Jump to content

PIX IPsec


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

ich soll eine IPSEC Verbindung zwischen unserer PIX und einer Checkpoint aufbauen wobei ich für die Konfiguration der Checkpoint nicht zuständig bin muss also nur die Konfiguration auf der PIX vornehmen.

Das Problem ist nur das die PIX mir total Fremd ist habe zuvor nur sowas auf Cisco Routern konfiguriert.

 

Auf der PIX sind schon ähnliche IPSEC Verbindungen die ich ja eigentlich genau so konfigurieren muss.

 

Diese Daten habe ich bekommen:

 

WAN:195.XXX.XXX.XXX

LAN:193.13.43.28

IKE (Phase 1):3DES, SHA1

IPsec (Phase 2):3DES, SHA1

Shared Secret:noch offen

Service:http, https, DNS, ICMP (Ping zum Testen)

 

crypto ipsec transform-set wkfpset esp-3des esp-sha-hmac

crypto dynamic-map wkfpmap 5 set transform-set wkfpset

crypto map newmap 4 ipsec-isakmp

crypto map newmap 4 match address xxxxxxx

crypto map newmap 4 set pfs group2

crypto map newmap 4 set peer xxxxxxxxxxx

crypto map newmap 4 set transform-set wkfpset

crypto map newmap 4 set security-association lifetime seconds 3600 kilobytes 50000

crypto map newmap 5 ipsec-isakmp dynamic wkfpmap

crypto map newmap interface outside

isakmp enable outside

isakmp key ******** address xxxxxxxx netmask 255.255.255.255

isakmp key ******** address xxxxxxxx netmask 255.255.255.255

isakmp key ******** address xxxxxxxx netmask 255.255.255.255

isakmp identity address

isakmp keepalive 10

isakmp policy 5 authentication pre-share

isakmp policy 5 encryption 3des

isakmp policy 5 hash md5

isakmp policy 5 group 2

isakmp policy 5 lifetime 86400

telnet 0.0.0.0 0.0.0.0 inside

telnet timeout 60

ssh timeout 5

console timeout 0

terminal width 80

 

Müsste ich jetzt z.b. einfach eine crypto map newmap 6 hinzufügen?

 

Gruß Dirk

Link zu diesem Kommentar
  • 2 Wochen später...

Hallo,

 

mein IPSEC Tunnel steht ;)

 

Aber habe dennoch ne Frage

 

Habe auf der Cryptomap folgende access-list gebunden. Damit durch den Tunnel nur der Traffic vom client 133.99.16.9 zu 193.13.43.28 auf der Gegenseite darf und natürlich zurück.

Wie müsste ich die Accessliste nun erweitern das durch den Tunnel nur FTP Traffic zwischen den beiden Clients laufen darf.

 

access-list [ *EDIT* ] remark [ *EDIT* ]

access-list [ *EDIT* ] permit host 133.99.16.9 host 193.13.43.28

 

Danke und Gruß Dirk

Link zu diesem Kommentar

Hi,

 

Du must NAT (bzw. NONAT) und die Policy trennen.

Wenn ich davon ausgehe, dass Du kein NAT machen möchtest, hast Du z.B. eine ACL

 

nat (inside) 0 access-list nonat

 

Für die ACL gilt dann:

 

access-list nonat permit ip host 133.99.16.9 host 193.13.43.28

 

Hast Du in Deiner cryptomap eine ACL [ *EDIT* ] gebunden, machst Du nun für diese die policy:

 

access-list [ *EDIT* ] permit tcp host 133.99.16.9 eq ftp host 193.13.43.28

 

Für den Rückweg halt analog dazu!

Link zu diesem Kommentar
Hallo,

 

ja eine ACL mit:

 

access-list nonat permit ip host 133.99.16.9 host 193.13.43.28

 

habe ich bei mir drin. Aber verstehe nicht genau warum ich das angeben muss. Würde er sonst Natten?

 

Du musst der immer PIX sagen, ob sie NAT machen soll oder nicht.

Ich versuch´s immer so zu erklären: mit nat/nonat bzw. static baust du die Straße und mit der policy erlaubst Du, wer darüber fahren darf ;)

 

Ich denke, dass Du in Deiner Grundkonfiguration ja schon ein NAT für 133.99.16.9 angegeben hast; machst Du also kein nonat versucht die PIX zu NATten und Du läufst gegen die Pumpe...

 

 

Und mit dem Rückweg meinst du die ACL für TFP auf der Gegenseite richtig?

 

Jenau

Link zu diesem Kommentar
Richtig!

Ab der Version 7.x ist das allerdings nicht mehr so. Dort kann man aber das alte Verhalten mit "no nat-control" wieder erzwingen...

 

Ups, wenn ich mir die CISCO-Doku

 

PIX 7.0 introduces the nat-control command. You can use the nat-control command in configuration mode in order to specify if NAT is required for outside communications. With NAT control enabled, configuration of NAT rules is required in order to allow outbound traffic, as is the case with previous versions of PIX software. If NAT control is disabled (no nat-control), inside hosts can communicate with outside networks without the configuration of a NAT rule. However, if you have inside hosts that do not have public addresses, you still need to configure NAT for those hosts.

 

anschaue, ist das genau andersherum - mit nat-control erzwingst Du dies!

Link zu diesem Kommentar
  • 3 Wochen später...
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...