Jump to content
Sign in to follow this  
Ciscler

PIX IPsec

Recommended Posts

Hallo,

 

ich soll eine IPSEC Verbindung zwischen unserer PIX und einer Checkpoint aufbauen wobei ich für die Konfiguration der Checkpoint nicht zuständig bin muss also nur die Konfiguration auf der PIX vornehmen.

Das Problem ist nur das die PIX mir total Fremd ist habe zuvor nur sowas auf Cisco Routern konfiguriert.

 

Auf der PIX sind schon ähnliche IPSEC Verbindungen die ich ja eigentlich genau so konfigurieren muss.

 

Diese Daten habe ich bekommen:

 

WAN:195.XXX.XXX.XXX

LAN:193.13.43.28

IKE (Phase 1):3DES, SHA1

IPsec (Phase 2):3DES, SHA1

Shared Secret:noch offen

Service:http, https, DNS, ICMP (Ping zum Testen)

 

crypto ipsec transform-set wkfpset esp-3des esp-sha-hmac

crypto dynamic-map wkfpmap 5 set transform-set wkfpset

crypto map newmap 4 ipsec-isakmp

crypto map newmap 4 match address xxxxxxx

crypto map newmap 4 set pfs group2

crypto map newmap 4 set peer xxxxxxxxxxx

crypto map newmap 4 set transform-set wkfpset

crypto map newmap 4 set security-association lifetime seconds 3600 kilobytes 50000

crypto map newmap 5 ipsec-isakmp dynamic wkfpmap

crypto map newmap interface outside

isakmp enable outside

isakmp key ******** address xxxxxxxx netmask 255.255.255.255

isakmp key ******** address xxxxxxxx netmask 255.255.255.255

isakmp key ******** address xxxxxxxx netmask 255.255.255.255

isakmp identity address

isakmp keepalive 10

isakmp policy 5 authentication pre-share

isakmp policy 5 encryption 3des

isakmp policy 5 hash md5

isakmp policy 5 group 2

isakmp policy 5 lifetime 86400

telnet 0.0.0.0 0.0.0.0 inside

telnet timeout 60

ssh timeout 5

console timeout 0

terminal width 80

 

Müsste ich jetzt z.b. einfach eine crypto map newmap 6 hinzufügen?

 

Gruß Dirk

Share this post


Link to post
Share on other sites

Hallo,

 

mein IPSEC Tunnel steht ;)

 

Aber habe dennoch ne Frage

 

Habe auf der Cryptomap folgende access-list gebunden. Damit durch den Tunnel nur der Traffic vom client 133.99.16.9 zu 193.13.43.28 auf der Gegenseite darf und natürlich zurück.

Wie müsste ich die Accessliste nun erweitern das durch den Tunnel nur FTP Traffic zwischen den beiden Clients laufen darf.

 

access-list [ *EDIT* ] remark [ *EDIT* ]

access-list [ *EDIT* ] permit host 133.99.16.9 host 193.13.43.28

 

Danke und Gruß Dirk

Share this post


Link to post
Share on other sites

Mein Kollege meinte die ACL der PIX fängt nichts aber sondern mit der acl wird nur erlaubt welcher traffic durch den tunnel darf. Aber wenn ich nur bestimmen Traffic im Tunnel erlaube dann wird doch der Rest verworfen bzw. wird nich durchgereicht.

 

Sehe ich das Falsch?

Share this post


Link to post
Share on other sites

Hi,

 

Du must NAT (bzw. NONAT) und die Policy trennen.

Wenn ich davon ausgehe, dass Du kein NAT machen möchtest, hast Du z.B. eine ACL

 

nat (inside) 0 access-list nonat

 

Für die ACL gilt dann:

 

access-list nonat permit ip host 133.99.16.9 host 193.13.43.28

 

Hast Du in Deiner cryptomap eine ACL [ *EDIT* ] gebunden, machst Du nun für diese die policy:

 

access-list [ *EDIT* ] permit tcp host 133.99.16.9 eq ftp host 193.13.43.28

 

Für den Rückweg halt analog dazu!

Share this post


Link to post
Share on other sites

Hallo,

 

ja eine ACL mit:

 

access-list nonat permit ip host 133.99.16.9 host 193.13.43.28

 

habe ich bei mir drin. Aber verstehe nicht genau warum ich das angeben muss. Würde er sonst Natten?

 

Und mit dem Rückweg meinst du die ACL für TFP auf der Gegenseite richtig?

 

Gruß Dirk

Share this post


Link to post
Share on other sites
Hallo,

 

ja eine ACL mit:

 

access-list nonat permit ip host 133.99.16.9 host 193.13.43.28

 

habe ich bei mir drin. Aber verstehe nicht genau warum ich das angeben muss. Würde er sonst Natten?

 

Du musst der immer PIX sagen, ob sie NAT machen soll oder nicht.

Ich versuch´s immer so zu erklären: mit nat/nonat bzw. static baust du die Straße und mit der policy erlaubst Du, wer darüber fahren darf ;)

 

Ich denke, dass Du in Deiner Grundkonfiguration ja schon ein NAT für 133.99.16.9 angegeben hast; machst Du also kein nonat versucht die PIX zu NATten und Du läufst gegen die Pumpe...

 

 

Und mit dem Rückweg meinst du die ACL für TFP auf der Gegenseite richtig?

 

Jenau

Share this post


Link to post
Share on other sites
Du musst der immer PIX sagen, ob sie NAT machen soll oder nicht.

Richtig!

Ab der Version 7.x ist das allerdings nicht mehr so. Dort kann man aber das alte Verhalten mit "no nat-control" wieder erzwingen...

Share this post


Link to post
Share on other sites
Richtig!

Ab der Version 7.x ist das allerdings nicht mehr so. Dort kann man aber das alte Verhalten mit "no nat-control" wieder erzwingen...

 

Ups, wenn ich mir die CISCO-Doku

 

PIX 7.0 introduces the nat-control command. You can use the nat-control command in configuration mode in order to specify if NAT is required for outside communications. With NAT control enabled, configuration of NAT rules is required in order to allow outbound traffic, as is the case with previous versions of PIX software. If NAT control is disabled (no nat-control), inside hosts can communicate with outside networks without the configuration of a NAT rule. However, if you have inside hosts that do not have public addresses, you still need to configure NAT for those hosts.

 

anschaue, ist das genau andersherum - mit nat-control erzwingst Du dies!

Share this post


Link to post
Share on other sites

Ab der Version 7.x ist das allerdings nicht mehr so. Dort kann man aber das alte Verhalten mit "no nat-control" wieder erzwingen...

Ups, wenn ich mir die CISCO-Doku

[...]

anschaue, ist das genau andersherum - mit nat-control erzwingst Du dies!

Argh... hast recht, hab ich verwechselt ;) - danke für die Richtigstellung.

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...