PIX, mehrere VPN´s

[hegl]

Hallo,
ich versuche schon seit ein paar Tagen das ganze Thema VPN zu verstehen. Bei CISCO gibt´s auch jede Menge samples, aber meisst nicht das, was man sucht. Speziell möchte ich von einer PIX aus mehrere site-to-site-Verbindungen herstellen. Gelernt habe ich dabei, dass man nicht mehrere crypto maps auf einen interface binden kann.
Nun meine Frage: Wie konfiguriere ich also mehere site-to-site auf ein interface? Gilt die Lösung dann analog auch für VPN-Clients?

Thx
hegl

[Blacky_24]

Kommt drauf an was Du machen willst - feste IPs oder dynamische IPs oder gemischt.

Ich bin mir sicher dass es bei Cisco ein Konfig-Beispiel für fest / dynamisch gemischt gibt.

Gruss
Markus

[hegl]

Zitat von Blacky_24 Kommt drauf an was Du machen willst - feste IPs oder dynamische IPs oder gemischt. Gruss Markus

Zur Zeit sind die Anforderungen so, dass ich von 3 Sites mit fester IP auf eine PIX/VPN-Gateway zugreifen möchte. Ein Tunnel läuft zur Zeit auch reibungslos. Angedacht sind 2 weitere Tunnels, aber mit unterschiedlichen transform-set, z.B.

crypto ipsec transform-set abc esp-aes-256 esp-sha-hmac
crypto ipsec transform-set abc esp-3des esp-sha-hmac

Weiterhin teste ich gerade, auch VPN-Clients, also mit dynamischen IP´s zu konnektieren. Mein Problem dabei ist, dass ich zwar den Client-Zugriff konfiguriert bekomme (mit einem anderen transform-set), aber die site-to-site nach der SA-lifetime beim Aushandeln der neuen SA keine Übereinstimmung mehr findet.

Error: SA not accetable

Lösche ich die Client-Konfiguration wieder, ist die site-to-site sofort wieder altiv!

Bei CISCO habe ich bis jetzt nur etwas mit gleichen transform-set gefunden.
sample
Durch die unterschiedlichen Anforderungen passt das aber nicht.

Wenn jemand einen Tipp hat, wäre ich sehr dankbar!!!

Gruß
hegl

[Blacky_24]

Besteht nicht die Möglichkeit, die Transform-Sets zu vereinheitlichen? Abgesehen davon dass die Konfig minimal übersichtlicher wird geht das massiv auf die Rechenleistung der PIX wenn sie mehrere unterschiedliche Cryptoalgos parallel rechnen muss.

Das Transform-Set gibst Du im jeweiligen Crypto-Map-Eintrag an, dann sollte das tun.

Kopie aus einer laufenden Konfig von mir (IPs anonymisiert) - alles drin: VPN-Client, unterschiedliche Transform-Sets und Lifetimes ...


sysopt connection permit-ipsec
sysopt connection permit-pptp
crypto ipsec transform-set FRA2SET esp-3des esp-sha-hmac
crypto ipsec transform-set SRSWNSET esp-3des esp-md5-hmac
crypto ipsec security-association lifetime seconds 3600
crypto dynamic-map outside_dyn_map 20 match address outside_cryptomap_dyn_20
crypto dynamic-map outside_dyn_map 20 set transform-set SRSWNSET
crypto map FRA2MAP 10 ipsec-isakmp
crypto map FRA2MAP 10 match address FRA2
crypto map FRA2MAP 10 set peer 213.83.123.123
crypto map FRA2MAP 10 set transform-set FRA2SET
crypto map FRA2MAP 20 ipsec-isakmp
crypto map FRA2MAP 20 match address FRA3
crypto map FRA2MAP 20 set peer 213.83.234.234
crypto map FRA2MAP 20 set transform-set FRA2SET
crypto map FRA2MAP 30 ipsec-isakmp
crypto map FRA2MAP 30 match address BAM1
crypto map FRA2MAP 30 set peer 217.91.123.234
crypto map FRA2MAP 30 set transform-set FRA2SET
crypto map FRA2MAP 40 ipsec-isakmp
crypto map FRA2MAP 40 match address RXXXXX
crypto map FRA2MAP 40 set peer 217.91.234.123
crypto map FRA2MAP 40 set transform-set SRSWNSET
crypto map FRA2MAP 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map FRA2MAP interface outside
isakmp enable outside
isakmp key ******** address 213.83.234.234 netmask 255.255.255.255
isakmp key ******** address 217.91.123.234 netmask 255.255.255.255
isakmp key ******** address 217.91.234.123 netmask 255.255.255.255
isakmp key ******** address 213.83.123.123 netmask 255.255.255.255
isakmp identity address
isakmp nat-traversal 20
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash sha
isakmp policy 10 group 1
isakmp policy 10 lifetime 28800
isakmp policy 30 authentication pre-share
isakmp policy 30 encryption 3des
isakmp policy 30 hash md5
isakmp policy 30 group 2
isakmp policy 30 lifetime 86400
vpngroup IPSECVPN address-pool VPNRASPOOL
vpngroup IPSECVPN dns-server 10.1.18.1 10.1.18.2
vpngroup IPSECVPN wins-server 10.1.18.1 10.1.18.2
vpngroup IPSECVPN default-domain yyy.xxxx.de
vpngroup IPSECVPN split-tunnel IPSECVPN_splitTunnelAcl
vpngroup IPSECVPN idle-time 1800
vpngroup IPSECVPN password ********


Tut ganz wunderprächtig.

