Mehrere VPNS auf einer PIX

[onedread 10]

HI

 

Ich will nun mehrere VPNS auf einer PIX terminieren lassen, kann ich jetzt nur mit den Befehlen vpngroup Befehlen einen neuen einrichten plus Access-liste und das wars ode rmuss ich mit dem crypto Befehl auch noch für jeden weiteren VPN die Verschlüsselung anpassen oder kann ich für alle VPN's die Verschlüsslung nutzen die ich für den 1. VPN angelegt habe?

 

Wer das weiss bitte melden.

 

THX

onedread

[Wordo 11]

PIX v6 oder v7? Also ich hab hier mal ne ASA Konfiguration:

 

crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac

crypto map outside_map 20 match address outside_20_cryptomap

crypto map outside_map 20 set pfs

crypto map outside_map 20 set peer ip1

crypto map outside_map 20 set transform-set ESP-3DES-MD5

crypto map outside_map 40 match address outside_40_cryptomap

crypto map outside_map 40 set pfs

crypto map outside_map 40 set peer ip2

crypto map outside_map 40 set transform-set ESP-3DES-MD5

crypto map outside_map interface outside

crypto isakmp enable outside

crypto isakmp policy 10

authentication pre-share

encryption 3des

hash md5

group 2

lifetime 86400

tunnel-group ip1 type ipsec-l2l

tunnel-group ip1 ipsec-attributes

pre-shared-key *

tunnel-group ip2 type ipsec-l2l

tunnel-group ip2 ipsec-attributes

pre-shared-key *

[hegl 10]

reicht das?

 

Configuring PIX to PIX to PIX IPSec Fully Meshed - Cisco Systems

[onedread 10]

HI

 

Danke mal für die Antworten.

 

Vielleicht habe ich vergessen zu sagen das es mehrere VPN'S für Softwareclients sein sollen und keine PIX to PIX VPN'S.

 

Aber wenn ich mir so die Konfigs durchsehe dann muss ich wohl für jeden Tunnel eine eigene Verschlüsselung machen, gilt das auch für VPN'S die über den Cisco VPN Client initiert werden auch?

 

thx

onedread

[Wordo 11]

Nein, das ist ja dann eine dynamic-map fuer 0.0.0.0 ... da gilt fuer jeden Client dasselbe.

[onedread 10]

HI

 

was macht das nat (inside) 0 access-liste

 

und was das vpngroup split-tunnel access-liste

 

 

bitte um hilfe habs einfach nicht gecheckt.

 

thx

onedread

[#9370 10]

das "nat 0" nimmt die in der ACL definierten Adressen vom NAT aus, da bei der PIX NAT vor IPSec kommt.

 

split tunnel definiert, welche Adressen für Client VPN nicht über den IPSec Tunnel erreicht werden

 

/#9370

[hegl 10]

split tunnel definiert, welche Adressen für Client VPN nicht über den IPSec Tunnel erreicht werden

 

/#9370

 

Ist das nicht genau anders herum??? Ich habe meine ACL-Id mit spli-tunnel verknüpft und kann nun auf das lokale Netzwerk, sowie aufs Internet zugreifen. Vorher hatte ich nur Zugriff auf die im Tunnel definierte Adressen.

[#9370 10]

die Adressen mit permit Statements in der ACL werden durch den Tunnel erreicht - war vielleicht ein wenig missverständlich ausgedrückt.

 

/#9370

[onedread 10]

wo sag ich dann der pix das sie nur den tcp port 23 durch den tunnel auf eine bestimmte ip durschlassen soll und sonst nichts? auch im split-tunnel oder in einer eigenen ACL. Und auf welches Interface muss ich die ACl dann binden weil ich kann ja nur pro interface eine ACL binden?

 

das verstehe ich noch nicht und ist wichtig für mich.

 

thx

onedread

[hegl 10]

wo sag ich dann der pix das sie nur den tcp port 23 durch den tunnel auf eine bestimmte ip durschlassen soll und sonst nichts? auch im split-tunnel oder in einer eigenen ACL. Und auf welches Interface muss ich die ACl dann binden weil ich kann ja nur pro interface eine ACL binden?

onedread

 

Das hatte ich Dir doch schon bei Deinem anderen Posting versucht zu erklären....

 

Eine ACL bindest Du immer auf das Interface, wo die Regel angewendet werden soll!

Also bindest Du diese auf das outside-interface.

Wenn Du schon eine access-group darauf gebunden hast, musst Du natürlich auch die passende ACL-Id nehmen, da, wie Du richtig bemerkt hast, man nur eine ACL-Id pro interface binden kann!

[onedread 10]

HI

 

ok danke hegl ich werds dann nochmals versuchen mit dem outside interface.

 

Weiters gibt es einen Befehl mit dem ich einen bestimmten VPN Tunnel beenden kann und die anderen sollen weiterlaufen. Wie ist das möglich.

 

ciao

onedread

[onedread 10]

he

 

Also ich hab das nun ausprobiert, das ich ein acl-statement hinzufüge das ans outside interface gebunden ist für den VPN-Zugang damit ich ihn beschränken kann, leider funktioniert es bei mir nicht ich wollte lediglich den port 5900 freigebn und sonst hab ich alles denied.

 

Doch leider kann ich immer noch auf die Freigaben des Clients zugreifen.

 

Hegl hast du das bei deinen configs schon richtig hinbekommen?

 

Weil auf keiner Cisco Doku die ich schon durchgesehen habe wird irgendwo geschrieben das die VPN-Clients nur auf einen bestimmten Port zugreifen dürfen sonst würd ich nicht soviele Fragen diesbezüglich stellen.

 

Help

 

thx

onedread

[onedread 10]

HI

 

Anscheinend hab ich nun die Lösung gefunden und zwar war es der Befehel sysopt connection permit-ipsec, denn hab ich nun mit einem no disabled und schon greifen die ACL-Statements.

 

SO nun wäre für diesen Tunnel das Probelm gelöst, nur was passiert mit den anderen Tunneln wenn ich diesen Befehl aus der config nehme funktionieren die jetzt nun nicht mehr, oder wie?

 

Bzw. was hat dieser Befehl überhaupt für Auswirkungen, so wie es scheint erlaubt er jeglichen Traffic der verschüsselt ist und deswegen greifen keine ACLs.

 

Anregungen Tipps oder, was auch immer?

 

:)

onedread

[hegl 10]

HI

 

Bzw. was hat dieser Befehl überhaupt für Auswirkungen, so wie es scheint erlaubt er jeglichen Traffic der verschüsselt ist und deswegen greifen keine ACLs.

 

onedread

 

CISCO sagt dazu:

Because all inbound sessions must be explicitly permitted by an access list or a conduit, the sysopt connection permit-IPSec command is used to permit all inbound IPSec authenticated cipher sessions.

 

Ich bin eigentlich auch davon ausgegangen, dass Du diesen Befehl implementiert hast, da dies ein Basic-Befehl bei IP-Sec ist!