VPN mit Pix und Softwareclient

[onedread 10]

Hi

 

ich weiß zwar das dieses Thema schon oft angesprochen wurde, doch leider funktioniert bei mir die Suchfunktion des Board nicht, weswegen ich einen neuen Thread meines Problems aufmache.

 

Also ich habe eine VPN Connection eingerichtet kann mich auch auf die PIX connecten, nur mit welcher Access-liste schränke ich die VPN Clients ein?

 

ich will nur telnet und ftp freigeben wie ich die access-l aufbauen muss weiss ich auch nur wie mappe ich die access-l auf die VPN Connection.

 

Bitte um Hilfe.

 

Thx

onedread

[Wordo 11]

Du vergibst den Clients ein anderes Netz! Wenn dein LAN 10.0.0.0 hat, gibst du den Clients 10.0.1.0. Dann brauchst du nur eine poplige ACL fuer 10.0.1.0 -> 10.0.0.0. Fertig.

 

Reibungslos funktioniert das natuerlich nur wenn das LAN die PIX als Standardgateway eingetragen hat.

[onedread 10]

HI

 

also ich kann mich an der PIX anmelden doch ich kann auf keinen rechner zugreifen. Hab den Tunnel mit dem PDM gemacht weil ich über die console das gleiche Problem hatte.

 

Würde eben gerne telnet und ftp auf eine bestimmte address freigeben.

 

hier mal mein konfig

 

PIX Version 6.3(5)

interface ethernet0 auto

interface ethernet1 100full

nameif ethernet0 outside security0

nameif ethernet1 inside security100

enable password K2aPBGHTv8yGnucq encrypted

passwd K2aPBGHTv8yGnucq encrypted

hostname pixfirewall

domain-name wellcom.at

fixup protocol dns maximum-length 512

fixup protocol ftp 21

fixup protocol h323 h225 1720

fixup protocol h323 ras 1718-1719

fixup protocol http 80

fixup protocol rsh 514

fixup protocol rtsp 554

no fixup protocol sip 5060

no fixup protocol sip udp 5060

fixup protocol skinny 2000

fixup protocol smtp 25

fixup protocol sqlnet 1521

fixup protocol tftp 69

names

access-list acl-outside permit ip 192.168.1.0 255.255.255.0 any

access-list acl-outside permit tcp 192.168.1.0 255.255.255.0 any

access-list acl-outside permit udp 192.168.1.0 255.255.255.0 any

access-list acl-outside permit icmp 192.168.1.0 255.255.255.0 any

access-list vpnhome_splitTunnelAcl permit ip interface inside any

access-list inside_outbound_nat0_acl permit ip interface inside 192.168.2.0 255.255.255.252

