Jump to content
Sign in to follow this  
onedread

Mehrere VPNS auf einer PIX

Recommended Posts

HI

 

Ich will nun mehrere VPNS auf einer PIX terminieren lassen, kann ich jetzt nur mit den Befehlen vpngroup Befehlen einen neuen einrichten plus Access-liste und das wars ode rmuss ich mit dem crypto Befehl auch noch für jeden weiteren VPN die Verschlüsselung anpassen oder kann ich für alle VPN's die Verschlüsslung nutzen die ich für den 1. VPN angelegt habe?

 

Wer das weiss bitte melden.

 

THX

onedread

Share this post


Link to post

PIX v6 oder v7? Also ich hab hier mal ne ASA Konfiguration:

 

crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac

crypto map outside_map 20 match address outside_20_cryptomap

crypto map outside_map 20 set pfs

crypto map outside_map 20 set peer ip1

crypto map outside_map 20 set transform-set ESP-3DES-MD5

crypto map outside_map 40 match address outside_40_cryptomap

crypto map outside_map 40 set pfs

crypto map outside_map 40 set peer ip2

crypto map outside_map 40 set transform-set ESP-3DES-MD5

crypto map outside_map interface outside

crypto isakmp enable outside

crypto isakmp policy 10

authentication pre-share

encryption 3des

hash md5

group 2

lifetime 86400

tunnel-group ip1 type ipsec-l2l

tunnel-group ip1 ipsec-attributes

pre-shared-key *

tunnel-group ip2 type ipsec-l2l

tunnel-group ip2 ipsec-attributes

pre-shared-key *

Share this post


Link to post

HI

 

Danke mal für die Antworten.

 

Vielleicht habe ich vergessen zu sagen das es mehrere VPN'S für Softwareclients sein sollen und keine PIX to PIX VPN'S.

 

Aber wenn ich mir so die Konfigs durchsehe dann muss ich wohl für jeden Tunnel eine eigene Verschlüsselung machen, gilt das auch für VPN'S die über den Cisco VPN Client initiert werden auch?

 

thx

onedread

Share this post


Link to post

HI

 

was macht das nat (inside) 0 access-liste

 

und was das vpngroup split-tunnel access-liste

 

 

bitte um hilfe habs einfach nicht gecheckt.

 

thx

onedread

Share this post


Link to post

das "nat 0" nimmt die in der ACL definierten Adressen vom NAT aus, da bei der PIX NAT vor IPSec kommt.

 

split tunnel definiert, welche Adressen für Client VPN nicht über den IPSec Tunnel erreicht werden

 

/#9370

Share this post


Link to post
split tunnel definiert, welche Adressen für Client VPN nicht über den IPSec Tunnel erreicht werden

 

/#9370

 

Ist das nicht genau anders herum??? Ich habe meine ACL-Id mit spli-tunnel verknüpft und kann nun auf das lokale Netzwerk, sowie aufs Internet zugreifen. Vorher hatte ich nur Zugriff auf die im Tunnel definierte Adressen.

Share this post


Link to post

die Adressen mit permit Statements in der ACL werden durch den Tunnel erreicht - war vielleicht ein wenig missverständlich ausgedrückt.

 

/#9370

Share this post


Link to post

wo sag ich dann der pix das sie nur den tcp port 23 durch den tunnel auf eine bestimmte ip durschlassen soll und sonst nichts? auch im split-tunnel oder in einer eigenen ACL. Und auf welches Interface muss ich die ACl dann binden weil ich kann ja nur pro interface eine ACL binden?

 

das verstehe ich noch nicht und ist wichtig für mich.

 

thx

onedread

Share this post


Link to post
wo sag ich dann der pix das sie nur den tcp port 23 durch den tunnel auf eine bestimmte ip durschlassen soll und sonst nichts? auch im split-tunnel oder in einer eigenen ACL. Und auf welches Interface muss ich die ACl dann binden weil ich kann ja nur pro interface eine ACL binden?

onedread

 

Das hatte ich Dir doch schon bei Deinem anderen Posting versucht zu erklären....

 

Eine ACL bindest Du immer auf das Interface, wo die Regel angewendet werden soll!

Also bindest Du diese auf das outside-interface.

Wenn Du schon eine access-group darauf gebunden hast, musst Du natürlich auch die passende ACL-Id nehmen, da, wie Du richtig bemerkt hast, man nur eine ACL-Id pro interface binden kann!

Share this post


Link to post

HI

 

ok danke hegl ich werds dann nochmals versuchen mit dem outside interface.

 

Weiters gibt es einen Befehl mit dem ich einen bestimmten VPN Tunnel beenden kann und die anderen sollen weiterlaufen. Wie ist das möglich.

 

ciao

onedread

Share this post


Link to post

he

 

Also ich hab das nun ausprobiert, das ich ein acl-statement hinzufüge das ans outside interface gebunden ist für den VPN-Zugang damit ich ihn beschränken kann, leider funktioniert es bei mir nicht ich wollte lediglich den port 5900 freigebn und sonst hab ich alles denied.

 

Doch leider kann ich immer noch auf die Freigaben des Clients zugreifen.

 

Hegl hast du das bei deinen configs schon richtig hinbekommen?

 

Weil auf keiner Cisco Doku die ich schon durchgesehen habe wird irgendwo geschrieben das die VPN-Clients nur auf einen bestimmten Port zugreifen dürfen sonst würd ich nicht soviele Fragen diesbezüglich stellen.

 

Help

 

thx

onedread

Share this post


Link to post

HI

 

Anscheinend hab ich nun die Lösung gefunden und zwar war es der Befehel sysopt connection permit-ipsec, denn hab ich nun mit einem no disabled und schon greifen die ACL-Statements.

 

SO nun wäre für diesen Tunnel das Probelm gelöst, nur was passiert mit den anderen Tunneln wenn ich diesen Befehl aus der config nehme funktionieren die jetzt nun nicht mehr, oder wie?

 

Bzw. was hat dieser Befehl überhaupt für Auswirkungen, so wie es scheint erlaubt er jeglichen Traffic der verschüsselt ist und deswegen greifen keine ACLs.

 

Anregungen Tipps oder, was auch immer?

 

:)

onedread

Share this post


Link to post
HI

 

Bzw. was hat dieser Befehl überhaupt für Auswirkungen, so wie es scheint erlaubt er jeglichen Traffic der verschüsselt ist und deswegen greifen keine ACLs.

 

onedread

 

CISCO sagt dazu:

Because all inbound sessions must be explicitly permitted by an access list or a conduit, the sysopt connection permit-IPSec command is used to permit all inbound IPSec authenticated cipher sessions.

 

Ich bin eigentlich auch davon ausgegangen, dass Du diesen Befehl implementiert hast, da dies ein Basic-Befehl bei IP-Sec ist!

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...