Jump to content

Mehrere VPNS auf einer PIX


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

HI

 

Ich will nun mehrere VPNS auf einer PIX terminieren lassen, kann ich jetzt nur mit den Befehlen vpngroup Befehlen einen neuen einrichten plus Access-liste und das wars ode rmuss ich mit dem crypto Befehl auch noch für jeden weiteren VPN die Verschlüsselung anpassen oder kann ich für alle VPN's die Verschlüsslung nutzen die ich für den 1. VPN angelegt habe?

 

Wer das weiss bitte melden.

 

THX

onedread

Link zu diesem Kommentar

PIX v6 oder v7? Also ich hab hier mal ne ASA Konfiguration:

 

crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac

crypto map outside_map 20 match address outside_20_cryptomap

crypto map outside_map 20 set pfs

crypto map outside_map 20 set peer ip1

crypto map outside_map 20 set transform-set ESP-3DES-MD5

crypto map outside_map 40 match address outside_40_cryptomap

crypto map outside_map 40 set pfs

crypto map outside_map 40 set peer ip2

crypto map outside_map 40 set transform-set ESP-3DES-MD5

crypto map outside_map interface outside

crypto isakmp enable outside

crypto isakmp policy 10

authentication pre-share

encryption 3des

hash md5

group 2

lifetime 86400

tunnel-group ip1 type ipsec-l2l

tunnel-group ip1 ipsec-attributes

pre-shared-key *

tunnel-group ip2 type ipsec-l2l

tunnel-group ip2 ipsec-attributes

pre-shared-key *

Link zu diesem Kommentar

HI

 

Danke mal für die Antworten.

 

Vielleicht habe ich vergessen zu sagen das es mehrere VPN'S für Softwareclients sein sollen und keine PIX to PIX VPN'S.

 

Aber wenn ich mir so die Konfigs durchsehe dann muss ich wohl für jeden Tunnel eine eigene Verschlüsselung machen, gilt das auch für VPN'S die über den Cisco VPN Client initiert werden auch?

 

thx

onedread

Link zu diesem Kommentar
split tunnel definiert, welche Adressen für Client VPN nicht über den IPSec Tunnel erreicht werden

 

/#9370

 

Ist das nicht genau anders herum??? Ich habe meine ACL-Id mit spli-tunnel verknüpft und kann nun auf das lokale Netzwerk, sowie aufs Internet zugreifen. Vorher hatte ich nur Zugriff auf die im Tunnel definierte Adressen.

Link zu diesem Kommentar

wo sag ich dann der pix das sie nur den tcp port 23 durch den tunnel auf eine bestimmte ip durschlassen soll und sonst nichts? auch im split-tunnel oder in einer eigenen ACL. Und auf welches Interface muss ich die ACl dann binden weil ich kann ja nur pro interface eine ACL binden?

 

das verstehe ich noch nicht und ist wichtig für mich.

 

thx

onedread

Link zu diesem Kommentar
wo sag ich dann der pix das sie nur den tcp port 23 durch den tunnel auf eine bestimmte ip durschlassen soll und sonst nichts? auch im split-tunnel oder in einer eigenen ACL. Und auf welches Interface muss ich die ACl dann binden weil ich kann ja nur pro interface eine ACL binden?

onedread

 

Das hatte ich Dir doch schon bei Deinem anderen Posting versucht zu erklären....

 

Eine ACL bindest Du immer auf das Interface, wo die Regel angewendet werden soll!

Also bindest Du diese auf das outside-interface.

Wenn Du schon eine access-group darauf gebunden hast, musst Du natürlich auch die passende ACL-Id nehmen, da, wie Du richtig bemerkt hast, man nur eine ACL-Id pro interface binden kann!

Link zu diesem Kommentar

he

 

Also ich hab das nun ausprobiert, das ich ein acl-statement hinzufüge das ans outside interface gebunden ist für den VPN-Zugang damit ich ihn beschränken kann, leider funktioniert es bei mir nicht ich wollte lediglich den port 5900 freigebn und sonst hab ich alles denied.

 

Doch leider kann ich immer noch auf die Freigaben des Clients zugreifen.

 

Hegl hast du das bei deinen configs schon richtig hinbekommen?

 

Weil auf keiner Cisco Doku die ich schon durchgesehen habe wird irgendwo geschrieben das die VPN-Clients nur auf einen bestimmten Port zugreifen dürfen sonst würd ich nicht soviele Fragen diesbezüglich stellen.

 

Help

 

thx

onedread

Link zu diesem Kommentar

HI

 

Anscheinend hab ich nun die Lösung gefunden und zwar war es der Befehel sysopt connection permit-ipsec, denn hab ich nun mit einem no disabled und schon greifen die ACL-Statements.

 

SO nun wäre für diesen Tunnel das Probelm gelöst, nur was passiert mit den anderen Tunneln wenn ich diesen Befehl aus der config nehme funktionieren die jetzt nun nicht mehr, oder wie?

 

Bzw. was hat dieser Befehl überhaupt für Auswirkungen, so wie es scheint erlaubt er jeglichen Traffic der verschüsselt ist und deswegen greifen keine ACLs.

 

Anregungen Tipps oder, was auch immer?

 

:)

onedread

Link zu diesem Kommentar
HI

 

Bzw. was hat dieser Befehl überhaupt für Auswirkungen, so wie es scheint erlaubt er jeglichen Traffic der verschüsselt ist und deswegen greifen keine ACLs.

 

onedread

 

CISCO sagt dazu:

Because all inbound sessions must be explicitly permitted by an access list or a conduit, the sysopt connection permit-IPSec command is used to permit all inbound IPSec authenticated cipher sessions.

 

Ich bin eigentlich auch davon ausgegangen, dass Du diesen Befehl implementiert hast, da dies ein Basic-Befehl bei IP-Sec ist!

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...