PIX, mehrere VPN´s

[hegl 10]

Hallo,

ich versuche schon seit ein paar Tagen das ganze Thema VPN zu verstehen. Bei CISCO gibt´s auch jede Menge samples, aber meisst nicht das, was man sucht. Speziell möchte ich von einer PIX aus mehrere site-to-site-Verbindungen herstellen. Gelernt habe ich dabei, dass man nicht mehrere crypto maps auf einen interface binden kann.

Nun meine Frage: Wie konfiguriere ich also mehere site-to-site auf ein interface? Gilt die Lösung dann analog auch für VPN-Clients?

 

Thx

hegl

[Blacky_24 10]

Kommt drauf an was Du machen willst - feste IPs oder dynamische IPs oder gemischt.

 

Ich bin mir sicher dass es bei Cisco ein Konfig-Beispiel für fest / dynamisch gemischt gibt.

 

Gruss

Markus

[hegl 10]

Kommt drauf an was Du machen willst - feste IPs oder dynamische IPs oder gemischt.

 

Gruss

Markus

 

Zur Zeit sind die Anforderungen so, dass ich von 3 Sites mit fester IP auf eine PIX/VPN-Gateway zugreifen möchte. Ein Tunnel läuft zur Zeit auch reibungslos. Angedacht sind 2 weitere Tunnels, aber mit unterschiedlichen transform-set, z.B.

 

crypto ipsec transform-set abc esp-aes-256 esp-sha-hmac

crypto ipsec transform-set abc esp-3des esp-sha-hmac

 

Weiterhin teste ich gerade, auch VPN-Clients, also mit dynamischen IP´s zu konnektieren. Mein Problem dabei ist, dass ich zwar den Client-Zugriff konfiguriert bekomme (mit einem anderen transform-set), aber die site-to-site nach der SA-lifetime beim Aushandeln der neuen SA keine Übereinstimmung mehr findet.

 

Error: SA not accetable

 

Lösche ich die Client-Konfiguration wieder, ist die site-to-site sofort wieder altiv!

 

Bei CISCO habe ich bis jetzt nur etwas mit gleichen transform-set gefunden.

sample

Durch die unterschiedlichen Anforderungen passt das aber nicht.

 

Wenn jemand einen Tipp hat, wäre ich sehr dankbar!!!

 

Gruß

hegl

[Blacky_24 10]

Besteht nicht die Möglichkeit, die Transform-Sets zu vereinheitlichen? Abgesehen davon dass die Konfig minimal übersichtlicher wird geht das massiv auf die Rechenleistung der PIX wenn sie mehrere unterschiedliche Cryptoalgos parallel rechnen muss.

 

Das Transform-Set gibst Du im jeweiligen Crypto-Map-Eintrag an, dann sollte das tun.

 

Kopie aus einer laufenden Konfig von mir (IPs anonymisiert) - alles drin: VPN-Client, unterschiedliche Transform-Sets und Lifetimes ...

 

