/ Forside / Teknologi / Netværk / TCP/IP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
TCP/IP
#NavnPoint
Per.Frede.. 4668
BjarneD 4017
severino 2804
pallebhan.. 1680
EXTERMINA.. 1525
xou 1455
strarup 1430
Manse9933 1419
o.v.n. 1400
10  Fijala 1204
VPN mellem IOS og PIX ?
Fra : Brian Ipsen


Dato : 03-02-03 18:18

Hej!

Hvis jeg skal have lavet en VPN tunnel mellem en router og en PIX
firewall (DMZ), hvordan gør jeg så (både på PIX og IOS router) ??
Pix'en kører i forvejen VPN ind mod inside, hvor brugere bliver
valideret via RADIUS. Men når routeren kobler op, så skal VPN tunellen
termineres på et DMZ interface i stedet for...

Og er det muligt, når routeren har lavet en VPN tunnel til PIX'en, at
klienter bag routeren stadig har adgang til internettet ???

Mvh.

/Brian

 
 
Asbjorn Hojmark (03-02-2003)
Kommentar
Fra : Asbjorn Hojmark


Dato : 03-02-03 23:52

On Mon, 03 Feb 2003 18:17:30 +0100, Brian Ipsen
<spammers@nowhere.net> wrote:

> Hvis jeg skal have lavet en VPN tunnel mellem en router og en PIX
> firewall (DMZ), hvordan gør jeg så (både på PIX og IOS router) ??

Det basale kan du se her:
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configuration_example09186a0080094498.shtml

> Pix'en kører i forvejen VPN ind mod inside, hvor brugere bliver
> valideret via RADIUS. Men når routeren kobler op, så skal VPN tunellen
> termineres på et DMZ interface i stedet for...

Men det er stadig PIX'en, der skal terminere IPSec-forbindelsen?
Så basalt set er der tale om, at du ønsker at terminere de fleste
brugere med én adressepulje og routeren med noget andet? Ja, det
kan godt lade sig gøre.

Eller ønsker du at terminere IPSec fra den router på et andet
device, der står i dit DMZ? Ja, det kan også lade sig gøre, men
det vil kræve en ekstra outside-adresse.

Det er lidt svært at svare fornuftigt på dit spørgsmål, når du
kun beskriver, hvad det er du forsøger at gøre (og ikke særlig
detaljeret), men ikke, hvad det er du forsøger at opnå.

> Og er det muligt, når routeren har lavet en VPN tunnel til PIX'en, at
> klienter bag routeren stadig har adgang til internettet ???

Du mener direkte, dvs. uden om VPN-forbindelsen? Ja, det er
muligt. Man definerer selv (med en access-list), hvilken trafik
man vil have i tunnelen. Men husk, at det skal matche med, hvad
du har defineret på PIX'en.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.net/
FAQ : http://www.net-faq.dk/

Brian Ipsen (07-02-2003)
Kommentar
Fra : Brian Ipsen


Dato : 07-02-03 00:15

On Mon, 03 Feb 2003 23:52:16 +0100, Asbjorn Hojmark
<Asbjorn@Hojmark.ORG> wrote:

>> Hvis jeg skal have lavet en VPN tunnel mellem en router og en PIX
>> firewall (DMZ), hvordan gør jeg så (både på PIX og IOS router) ??
>
>Det basale kan du se her:
>http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configuration_example09186a0080094498.shtml
>
>> Pix'en kører i forvejen VPN ind mod inside, hvor brugere bliver
>> valideret via RADIUS. Men når routeren kobler op, så skal VPN tunellen
>> termineres på et DMZ interface i stedet for...
>
>Men det er stadig PIX'en, der skal terminere IPSec-forbindelsen?
>Så basalt set er der tale om, at du ønsker at terminere de fleste
>brugere med én adressepulje og routeren med noget andet? Ja, det
>kan godt lade sig gøre.
>
>Eller ønsker du at terminere IPSec fra den router på et andet
>device, der står i dit DMZ? Ja, det kan også lade sig gøre, men
>det vil kræve en ekstra outside-adresse.

IPSec kan godt termineres i PIX'en, blot skal det ske mod ethernet4
interface't. Alle andre brugeres VPN adgang skal gå mod eth0 (inside).

>Det er lidt svært at svare fornuftigt på dit spørgsmål, når du
>kun beskriver, hvad det er du forsøger at gøre (og ikke særlig
>detaljeret), men ikke, hvad det er du forsøger at opnå.

At persopner bag routeren har adgang til en server placeret på eth4
porten på pix'en. Deres forbindelse skal være gennem en VPN tunnel.
Brugerne skal samtidigt kunne surfe på internettet - direkte gennem
routeren, og ikke gennem VPN-tunnelen/pix'en.

