PIX IPsec

[Ciscler 10]

Hallo,

 

ich soll eine IPSEC Verbindung zwischen unserer PIX und einer Checkpoint aufbauen wobei ich für die Konfiguration der Checkpoint nicht zuständig bin muss also nur die Konfiguration auf der PIX vornehmen.

Das Problem ist nur das die PIX mir total Fremd ist habe zuvor nur sowas auf Cisco Routern konfiguriert.

 

Auf der PIX sind schon ähnliche IPSEC Verbindungen die ich ja eigentlich genau so konfigurieren muss.

 

Diese Daten habe ich bekommen:

 

WAN:195.XXX.XXX.XXX

LAN:193.13.43.28

IKE (Phase 1):3DES, SHA1

IPsec (Phase 2):3DES, SHA1

Shared Secret:noch offen

Service:http, https, DNS, ICMP (Ping zum Testen)

 

crypto ipsec transform-set wkfpset esp-3des esp-sha-hmac

crypto dynamic-map wkfpmap 5 set transform-set wkfpset

crypto map newmap 4 ipsec-isakmp

crypto map newmap 4 match address xxxxxxx

crypto map newmap 4 set pfs group2

crypto map newmap 4 set peer xxxxxxxxxxx

crypto map newmap 4 set transform-set wkfpset

crypto map newmap 4 set security-association lifetime seconds 3600 kilobytes 50000

crypto map newmap 5 ipsec-isakmp dynamic wkfpmap

crypto map newmap interface outside

isakmp enable outside

isakmp key ******** address xxxxxxxx netmask 255.255.255.255

isakmp key ******** address xxxxxxxx netmask 255.255.255.255

isakmp key ******** address xxxxxxxx netmask 255.255.255.255

isakmp identity address

isakmp keepalive 10

isakmp policy 5 authentication pre-share

isakmp policy 5 encryption 3des

isakmp policy 5 hash md5

isakmp policy 5 group 2

isakmp policy 5 lifetime 86400

telnet 0.0.0.0 0.0.0.0 inside

telnet timeout 60

ssh timeout 5

console timeout 0

terminal width 80

 

Müsste ich jetzt z.b. einfach eine crypto map newmap 6 hinzufügen?

 

Gruß Dirk

[Wordo 11]

Genau :) Musst halt noch die richtigen ACLs drauf haben.

[Ciscler 10]

Hallo,

 

mein IPSEC Tunnel steht ;)

 

Aber habe dennoch ne Frage

 

Habe auf der Cryptomap folgende access-list gebunden. Damit durch den Tunnel nur der Traffic vom client 133.99.16.9 zu 193.13.43.28 auf der Gegenseite darf und natürlich zurück.

Wie müsste ich die Accessliste nun erweitern das durch den Tunnel nur FTP Traffic zwischen den beiden Clients laufen darf.

 

access-list [ *EDIT* ] remark [ *EDIT* ]

access-list [ *EDIT* ] permit host 133.99.16.9 host 193.13.43.28

 

Danke und Gruß Dirk

[Ciscler 10]

Mein Kollege meinte die ACL der PIX fängt nichts aber sondern mit der acl wird nur erlaubt welcher traffic durch den tunnel darf. Aber wenn ich nur bestimmen Traffic im Tunnel erlaube dann wird doch der Rest verworfen bzw. wird nich durchgereicht.

 

Sehe ich das Falsch?

[hegl 10]

Hi,

 

Du must NAT (bzw. NONAT) und die Policy trennen.

Wenn ich davon ausgehe, dass Du kein NAT machen möchtest, hast Du z.B. eine ACL

 

nat (inside) 0 access-list nonat

 

Für die ACL gilt dann:

 

access-list nonat permit ip host 133.99.16.9 host 193.13.43.28

 

Hast Du in Deiner cryptomap eine ACL [ *EDIT* ] gebunden, machst Du nun für diese die policy:

 

access-list [ *EDIT* ] permit tcp host 133.99.16.9 eq ftp host 193.13.43.28

 

Für den Rückweg halt analog dazu!

[Ciscler 10]

Hallo,

 

ja eine ACL mit:

 

access-list nonat permit ip host 133.99.16.9 host 193.13.43.28

 

habe ich bei mir drin. Aber verstehe nicht genau warum ich das angeben muss. Würde er sonst Natten?

 

Und mit dem Rückweg meinst du die ACL für TFP auf der Gegenseite richtig?

 

Gruß Dirk

[hegl 10]

Hallo,

 

ja eine ACL mit:

 

access-list nonat permit ip host 133.99.16.9 host 193.13.43.28

 

habe ich bei mir drin. Aber verstehe nicht genau warum ich das angeben muss. Würde er sonst Natten?

 

Du musst der immer PIX sagen, ob sie NAT machen soll oder nicht.

Ich versuch´s immer so zu erklären: mit nat/nonat bzw. static baust du die Straße und mit der policy erlaubst Du, wer darüber fahren darf ;)

 

Ich denke, dass Du in Deiner Grundkonfiguration ja schon ein NAT für 133.99.16.9 angegeben hast; machst Du also kein nonat versucht die PIX zu NATten und Du läufst gegen die Pumpe...

 

 

Und mit dem Rückweg meinst du die ACL für TFP auf der Gegenseite richtig?

 

Jenau

[mturba 10]

Du musst der immer PIX sagen, ob sie NAT machen soll oder nicht.

Richtig!

Ab der Version 7.x ist das allerdings nicht mehr so. Dort kann man aber das alte Verhalten mit "no nat-control" wieder erzwingen...

[hegl 10]

Richtig!

Ab der Version 7.x ist das allerdings nicht mehr so. Dort kann man aber das alte Verhalten mit "no nat-control" wieder erzwingen...

 

Ups, wenn ich mir die CISCO-Doku

 

PIX 7.0 introduces the nat-control command. You can use the nat-control command in configuration mode in order to specify if NAT is required for outside communications. With NAT control enabled, configuration of NAT rules is required in order to allow outbound traffic, as is the case with previous versions of PIX software. If NAT control is disabled (no nat-control), inside hosts can communicate with outside networks without the configuration of a NAT rule. However, if you have inside hosts that do not have public addresses, you still need to configure NAT for those hosts.

 

anschaue, ist das genau andersherum - mit nat-control erzwingst Du dies!

[Ciscler 10]

......

[Wordo 11]

......

 

Eigentlich wird hier auf ein Statement von dir gewartet .. z.B. deine PIX Version.

[mturba 10]

Ab der Version 7.x ist das allerdings nicht mehr so. Dort kann man aber das alte Verhalten mit "no nat-control" wieder erzwingen...

Ups, wenn ich mir die CISCO-Doku

[...]

anschaue, ist das genau andersherum - mit nat-control erzwingst Du dies!

Argh... hast recht, hab ich verwechselt ;) - danke für die Richtigstellung.