Site-to-Site IPsec VPN auf Cisco Router: Schritt-für-Schritt

Ein Site-to-Site IPsec VPN verbindet zwei Standorte sicher über das Internet, indem „interessanter“ Traffic zwischen zwei internen Netzen verschlüsselt wird. Auf Cisco Routern besteht ein klassisches IOS-IPsec-Setup aus IKE Phase 1 (ISAKMP Policy + Pre-Shared Key), IKE Phase 2 (Transform-Set), einer Crypto ACL (welcher Traffic wird verschlüsselt), einem Crypto Map (alles zusammenbinden) und der Anwendung auf dem WAN-Interface. Diese Schritt-für-Schritt-Anleitung zeigt ein praxistaugliches Beispiel inklusive NAT-Exemption und Troubleshooting.

Beispiel-Topologie und Parameter

Dieses Beispiel verbindet Standort A mit Standort B. Beide Seiten haben private LANs und eine öffentliche WAN-IP. Der Tunnel soll nur zwischen den LAN-Subnetzen aktiv sein.

• Standort A (Router A): WAN 203.0.113.2, LAN 192.168.10.0/24
• Standort B (Router B): WAN 198.51.100.2, LAN 192.168.20.0/24
• Peer A ↔ B: 203.0.113.2 ↔ 198.51.100.2
• Pre-Shared Key: Str0ngPSK! (Beispiel)

Interessanter Traffic (Crypto ACL)

$\text{192.168.10.0/24} \leftrightarrow \text{192.168.20.0/24}$

Voraussetzungen: Routing und Erreichbarkeit

Bevor du IPsec konfigurierst, muss jede Seite (1) das eigene LAN kennen, (2) eine Default Route ins Internet haben und (3) den Peer per IP erreichen können. Ohne das bleibt IKE meist in „Idle/No response“.

Basis-Checks

RouterA# show ip route | include Gateway|0.0.0.0
RouterA# ping 198.51.100.2
RouterB# show ip route | include Gateway|0.0.0.0
RouterB# ping 203.0.113.2

Schritt 1: IKE Phase 1 (ISAKMP Policy) konfigurieren

Phase 1 baut den gesicherten IKE-Kanal auf. Beide Seiten müssen dieselben Parameter nutzen (Verschlüsselung, Hash, DH-Gruppe, Lifetime). In klassischen Labs ist AES/SHA/DH14 ein solides Muster.

Router A: ISAKMP Policy

RouterA# configure terminal
RouterA(config)# crypto isakmp policy 10
RouterA(config-isakmp)# encr aes 256
RouterA(config-isakmp)# hash sha
RouterA(config-isakmp)# authentication pre-share
RouterA(config-isakmp)# group 14
RouterA(config-isakmp)# lifetime 86400
RouterA(config-isakmp)# end

Router B: ISAKMP Policy (identisch)

RouterB# configure terminal
RouterB(config)# crypto isakmp policy 10
RouterB(config-isakmp)# encr aes 256
RouterB(config-isakmp)# hash sha
RouterB(config-isakmp)# authentication pre-share
RouterB(config-isakmp)# group 14
RouterB(config-isakmp)# lifetime 86400
RouterB(config-isakmp)# end

Schritt 2: Pre-Shared Key (PSK) pro Peer setzen

Der PSK muss auf beiden Seiten identisch sein und zur Peer-IP passen. Ein Tippfehler führt zu wiederholten Negotiations ohne SA-Aufbau.

Router A: PSK für Peer B

RouterA# configure terminal
RouterA(config)# crypto isakmp key Str0ngPSK! address 198.51.100.2
RouterA(config)# end

Router B: PSK für Peer A

RouterB# configure terminal
RouterB(config)# crypto isakmp key Str0ngPSK! address 203.0.113.2
RouterB(config)# end

Schritt 3: IKE Phase 2 (Transform-Set) konfigurieren

Phase 2 definiert, wie der eigentliche Datenverkehr geschützt wird (ESP, Verschlüsselung, Integrität). Beide Seiten müssen kompatibel sein.

Transform-Set erstellen

RouterA# configure terminal
RouterA(config)# crypto ipsec transform-set TS_AES256_SHA esp-aes 256 esp-sha-hmac
RouterA(config)# mode tunnel
RouterA(config)# end

RouterB# configure terminal
RouterB(config)# crypto ipsec transform-set TS_AES256_SHA esp-aes 256 esp-sha-hmac
RouterB(config)# mode tunnel
RouterB(config)# end

Schritt 4: Crypto ACL (Interesting Traffic) erstellen

Die Crypto ACL muss spiegelbildlich sein: Was A→B permit ist, muss auf B→A ebenfalls permit sein. Nur dieser Traffic wird verschlüsselt.

Router A: Crypto ACL

RouterA# configure terminal
RouterA(config)# ip access-list extended VPN_TRAFFIC
RouterA(config-ext-nacl)# permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
RouterA(config-ext-nacl)# end

Router B: Crypto ACL (spiegelbildlich)

RouterB# configure terminal
RouterB(config)# ip access-list extended VPN_TRAFFIC
RouterB(config-ext-nacl)# permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
RouterB(config-ext-nacl)# end

Schritt 5: NAT Exemption (No-NAT) für VPN-Subnetze

Wenn du am Edge PAT/NAT nutzt, darf VPN-Traffic nicht genattet werden, sonst matcht die Crypto ACL nicht mehr. Setze daher eine No-NAT-Regel für das Site-to-Site-Subnetzpaar, bevor PAT greift.

