Problem mit Pixen(VPN)

[Pixer 10]

Hi,

Ich habe da mal einige fragen. Ich soll zwei Pixen direkt miteinander verbinden und mit ihnen einen VPN Tunnel aufbauen ist das überhaupt möglich???? und wenn ja wie bekomme ich es hin das der VPN Tunnel aufgebaut wird ich habe so einige Konfigs ausprobiert aber keine führte zum erfolg.

Hier mein aufbau:

 

Internet -->Pix1(Cisco 501) -->Switch -->Pix2(Cisco 501) -->PC

 

der aufbau ist nur zu übungszwecken und ich habe keine ahnung wie ich das machen soll kann mit bitte jemand nützliche Tipps geben?

 

Bis dann.

[sch4k 10]

Erstell einfach mit dem VPN-Wizard eine IPSec Site-2-Site verbindung.

Einfach die Peer-Adressen eingeben, Pre-Shared-Key usw.. dann müsste das schon funktionieren.

[Pixer 10]

Ich kann dir nicht ganz folgen, könntest du dir bitte mal meine conf ansehen und mir sagen was falsch ist? wäre sehr nett, weil ich bin mit meinem latein am ende.

Pix1:

 

PIX Version 6.3(3)

interface ethernet0 auto

interface ethernet1 100full shutdown

nameif ethernet0 outside security0

nameif ethernet1 inside security100

enable password 8Ry2YjIyt7RRXU24 encrypted

passwd 2KFQnbNIdI.2KYOU encrypted

hostname Pix1

fixup protocol dns maximum-length 512

fixup protocol ftp 21

fixup protocol h323 h225 1720

fixup protocol h323 ras 1718-1719

fixup protocol http 80

fixup protocol rsh 514

fixup protocol rtsp 554

fixup protocol sip 5060

fixup protocol sip udp 5060

fixup protocol skinny 2000

fixup protocol smtp 25

fixup protocol sqlnet 1521

fixup protocol tftp 69

names

access-list 90 permit ip 192.168.10.0 255.255.255.0 192.168.1.0 255.255.255.0

pager lines 24

mtu outside 1500

mtu inside 1500

ip address outside dhcp setroute

ip address inside 192.168.30.1 255.255.255.0

ip audit info action alarm

ip audit attack action alarm

pdm history enable

arp timeout 14400

global (outside) 1 interface

global (inside) 1 192.168.30.2-192.168.30.30

nat (inside) 0 access-list 90

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00

timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00

timeout uauth 0:05:00 absolute

aaa-server TACACS+ protocol tacacs+

aaa-server RADIUS protocol radius

aaa-server LOCAL protocol local

no snmp-server location

no snmp-server contact

snmp-server community public

no snmp-server enable traps

floodguard enable

sysopt connection permit-ipsec

crypto ipsec transform-set strong esp-3des esp-sha-hmac

crypto map toPix2 20 ipsec-isakmp

crypto map toPix2 20 match address 90

crypto map toPix2 20 set peer 192.168.20.1

crypto map toPix2 20 set transform-set strong

crypto map toPix2 interface inside

isakmp enable inside

isakmp key ******** address 192.168.20.1 netmask 255.255.255.0

isakmp policy 9 authentication pre-share

isakmp policy 9 encryption 3des

isakmp policy 9 hash sha

isakmp policy 9 group 1

isakmp policy 9 lifetime 86400

telnet timeout 5

ssh timeout 5

console timeout 0

dhcpd auto_config outside

terminal width 80

Cryptochecksum:41a9f4fbaa88f40073b3a065dfd7b204

: end

[Pixer 10]

Pix 2:

 

PIX Version 6.3(3)

