich möchte wirklich nicht mit Cisco Hardware ?

weil dein Chef ignorant und geizig ist

Das bin ich nicht. Aber einfach um die Hintergründe mal zu verstehen - eine Siemens HiPath ist eine extrem spezielle Kiste, die nur das unterstützt was Firma Siemens sich ausgedacht hat, und so, wie sie es ausgedacht hat. Wenn ich die Sachlage richtig verstehe, funktioniert das Routing auf der Ebene von Systemclients in offizieller Leseart erst mit einem Hardware-Upgrade, welches wiederum einen Haufen Probeme mit sich bringt, die ich eventuell noch weniger als die gerade diskutierten Unwägbarkeiten haben möchte, und darüber hinaus so richtig Asche kostet. Über "inoffizielle" Lösungen, die es angeblich auch geben soll, will ich erst gar nicht sprechen, weil das einfach ein Risiko ist. Ich habe also die Möglichkeit Summe X in die Hände zu nehmen, um Layer 2 VPN einrichten zu lassen, oder Summe Y, um sich von einem "Experten" meine Telefonanlage vergewaltigen zu lassen. Ich sehe aktuell die Variante A als die sinnvollere.

Ergänzung (21. Februar 2018)

Also, noch mal meine Fragen:

1) Ich habe hier eine Anleitung hier gefunden: http://www.cisco.com/c/en/us/td/docs...l2tp_ipsec.pdf
Hilft dies mir weiter ?

2) Geht das, was ich möchte wirklich nicht mit Cisco Hardware ?

 

[snaxilian]

...die Unternehmensgröße ist nicht so daß ich hier einen SysAdmin einstellen könnte. Der Punkt ist allerdings der - ich habe kein Vertrauen in Leute die einen Stundensatz nahe meinem verlangen und dabei etwas richten sollen wo ich selber nicht mal den geringsten Durchblick habe. Ich möchte mich wenigstens im Groben über den Gegenstand informieren, bevor ich externe Leute buche deren Arbeit ich dann nicht qualitativ bewerten kann.

- In dem Fall beauftrage ein Systemhaus mit der Einrichtung bzw lasse dir ein Angebot von mehreren erstellen.
- Moment: du behauptest damit indirekt, dass ein IT-Admin/Ingenieur mit vergleichbarem Stundensatz zu dir inkompetent ist nur weil du den Sachverhalt nicht 100%ig verstehst? Na hoffentlich gerätst du nie an Kunden die bis in die letzte Schraube und Rechnung deine Arbeitsweise verstehen wollen... Immerhin sind dir ja die kostenlosen Ratschläge in öffentlichen Foren gut genug.

1) Ich habe hier eine Anleitung hier gefunden: http://www.cisco.com/c/en/us/td/doc...on/guide/asa_90_cli_config/vpn_l2tp_ipsec.pdf
Hilft dies mir weiter ?

2) Geht das was ich möchte wirklich nicht mit Cisco Hardware ?

Sofern zweiter und erster Link identisch sind: Hilft dir nur teilweise, da dies nur das Setup des VPNs beschreibt und nicht darauf eingeht, wie du die Netze dahinter verbindest. So oder so ist dir hoffentlich bewusst, dass du bei einem site-to-site an beiden Standorten einen VPN-fähigen Router benötigst?
Wenn du für deine ASA noch heraus findest, ob du damit Interface bridgen kannst, dann wäre dies theoretisch möglich, denn es sind zwei Probleme. Zuerst VPN einrichten (dies betrifft die WAN-Interface), dann die beiden internen LAN-Interface bridgen.
Du willst auf Biegen und Brechen eine absolut selten vorkommende Sonderlösung erzeugen, die aus guten Gründen in der freien Wildbahn wo es nur geht vermieden wird.

Bevor du übrigens anfängst und der ASA VPN Richtung Internet erlaubst oder aktivierst hoffe ich natürlich, du hast alle aktuellen Patche eingespielt. Für die ASAs sind in letzter Zeit einige Lücken bekannt und gefixt worden, z.B. https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180129-asa1

 

[error]

Moin,

auch wenn die letzte Antwort etwas weiter zurück liegt, nehme ich mich mal der Thematik an:

Du willst, dass dein Mitarbeiter, auf dein Firmennetzwerk via VPN zugreifen kann. Nur ist mir noch nicht klar, was alles angebunden werden soll?
Ist es nur ein Mitarbeiter-PC mit VoIP-Softwareclient oder ein kompletter Standort? Das wird leider aus deinen Antworten nict wirklich ersichtlich. Auf der einen Seite schreibst du von einem Mitarbeiter, aber nennst eine Telefonanlagenanbindung in der zweiten Ebene.
Je nachdem was das Szenario ist, wird es unterschiedlich gemanaged.