Gruss
Markus

[hegl]

Erst einmal vielen Dank.
Kann es sein, dass Du die VPN´s mit dem PDM erstellt hast?
Gerade die Client-VPN´s bereiten mir Sorge. Die vom PDM erstellte config (siehe unten) sieht nämlich anders aus, als die in den CISCO samples:

crypto ipsec transform-set SRSWNSET esp-3des esp-md5-hmac
crypto dynamic-map outside_dyn_map 20 match address outside_cryptomap_dyn_20
crypto dynamic-map outside_dyn_map 20 set transform-set SRSWNSET

So wie ich es verstehe, ziehst Du über Zeile 2 die access-list an, für die client-access ermöglicht werden soll. Genau das macht der PDM bei mir auch, konfiguriert man das aber von Hand, kriegt man eins auf die Finger und der von mir schon beschriebene SA-Error kommt. Merkwürdigerweise funktioniert das nur, wenn man mit dem PDM den Tunnel generiert
Ich hab´s gerade im Lab nochmal nachvollzogen!!!

Meine manuelle config ist analog zu Deiner, wie geasgt, ausser der Zeile 2 und es läuft auch!!! Wozu ist dann Zeile 2 gut

Werde jetzt mal die site-to-site hinzufügen, testen und nochmal kurz fedback geben.

Gruß
hegl

[Blacky_24]

Du hast Recht, den dynamischen Teil (aber nur den) habe ich mit dem PDM erstellt. Sieht man ja leicht an der Benennung der ACL und der Map.

Irgendwelche Hintergedanken hatte ich dabei eigentlich nicht, als ich das gemacht habe hatte ich gerade die PIX und den PDM durch neue Versionen ersetzt und wollte das nur testen. Der Rest ist mit der Hand am Arm konfiguriert.

Mit der 2ten Zeile sage ich der PIX nur welchen Traffic ("match address") sie auf die Dynamic-Map routen soll, korrespondierend gibt es dazu halt eine ACL:

access-list outside_cryptomap_dyn_20 permit ip any 192.168.15.0 255.255.255.0

Du musst die ACL natürlich schon angelegt haben wenn Du die (Dynamic-) Map anlegst, eine nicht existente ACL zu referenzieren wäre nicht wirklich clever.

Gruss
Markus
Gruss
Markus

[hegl]

Jepp, im Prinzip stimmen wir ja überein , nur verstehen tue ich es trotzdem nicht, woher die Unterschiede stammen, denn wie schon gesagt, bei mir läuft´s bei der manuellen config auch ohne diesen Eintrag (version 6.3.5)

schau´n wir mal was passiert, wenn ich die site-to-site fertisch habe

gruß
hegl

[hegl]

Mehrere site-to-site und einer dynamischen config für Clients mit einem transform-set funktioniert einwandfrei. Sobald ich aber ein zweites transform-set nehme kann die site-to-site nach Ablauf ihrer lifetime die SA´s nicht mehr aushandeln. Vielleicht habe ich doch ein Fehler in meiner config???

crypto ipsec transform-set XYZ esp-3des esp-sha-hmac
crypto ipsec transform-set ABC esp-aes-256 esp-sha-hmac
crypto dynamic-map TEST 10 set transform-set ABC
crypto map KNAMAP 20 ipsec-isakmp
crypto map KNAMAP 20 match address acl_for_XYZ
crypto map KNAMAP 20 set peer X.X.X.X
crypto map KNAMAP 20 set transform-set XYZ
crypto map KNAMAP 20 set security-association lifetime seconds 3600 kilobytes 4608000
crypto map KNAMAP 65535 ipsec-isakmp dynamic TEST
crypto map KNAMAP client configuration address initiate
crypto map KNAMAP client configuration address respond
crypto map KNAMAP interface outside
isakmp enable outside
isakmp key ******** address X.X.X.X netmask 255.255.255.255
isakmp identity address
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash sha
isakmp policy 10 group 1
isakmp policy 10 lifetime 28800
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption aes-256
isakmp policy 20 hash sha
isakmp policy 20 group 2
isakmp policy 20 lifetime 3600

[Blacky_24]

DMZPIX# sh ver

Cisco PIX Firewall Version 6.3(4)
Cisco PIX Device Manager Version 3.0(3)

Compiled on Fri 02-Jul-04 00:07 by morlee

DMZPIX up 51 days 14 hours

Hardware: PIX-501, 16 MB RAM, CPU Am5x86 133 MHz
Flash E28F640J3 @ 0x3000000, 8MB
BIOS Flash E28F640J3 @ 0xfffd8000, 128KB

0: ethernet0: address is 0007.eb2a.065c, irq 9
1: ethernet1: address is 0007.eb2a.065d, irq 10
Licensed Features:
Failover: Disabled
VPN-DES: Enabled
VPN-3DES-AES: Enabled
Maximum Physical Interfaces: 2
Maximum Interfaces: 2
Cut-through Proxy: Enabled
Guards: Enabled
URL-filtering: Enabled
Inside Hosts: 50
Throughput: Unlimited
IKE peers: 10

This PIX has a Restricted (R) license.


Gruss
Markus

[hegl]

Was soll mir das nun sagen?