VPN Erweiterung

[onedread 10]

HI

 

Wir haben einen bestehenden Site2Site Tunnel zu einer anderen Firma. Die haben derzeit Zugriff auf einen Rechner in unserem Netz im VLAN1. Jetzt würden Sie aber noch zugriff auf einen Rechner im VLAN6 brauchen. Was muss ich da jetzt bei der PIX einstellen auf der der Tunnel terminiert wird damit sie nun auf einem Rechner im VLAN6 zugreifen können?

 

Hab schon ewig nichts mehr auf der PIX gemacht deswegen brauch ich eure Hilfe.

 

thx

onedread

[blackbox 10]

Hi,

 

du musst den "Tunnel" auf beiden seiten im Bereich IPSec Policy erweitern über die IP Range.

[onedread 10]

des heisst nur die ACL anpassen und das routing und schon klappts?

[Wordo 11]

des dat i a sogn ... :)

[Otaku19 33]

evtl auch noch ACLs für den Zugriff an sich anpassen, je nachdem wie die pix konfiguriert ist :)

 

Wenn man das ganz schlau macht, dann gibts dafür object-groups die in den crypto und den "zugriffs" ACLs verwendet werden und natürlich die gleichen zugriffe benötigt werden :)

[onedread 10]

HI

 

Also wenn ich sh crypto ipsec sa mache bekomme ich folgende Output

 

 

local ident (addr/mask/prot/port): (10.0.0.1/255.255.255.255/0/0)

remote ident (addr/mask/prot/port): (10.112.0.0/255.255.0.0/0/0)

current_peer: 195.5X.1XX.XXX:0

PERMIT, flags={origin_is_acl,}

#pkts encaps: 0, #pkts encrypt: 0, #pkts digest 0

#pkts decaps: 0, #pkts decrypt: 0, #pkts verify 0

#pkts compressed: 0, #pkts decompressed: 0

#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0

#send errors 0, #recv errors 0

 

local crypto endpt.: 195.23X.1XX.XXX , remote crypto endpt.: 195.5X .1XX.XXX path mtu 1500, ipsec overhead 0, media mtu 1500

current outbound spi: 0

 

inbound esp sas:

 

 

inbound ah sas:

 

 

inbound pcp sas:

 

 

outbound esp sas:

 

 

outbound ah sas:

 

 

outbound pcp sas:

 

 

 

local ident (addr/mask/prot/port): (10.10.10.100/255.255.255.255/0/0)

remote ident (addr/mask/prot/port): (10.112.0.0/255.255.0.0/0/0)

current_peer: 195.5X.1XX.XXX:500

PERMIT, flags={origin_is_acl,}

#pkts encaps: 10569, #pkts encrypt: 10569, #pkts digest 10569

#pkts decaps: 9129, #pkts decrypt: 9129, #pkts verify 9129

#pkts compressed: 0, #pkts decompressed: 0

#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0

#send errors 0, #recv errors 0

 

local crypto endpt.: 195.23X.1XX.XX, remote crypto endpt.: 195.5X.1XX.XXX path mtu 1500, ipsec overhead 56, media mtu 1500

current outbound spi: 6b02d655

 

inbound esp sas:

spi: 0x35825405(897733637)

transform: esp-3des esp-sha-hmac ,

in use settings ={Tunnel, }

slot: 0, conn id: 5, crypto map: BECOM-MAP

sa timing: remaining key lifetime (k/sec): (4607999/23395)

IV size: 8 bytes

replay detection support: Y

 

 

inbound ah sas:

 

 

inbound pcp sas:

 

 

outbound esp sas:

spi: 0x6b02d655(1795348053)

transform: esp-3des esp-sha-hmac ,

in use settings ={Tunnel, }

slot: 0, conn id: 6, crypto map: BECOM-MAP

sa timing: remaining key lifetime (k/sec): (4607999/23386)

IV size: 8 bytes

replay detection support: Y

 

 

outbound ah sas:

 

 

outbound pcp sas:

 

passt des so?

 

Noch eine Frage, wenn die Gegenstelle mit uns vielleicht schon den gleichen Bereich benützt von der IP z.B. 10.0.0.0 255.255.0 wie kann ich es dann konfigurieren das er trotzdem auf den Rechner zugreifen kann.

 

MfG

onedread

[Wordo 11]

Das muessten dann beide Seiten unterstuetzen.

 

Cisco PIX Firewall and VPN Configuration Guide, Version 6.2 - Establishing Connectivity [Cisco PIX Firewall Software] - Cisco Systems

[Otaku19 33]

dann einfach natten, fertig

[onedread 10]

Hmm

 

Ja und auf welche Adresse mit der er den Tunnel established oder irgendeine aus unserem Netz, steh total am Schlauch.

 

VON XXX -> 10.0.0.1 solls übersetzt werden über den Tunnel

 

funktionieren tut schon das er auf einen Rechner im Netz 10.10.0.0 255.255.0.0 zugreifen kann.

 

Help me!!!