sysopt connection permit-ipsec

sysopt connection permit-pptp

crypto ipsec transform-set FRA2SET esp-3des esp-sha-hmac

crypto ipsec transform-set SRSWNSET esp-3des esp-md5-hmac

crypto ipsec security-association lifetime seconds 3600

crypto dynamic-map outside_dyn_map 20 match address outside_cryptomap_dyn_20

crypto dynamic-map outside_dyn_map 20 set transform-set SRSWNSET

crypto map FRA2MAP 10 ipsec-isakmp

crypto map FRA2MAP 10 match address FRA2

crypto map FRA2MAP 10 set peer 213.83.123.123

crypto map FRA2MAP 10 set transform-set FRA2SET

crypto map FRA2MAP 20 ipsec-isakmp

crypto map FRA2MAP 20 match address FRA3

crypto map FRA2MAP 20 set peer 213.83.234.234

crypto map FRA2MAP 20 set transform-set FRA2SET

crypto map FRA2MAP 30 ipsec-isakmp

crypto map FRA2MAP 30 match address BAM1

crypto map FRA2MAP 30 set peer 217.91.123.234

crypto map FRA2MAP 30 set transform-set FRA2SET

crypto map FRA2MAP 40 ipsec-isakmp

crypto map FRA2MAP 40 match address RXXXXX

crypto map FRA2MAP 40 set peer 217.91.234.123

crypto map FRA2MAP 40 set transform-set SRSWNSET

crypto map FRA2MAP 65535 ipsec-isakmp dynamic outside_dyn_map

crypto map FRA2MAP interface outside

isakmp enable outside

isakmp key ******** address 213.83.234.234 netmask 255.255.255.255

isakmp key ******** address 217.91.123.234 netmask 255.255.255.255

isakmp key ******** address 217.91.234.123 netmask 255.255.255.255

isakmp key ******** address 213.83.123.123 netmask 255.255.255.255

isakmp identity address

isakmp nat-traversal 20

isakmp policy 10 authentication pre-share

isakmp policy 10 encryption 3des

isakmp policy 10 hash sha

isakmp policy 10 group 1

isakmp policy 10 lifetime 28800

isakmp policy 30 authentication pre-share

isakmp policy 30 encryption 3des

isakmp policy 30 hash md5

isakmp policy 30 group 2

isakmp policy 30 lifetime 86400

vpngroup IPSECVPN address-pool VPNRASPOOL

vpngroup IPSECVPN dns-server 10.1.18.1 10.1.18.2

vpngroup IPSECVPN wins-server 10.1.18.1 10.1.18.2

vpngroup IPSECVPN default-domain yyy.xxxx.de

vpngroup IPSECVPN split-tunnel IPSECVPN_splitTunnelAcl

vpngroup IPSECVPN idle-time 1800

vpngroup IPSECVPN password ********

 

Tut ganz wunderprächtig.

 

Gruss

Markus

[hegl 10]

Erst einmal vielen Dank.

Kann es sein, dass Du die VPN´s mit dem PDM erstellt hast?

Gerade die Client-VPN´s bereiten mir Sorge. Die vom PDM erstellte config (siehe unten) sieht nämlich anders aus, als die in den CISCO samples:

 

crypto ipsec transform-set SRSWNSET esp-3des esp-md5-hmac

crypto dynamic-map outside_dyn_map 20 match address outside_cryptomap_dyn_20

crypto dynamic-map outside_dyn_map 20 set transform-set SRSWNSET

 

So wie ich es verstehe, ziehst Du über Zeile 2 die access-list an, für die client-access ermöglicht werden soll. Genau das macht der PDM bei mir auch, konfiguriert man das aber von Hand, kriegt man eins auf die Finger und der von mir schon beschriebene SA-Error kommt. Merkwürdigerweise funktioniert das nur, wenn man mit dem PDM den Tunnel generiert :mad: :mad: :mad:

Ich hab´s gerade im Lab nochmal nachvollzogen!!!

 

Meine manuelle config ist analog zu Deiner, wie geasgt, ausser der Zeile 2 und es läuft auch!!! Wozu ist dann Zeile 2 gut

 

Werde jetzt mal die site-to-site hinzufügen, testen und nochmal kurz fedback geben.

 

Gruß

hegl

[Blacky_24 10]

Du hast Recht, den dynamischen Teil (aber nur den) habe ich mit dem PDM erstellt. Sieht man ja leicht an der Benennung der ACL und der Map.

 

Irgendwelche Hintergedanken hatte ich dabei eigentlich nicht, als ich das gemacht habe hatte ich gerade die PIX und den PDM durch neue Versionen ersetzt und wollte das nur testen. Der Rest ist mit der Hand am Arm konfiguriert.

 

Mit der 2ten Zeile sage ich der PIX nur welchen Traffic ("match address") sie auf die Dynamic-Map routen soll, korrespondierend gibt es dazu halt eine ACL:

 

access-list outside_cryptomap_dyn_20 permit ip any 192.168.15.0 255.255.255.0

 

Du musst die ACL natürlich schon angelegt haben wenn Du die (Dynamic-) Map anlegst, eine nicht existente ACL zu referenzieren wäre nicht wirklich clever.

