VPN Erweiterung

[Otaku19]

...und vor allem den packet-flow immer im Hinterkopf haben

[onedread]

HI

Also wir haben uns jetzt mit der gegenstelle darauf geeinigt eine 2. Netzwerkkarte einzubauen und diese in unser Netz zu hängen. So weit so gut. Rechner ist im internen Lan erreichbar.

ACL wurden angepasst für den neuen Rechner, aber warum bekomm ich noch immer bei sh crypto ipsec sa folgenden Output

Rechner der funktioniert

local ident (addr/mask/prot/port): (10.10.10.100/255.255.255.255/0/0)
remote ident (addr/mask/prot/port): (10.112.0.0/255.255.0.0/0/0)
current_peer: 195.XXX.XXX.XXX:500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 5255, #pkts encrypt: 5255, #pkts digest 5255
#pkts decaps: 18641, #pkts decrypt: 18641, #pkts verify 18641
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0


hinzugefüger Rechner der nicht funktioniert

local ident (addr/mask/prot/port): (10.10.10.111/255.255.255.255/0/0)
remote ident (addr/mask/prot/port): (10.112.0.0/255.255.0.0/0/0)
current_peer: 195.XX.XX.XX:0 WARUM STEHT HIER NE NULL
PERMIT, flags={origin_is_acl,}
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest 0
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0
#send errors 9, #recv errors 0


relevante Teile der Config

access-list acl-vpn-out permit ip host 10.10.10.100 10.112.0.0 255.255.0.0
access-list acl-vpn-out permit ip host 10.10.10.111 10.112.0.0 255.255.0.0

crypto map BECOM-MAP 9 ipsec-isakmp
crypto map BECOM-MAP 9 match address acl-vpn-out
crypto map BECOM-MAP 9 set peer 195.XX.XXX.XXX
crypto map BECOM-MAP 9 set transform-set ESP-3DES-SHA

isakmp policy 8 lifetime 86400
isakmp policy 9 authentication pre-share
isakmp policy 9 encryption 3des
isakmp policy 9 hash sha
isakmp policy 9 group 2
isakmp policy 9 lifetime 7200

Gegenstelle kann den Rechner 10.10.10.111 nicht erreichen.

und warum kann ich kein terminal monitor machen auf der PIX?

thx
onedread

[onedread]

HI

und wenn ich einen ping vom 10.10.10.111 auf das Remotenetz starte dann bekomme ich viele Senderrors

local ident (addr/mask/prot/port): (10.10.10.111/255.255.255.255/0/0)
remote ident (addr/mask/prot/port): (10.112.0.0/255.255.0.0/0/0)
current_peer: 195.58.191.11:0
PERMIT, flags={origin_is_acl,}
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest 0
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0
#send errors 237, #recv errors 0

????? Hab ich in der Config irgendein Problem oder kann es auch an der Gegenstelle sein die mir aber bestätigt hatt das alles passen müsste ?????

[onedread]

So Ich hab das Probelm jetzt gelöst und zwar lag es an der Gegenstelle das dieser nicht die richtige Ip in die VPN Policy mitgegebn hat.

Jetzt wollt ich gerne wissen wie ich gewissen nun den VPN Traffic beschränken kann. Weil die Gegenstelle hatte nicht genügen Tunnel frei für einen weiteren so haben wir nun das C Klass Netz freigeben. Die Gegenstelle sollte aber nur Zugriff auf 2 Rechner in unserem LAN haben. Auf einem nur telnet auf dem anderen nur SSH.

Auf welcher ACL muss ich nun die beiden Rechner und Ports binden damit diese greift. Die die auf dem Inside Interface sitzt oder auf der Outside?

thx
onedread

[Otaku19]

am outside in: dazu muss allerdings sysopt connection permit-ipsec/permit-vpn (OS abhängig) mit no abgeschaltet werden.

Du kannst natürlich auch am inside in einschränken, falls deine clients nur auf bestimmte IP/Services beim Partner zugreifen sollen.

Die inspection arbeitet natürlich auch bei getunnelten verbindung, sprich retourpakte werden automatisch erlaubt sofern die inspection auch entsprechend konfiguriert ist.