[Wordo 11]

cisco ipsec nat overlapping network ... da steht doch alles da.

 

Einfach mal tief durchatmen und genau lesen :)

[Otaku19 33]

...und vor allem den packet-flow immer im Hinterkopf haben

[onedread 10]

HI

 

Also wir haben uns jetzt mit der gegenstelle darauf geeinigt eine 2. Netzwerkkarte einzubauen und diese in unser Netz zu hängen. So weit so gut. Rechner ist im internen Lan erreichbar.

 

ACL wurden angepasst für den neuen Rechner, aber warum bekomm ich noch immer bei sh crypto ipsec sa folgenden Output

 

Rechner der funktioniert

 

local ident (addr/mask/prot/port): (10.10.10.100/255.255.255.255/0/0)

remote ident (addr/mask/prot/port): (10.112.0.0/255.255.0.0/0/0)

current_peer: 195.XXX.XXX.XXX:500

PERMIT, flags={origin_is_acl,}

#pkts encaps: 5255, #pkts encrypt: 5255, #pkts digest 5255

#pkts decaps: 18641, #pkts decrypt: 18641, #pkts verify 18641

#pkts compressed: 0, #pkts decompressed: 0

#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0

#send errors 0, #recv errors 0

 

 

hinzugefüger Rechner der nicht funktioniert

 

local ident (addr/mask/prot/port): (10.10.10.111/255.255.255.255/0/0)

remote ident (addr/mask/prot/port): (10.112.0.0/255.255.0.0/0/0)

current_peer: 195.XX.XX.XX:0 WARUM STEHT HIER NE NULL

PERMIT, flags={origin_is_acl,}

#pkts encaps: 0, #pkts encrypt: 0, #pkts digest 0

#pkts decaps: 0, #pkts decrypt: 0, #pkts verify 0

#pkts compressed: 0, #pkts decompressed: 0

#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0

#send errors 9, #recv errors 0

 

 

relevante Teile der Config

 

access-list acl-vpn-out permit ip host 10.10.10.100 10.112.0.0 255.255.0.0

access-list acl-vpn-out permit ip host 10.10.10.111 10.112.0.0 255.255.0.0

 

crypto map BECOM-MAP 9 ipsec-isakmp

crypto map BECOM-MAP 9 match address acl-vpn-out

crypto map BECOM-MAP 9 set peer 195.XX.XXX.XXX

crypto map BECOM-MAP 9 set transform-set ESP-3DES-SHA

 

isakmp policy 8 lifetime 86400

isakmp policy 9 authentication pre-share

isakmp policy 9 encryption 3des

isakmp policy 9 hash sha

isakmp policy 9 group 2

isakmp policy 9 lifetime 7200

 

Gegenstelle kann den Rechner 10.10.10.111 nicht erreichen.

 

und warum kann ich kein terminal monitor machen auf der PIX?

 

thx

onedread

[onedread 10]

HI

 

und wenn ich einen ping vom 10.10.10.111 auf das Remotenetz starte dann bekomme ich viele Senderrors

 

local ident (addr/mask/prot/port): (10.10.10.111/255.255.255.255/0/0)

remote ident (addr/mask/prot/port): (10.112.0.0/255.255.0.0/0/0)

current_peer: 195.58.191.11:0

PERMIT, flags={origin_is_acl,}

#pkts encaps: 0, #pkts encrypt: 0, #pkts digest 0

#pkts decaps: 0, #pkts decrypt: 0, #pkts verify 0

#pkts compressed: 0, #pkts decompressed: 0

#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0

#send errors 237, #recv errors 0

 

????? Hab ich in der Config irgendein Problem oder kann es auch an der Gegenstelle sein die mir aber bestätigt hatt das alles passen müsste ?????

[onedread 10]

So Ich hab das Probelm jetzt gelöst und zwar lag es an der Gegenstelle das dieser nicht die richtige Ip in die VPN Policy mitgegebn hat.

 

Jetzt wollt ich gerne wissen wie ich gewissen nun den VPN Traffic beschränken kann. Weil die Gegenstelle hatte nicht genügen Tunnel frei für einen weiteren so haben wir nun das C Klass Netz freigeben. Die Gegenstelle sollte aber nur Zugriff auf 2 Rechner in unserem LAN haben. Auf einem nur telnet auf dem anderen nur SSH.

 

Auf welcher ACL muss ich nun die beiden Rechner und Ports binden damit diese greift. Die die auf dem Inside Interface sitzt oder auf der Outside?

 

thx

onedread

[Otaku19 33]

am outside in: dazu muss allerdings sysopt connection permit-ipsec/permit-vpn (OS abhängig) mit no abgeschaltet werden.

 

Du kannst natürlich auch am inside in einschränken, falls deine clients nur auf bestimmte IP/Services beim Partner zugreifen sollen.

 

Die inspection arbeitet natürlich auch bei getunnelten verbindung, sprich retourpakte werden automatisch erlaubt sofern die inspection auch entsprechend konfiguriert ist.