interface ethernet0 auto shutdown

interface ethernet1 100full

nameif ethernet0 outside security0

nameif ethernet1 inside security100

enable password 8Ry2YjIyt7RRXU24 encrypted

passwd 2KFQnbNIdI.2KYOU encrypted

hostname Pix2

domain-name example.com

fixup protocol dns maximum-length 512

fixup protocol ftp 21

fixup protocol h323 h225 1720

fixup protocol h323 ras 1718-1719

fixup protocol http 80

fixup protocol rsh 514

fixup protocol rtsp 554

fixup protocol sip 5060

fixup protocol sip udp 5060

fixup protocol skinny 2000

fixup protocol smtp 25

fixup protocol sqlnet 1521

fixup protocol tftp 69

names

access-list 80 permit ip 192.168.1.0 255.255.255.0 192.168.10.0 255.255.255.0

pager lines 24

mtu outside 1500

mtu inside 1500

ip address outside 192.168.20.1 255.255.255.0

ip address inside 192.168.1.1 255.255.255.0

ip audit info action alarm

ip audit attack action alarm

pdm history enable

arp timeout 14400

global (outside) 1 192.168.20.10-192.168.20.30

nat (inside) 0 access-list 80

nat (inside) 1 0.0.0.0 0.0.0.0 0 0

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00

timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00

timeout uauth 0:05:00 absolute

aaa-server TACACS+ protocol tacacs+

aaa-server RADIUS protocol radius

aaa-server LOCAL protocol local

http 192.168.1.0 255.255.255.0 inside

no snmp-server location

no snmp-server contact

snmp-server community public

no snmp-server enable traps

floodguard enable

sysopt connection permit-ipsec

crypto ipsec transform-set strong esp-3des esp-sha-hmac

crypto map Pix1 10 ipsec-isakmp

crypto map Pix1 10 match address 80

crypto map Pix1 10 set peer 192.168.30.1

crypto map Pix1 10 set transform-set strong

crypto map Pix1 interface outside

isakmp enable outside

isakmp key ******** address 192.168.30.1 netmask 255.255.255.0

isakmp policy 8 authentication pre-share

isakmp policy 8 encryption 3des

isakmp policy 8 hash sha

isakmp policy 8 group 1

isakmp policy 8 lifetime 86400

telnet timeout 5

ssh timeout 5

console timeout 0

dhcpd address 192.168.1.2-192.168.1.33 inside

dhcpd lease 3600

dhcpd ping_timeout 750

dhcpd enable inside

terminal width 80

Cryptochecksum:68412fdc13db26298a7563e633c107c4

: end

[Pixer 10]

hey sch4k funktioniert der vpn wizard nur mei netgear???

[sch4k 10]

Wie? Bei netgear? Dachte du hast cisco pix 501 ? oder meinste den switch das der von netgear ist?

Die Marke des Switch ist irrellevant.

Sorry hatte noch keine zeit deine config durchzuschauen.

[Pixer 10]

ne ich hab gerade mal geschaut wo ich das herbekomme und da stand immer nur was von netgear deshalb frag ich. wäre trotzdem nett wenn du dir die konfig mal anschauen könntest.

bis denne

[s21it21 10]

hallo,

 

er meint den wizard von der pix. auch die beitet eine grafische oberfläche an (=PDM). den musst du aber erst aktivieren. erst dann kannst du via https auf das ding zugreifen.

 

dann solltest du recht einfach via pdm-wizard so ein vpn aufbauen können.

die website von cisco bietet dazu einige, gute dokumente (einfach googlen).

 

 

lg

martin

[Pixer 10]

Ich habe jetzt das pdm von der cd auf meinen pc gezogen, weiß nun aber nicht wie ich es aktiviere könntet ihr mir bitte nochmal helfen

 

mfg Pixer

[sch4k 10]

Auf den PC gezogen ?? Mach doch einfach per webbrowser : https://ipderinternenkarte/ fertig.

[Data1701 10]

Das PDM ist das WEB-Interface der PIX.

 

Wird aber auch hinreichend in der Kurzanleitung beschrieben. :suspect:

 

Gruß Data

[Pixer 10]

Kurzanleitung is aber auf englisch und das kann ich nicht sehr gut. gibt es das auch auf deutsch?

[Pixer 10]

Könnte sich bitte jemand meine Konfig ansehen da es bestimmt nur ein kleiner fehler ist ich ihn aber trotzdem nicht finde

[Wordo 11]

Also ich bin ja kein PIX'ler, aber was soll das denn:

 

Pix1:

 

interface ethernet1 100full shutdown

nameif ethernet1 inside security100

ip address inside 192.168.30.1 255.255.255.0

isakmp enable inside

 

Pix 2:

 

interface ethernet0 auto shutdown

nameif ethernet0 outside security0

ip address outside 192.168.20.1 255.255.255.0

isakmp enable outside

 

 

Sind da die Interfaces runtergefahren ???

[Pixer 10]

bei mir steht das genauso wie du das geschrieben hast