>> Og er det muligt, når routeren har lavet en VPN tunnel til PIX'en, at
>> klienter bag routeren stadig har adgang til internettet ???
>
>Du mener direkte, dvs. uden om VPN-forbindelsen? Ja, det er
>muligt. Man definerer selv (med en access-list), hvilken trafik
>man vil have i tunnelen. Men husk, at det skal matche med, hvad
>du har defineret på PIX'en.

Ok.

Jeg har i en router så lavet (w.z.y.z er ip adressen på PIX'en -
192.168.4.0 er nettet på eth4 porten på PIX'en):

crypto isakmp policy 11
hash sha
authentication pre-share
crypto isakmp key VerySecretVpnKey2003 address w.x.y.z
!
!
crypto ipsec transform-set pitvpnsrv esp-3des esp-sha-hmac
!
crypto map nolan 11 ipsec-isakmp
set peer w.x.y.z
set transform-set pitvpnsrv
match address 120

Interface Ethernet 0
description Interface mod LAN brugere
ip address 192.168.20.1 255.255.255.0
crypto map nolan
ip nat inside

Interface Ethernet 1
description Interface mod internettet
ip address a.b.c.d 255.255.255.252
ip nat outside

ip nat pool branch a.b.c.d a.b.c.d netmask 255.255.255.252

access-list 120 remark -- Which traffic to VPN encrypt
access-list 120 permit ip 192.168.20.0 0.0.0.255 192.168.4.0 0.0.0.255
access-list 130 remark -- Except the private network from NAT
access-list 130 deny ip 192.168.20.0 0.0.0.255 192.168.4.0 0.0.0.255
access-list 130 permit ip 192.168.20.0 0.0.0.255 any

route-map nonat permit 10
match ip address 130


Det skulle så være router-delen. Det bliver lidt værre med PIX'en....
Den har i øjeblikket (192.168.10.x bruges til VPN brugere):

nameif ethernet4 vpnrtr security40
ip local pool usrvpnpool 192.168.10.1-192.168.10.30
access-list 102 permit ip 192.168.0.0 255.255.255.0 192.168.10.0
255.255.255.0
nat (inside) 0 access-list 102
aaa-server vpnauth protocol radius
aaa-server vpnauth (dmz) host 192.168.1.11 RadiusPwd timeout 5
sysopt connection permit-ipsec
crypto ipsec transform-set vpnset esp-3des esp-sha-hmac
crypto dynamic-map dynmap 10 set transform-set vpnset
crypto map mymap 10 ipsec-isakmp dynamic dynmap
crypto map mymap client configuration address initiate
crypto map mymap client authentication vpnauth
crypto map mymap interface outside
isakmp enable outside
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash sha
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
vpngroup usrvpngrp address-pool usrvpnpool
vpngroup usrvpngrp dns-server 192.168.0.11
vpngroup usrvpngrp wins-server 192.168.0.11
vpngroup usrvpngrp default-domain domain.dk
vpngroup usrvpngrp idle-time 3600
vpngroup usrvpngrp password ********

Hvordan får jeg flettet router-delen ind i det ??

Jeg skal formodentlig have tilføjet noget i stil med:

access-list rtripsec permit ip 192.168.4.0 255.255.255.0 192.168.20.0
255.255.255.0
access-list nonatrtr permit ip 192.168.4.0 255.255.255.0 192.168.20.0
255.255.255.0
nat (vpnrtr) 0 access-list nonatrtr
crypto ipsec transform-set rtrvpnset esp-3des esp-sha-hmac
crypto ipsec security-association lifetime seconds 3600
crypto map vpnrtrmap 21 ipsec-isakmp
crypto map vpnrtrmap 21 match address ipsec
crypto map vpnrtrmap 21 set peer a.b.c.d
crypto map vpnrtrmap 21 set transform-set rtrvpnset
crypto map vpnrtrmap interface outside
isakmp key VerySecretVpnKey2003 address a.b.c.d netmask
255.255.255.255
isakmp identity address
isakmp policy 21 authentication pre-share
isakmp policy 21 encryption 3des
isakmp policy 21 hash sha
isakmp policy 21 group 1

Men jeg kan ikke se hvordan det kan harmonere med vpngroup sagerne...

Input er _meget_ velkommen

/Brian

Asbjorn Hojmark (10-02-2003)
Kommentar
Fra : Asbjorn Hojmark


Dato : 10-02-03 07:14

On Fri, 07 Feb 2003 00:14:43 +0100, Brian Ipsen
<spammers@nowhere.net> wrote:

> Men jeg kan ikke se hvordan det kan harmonere med vpngroup sagerne...

Det skal det heller ikke. Routeren (og brugerne bag den) skal jo
ikke tildeles adresse etc. fra firewall'en.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.net/
FAQ : http://www.net-faq.dk/

Søg
Reklame
Statistik
Spørgsmål : 177560
Tips : 31968
Nyheder : 719565
Indlæg : 6408952
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste