Jump to content

PIX, mehrere VPN´s


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

ich versuche schon seit ein paar Tagen das ganze Thema VPN zu verstehen. Bei CISCO gibt´s auch jede Menge samples, aber meisst nicht das, was man sucht. Speziell möchte ich von einer PIX aus mehrere site-to-site-Verbindungen herstellen. Gelernt habe ich dabei, dass man nicht mehrere crypto maps auf einen interface binden kann.

Nun meine Frage: Wie konfiguriere ich also mehere site-to-site auf ein interface? Gilt die Lösung dann analog auch für VPN-Clients?

 

Thx

hegl

Link zu diesem Kommentar
Kommt drauf an was Du machen willst - feste IPs oder dynamische IPs oder gemischt.

 

Gruss

Markus

 

Zur Zeit sind die Anforderungen so, dass ich von 3 Sites mit fester IP auf eine PIX/VPN-Gateway zugreifen möchte. Ein Tunnel läuft zur Zeit auch reibungslos. Angedacht sind 2 weitere Tunnels, aber mit unterschiedlichen transform-set, z.B.

 

crypto ipsec transform-set abc esp-aes-256 esp-sha-hmac

crypto ipsec transform-set abc esp-3des esp-sha-hmac

 

Weiterhin teste ich gerade, auch VPN-Clients, also mit dynamischen IP´s zu konnektieren. Mein Problem dabei ist, dass ich zwar den Client-Zugriff konfiguriert bekomme (mit einem anderen transform-set), aber die site-to-site nach der SA-lifetime beim Aushandeln der neuen SA keine Übereinstimmung mehr findet.

 

Error: SA not accetable

 

Lösche ich die Client-Konfiguration wieder, ist die site-to-site sofort wieder altiv!

 

Bei CISCO habe ich bis jetzt nur etwas mit gleichen transform-set gefunden.

sample

Durch die unterschiedlichen Anforderungen passt das aber nicht.

 

Wenn jemand einen Tipp hat, wäre ich sehr dankbar!!!

 

Gruß

hegl

Link zu diesem Kommentar

Besteht nicht die Möglichkeit, die Transform-Sets zu vereinheitlichen? Abgesehen davon dass die Konfig minimal übersichtlicher wird geht das massiv auf die Rechenleistung der PIX wenn sie mehrere unterschiedliche Cryptoalgos parallel rechnen muss.

 

Das Transform-Set gibst Du im jeweiligen Crypto-Map-Eintrag an, dann sollte das tun.

 

Kopie aus einer laufenden Konfig von mir (IPs anonymisiert) - alles drin: VPN-Client, unterschiedliche Transform-Sets und Lifetimes ...

 

sysopt connection permit-ipsec

sysopt connection permit-pptp

crypto ipsec transform-set FRA2SET esp-3des esp-sha-hmac

crypto ipsec transform-set SRSWNSET esp-3des esp-md5-hmac

crypto ipsec security-association lifetime seconds 3600

crypto dynamic-map outside_dyn_map 20 match address outside_cryptomap_dyn_20

crypto dynamic-map outside_dyn_map 20 set transform-set SRSWNSET

crypto map FRA2MAP 10 ipsec-isakmp

crypto map FRA2MAP 10 match address FRA2

crypto map FRA2MAP 10 set peer 213.83.123.123

crypto map FRA2MAP 10 set transform-set FRA2SET

crypto map FRA2MAP 20 ipsec-isakmp

crypto map FRA2MAP 20 match address FRA3

crypto map FRA2MAP 20 set peer 213.83.234.234

crypto map FRA2MAP 20 set transform-set FRA2SET

crypto map FRA2MAP 30 ipsec-isakmp

crypto map FRA2MAP 30 match address BAM1

crypto map FRA2MAP 30 set peer 217.91.123.234

crypto map FRA2MAP 30 set transform-set FRA2SET

crypto map FRA2MAP 40 ipsec-isakmp

crypto map FRA2MAP 40 match address RXXXXX

crypto map FRA2MAP 40 set peer 217.91.234.123

crypto map FRA2MAP 40 set transform-set SRSWNSET

crypto map FRA2MAP 65535 ipsec-isakmp dynamic outside_dyn_map

crypto map FRA2MAP interface outside

isakmp enable outside

isakmp key ******** address 213.83.234.234 netmask 255.255.255.255

isakmp key ******** address 217.91.123.234 netmask 255.255.255.255

isakmp key ******** address 217.91.234.123 netmask 255.255.255.255

isakmp key ******** address 213.83.123.123 netmask 255.255.255.255

isakmp identity address

isakmp nat-traversal 20

isakmp policy 10 authentication pre-share

isakmp policy 10 encryption 3des

isakmp policy 10 hash sha

isakmp policy 10 group 1

isakmp policy 10 lifetime 28800

isakmp policy 30 authentication pre-share

isakmp policy 30 encryption 3des

isakmp policy 30 hash md5

isakmp policy 30 group 2

isakmp policy 30 lifetime 86400

vpngroup IPSECVPN address-pool VPNRASPOOL

vpngroup IPSECVPN dns-server 10.1.18.1 10.1.18.2

vpngroup IPSECVPN wins-server 10.1.18.1 10.1.18.2

vpngroup IPSECVPN default-domain yyy.xxxx.de

vpngroup IPSECVPN split-tunnel IPSECVPN_splitTunnelAcl

vpngroup IPSECVPN idle-time 1800

vpngroup IPSECVPN password ********

 

Tut ganz wunderprächtig.

 

Gruss

Markus

Link zu diesem Kommentar

Erst einmal vielen Dank.

Kann es sein, dass Du die VPN´s mit dem PDM erstellt hast?

Gerade die Client-VPN´s bereiten mir Sorge. Die vom PDM erstellte config (siehe unten) sieht nämlich anders aus, als die in den CISCO samples:

 

crypto ipsec transform-set SRSWNSET esp-3des esp-md5-hmac

crypto dynamic-map outside_dyn_map 20 match address outside_cryptomap_dyn_20

crypto dynamic-map outside_dyn_map 20 set transform-set SRSWNSET

 

So wie ich es verstehe, ziehst Du über Zeile 2 die access-list an, für die client-access ermöglicht werden soll. Genau das macht der PDM bei mir auch, konfiguriert man das aber von Hand, kriegt man eins auf die Finger und der von mir schon beschriebene SA-Error kommt. Merkwürdigerweise funktioniert das nur, wenn man mit dem PDM den Tunnel generiert :mad: :mad: :mad:

Ich hab´s gerade im Lab nochmal nachvollzogen!!!

 

Meine manuelle config ist analog zu Deiner, wie geasgt, ausser der Zeile 2 und es läuft auch!!! Wozu ist dann Zeile 2 gut :confused::confused::confused:

 

Werde jetzt mal die site-to-site hinzufügen, testen und nochmal kurz fedback geben.

 

Gruß

hegl

Link zu diesem Kommentar

Du hast Recht, den dynamischen Teil (aber nur den) habe ich mit dem PDM erstellt. Sieht man ja leicht an der Benennung der ACL und der Map.

 

Irgendwelche Hintergedanken hatte ich dabei eigentlich nicht, als ich das gemacht habe hatte ich gerade die PIX und den PDM durch neue Versionen ersetzt und wollte das nur testen. Der Rest ist mit der Hand am Arm konfiguriert.

 

Mit der 2ten Zeile sage ich der PIX nur welchen Traffic ("match address") sie auf die Dynamic-Map routen soll, korrespondierend gibt es dazu halt eine ACL:

 

access-list outside_cryptomap_dyn_20 permit ip any 192.168.15.0 255.255.255.0

 

Du musst die ACL natürlich schon angelegt haben wenn Du die (Dynamic-) Map anlegst, eine nicht existente ACL zu referenzieren wäre nicht wirklich clever.

 

Gruss

Markus

Gruss

Markus

Link zu diesem Kommentar

Jepp, im Prinzip stimmen wir ja überein :) , nur verstehen tue ich es trotzdem nicht, woher die Unterschiede stammen, denn wie schon gesagt, bei mir läuft´s bei der manuellen config auch ohne diesen Eintrag (version 6.3.5)

 

schau´n wir mal was passiert, wenn ich die site-to-site fertisch habe ;)

 

gruß

hegl

Link zu diesem Kommentar

Mehrere site-to-site und einer dynamischen config für Clients mit einem transform-set funktioniert einwandfrei. Sobald ich aber ein zweites transform-set nehme kann die site-to-site nach Ablauf ihrer lifetime die SA´s nicht mehr aushandeln. Vielleicht habe ich doch ein Fehler in meiner config???

 

crypto ipsec transform-set XYZ esp-3des esp-sha-hmac

crypto ipsec transform-set ABC esp-aes-256 esp-sha-hmac

crypto dynamic-map TEST 10 set transform-set ABC

crypto map KNAMAP 20 ipsec-isakmp

crypto map KNAMAP 20 match address acl_for_XYZ

crypto map KNAMAP 20 set peer X.X.X.X

crypto map KNAMAP 20 set transform-set XYZ

crypto map KNAMAP 20 set security-association lifetime seconds 3600 kilobytes 4608000

crypto map KNAMAP 65535 ipsec-isakmp dynamic TEST

crypto map KNAMAP client configuration address initiate

crypto map KNAMAP client configuration address respond

crypto map KNAMAP interface outside

isakmp enable outside

isakmp key ******** address X.X.X.X netmask 255.255.255.255

isakmp identity address

isakmp policy 10 authentication pre-share

isakmp policy 10 encryption 3des

isakmp policy 10 hash sha

isakmp policy 10 group 1

isakmp policy 10 lifetime 28800

isakmp policy 20 authentication pre-share

isakmp policy 20 encryption aes-256

isakmp policy 20 hash sha

isakmp policy 20 group 2

isakmp policy 20 lifetime 3600

Link zu diesem Kommentar

DMZPIX# sh ver

 

Cisco PIX Firewall Version 6.3(4)

Cisco PIX Device Manager Version 3.0(3)

 

Compiled on Fri 02-Jul-04 00:07 by morlee

 

DMZPIX up 51 days 14 hours

 

Hardware: PIX-501, 16 MB RAM, CPU Am5x86 133 MHz

Flash E28F640J3 @ 0x3000000, 8MB

BIOS Flash E28F640J3 @ 0xfffd8000, 128KB

 

0: ethernet0: address is 0007.eb2a.065c, irq 9

1: ethernet1: address is 0007.eb2a.065d, irq 10

Licensed Features:

Failover: Disabled

VPN-DES: Enabled

VPN-3DES-AES: Enabled

Maximum Physical Interfaces: 2

Maximum Interfaces: 2

Cut-through Proxy: Enabled

Guards: Enabled

URL-filtering: Enabled

Inside Hosts: 50

Throughput: Unlimited

IKE peers: 10

 

This PIX has a Restricted ® license.

 

Gruss

Markus

Link zu diesem Kommentar
  • 2 Wochen später...
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...