Fachbegriffserklärung (kurzform):

Site-to-Site-VPN: Anbindung von zwei Standorten mit 2 VPN-Routern. Hierbei wird in der Regel feste IP-Adressen auf der WAN-Seite verwendet. Es sind dauerhafte Verbindungen mit einer festen, garantierten Bandbreite zwischen dein beiden Teilnehmern.

Client-to-Site-VPN: Anbindung eines Clients (PC/Router) an ein VPN-Server mit fester IP. Die Clients haben i.d.R. verschiedene IP-Adressen und können Ortsveränderlich sein.

Layer-2-Anbindung: In der Regel eine "Leased line" (Standleitung). Diese ist eine feste Verbindung zwischen zwei Orten mit einer festen, garantierten Bandbreite. Kann auch als VPN umgesetzt werden ist aber in der Regel problematisch.

Was willst du denn nun genau umsetzen?
Denk bitte daran, dass die ASA entsprechend konfiguriert werden muss. Ein Cisco ist im Auslieferungszustand ein Gerät ohne Einstellungen.

Der Punkt ist allerdings der - ich habe kein Vertrauen in Leute die einen Stundensatz nahe meinem verlangen und dabei etwas richten sollen wo ich selber nicht mal den geringsten Durchblick habe. Ich möchte mich wenigstens im Groben über den Gegenstand informieren, bevor ich externe Leute buche deren Arbeit ich dann nicht qualitativ bewerten kann.

Es gibt einen guten Grund, warum diese Stundensätze existieren. Grade weil nicht jeder durchblickt und es Fallstricke in den Konfigurationen und dem Betrieb der Geräte gibt. Eben dann wenn es aus dem Internet erreichbar ist.
Informieren darfst du dich gerne, aber bitte gib auch offen zu, wenn du etwas nicht verstehst. Ein guter Berater wird sich die Zeit nehmen, dir alles haarklein zu erkläen und mit dir durchzusprechen.
Es geht nicht darum, dass du alles Wissen und bewerten können musst.

gruß

PS: Google "Asa 5505 Site to site VPN"
Configure a Site-to-Site IPSec IKEv1 Tunnel Between an ASA and a Cisco IOS Router
Site-to-Site IKEv2 Tunnel between ASA and Router Configuration Examples
Configuring the Cisco ASA IPSec VPN
Bei Cisco ist die richtige Auswahl an Suchwörtern entscheidend.

PPS:
End-Of-Sale und End-Of-Life-Informationen der ASA 5505
Die sind seit August 2017 End of Sale.

 

[snaxilian]

End of Sale muss ja nicht End of Support sein. Bis Sommer diesen Jahres gibt's ja noch Support und mit entsprechendem Wartungsvertrag hat er bis Sommer '22.
Aber mal Hand aufs Herz: Welches kleine Unternehmen/Betrieb tauscht Hard-/Software aus sobald der Wartungsvertrag, sofern vorhanden, ausgelaufen ist? Da wird erst erneuert wenn die bestehende Komponente den Geist aufgegeben hat oder es sich steuerlich ernsthaft lohnt, dass das Geld lieber raus "muss". Ist halt einfach eine Abwägung des Risikos.

 

[Draco Malfoy]

Hi Error,

das Thema liegt zwar etwas zurück, aber ich verfolge es weiterhin.

Also, um den Bedarf einzugrenzen:

- Der Mitarbeiter auf Laufwerksfreigaben auf dem Server hier zugreifen können.
- Der Mitarbeiter muss einen HFA System Client der HiPath betreiben können.

Der vefügt bereits über ein Hausnetz mit DHCP Server und hat keine feste IP außenseits.

Aufgrund dessen daß Siemens das nicht offiziell freigibt mit HFA über VPN, wäre allenfalls noch die Überlegung SIP Client zu nehmen und diesen so anzubinden. Meine zwischenzeitlichen Versuche mit einem Cisco SIP 525G an HiPath sind aber gescheitert. Kann an Unterschieden in den Protokollen, kann an Hinz und Kunz liegen, wir werden es nicht rausfinden. HFA funktioniert im selben Netz einwandfrei.

