PIX 501 mit VPN (Win 2000 VPN Client)

[Milla 10]

Hallo zusammen,

 

ich versuche meine PIX 501 für VPN ready zu machen!

 

Als VPN-Client möchte ich eine Win2k Maschine benutzen .

 

Gibt es dazu ein gutes Tutorial, habe bis jetzt nichts gefunden!

[Blacky_24 10]

Gibt es, man muss nur richtig suchen. Suche nach "PIX" und "PPTP" auf cisco.com und Du wirst fündig werden.

 

Die relevanten Konfigzeilen sind diese:

 

access-list pptp permit ip 10.0.0.0 255.0.0.0 192.168.255.0 255.255.255.0

ip local pool pptp-pool 192.168.255.1-192.168.255.10

nat (inside) 0 access-list pptp

sysopt connection permit-pptp

vpdn group 1 accept dialin pptp

vpdn group 1 ppp authentication pap

vpdn group 1 ppp authentication chap

vpdn group 1 ppp authentication mschap

vpdn group 1 ppp encryption mppe 128

vpdn group 1 client configuration address local pptp-pool

vpdn group 1 client configuration dns IPVOMINTERNENDNS

vpdn group 1 client configuration wins IPVOMINTERNENWINS

vpdn group 1 pptp echo 60

vpdn group 1 client authentication local

vpdn username USERNAME1 password GEHEIMESPASSWORTUSER1

vpdn username USERNAME2 password GEHEIMESPASSWORTUSER2

vpdn enable outside

 

PIX-OS 6.3.3

 

Mein internes Netz hat die 10.0.0.0, die VPN-User kriegen per DHCP eine IP aus 192.168.255. Zwischen diesen beiden Netzen darf kein NAT gemacht werden, daher brauchst Du auch diese Access-Liste für den NAT. Im Prinzip alles Schema "F" ohne irgendwelche Besonderheiten.

 

Ich gehe davon aus dass Du eine starke Cryptolizenz hast (3DES / AES), ansonsten kannst Du die kostenlos bei Cisco anfordern. Schau mal im "sh ver" ob da was von VPN-3DES-AES enabled steht.

 

Beim Authentication-Type brauchst Du nur einen.

 

Gruss

Markus

[Milla 10]

Hallo,

 

3DES-AES Lizenz habe ich!

 

Du sagst wenn ich die nicht hätte, würde man die bei Cisco kostenlos bekommen ? Ich dachte das Upgrade von DES auf 3DES kostet richtig Geld??

 

Läuft das VPN dann über PPTP oder meldet er sich so nur an und läuft der Rest trotzdem über IPSec?

[Blacky_24 10]

Das Upgrade von DES auf 3DES/AES ist seit 1,5 oder 2 Jahren kostenlos, den neuen Lizenzschlüssel kann man bei Cisco im Web online beantragen.

 

Das VPN mit meiner Konfig läuft dann komplett über PPTP, Du hast geschrieben dass Du eine W2K-Maschine als Client nutzen willst, da geht PPTP mit Bordmitteln übers DFÜ-Netzwerk. Wenn Du 3DES/AES-IPsec machen willst brauchst Du eine ganz andere Konfig und den VPN-Client von Cisco.

 

Gruss

Markus

[Milla 10]

Ich möchte gerne IPSec machen (der Sicherheit zu liebe)

Also 3DES/AES

 

Ich brauche dazu ab Win2000 doch keinen Cisco Client! Oder?

Win2k hat doch IPSec bereits integriert!

 

Über die lokalen IP-Sicherheitsrichtlinien kann IPSec konfiguriert werden und mit dem IPSEC Mon gemonitort werden!

[Blacky_24 10]

Stand meiner Kenntnis braucht man den Cisco VPN-Client, wenn Du mich jetzt nach einem Beleg für diese Aussage fragst muss ich passen, keine Ahnung wo ich diese Info her habe, schwirrt so halt in meinem Kopf rum.

 

Habe das noch nie mit Bordmitteln konfiguriert, kann daher ad hoc auch nicht mit einer Musterkonfig dienen, ich habe auch nie mit der IPsec-Inplementierung von W2K rumgespielt, daher kann ich dazu auch nichts Sinnvolles beitragen.

 

IPsec ist etwas tricky weil die IETF nur ein Framework spezifiziert in dessen Rahmen die Hersteller selber implementieren können was sie wollen, daher hat fast jeder IPsec-Anbieter seinen eigenen Client der nur mit den Komponenten dieses Herstellers reden kann.

 

Möglicherweise kann man W2K so parametrieren dass es mit den von Cisco bei IPsec verwendeten Mechanismen reden kann.

 

Gruss

Markus