Ciscler 10 Geschrieben 7. November 2007 Melden Teilen Geschrieben 7. November 2007 Hallo, hoffe Ihr könnt mir weiterhelfen. Habe hier eine PIX 515e. Zwischen der PIX und einer anderen Firewall soll eine VPN Verbindung site to site eingerichtet werden. Das ist erstmal kein Problem. Bisher hatte ich immer folgende ACL für die Cryptomaps wie z.b. access-list test permit ip 172.67.110.0 255.255.255.0 host x.x.x.x Jetzt ist es aber so das host x.x.x.x aber nicht auf unser netz zugreifen soll sprich aufs 172.67.110.0 sondern nur unser auf das fremde Netz. Ich habe an eine Access-list mit einem established gedacht sodass nur zuvor vom 172.67.110.0 Netz aufgebaute Verbindungen vom fremden Netz zurück dürfen. Nur leider weiss ich nicht wie ich das auf der PIX mache irgendwie kennt er denn established befehl in der ACL nicht. Danke im vorraus Gruß Dirk Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 7. November 2007 Melden Teilen Geschrieben 7. November 2007 Ich weiss nicht genau obs fuer Version 6 oder 7 gilt. Aber sobald du "conduit ipsec" oder sowas eingibst werden beide Richtungen erlaubt, wenn du das nicht machst, musst du auch einen Rueckregel erstellen. Folglicherweise solltest du den Befehl also schon drin haben (glaub das betrifft Version 7). Zitieren Link zu diesem Kommentar
Ciscler 10 Geschrieben 7. November 2007 Autor Melden Teilen Geschrieben 7. November 2007 Auf der PIX ist Version 6.3 drauf. Wie geht das da ;) ? Das betrifft glaub ich Version 7 Habe sowas im PIX Handbuch gefunden established <est_protocol> <dport> [sport] [permitto <protocol> <port>[-<port>]] [permitfrom <protocol> <port>[-port>]] Mit diesem Befehl kann ich aber kein Netz angeben Auf den Routern ist das besser da gibt es sowas ip access-list extended blub permit icmp any any permit tcp any any established deny ip any any log Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 7. November 2007 Melden Teilen Geschrieben 7. November 2007 Hi, da wirst du mit dem established Ansatz kein Erfolg haben. Sowas kann die Pix leider nicht. Du kannst für sowas nur einen Trick verwenden. Du NATest das Interne Netz auf eine IP und über die machst du dann einen VPN Tunnel in deinem Fall HOST to HOST. Dann gehen deine Pakete genattet raus und die Pakete die von aussen zu dir kommen bleiben am NAT hängen (ausser denen die in der NAT Table stehen). Zitieren Link zu diesem Kommentar
Ciscler 10 Geschrieben 8. November 2007 Autor Melden Teilen Geschrieben 8. November 2007 Hallo, das ist natürlich eine feine Sache. Ich hab das im Moment so: nat (inside) access-list NO_NAT und in dieser NO_NAT Access-Liste Trage ich immer die Verbindungen der Host oder auch Netze für die IPSEC Verbindungen na damit diese nicht genattet werden. Bei meinem Fall müsste ich jetzt nichts in diese Liste eintragen. Meine Frage ist jetzt nur bleibt er dann nun außem am NAT hängen? Ich habe nirgends was mit nat (outside) oder so in der Config stehen. Gruß Dirk Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.