Jump to content

PIX, mehrere VPN´s


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo ...

 

das Update ist nicht nötig :)

 

1. Du baust die nächste Policy mit der nächsten priority.

z.b.

isakmp policy 30 authentication pre-share

isakmp policy 30 encryption aes-256

isakmp policy 30 hash sha

isakmp policy 30 group 5

isakmp policy 30 lifetime 3600

 

es werden ALLE policy während IKE Phase 1 und 2 angeboten und nach ihrer Priorität geprüft. die mit der höchsten, die auf beiden Seite passt wird verwendet.

 

2. Du baust die neue crypto map

 

crypto map KNAMAP 30 ipsec-isakmp

crypto map KNAMAP 30 match address acl_for_yyyy

crypto map KNAMAP 30 set peer y.y.y.y

crypto map KNAMAP 30 set transform-set ABC

crypto map KNAMAP 30 set security-association lifetime seconds 3600 kilobytes 4608000

 

3. Du baust den preshare key

isakmp key ******** address y.y.y.y netmask 255.255.255.255

 

und nun sollte es schon gehn

 

 

Gruß Heiko

Link zu diesem Kommentar
Update nicht wegen der Config, sondern Update wegen BUG im IPSEC beim Pix-OS 3.0(3)

 

Ansonsten weisst Du wovon Du schreibst?

 

Bug bei IPSEC in PIX-OS 3.0.3? Das OS gab es zu einer Zeit in der die PIXen noch Floppylaufwerke hatten und man Token-Ring-Interfaces einbauen konnte, das war so 1996-1997 - und über IPSEC mit der PIX haben wir damals alle laut gelacht.

 

Der einzige IPSEC-Bug in PIX-OS 3.x war dass damit IPSEC überhaupt nicht möglich war, IPSEC mit der PIX geht erst ab 5.x - und das kam irgendwann in 2000 raus - auch auf einer ganz anderen Hardware-Plattform.

 

Gruss

Markus

Link zu diesem Kommentar

Nö, habe ich nicht.

 

Ich sitze im Garten unter dem Sonnenschirm, habe Blick auf die Alpen und kann mich einfach nicht entscheiden ob ich mir noch einen Kaffee oder das erste Bier hole.

 

Alles in Allem die besten Voraussetzungen für ein ruhiges Wochenende.

 

Meine teilweise etwas rustikale Art, meine Postings zu formulieren entspricht meinem ebenso rustikalen Naturell - hart aber herzlich, jedoch so gut wie nie beleidigend gemeint.

 

PDM und OS sollte man auseinander halten, sonst gibts Konfusion.

 

Gruss

Markus (der mit dem Bier doch noch wartet bis der Grill vorgeglüht ist)

Link zu diesem Kommentar

Yep,

 

da hat sich wohl "Freund" eingemischt. Ich meinte selbstverstaendlich: PIX-OS 6.3(5). Wie ja auch ein Thread vorher schon geschrieben, aber ich will mich mal nicht so aufregen wie Du :p ;) .

 

Und man sollte natuerlich auch das PDM 3.0(4) drauf haben, sonst ist es mit dem PDM mau unter der neusten Java-Engine.

 

Jetzt alles wieder OK ?!

 

Gruß Data

 

PS: Warum hat der Editor eigentlich Probleme mit Umlauten ?

Link zu diesem Kommentar
  • 2 Monate später...

Nachdem ich nun mehrere VPN´s erfolgreich laufen habe, stehe ich erneut vor einem Problem: Ich muss einen weiteren Tunnel realisieren, der für die Phase 1 (Main Mode) die gleichen properties beinhaltet - bis auf die lifetime - wie ein bereits bestehender Tunnel.

Dazu habe ich folgende Einträge:

 

alt:

isakmp policy 30 authentication pre-share

isakmp policy 30 encryption 3des

isakmp policy 30 hash sha

isakmp policy 30 group 2

isakmp policy 30 lifetime 28800

 

neu hinzu:

isakmp policy 40 authentication pre-share

isakmp policy 40 encryption 3des

isakmp policy 40 hash sha

isakmp policy 40 group 2

isakmp policy 40 lifetime 86400

 

Im log der PIX sehe ich aber, dass die policy 30 angezogen wird ( ISAKMP (0): atts are acceptable. Next payload is 0). Bekomme ich dann keine Probleme mit der lifetime, wenn die Gegenseite ihren Wert auf 86400 eingestellt hat?

 

 

Weiter habe ich dann das Problem, dass der Tunnel nicht aufgebaut wird:

 

crypto_isakmp_process_block:src:A.B.C.D, dest:W.X.Y.Z spt:500 dpt:500

ISAKMP: error, msg not encrypted

 

Kann ich davon ausgehen, dass hier die properties der Phase 2 nicht übereinstimmen?

 

Gruß

hegl

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...