Online-Support, IT-Services für Unternehmen ab 299 EUR/Monat

Rufen Sie uns an : +48 22 335 28 00 | Email: oferty@support-online.pl

Dieser Artikel widmet sich Themen rund um den sicheren Datentransfer innerhalb des Unternehmens und von anderen Standorten aus. Mobilität ist heutzutage ein wichtiger Faktor für die Entwicklung von Unternehmen. Die beschriebene Lösung hat erhebliche Auswirkungen auf die Kommunikationsfähigkeit sowie deren Qualität und Sicherheit.

Gehen Sie folgendermaßen vor, um ein verschlüsseltes virtuelles privates Netzwerk zu erstellen:

  • Authentifizieren Sie beide Kommunikationspartner untereinander mit einer der folgenden Methoden:
    • Passwort, das beiden Parteien bekannt ist (gemeinsames Geheimnis) – wird bei der Konfiguration verwendet,
    • RSA-Signaturen (wir tauschen öffentliche Schlüssel manuell aus),
    • X.509-Zertifikate (die universellsten),
  • Einrichtung eines sicheren Kanals für IKE-Zwecke namens ISAKMP SA (Security Associacion),
  • Sichere Vereinbarung kryptografischer Schlüssel und IPsec-Tunnelparameter,
  • Mögliche Neuverhandlungen in bestimmten Abständen.
Router-Konfiguration
C1-Computer, C2-Computer.

Abbildung C1-Computer, C2-Computer.

Die Konfiguration der Router R1 und R2 in Abbildung 1 ist wie folgt:

  • Im Router R1:

R1>enable

R1#Terminal konfigurieren

Geben Sie Konfigurationsbefehle ein, einen pro Zeile. Beenden Sie mit CNTL/Z.

R1(config)#crypto isakmp-Richtlinie 1

R1(config-isakmp)#hash md5

R1(config-isakmp)#authentication pre-share

R1(config-isakmp)#exit

R1(config)#crypto isakmp-Schlüssel zaq12wsx-Adresse 192.168.1.20

R1(config)#crypto ipsec transform-set transform esp-des esp-md5-hmac

R1(cfg-crypto-trans)#exit

R1(config)#crypto Map Map 1 ipsec-isakmp

% HINWEIS: Diese neue Kryptozuordnung bleibt bis zu einem Peer deaktiviert

und eine gültige Zugriffsliste wurden konfiguriert.

R1(config-crypto-map)#peer 192.168.1.20 festlegen

R1(config-crypto-map)#set transform-set transform

R1(config-crypto-map)#match Adresse 100

R1(config-crypto-map)#exit

R1(config)#access-list 100 erlauben IP 10.1.0.0 0.0.255.255 10.2.0.0 0.0.255.255

R1(config)#Schnittstelle f2/0

R1(config-if)#Krypto-Map-Map

R1(config-if)#

*12. Juni 16:47:33.719: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP ist EIN

R1(config-if)#exit

  • Im Router R2 :

R2>enable

R2#Terminal konfigurieren

Geben Sie Konfigurationsbefehle ein, einen pro Zeile. Beenden Sie mit CNTL/Z.

R2(config)#crypto isakmp-Richtlinie 1

R2(config-isakmp)#hash md5

R2(config-isakmp)#authentication pre-share

R2(config-isakmp)#exit

R2(config)#crypto isakmp-Schlüssel zaq12wsx-Adresse 192.168.1.10

R2(config)#crypto ipsec transform-set transform esp-des esp-md5-hmac

R2(cfg-crypto-trans)#exit

R2(config)#crypto Map Map 1 ipsec-isakmp

% HINWEIS: Diese neue Kryptozuordnung bleibt bis zu einem Peer deaktiviert

und eine gültige Zugriffsliste wurden konfiguriert.

R2(config-crypto-map)#peer 192.168.1.10 festlegen

R2(config-crypto-map)#set transform-set transform

R2(config-crypto-map)#match Adresse 100

R2(config-crypto-map)#exit

R2(config)#access-list 100 erlauben IP 10.2.0.0 0.0.255.255 10.1.0.0 0.0.255.255

R2(config)#interface f2/0

R2(config-if)#Krypto-Kartenkarte

R2(config-if)#

*12. Juni 16:47:33.719: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP ist EIN

R2(config-if)#exit

Die Konfiguration der Zugriffsliste 100 stellte die IP-Adressen der Netzwerke bereit, die über den mit R1 und R2 erstellten Tunnel eine Verbindung herstellen. Daher wurden die Adressen für die Hosts entsprechend festgelegt:

  • C1: 10.1.0.11 mit Maske 255.255.0.0 und Gateway 10.1.0.10, die Adresse der R1 FastEthernet-Schnittstelle, mit der C1 verbunden war.
  • C2: 10.2.0.21 mit Maske 255.255.0.0 und Gateway 10.2.0.20, die Adresse der FastEthernet R2-Schnittstelle, mit der C2 verbunden war.

Auf diese Weise konfigurierte Geräte und Computer stellen die Kommunikation her und schaffen ein virtuelles privates Netzwerk:

R1#show crypto isakmp sa

dst src state conn-id-slot

192.168.1.20 192.168.1.10 QM_IDLE 1 0

Das oben aufgeführte Netzwerk kann mithilfe von Zugriffslisten entsprechend gefiltert und priorisiert werden. Verwenden Sie beispielsweise den Befehl auf beiden Routern:

access-list 100 deny   tcp any any eq ftp

Zugriffsliste 100 deny tcp any eq ftp-data any

Zugriffsliste 100 erlaubt TCP 10.1.0.0 0.0.255.255 10.2.0.0 0.0.255.255

Prioritätsliste 10 Protokoll IP High UDP 53

Dank dieser Priorisierung hat die UDP-Datenübertragung die höchste Priorität im Netzwerk und die Daten werden zuerst gesendet. Dies führt zu einer Netzwerkleistung. Übertragene Daten, die nicht in der Prioritätsliste enthalten sind, werden in die Warteschlange gestellt, bis die Daten mit der höchsten Priorität übertragen werden, was ebenfalls schädlich für das Netzwerk sein kann. Pakete mit einer niedrigeren Priorität werden in die Warteschlange gestellt und während die Daten mit der höchsten Priorität gesendet werden, warten die anderen.

Es gibt viele Möglichkeiten, Prioritäten zu setzen, darunter: CQ, d. h. Custom Queueing, und CBWFQ, d. h. klassenbasiertes WFQ (am effizientesten, erfordert aber viel mehr Rechenleistung).

Support Online bietet umfassende IT-Services , darunter: zur Absicherung des Firmennetzwerks. Eine sichere Datenübertragung ist die Grundlage für das Funktionieren jeder Organisation. Wenn Sie an einer schrittweisen VPN-Konfiguration interessiert sind , kontaktieren Sie uns bitte. Wir helfen Ihnen gerne weiter! Registerkarte „Kontakt“ – klicken Sie HIER .

Paweł Jaroszewicz
IT-Manager bei Support Online

BLOG

Zobacz inne nasze artykuły

Kostenloses Angebot ✍️