Beispiel: PAT vorhanden → VPN-Traffic ausnehmen

RouterA# configure terminal
RouterA(config)# ip access-list extended NO_NAT_VPN
RouterA(config-ext-nacl)# permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
RouterA(config-ext-nacl)# end

RouterB# configure terminal
RouterB(config)# ip access-list extended NO_NAT_VPN
RouterB(config-ext-nacl)# permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
RouterB(config-ext-nacl)# end

Schritt 6: Crypto Map erstellen und anbinden

Die Crypto Map verbindet Peer, Transform-Set und Crypto ACL. Danach wird sie am WAN-Interface aktiviert. Ab diesem Moment wird „interessanter Traffic“ verschlüsselt.

Router A: Crypto Map

RouterA# configure terminal
RouterA(config)# crypto map CMAP 10 ipsec-isakmp
RouterA(config-crypto-map)# set peer 198.51.100.2
RouterA(config-crypto-map)# set transform-set TS_AES256_SHA
RouterA(config-crypto-map)# match address VPN_TRAFFIC
RouterA(config-crypto-map)# set pfs group14
RouterA(config-crypto-map)# set security-association lifetime seconds 3600
RouterA(config-crypto-map)# end

Router B: Crypto Map

RouterB# configure terminal
RouterB(config)# crypto map CMAP 10 ipsec-isakmp
RouterB(config-crypto-map)# set peer 203.0.113.2
RouterB(config-crypto-map)# set transform-set TS_AES256_SHA
RouterB(config-crypto-map)# match address VPN_TRAFFIC
RouterB(config-crypto-map)# set pfs group14
RouterB(config-crypto-map)# set security-association lifetime seconds 3600
RouterB(config-crypto-map)# end

Crypto Map am WAN-Interface aktivieren

RouterA# configure terminal
RouterA(config)# interface gigabitEthernet0/1
RouterA(config-if)# crypto map CMAP
RouterA(config-if)# end

RouterB# configure terminal
RouterB(config)# interface gigabitEthernet0/1
RouterB(config-if)# crypto map CMAP
RouterB(config-if)# end

Schritt 7: IPsec am Outside absichern (ACL für IKE/ESP/NAT-T)

Wenn am WAN eine restriktive ACL aktiv ist, müssen IKE und IPsec erlaubt sein. Für klassische Setups sind UDP/500 (IKE), UDP/4500 (NAT-T) und ESP (IP Protokoll 50) relevant.

Outside-ACL (Beispiel, nur Peer erlauben)

RouterA# configure terminal
RouterA(config)# ip access-list extended OUTSIDE_IN
RouterA(config-ext-nacl)# permit udp host 198.51.100.2 host 203.0.113.2 eq 500
RouterA(config-ext-nacl)# permit udp host 198.51.100.2 host 203.0.113.2 eq 4500
RouterA(config-ext-nacl)# permit esp host 198.51.100.2 host 203.0.113.2
RouterA(config-ext-nacl)# deny ip any any
RouterA(config-ext-nacl)# end

Verifikation: Tunnel aufbauen und SAs prüfen

IPsec wird oft „on demand“ aufgebaut: Erst wenn interessanter Traffic fließt, werden SAs erstellt. Erzeuge daher Traffic (Ping von A nach B) und prüfe dann IKE/IPsec-Status sowie Counter.

Traffic erzeugen

RouterA# ping 192.168.20.10 source 192.168.10.1
RouterB# ping 192.168.10.10 source 192.168.20.1

IKE und IPsec Status prüfen

RouterA# show crypto isakmp sa
RouterA# show crypto ipsec sa
RouterB# show crypto isakmp sa
RouterB# show crypto ipsec sa

Crypto Map und ACL prüfen

RouterA# show crypto map
RouterA# show access-lists VPN_TRAFFIC
RouterB# show crypto map
RouterB# show access-lists VPN_TRAFFIC

Typische Fehler und schnelle Fixes

Wenn der Tunnel nicht hochkommt, liegt es fast immer an einem Mismatch (Policy/PSK/Transform), fehlender Erreichbarkeit oder NAT/ACL-Problemen. Gehe systematisch von Layer 3 zu IKE und dann zu IPsec.

• Peer nicht erreichbar: Default Route/WAN/ACL prüfen
• PSK falsch: IKE kommt nicht in „QM_IDLE“/„ACTIVE“
• Policy/Transform mismatch: Phase 1 oder 2 scheitert
• Crypto ACL nicht spiegelbildlich: kein „interesting traffic“ matcht
• NAT Exemption fehlt: VPN-Traffic wird genattet
• Outside-ACL blockiert UDP/500/4500 oder ESP

Quick-Checks

show ip route | include Gateway|0.0.0.0
ping 198.51.100.2
show crypto isakmp sa
show crypto ipsec sa
show crypto map
show access-lists VPN_TRAFFIC
show ip nat translations
show logging

Aufräumen/Reset für Tests

Wenn du neue Parameter testest, ist es hilfreich, bestehende SAs zu löschen und den Tunnel neu aufzubauen.

RouterA# clear crypto sa
RouterA# clear crypto isakmp
RouterB# clear crypto sa
RouterB# clear crypto isakmp

Konfiguration speichern

Wenn IKE-SAs stabil sind, IPsec-Counter (encaps/decaps) steigen und die Netze bidirektional erreichbar sind, speichere die Konfiguration.

RouterA# copy running-config startup-config
RouterB# copy running-config startup-config

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

• Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

• Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

• Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

• Optional Security: Basic ACLs und SSH-Hardening

• Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

• ✅ Packet Tracer .pkt Datei

• ✅ Saubere Konfigurations-Notizen pro Gerät

• ✅ Verifikations-Checkliste + erwartete Outputs

• ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.