On Mon, 03 Feb 2003 23:52:16 +0100, Asbjorn Hojmark
<Asbjorn@Hojmark.ORG> wrote:
>> Hvis jeg skal have lavet en VPN tunnel mellem en router og en PIX
>> firewall (DMZ), hvordan gør jeg så (både på PIX og IOS router) ??
>
>Det basale kan du se her:
>
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configuration_example09186a0080094498.shtml
>
>> Pix'en kører i forvejen VPN ind mod inside, hvor brugere bliver
>> valideret via RADIUS. Men når routeren kobler op, så skal VPN tunellen
>> termineres på et DMZ interface i stedet for...
>
>Men det er stadig PIX'en, der skal terminere IPSec-forbindelsen?
>Så basalt set er der tale om, at du ønsker at terminere de fleste
>brugere med én adressepulje og routeren med noget andet? Ja, det
>kan godt lade sig gøre.
>
>Eller ønsker du at terminere IPSec fra den router på et andet
>device, der står i dit DMZ? Ja, det kan også lade sig gøre, men
>det vil kræve en ekstra outside-adresse.
IPSec kan godt termineres i PIX'en, blot skal det ske mod ethernet4
interface't. Alle andre brugeres VPN adgang skal gå mod eth0 (inside).
>Det er lidt svært at svare fornuftigt på dit spørgsmål, når du
>kun beskriver, hvad det er du forsøger at gøre (og ikke særlig
>detaljeret), men ikke, hvad det er du forsøger at opnå.
At persopner bag routeren har adgang til en server placeret på eth4
porten på pix'en. Deres forbindelse skal være gennem en VPN tunnel.
Brugerne skal samtidigt kunne surfe på internettet - direkte gennem
routeren, og ikke gennem VPN-tunnelen/pix'en.
>> Og er det muligt, når routeren har lavet en VPN tunnel til PIX'en, at
>> klienter bag routeren stadig har adgang til internettet ???
>
>Du mener direkte, dvs. uden om VPN-forbindelsen? Ja, det er
>muligt. Man definerer selv (med en access-list), hvilken trafik
>man vil have i tunnelen. Men husk, at det skal matche med, hvad
>du har defineret på PIX'en.
Ok.
Jeg har i en router så lavet (w.z.y.z er ip adressen på PIX'en -
192.168.4.0 er nettet på eth4 porten på PIX'en):
crypto isakmp policy 11
hash sha
authentication pre-share
crypto isakmp key VerySecretVpnKey2003 address w.x.y.z
!
!
crypto ipsec transform-set pitvpnsrv esp-3des esp-sha-hmac
!
crypto map nolan 11 ipsec-isakmp
set peer w.x.y.z
set transform-set pitvpnsrv
match address 120
Interface Ethernet 0
description Interface mod LAN brugere
ip address 192.168.20.1 255.255.255.0
crypto map nolan
ip nat inside
Interface Ethernet 1
description Interface mod internettet
ip address a.b.c.d 255.255.255.252
ip nat outside
ip nat pool branch a.b.c.d a.b.c.d netmask 255.255.255.252
access-list 120 remark -- Which traffic to VPN encrypt
access-list 120 permit ip 192.168.20.0 0.0.0.255 192.168.4.0 0.0.0.255
access-list 130 remark -- Except the private network from NAT
access-list 130 deny ip 192.168.20.0 0.0.0.255 192.168.4.0 0.0.0.255
access-list 130 permit ip 192.168.20.0 0.0.0.255 any
route-map nonat permit 10
match ip address 130
Det skulle så være router-delen. Det bliver lidt værre med PIX'en....
Den har i øjeblikket (192.168.10.x bruges til VPN brugere):
nameif ethernet4 vpnrtr security40
ip local pool usrvpnpool 192.168.10.1-192.168.10.30
access-list 102 permit ip 192.168.0.0 255.255.255.0 192.168.10.0
255.255.255.0
nat (inside) 0 access-list 102
aaa-server vpnauth protocol radius
aaa-server vpnauth (dmz) host 192.168.1.11 RadiusPwd timeout 5
sysopt connection permit-ipsec
crypto ipsec transform-set vpnset esp-3des esp-sha-hmac
crypto dynamic-map dynmap 10 set transform-set vpnset
crypto map mymap 10 ipsec-isakmp dynamic dynmap
crypto map mymap client configuration address initiate
crypto map mymap client authentication vpnauth
crypto map mymap interface outside
isakmp enable outside
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash sha
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
vpngroup usrvpngrp address-pool usrvpnpool
vpngroup usrvpngrp dns-server 192.168.0.11
vpngroup usrvpngrp wins-server 192.168.0.11
vpngroup usrvpngrp default-domain domain.dk
vpngroup usrvpngrp idle-time 3600
vpngroup usrvpngrp password ********
Hvordan får jeg flettet router-delen ind i det ??
Jeg skal formodentlig have tilføjet noget i stil med:
access-list rtripsec permit ip 192.168.4.0 255.255.255.0 192.168.20.0
255.255.255.0
access-list nonatrtr permit ip 192.168.4.0 255.255.255.0 192.168.20.0
255.255.255.0
nat (vpnrtr) 0 access-list nonatrtr
crypto ipsec transform-set rtrvpnset esp-3des esp-sha-hmac
crypto ipsec security-association lifetime seconds 3600
crypto map vpnrtrmap 21 ipsec-isakmp
crypto map vpnrtrmap 21 match address ipsec
crypto map vpnrtrmap 21 set peer a.b.c.d
crypto map vpnrtrmap 21 set transform-set rtrvpnset
crypto map vpnrtrmap interface outside
isakmp key VerySecretVpnKey2003 address a.b.c.d netmask
255.255.255.255
isakmp identity address
isakmp policy 21 authentication pre-share
isakmp policy 21 encryption 3des
isakmp policy 21 hash sha
isakmp policy 21 group 1
Men jeg kan ikke se hvordan det kan harmonere med vpngroup sagerne...
Input er _meget_ velkommen
/Brian