Egal wie rum ich es drehe es wird alles irgendwie kompliziert, und eigentlich habe ich keinen Nerv für diese Komplikationen. Einige Tausend Euro auf der hohen Kante um sich das von einem "Fachmann" (was auch immer das ist - Cisco Fachmann ? HiPath Fachmann ? Alle beide und dann je ein Pärchen pro Standort ? ) allerdings auch nicht. Es muss irgendeine halbwegs einfache Lösung geben.

 

[snaxilian]

Geh zu einem vernünftigen Systemhaus und lasse dich dort beraten und ein Angebot erstellen. Brauchbare Systemhäuser haben entsprechendes Knowhow bei Cisco als auch HiPath.
Natürlich wird das was du vorhast kompliziert, da dies eine offiziell nicht unterstützte Lösung ist. Also ist immer Hirnschmalz und Aufwand nötig um diese gewünschte Sonderlösung umzusetzen.

 

[Draco Malfoy]

Geh zu einem vernünftigen Systemhaus und lasse dich dort beraten und ein Angebot erstellen. Brauchbare Systemhäuser haben entsprechendes Knowhow bei Cisco als auch HiPath.
Natürlich wird das was du vorhast kompliziert, da dies eine offiziell nicht unterstützte Lösung ist. Also ist immer Hirnschmalz und Aufwand nötig um diese gewünschte Sonderlösung umzusetzen.

Weiß ich nicht, so schnell findest du keine HiPath Spezialisten, und wenn doch, die lassen sich das vergolden. HiPath sind keine Consumerartikel. Ich hatte das Thema schon einmal, da war es schlußendlich einfacher, die benötigten Änderungen selber zu machen.

240€/h als Stundensatz kann da schon gut bei rauskommen, wobei die das Gelabere natürlich auch als Arbeitszeit rechnen. Du musst das aus dem wirtschaftlichen Standpunkt dieser Beratungs- und Systemhäuser betrachten. Deren hauptmäßige Kunden sind große Industriefirmen. Was mich angeht, da ist der Auftwand, ein Angebot oder eine Rechnung für mich zu erstellen, dort schon größer wie deren Nutzen davon.

 

[BlubbsDE]

Kunden von Systemhäuser sind alle Unternehmen, die IT besitzen. Das sind auch Unternehmen mit 1, 2 oder 3 Mitarbeitern.

Deine Kunden lösen die Probleme auch nicht selbst, für die sich Dich rufen. Und 240 € / Stunde, keine Ahnung wen Du da kontaktiert hast. Das liest sich alles so, ich will keine Hilfe, ich mach das alleine.

 

[Draco Malfoy]

Kunden von Systemhäuser sind alle Unternehmen, die IT besitzen. Das sind auch Unternehmen mit 1, 2 oder 3 Mitarbeitern.

Das sind dann so luschtige Bastelbuden wo die Oma von nebenan mit ihrer kaputten Festplatte vorbeikommt und der Großfamilienvater aus dem Ghetto seine SAT Anlage richten lässt.

Deine Kunden lösen die Probleme auch nicht selbst, für die sich Dich rufen.

Unter 20-30 MA und 5-10 M Umsatz wirst du bei mir nicht Kunde. Das ist eben Industrie.

Und 240 € / Stunde, keine Ahnung wen Du da kontaktiert hast. Das liest sich alles so, ich will keine Hilfe, ich mach das alleine.

Wie gesagt, HiPath sind keine Consumer-Geräte. Ich habe ein von Siemens zertifiziertes Systemhaus kontaktiert, das hier in der Gegend anerkannt ist. Und der Stundensatz ist nur die Hälfte des Problems. Die haben auch noch Vorlaufzeiten von 3-4 Monaten. So ein Systemhaus rückt nicht aus um eben 2 Schrauben reinzudrehen, das ist für sie völlig uninteressant das machen sie bloß aus Höflichkeit.

 

[BlubbsDE]

Dann ist ja alles gut. Und viel Erfolg bei der Lösung des Problems.

Wenn man so etwas liest, dann zeigt es einfach nur die Ignoranz oder Arroganz. Oder auch beides.

Das sind dann so luschtige Bastelbuden wo die Oma von nebenan mit ihrer kaputten Festplatte vorbeikommt und der Großfamilienvater aus dem Ghetto seine SAT Anlage richten lässt.

Das ist ein großer Teil des Clientels von örtlichen Systemhäusern. Unternehmen, die keine eigene IT haben. Mit wenigen Mitarbeitern. Große Industriefirmen lösen das mit den eigenen Mitarbeitern.