hegl 10 Geschrieben 26. Mai 2006 Melden Teilen Geschrieben 26. Mai 2006 Hallo, ich versuche schon seit ein paar Tagen das ganze Thema VPN zu verstehen. Bei CISCO gibt´s auch jede Menge samples, aber meisst nicht das, was man sucht. Speziell möchte ich von einer PIX aus mehrere site-to-site-Verbindungen herstellen. Gelernt habe ich dabei, dass man nicht mehrere crypto maps auf einen interface binden kann. Nun meine Frage: Wie konfiguriere ich also mehere site-to-site auf ein interface? Gilt die Lösung dann analog auch für VPN-Clients? Thx hegl Zitieren Link zu diesem Kommentar
Blacky_24 10 Geschrieben 26. Mai 2006 Melden Teilen Geschrieben 26. Mai 2006 Kommt drauf an was Du machen willst - feste IPs oder dynamische IPs oder gemischt. Ich bin mir sicher dass es bei Cisco ein Konfig-Beispiel für fest / dynamisch gemischt gibt. Gruss Markus Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 29. Mai 2006 Autor Melden Teilen Geschrieben 29. Mai 2006 Kommt drauf an was Du machen willst - feste IPs oder dynamische IPs oder gemischt. Gruss Markus Zur Zeit sind die Anforderungen so, dass ich von 3 Sites mit fester IP auf eine PIX/VPN-Gateway zugreifen möchte. Ein Tunnel läuft zur Zeit auch reibungslos. Angedacht sind 2 weitere Tunnels, aber mit unterschiedlichen transform-set, z.B. crypto ipsec transform-set abc esp-aes-256 esp-sha-hmac crypto ipsec transform-set abc esp-3des esp-sha-hmac Weiterhin teste ich gerade, auch VPN-Clients, also mit dynamischen IP´s zu konnektieren. Mein Problem dabei ist, dass ich zwar den Client-Zugriff konfiguriert bekomme (mit einem anderen transform-set), aber die site-to-site nach der SA-lifetime beim Aushandeln der neuen SA keine Übereinstimmung mehr findet. Error: SA not accetable Lösche ich die Client-Konfiguration wieder, ist die site-to-site sofort wieder altiv! Bei CISCO habe ich bis jetzt nur etwas mit gleichen transform-set gefunden. sample Durch die unterschiedlichen Anforderungen passt das aber nicht. Wenn jemand einen Tipp hat, wäre ich sehr dankbar!!! Gruß hegl Zitieren Link zu diesem Kommentar
Blacky_24 10 Geschrieben 29. Mai 2006 Melden Teilen Geschrieben 29. Mai 2006 Besteht nicht die Möglichkeit, die Transform-Sets zu vereinheitlichen? Abgesehen davon dass die Konfig minimal übersichtlicher wird geht das massiv auf die Rechenleistung der PIX wenn sie mehrere unterschiedliche Cryptoalgos parallel rechnen muss. Das Transform-Set gibst Du im jeweiligen Crypto-Map-Eintrag an, dann sollte das tun. Kopie aus einer laufenden Konfig von mir (IPs anonymisiert) - alles drin: VPN-Client, unterschiedliche Transform-Sets und Lifetimes ... sysopt connection permit-ipsec sysopt connection permit-pptp crypto ipsec transform-set FRA2SET esp-3des esp-sha-hmac crypto ipsec transform-set SRSWNSET esp-3des esp-md5-hmac crypto ipsec security-association lifetime seconds 3600 crypto dynamic-map outside_dyn_map 20 match address outside_cryptomap_dyn_20 crypto dynamic-map outside_dyn_map 20 set transform-set SRSWNSET crypto map FRA2MAP 10 ipsec-isakmp crypto map FRA2MAP 10 match address FRA2 crypto map FRA2MAP 10 set peer 213.83.123.123 crypto map FRA2MAP 10 set transform-set FRA2SET crypto map FRA2MAP 20 ipsec-isakmp crypto map FRA2MAP 20 match address FRA3 crypto map FRA2MAP 20 set peer 213.83.234.234 crypto map FRA2MAP 20 set transform-set FRA2SET crypto map FRA2MAP 30 ipsec-isakmp crypto map FRA2MAP 30 match address BAM1 crypto map FRA2MAP 30 set peer 217.91.123.234 crypto map FRA2MAP 30 set transform-set FRA2SET crypto map FRA2MAP 40 ipsec-isakmp crypto map FRA2MAP 40 match address RXXXXX crypto map FRA2MAP 40 set peer 217.91.234.123 