access-list outside_cryptomap_dyn_20 permit ip any 192.168.2.0 255.255.255.252

pager lines 24

logging on

logging timestamp

logging trap debugging

logging facility 23

logging host inside 192.168.1.50

mtu outside 1500

mtu inside 1500

ip address outside 10.0.10.150 255.255.0.0

ip address inside 192.168.1.1 255.255.255.0

ip audit info action alarm

ip audit attack action alarm

ip local pool vpnhome 192.168.2.1-192.168.2.2

pdm location 192.168.1.50 255.255.255.255 inside

pdm history enable

arp timeout 14400

global (outside) 1 interface

nat (inside) 0 access-list inside_outbound_nat0_acl

nat (inside) 1 0.0.0.0 0.0.0.0 0 0

access-group acl-outside in interface inside

route outside 0.0.0.0 0.0.0.0 10.0.10.100 1

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00

timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00

timeout sip-disconnect 0:02:00 sip-invite 0:03:00

timeout uauth 0:05:00 absolute

aaa-server TACACS+ protocol tacacs+

aaa-server TACACS+ max-failed-attempts 3

aaa-server TACACS+ deadtime 10

aaa-server RADIUS protocol radius

aaa-server RADIUS max-failed-attempts 3

aaa-server RADIUS deadtime 10

aaa-server LOCAL protocol local

http server enable

http 192.168.1.50 255.255.255.255 inside

http 192.168.1.0 255.255.255.0 inside

no snmp-server location

no snmp-server contact

snmp-server community public

no snmp-server enable traps

floodguard enable

sysopt connection permit-ipsec

crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac

crypto dynamic-map outside_dyn_map 20 match address outside_cryptomap_dyn_20

crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-MD5

crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map

crypto map outside_map client authentication LOCAL

crypto map outside_map interface outside

isakmp enable outside

isakmp policy 20 authentication pre-share

isakmp policy 20 encryption 3des

isakmp policy 20 hash md5

isakmp policy 20 group 2

isakmp policy 20 lifetime 86400

vpngroup vpnhome address-pool vpnhome

vpngroup vpnhome dns-server 195.30.160.10 195.230.160.12

vpngroup vpnhome split-tunnel vpnhome_splitTunnelAcl

vpngroup vpnhome idle-time 1800

vpngroup vpnhome password ********

telnet timeout 5

ssh 0.0.0.0 0.0.0.0 outside

ssh 0.0.0.0 0.0.0.0 inside

ssh timeout 30

console timeout 0

username onedread password 9raGrzdfog65qA99 encrypted privilege 2

terminal width 80

Cryptochecksum:901d6c90287d7f12488ec5b0ccc9e331

: end

 

bin für jede Hilfe dankbar.

 

ciao onedread

[onedread 10]

Hi

 

hat keiner Ahnung wie ich das lösen soll, weil ich bekomm die den VPN zum laufen nur wenn ich jetzt die ACl setze hat das leider auch keine Auswirkungen daruf ob ich zugreifen darf oder nicht.

 

was heisst jetzt denn eigentlch die access-l 100 permit ip any 192.168.3.0 255.255.255.0 hast das jetzt nur das ich ip connection in dieses netz machen darf oder, kann ich nun auch tcp verbdindungen zum Beispiel auf Port 21 machen?

 

thx 4 help

 

onedread

[Wordo 11]

Bei IP ist TCP schon mit drin ...

 

Nimm das mal raus "vpngroup vpnhome split-tunnel vpnhome_splitTunnelAcl".

Zum testen isses unwichtig. Und mach mal ne Rueckregel fuer "access-list outside_cryptomap_dyn_20 permit ip any 192.168.2.0 255.255.255.252"

 

Ist jetzt nur geraten, PIX is nich so meins ...

[onedread 10]

Hi

 

nö leider bringt nix, es ist jetzt auch so das wenn ich mich mit dem vpn connecte dann friert mein pc für 2 - 6 sekunden ein. Kann dann gar nix machen, hab dann als Standardgateway am VPN Interface meine IP des pools vpnhome eingetragen bekommen, ist das OK?

 

Im Log steht leider auch nix das irgendwas denied wird, hmm irgendwie check ich das noch nicht durch.

 

thx

onedread

[Wordo 11]

Hm ... poste mal ein "ipconfig /all" und ein "route print"

[onedread 10]

HI

 

also hier mal das ipconfig /all und weiters funkt das inet auch nicht sobal ich mich mit dem vpn connecte

 

Ethernetadapter LAN-Verbindung 3:

 

Verbindungsspezifisches DNS-Suffix:

Beschreibung. . . . . . . . . . . : Cisco Systems VPN Adapter

Physikalische Adresse . . . . . . : 00-05-9A-3C-78-00

DHCP aktiviert. . . . . . . . . . : Nein

IP-Adresse. . . . . . . . . . . . : 192.168.2.1

Subnetzmaske. . . . . . . . . . . : 255.255.255.0

Standardgateway . . . . . . . . . : 192.168.2.1

DNS-Server. . . . . . . . . . . . : 195.30.160.10

195.230.160.12

 

 

so und hier die route print

 

