PIX, mehrere VPN´s

[heiko2 10]

Hallo ...

 

das Update ist nicht nötig :)

 

1. Du baust die nächste Policy mit der nächsten priority.

z.b.

isakmp policy 30 authentication pre-share

isakmp policy 30 encryption aes-256

isakmp policy 30 hash sha

isakmp policy 30 group 5

isakmp policy 30 lifetime 3600

 

es werden ALLE policy während IKE Phase 1 und 2 angeboten und nach ihrer Priorität geprüft. die mit der höchsten, die auf beiden Seite passt wird verwendet.

 

2. Du baust die neue crypto map

 

crypto map KNAMAP 30 ipsec-isakmp

crypto map KNAMAP 30 match address acl_for_yyyy

crypto map KNAMAP 30 set peer y.y.y.y

crypto map KNAMAP 30 set transform-set ABC

crypto map KNAMAP 30 set security-association lifetime seconds 3600 kilobytes 4608000

 

3. Du baust den preshare key

isakmp key ******** address y.y.y.y netmask 255.255.255.255

 

und nun sollte es schon gehn

 

 

Gruß Heiko

[Data1701 10]

Update nicht wegen der Config, sondern Update wegen BUG im IPSEC beim Pix-OS 3.0(3)

 

Gruß Data

[Blacky_24 10]

Update nicht wegen der Config, sondern Update wegen BUG im IPSEC beim Pix-OS 3.0(3)

 

Ansonsten weisst Du wovon Du schreibst?

 

Bug bei IPSEC in PIX-OS 3.0.3? Das OS gab es zu einer Zeit in der die PIXen noch Floppylaufwerke hatten und man Token-Ring-Interfaces einbauen konnte, das war so 1996-1997 - und über IPSEC mit der PIX haben wir damals alle laut gelacht.

 

Der einzige IPSEC-Bug in PIX-OS 3.x war dass damit IPSEC überhaupt nicht möglich war, IPSEC mit der PIX geht erst ab 5.x - und das kam irgendwann in 2000 raus - auch auf einer ganz anderen Hardware-Plattform.

 

Gruss

Markus

[Wordo 11]

Ich glaub mit 3.0.3 war der PDM gemeint, aber ich misch mich lieber nicht ein :D Blacky hat nen schlechten Tag :p

[Blacky_24 10]

Nö, habe ich nicht.

 

Ich sitze im Garten unter dem Sonnenschirm, habe Blick auf die Alpen und kann mich einfach nicht entscheiden ob ich mir noch einen Kaffee oder das erste Bier hole.

 

Alles in Allem die besten Voraussetzungen für ein ruhiges Wochenende.

 

Meine teilweise etwas rustikale Art, meine Postings zu formulieren entspricht meinem ebenso rustikalen Naturell - hart aber herzlich, jedoch so gut wie nie beleidigend gemeint.

 

PDM und OS sollte man auseinander halten, sonst gibts Konfusion.

 

Gruss

Markus (der mit dem Bier doch noch wartet bis der Grill vorgeglüht ist)

[Wordo 11]

waer ich nicht noch in der arbeit wuerd ich das bier vorziehn :D

[Data1701 10]

Yep,

 

da hat sich wohl "Freund" eingemischt. Ich meinte selbstverstaendlich: PIX-OS 6.3(5). Wie ja auch ein Thread vorher schon geschrieben, aber ich will mich mal nicht so aufregen wie Du :p ;) .

 

Und man sollte natuerlich auch das PDM 3.0(4) drauf haben, sonst ist es mit dem PDM mau unter der neusten Java-Engine.

 

Jetzt alles wieder OK ?!

 

Gruß Data

 

PS: Warum hat der Editor eigentlich Probleme mit Umlauten ?

[hegl 10]

Nachdem ich nun mehrere VPN´s erfolgreich laufen habe, stehe ich erneut vor einem Problem: Ich muss einen weiteren Tunnel realisieren, der für die Phase 1 (Main Mode) die gleichen properties beinhaltet - bis auf die lifetime - wie ein bereits bestehender Tunnel.

Dazu habe ich folgende Einträge:

 

alt:

isakmp policy 30 authentication pre-share

isakmp policy 30 encryption 3des

isakmp policy 30 hash sha

isakmp policy 30 group 2

isakmp policy 30 lifetime 28800

 

neu hinzu:

isakmp policy 40 authentication pre-share

isakmp policy 40 encryption 3des

isakmp policy 40 hash sha

isakmp policy 40 group 2

isakmp policy 40 lifetime 86400

 

Im log der PIX sehe ich aber, dass die policy 30 angezogen wird ( ISAKMP (0): atts are acceptable. Next payload is 0). Bekomme ich dann keine Probleme mit der lifetime, wenn die Gegenseite ihren Wert auf 86400 eingestellt hat?

 

 

Weiter habe ich dann das Problem, dass der Tunnel nicht aufgebaut wird:

 

crypto_isakmp_process_block:src:A.B.C.D, dest:W.X.Y.Z spt:500 dpt:500

ISAKMP: error, msg not encrypted

 

Kann ich davon ausgehen, dass hier die properties der Phase 2 nicht übereinstimmen?

 

Gruß

hegl