crypto map FRA2MAP 40 set transform-set SRSWNSET crypto map FRA2MAP 65535 ipsec-isakmp dynamic outside_dyn_map crypto map FRA2MAP interface outside isakmp enable outside isakmp key ******** address 213.83.234.234 netmask 255.255.255.255 isakmp key ******** address 217.91.123.234 netmask 255.255.255.255 isakmp key ******** address 217.91.234.123 netmask 255.255.255.255 isakmp key ******** address 213.83.123.123 netmask 255.255.255.255 isakmp identity address isakmp nat-traversal 20 isakmp policy 10 authentication pre-share isakmp policy 10 encryption 3des isakmp policy 10 hash sha isakmp policy 10 group 1 isakmp policy 10 lifetime 28800 isakmp policy 30 authentication pre-share isakmp policy 30 encryption 3des isakmp policy 30 hash md5 isakmp policy 30 group 2 isakmp policy 30 lifetime 86400 vpngroup IPSECVPN address-pool VPNRASPOOL vpngroup IPSECVPN dns-server 10.1.18.1 10.1.18.2 vpngroup IPSECVPN wins-server 10.1.18.1 10.1.18.2 vpngroup IPSECVPN default-domain yyy.xxxx.de vpngroup IPSECVPN split-tunnel IPSECVPN_splitTunnelAcl vpngroup IPSECVPN idle-time 1800 vpngroup IPSECVPN password ******** Tut ganz wunderprächtig. Gruss Markus Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 29. Mai 2006 Autor Melden Teilen Geschrieben 29. Mai 2006 Erst einmal vielen Dank. Kann es sein, dass Du die VPN´s mit dem PDM erstellt hast? Gerade die Client-VPN´s bereiten mir Sorge. Die vom PDM erstellte config (siehe unten) sieht nämlich anders aus, als die in den CISCO samples: crypto ipsec transform-set SRSWNSET esp-3des esp-md5-hmac crypto dynamic-map outside_dyn_map 20 match address outside_cryptomap_dyn_20 crypto dynamic-map outside_dyn_map 20 set transform-set SRSWNSET So wie ich es verstehe, ziehst Du über Zeile 2 die access-list an, für die client-access ermöglicht werden soll. Genau das macht der PDM bei mir auch, konfiguriert man das aber von Hand, kriegt man eins auf die Finger und der von mir schon beschriebene SA-Error kommt. Merkwürdigerweise funktioniert das nur, wenn man mit dem PDM den Tunnel generiert :mad: :mad: :mad: Ich hab´s gerade im Lab nochmal nachvollzogen!!! Meine manuelle config ist analog zu Deiner, wie geasgt, ausser der Zeile 2 und es läuft auch!!! Wozu ist dann Zeile 2 gut Werde jetzt mal die site-to-site hinzufügen, testen und nochmal kurz fedback geben. Gruß hegl Zitieren Link zu diesem Kommentar
Blacky_24 10 Geschrieben 29. Mai 2006 Melden Teilen Geschrieben 29. Mai 2006 Du hast Recht, den dynamischen Teil (aber nur den) habe ich mit dem PDM erstellt. Sieht man ja leicht an der Benennung der ACL und der Map. Irgendwelche Hintergedanken hatte ich dabei eigentlich nicht, als ich das gemacht habe hatte ich gerade die PIX und den PDM durch neue Versionen ersetzt und wollte das nur testen. Der Rest ist mit der Hand am Arm konfiguriert. Mit der 2ten Zeile sage ich der PIX nur welchen Traffic ("match address") sie auf die Dynamic-Map routen soll, korrespondierend gibt es dazu halt eine ACL: access-list outside_cryptomap_dyn_20 permit ip any 192.168.15.0 255.255.255.0 Du musst die ACL natürlich schon angelegt haben wenn Du die (Dynamic-) Map anlegst, eine nicht existente ACL zu referenzieren wäre nicht wirklich clever. Gruss Markus Gruss Markus Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 29. Mai 2006 Autor Melden Teilen Geschrieben 29. Mai 2006 Jepp, im Prinzip stimmen wir ja überein :) , nur verstehen tue ich es trotzdem nicht, woher die Unterschiede stammen, denn wie schon gesagt, bei mir läuft´s bei der manuellen config auch ohne diesen Eintrag (version 6.3.5) schau´n wir mal was passiert, wenn ich die site-to-site fertisch habe ;) gruß