Aktive Routen:

Netzwerkziel Netzwerkmaske Gateway Schnittstelle Anzahl

0.0.0.0 0.0.0.0 10.10.10.1 10.10.100.200 21

0.0.0.0 0.0.0.0 192.168.2.1 192.168.2.1 1

10.10.0.0 255.255.0.0 10.10.100.200 10.10.100.200 20

10.10.0.0 255.255.0.0 192.168.2.1 192.168.2.1 1

10.10.10.12 255.255.255.255 10.10.100.200 10.10.100.200 1

10.10.100.200 255.255.255.255 127.0.0.1 127.0.0.1 20

10.255.255.255 255.255.255.255 10.10.100.200 10.10.100.200 20

127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1

192.168.2.0 255.255.255.0 192.168.2.1 192.168.2.1 10

192.168.2.1 255.255.255.255 127.0.0.1 127.0.0.1 10

192.168.2.255 255.255.255.255 192.168.2.1 192.168.2.1 10

195.230.185.195 255.255.255.255 10.10.10.1 10.10.100.200 1

213.164.26.203 255.255.255.255 10.10.10.7 10.10.100.200 1

224.0.0.0 240.0.0.0 10.10.100.200 10.10.100.200 20

224.0.0.0 240.0.0.0 192.168.2.1 192.168.2.1 10

255.255.255.255 255.255.255.255 10.10.100.200 10.10.100.200 1

255.255.255.255 255.255.255.255 192.168.2.1 192.168.2.1 1

Standardgateway: 192.168.2.1

 

ciao

onedread

[Wordo 11]

Fuers testen ist Internet egal. Gib mal nach dem verbinden das ein:

 

route -p add 192.168.1.0 mask 255.255.255.0 192.168.2.1

 

Dann ping einen Server in 192.168.1.0 ...

[onedread 10]

HI

 

geht leider auch nicht. bekomme keine verbindung zu meinem 192.168.1.0er Netz.

 

tunnel steht access-l listen sollten auch passen, was gibts da noch für probs?

 

ciao onedread

[Wordo 11]

Du installierst auf dem Server am besten einen Sniffer und schaust ob ueberhaupt Pakete ankommen ...

[onedread 10]

HI

 

also ich jetzt mal in die routingtabelle gekuckt wenn ich den VPN von unserer Firma aufmache, dann steht im Client vonwo aus ich das VPN initialsiere, sofort 10.10.0.0 und 10.20.0.0 als route definiert über die IP des VPN_Adapters leider hab ich in der PIX Konfig nichts gefunden das diese Route weitergibt.

 

Wer ist dafür zuständig das diese beiden Routen am Client eingetragen werden?

 

mfg

onedread

[Wordo 11]

Wie sieht denn die aktuelle Konfiguration aus?

[hegl 10]

Es wäre hilfreich, wenn Du mal die Struktur posten würdest.

Ich denke, Du hast ein Problem bei dem Traffic, den Du für den Tunnel erlaubst.

Mit

crypto dynamic-map outside_dyn_map 20 match address outside_cryptomap_dyn_20

ziehst Du die ACL

access-list outside_cryptomap_dyn_20 permit ip any 192.168.2.0 255.255.255.252

an.

Für mich steht hier: erlaube ip von überall nach Netz 192.168.2.0!

Wenn ich Dich richtig verstanden habe, willst Du aber ins Netz 192.168.1.0. Also pass Deine ACL entsprechend an und es sollte funktionieren. Konfiguriere als Test doch einfach any any und Du siehst sofort, ob es daran liegt.