 

Gruss

Markus

Gruss

Markus

[hegl 10]

Jepp, im Prinzip stimmen wir ja überein :) , nur verstehen tue ich es trotzdem nicht, woher die Unterschiede stammen, denn wie schon gesagt, bei mir läuft´s bei der manuellen config auch ohne diesen Eintrag (version 6.3.5)

 

schau´n wir mal was passiert, wenn ich die site-to-site fertisch habe ;)

 

gruß

hegl

[hegl 10]

Mehrere site-to-site und einer dynamischen config für Clients mit einem transform-set funktioniert einwandfrei. Sobald ich aber ein zweites transform-set nehme kann die site-to-site nach Ablauf ihrer lifetime die SA´s nicht mehr aushandeln. Vielleicht habe ich doch ein Fehler in meiner config???

 

crypto ipsec transform-set XYZ esp-3des esp-sha-hmac

crypto ipsec transform-set ABC esp-aes-256 esp-sha-hmac

crypto dynamic-map TEST 10 set transform-set ABC

crypto map KNAMAP 20 ipsec-isakmp

crypto map KNAMAP 20 match address acl_for_XYZ

crypto map KNAMAP 20 set peer X.X.X.X

crypto map KNAMAP 20 set transform-set XYZ

crypto map KNAMAP 20 set security-association lifetime seconds 3600 kilobytes 4608000

crypto map KNAMAP 65535 ipsec-isakmp dynamic TEST

crypto map KNAMAP client configuration address initiate

crypto map KNAMAP client configuration address respond

crypto map KNAMAP interface outside

isakmp enable outside

isakmp key ******** address X.X.X.X netmask 255.255.255.255

isakmp identity address

isakmp policy 10 authentication pre-share

isakmp policy 10 encryption 3des

isakmp policy 10 hash sha

isakmp policy 10 group 1

isakmp policy 10 lifetime 28800

isakmp policy 20 authentication pre-share

isakmp policy 20 encryption aes-256

isakmp policy 20 hash sha

isakmp policy 20 group 2

isakmp policy 20 lifetime 3600

[Blacky_24 10]

DMZPIX# sh ver

 

Cisco PIX Firewall Version 6.3(4)

Cisco PIX Device Manager Version 3.0(3)

 

Compiled on Fri 02-Jul-04 00:07 by morlee

 

DMZPIX up 51 days 14 hours

 

Hardware: PIX-501, 16 MB RAM, CPU Am5x86 133 MHz

Flash E28F640J3 @ 0x3000000, 8MB

BIOS Flash E28F640J3 @ 0xfffd8000, 128KB

 

0: ethernet0: address is 0007.eb2a.065c, irq 9

1: ethernet1: address is 0007.eb2a.065d, irq 10

Licensed Features:

Failover: Disabled

VPN-DES: Enabled

VPN-3DES-AES: Enabled

Maximum Physical Interfaces: 2

Maximum Interfaces: 2

Cut-through Proxy: Enabled

Guards: Enabled

URL-filtering: Enabled

Inside Hosts: 50

Throughput: Unlimited

IKE peers: 10

 

This PIX has a Restricted ® license.

 

Gruss

Markus

[hegl 10]

Was soll mir das nun sagen?

[Wordo 11]

Ob beides enabled ist?

 

VPN-DES: Enabled

VPN-3DES-AES: Enabled

[Blacky_24 10]

Was soll mir das nun sagen?

 

Wenn man sonst keinen Unterschied findet vergleicht man mal den Softwarestand, was sonst?

 

Gruss

Markus

[hegl 10]

jupp, die Leitung war was länger...

 

Aber das ist es auch nicht, denn die Einstellungen der site-to-site bleiben ja nach wie vor unverändert!

[hegl 10]

Sry, dass ich erst jetzt zum antworten komme.

Ein Neustart hilft manchmal Wunder :) :) :)

 

Nochmals danke für Eure Hilfe!

 

hegl

[Data1701 10]

Cisco PIX Firewall Version 6.3(4)

Cisco PIX Device Manager Version 3.0(3)

 

Blacky_24 da ist ja wohl mal ein Update nötig, gerade wenn man VPNs einsetzt.

 

PIX-OS 6.3(5) und PDM 3.0(4)

 

Gruß Data