VPN Erweiterung

[onedread]

HI

Wir haben einen bestehenden Site2Site Tunnel zu einer anderen Firma. Die haben derzeit Zugriff auf einen Rechner in unserem Netz im VLAN1. Jetzt würden Sie aber noch zugriff auf einen Rechner im VLAN6 brauchen. Was muss ich da jetzt bei der PIX einstellen auf der der Tunnel terminiert wird damit sie nun auf einem Rechner im VLAN6 zugreifen können?

Hab schon ewig nichts mehr auf der PIX gemacht deswegen brauch ich eure Hilfe.

thx
onedread

[blackbox]

Hi,

du musst den "Tunnel" auf beiden seiten im Bereich IPSec Policy erweitern über die IP Range.

[onedread]

des heisst nur die ACL anpassen und das routing und schon klappts?

[Wordo]

des dat i a sogn ...

[Otaku19]

evtl auch noch ACLs für den Zugriff an sich anpassen, je nachdem wie die pix konfiguriert ist

Wenn man das ganz schlau macht, dann gibts dafür object-groups die in den crypto und den "zugriffs" ACLs verwendet werden und natürlich die gleichen zugriffe benötigt werden

[onedread]

HI

Also wenn ich sh crypto ipsec sa mache bekomme ich folgende Output


local ident (addr/mask/prot/port): (10.0.0.1/255.255.255.255/0/0)
remote ident (addr/mask/prot/port): (10.112.0.0/255.255.0.0/0/0)
current_peer: 195.5X.1XX.XXX:0
PERMIT, flags={origin_is_acl,}
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest 0
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0

local crypto endpt.: 195.23X.1XX.XXX , remote crypto endpt.: 195.5X .1XX.XXX path mtu 1500, ipsec overhead 0, media mtu 1500
current outbound spi: 0

inbound esp sas:


inbound ah sas:


inbound pcp sas:


outbound esp sas:


outbound ah sas:


outbound pcp sas:



local ident (addr/mask/prot/port): (10.10.10.100/255.255.255.255/0/0)
remote ident (addr/mask/prot/port): (10.112.0.0/255.255.0.0/0/0)
current_peer: 195.5X.1XX.XXX:500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 10569, #pkts encrypt: 10569, #pkts digest 10569
#pkts decaps: 9129, #pkts decrypt: 9129, #pkts verify 9129
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0

local crypto endpt.: 195.23X.1XX.XX, remote crypto endpt.: 195.5X.1XX.XXX path mtu 1500, ipsec overhead 56, media mtu 1500
current outbound spi: 6b02d655

inbound esp sas:
spi: 0x35825405(897733637)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 5, crypto map: BECOM-MAP
sa timing: remaining key lifetime (k/sec): (4607999/23395)
IV size: 8 bytes
replay detection support: Y


inbound ah sas:


inbound pcp sas:


outbound esp sas:
spi: 0x6b02d655(1795348053)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 6, crypto map: BECOM-MAP
sa timing: remaining key lifetime (k/sec): (4607999/23386)
IV size: 8 bytes
replay detection support: Y


outbound ah sas:


outbound pcp sas:

passt des so?

Noch eine Frage, wenn die Gegenstelle mit uns vielleicht schon den gleichen Bereich benützt von der IP z.B. 10.0.0.0 255.255.0 wie kann ich es dann konfigurieren das er trotzdem auf den Rechner zugreifen kann.

MfG
onedread

[Wordo]

Das muessten dann beide Seiten unterstuetzen.

Cisco PIX Firewall and VPN Configuration Guide, Version 6.2 - Establishing Connectivity [Cisco PIX Firewall Software] - Cisco Systems

[Otaku19]

dann einfach natten, fertig

[onedread]

Hmm

Ja und auf welche Adresse mit der er den Tunnel established oder irgendeine aus unserem Netz, steh total am Schlauch.

VON XXX -> 10.0.0.1 solls übersetzt werden über den Tunnel

funktionieren tut schon das er auf einen Rechner im Netz 10.10.0.0 255.255.0.0 zugreifen kann.

Help me!!!

[Wordo]

cisco ipsec nat overlapping network ... da steht doch alles da.

Einfach mal tief durchatmen und genau lesen