[onedread 10]

HI

 

so hier mal die aktulle konfig

 

: Saved

:

PIX Version 6.3(5)

interface ethernet0 auto

interface ethernet1 100full

nameif ethernet0 outside security0

nameif ethernet1 inside security100

enable password XXX encrypted

passwd XXX encrypted

hostname pixfirewall

domain-name wellcom.at

fixup protocol dns maximum-length 512

fixup protocol ftp 21

fixup protocol h323 h225 1720

fixup protocol h323 ras 1718-1719

fixup protocol http 80

fixup protocol rsh 514

fixup protocol rtsp 554

no fixup protocol sip 5060

no fixup protocol sip udp 5060

fixup protocol skinny 2000

fixup protocol smtp 25

fixup protocol sqlnet 1521

fixup protocol tftp 69

names

access-list acl-outside permit ip 192.168.1.0 255.255.255.0 any

access-list acl-outside permit tcp 192.168.1.0 255.255.255.0 any

access-list acl-outside permit udp 192.168.1.0 255.255.255.0 any

access-list acl-outside permit icmp 192.168.1.0 255.255.255.0 any

access-list acl-inside permit tcp any host 192.168.1.50 eq 5900

access-list 80 permit ip 192.168.1.0 255.255.255.0 192.168.4.0 255.255.255.0

access-list 100 permit tcp 192.168.4.0 255.255.255.0 192.168.1.0 255.255.255.0 eq 5900

pager lines 24

logging on

logging timestamp

logging trap debugging

logging facility 23

logging host inside 192.168.1.50

mtu outside 1500

mtu inside 1500

ip address outside 10.0.10.150 255.255.0.0

ip address inside 192.168.1.1 255.255.255.0

ip audit info action alarm

ip audit attack action alarm

ip local pool vpn1 192.168.4.1-192.168.4.20

pdm location 192.168.1.50 255.255.255.255 inside

pdm location 192.168.1.0 255.255.255.0 outside

pdm history enable

arp timeout 14400

global (outside) 1 interface

nat (inside) 0 access-list 80

nat (inside) 1 0.0.0.0 0.0.0.0 0 0

static (inside,outside) tcp 192.168.1.50 5900 192.168.1.50 5900 netmask 255.255.255.255 0 0

access-group acl-inside in interface outside

access-group acl-outside in interface inside

route outside 0.0.0.0 0.0.0.0 10.0.10.100 1

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00

timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00

timeout sip-disconnect 0:02:00 sip-invite 0:03:00

timeout uauth 0:05:00 absolute

aaa-server TACACS+ protocol tacacs+

aaa-server TACACS+ max-failed-attempts 3

aaa-server TACACS+ deadtime 10

aaa-server RADIUS protocol radius

aaa-server RADIUS max-failed-attempts 3

aaa-server RADIUS deadtime 10

aaa-server LOCAL protocol local

http server enable

http 192.168.1.50 255.255.255.255 inside

http 192.168.1.0 255.255.255.0 inside

no snmp-server location

no snmp-server contact

snmp-server community public

no snmp-server enable traps

floodguard enable

sysopt connection permit-ipsec

crypto ipsec transform-set strong-des esp-3des esp-sha-hmac

crypto dynamic-map cisco 4 set transform-set strong-des

crypto map partner-map 20 ipsec-isakmp dynamic cisco

crypto map partner-map interface outside

isakmp enable outside

isakmp key ******** address 0.0.0.0 netmask 0.0.0.0

isakmp policy 8 authentication pre-share

isakmp policy 8 encryption 3des

isakmp policy 8 hash md5

isakmp policy 8 group 1

isakmp policy 8 lifetime 86400

vpngroup vpn1 address-pool vpn1

vpngroup vpn1 dns-server 192.168.1.1

vpngroup vpn1 default-domain wellcom.at

vpngroup vpn1 split-tunnel 80

vpngroup vpn1 idle-time 1800

vpngroup vpn1 password ********

vpngroup von1 idle-time 1800

telnet 0.0.0.0 0.0.0.0 inside

telnet timeout 5

ssh 0.0.0.0 0.0.0.0 outside

ssh 0.0.0.0 0.0.0.0 inside

ssh timeout 30

console timeout 0

username onedread password XXX encrypted privilege 2

terminal width 80