hegl Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 30. Mai 2006 Autor Melden Teilen Geschrieben 30. Mai 2006 Mehrere site-to-site und einer dynamischen config für Clients mit einem transform-set funktioniert einwandfrei. Sobald ich aber ein zweites transform-set nehme kann die site-to-site nach Ablauf ihrer lifetime die SA´s nicht mehr aushandeln. Vielleicht habe ich doch ein Fehler in meiner config??? crypto ipsec transform-set XYZ esp-3des esp-sha-hmac crypto ipsec transform-set ABC esp-aes-256 esp-sha-hmac crypto dynamic-map TEST 10 set transform-set ABC crypto map KNAMAP 20 ipsec-isakmp crypto map KNAMAP 20 match address acl_for_XYZ crypto map KNAMAP 20 set peer X.X.X.X crypto map KNAMAP 20 set transform-set XYZ crypto map KNAMAP 20 set security-association lifetime seconds 3600 kilobytes 4608000 crypto map KNAMAP 65535 ipsec-isakmp dynamic TEST crypto map KNAMAP client configuration address initiate crypto map KNAMAP client configuration address respond crypto map KNAMAP interface outside isakmp enable outside isakmp key ******** address X.X.X.X netmask 255.255.255.255 isakmp identity address isakmp policy 10 authentication pre-share isakmp policy 10 encryption 3des isakmp policy 10 hash sha isakmp policy 10 group 1 isakmp policy 10 lifetime 28800 isakmp policy 20 authentication pre-share isakmp policy 20 encryption aes-256 isakmp policy 20 hash sha isakmp policy 20 group 2 isakmp policy 20 lifetime 3600 Zitieren Link zu diesem Kommentar
Blacky_24 10 Geschrieben 30. Mai 2006 Melden Teilen Geschrieben 30. Mai 2006 DMZPIX# sh ver Cisco PIX Firewall Version 6.3(4) Cisco PIX Device Manager Version 3.0(3) Compiled on Fri 02-Jul-04 00:07 by morlee DMZPIX up 51 days 14 hours Hardware: PIX-501, 16 MB RAM, CPU Am5x86 133 MHz Flash E28F640J3 @ 0x3000000, 8MB BIOS Flash E28F640J3 @ 0xfffd8000, 128KB 0: ethernet0: address is 0007.eb2a.065c, irq 9 1: ethernet1: address is 0007.eb2a.065d, irq 10 Licensed Features: Failover: Disabled VPN-DES: Enabled VPN-3DES-AES: Enabled Maximum Physical Interfaces: 2 Maximum Interfaces: 2 Cut-through Proxy: Enabled Guards: Enabled URL-filtering: Enabled Inside Hosts: 50 Throughput: Unlimited IKE peers: 10 This PIX has a Restricted ® license. Gruss Markus Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 30. Mai 2006 Autor Melden Teilen Geschrieben 30. Mai 2006 Was soll mir das nun sagen? Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 30. Mai 2006 Melden Teilen Geschrieben 30. Mai 2006 Ob beides enabled ist? VPN-DES: Enabled VPN-3DES-AES: Enabled Zitieren Link zu diesem Kommentar
Blacky_24 10 Geschrieben 30. Mai 2006 Melden Teilen Geschrieben 30. Mai 2006 Was soll mir das nun sagen? Wenn man sonst keinen Unterschied findet vergleicht man mal den Softwarestand, was sonst? Gruss Markus Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 30. Mai 2006 Autor Melden Teilen Geschrieben 30. Mai 2006 jupp, die Leitung war was länger... Aber das ist es auch nicht, denn die Einstellungen der site-to-site bleiben ja nach wie vor unverändert! Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 13. Juni 2006 Autor Melden Teilen Geschrieben 13. Juni 2006 Sry, dass ich erst jetzt zum antworten komme. Ein Neustart hilft manchmal Wunder :) :) :) Nochmals danke für Eure Hilfe! hegl Zitieren Link zu diesem Kommentar
Data1701 10 Geschrieben 13. Juni 2006 Melden Teilen Geschrieben 13. Juni 2006 Cisco PIX Firewall Version 6.3(4)Cisco PIX Device Manager Version 3.0(3) Blacky_24 da ist ja wohl mal ein Update nötig, gerade wenn man VPNs einsetzt. PIX-OS 6.3(5) und PDM 3.0(4) Gruß Data Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.