|
|
 | Ciscp PIX<->IOS VPN Tunnel ?
Fra : Brian Ipsen |
Dato : 25-03-03 23:47 |
|
Hej!
Jeg har forsøgt at få en VPN tunnel op imellem en 831 og en PIX515,
men har ikke haft den store success....
Konfig'en i 831'eren:
crypto isakmp policy 11
encr 3des
authentication pre-share
crypto isakmp key VerySecretVpnKey address A.B.C.D
!
crypto ipsec transform-set tset_pix esp-3des esp-sha-hmac
!
crypto map nolan 11 ipsec-isakmp
set peer A.B.C.D
set transform-set tset_pix
match address 120
!
interface Ethernet0
ip address 192.168.80.1 255.255.255.128
ip nat inside
hold-queue 100 out
!
interface Ethernet1
ip address W.X.Y.Z 255.255.255.248
ip nat outside
no ip route-cache
no ip mroute-cache
crypto map nolan
!
ip nat pool mypool W.X.Y.Z W.X.Y.Z netmask 255.255.255.248
ip nat inside source route-map nonat pool mypool overload
ip classless
ip route 0.0.0.0 0.0.0.0 W.X.Y.9
no ip http server
!
access-list 120 remark Include the private-network-to-private-network
access-list 120 remark traffic in the encryption process
access-list 120 permit ip 192.168.80.0 0.0.0.127 host 192.168.1.186
access-list 130 remark Except the private network from the NAT process
access-list 130 deny ip 192.168.80.0 0.0.0.127 host 192.168.1.186
access-list 130 permit ip 192.168.80.0 0.0.0.127 any
route-map nonat permit 10
match ip address 130
!
Og i PIX'en er tilføjet:
access-list ipsec_rtr_vpn permit ip host 192.168.1.186 192.168.81.0
255.255.255.128
access-list nonat permit ip host 192.168.1.186 192.168.81.0
255.255.255.128
nat (inside) 0 access-list nonat
sysopt connection permit-ipsec
crypto ipsec transform-set tset_rtr esp-3des esp-sha-hmac
crypto ipsec security-association lifetime seconds 3600
crypto map map_rtr 21 ipsec-isakmp
crypto map map_rtr 21 match address ipsec_rtr_vpn
crypto map map_rtr 21 set peer W.X.Y.Z
crypto map map_rtr 21 set transform-set tset_rtr
crypto map map_rtr interface outside
isakmp enable outside
isakmp key ******** address W.X.Y.Z netmask 255.255.255.255
isakmp identity address
isakmp policy 21 authentication pre-share
isakmp policy 21 encryption 3des
isakmp policy 21 hash sha
isakmp policy 21 group 1
isakmp policy 21 lifetime 86400
Når jeg så forsøger at ping'e 192.168.1.186 fra 192.186.80.1 på
831'eren kan jeg se, at den forsøger at etablere en tunnel - men det
hele ender med (i PIX'en):
IPSEC(validate_proposal_request): proposal part #1,
(key eng. msg.) dest= A.B.C.D, src= W.X.Y.Z,
dest_proxy= 192.168.80.0/255.255.255.128/0/0 (type=4),
src_proxy= 192.168.1.186/255.255.255.255/0/0 (type=1),
protocol= ESP, transform= esp-3des esp-sha-hmac ,
lifedur= 0s and 0kb,
spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x4
IPSEC(validate_transform_proposal): proxy identities not supported
ISAKMP: IPSec policy invalidated proposal
ISAKMP (0): SA not acceptable!
ISAKMP (0): sending NOTIFY message 14 protocol 3
return status is IKMP_ERR_NO_RETRANS
Cisco hjemmeside siger så, at når fejlen "proxy identities not
supported" opstår er det fordi access-listerne i begge ender skal være
ens .... men har jeg ikke også lavet dem det ???
Og så til et af de basale: Kan man kun sætte et crypto map på outside
interface't ? Hvis jeg nu har et eksisterende crypto-map til
vpn-klienter (xauth) - og der ikke kan være flere - er den eneste
løsning så at anskaffe en VPN3000 koncentrator ?
Mvh.
Brian Ipsen
| |
 Martin Bilgrav (26-03-2003)
| Kommentar
Fra : Martin Bilgrav |
Dato : 26-03-03 00:11 |
|
"Brian Ipsen" <spammers@nowhere.net> wrote in message
news:6om18vcou5ffvd14depkn75q1qvd28pdvg@news.inet.tele.dk...
> Hej!
>
> access-list 120 remark Include the private-network-to-private-network
> access-list 120 remark traffic in the encryption process
> access-list 120 permit ip 192.168.80.0 0.0.0.127 host 192.168.1.186
> access-list 130 remark Except the private network from the NAT process
> access-list 130 deny ip 192.168.80.0 0.0.0.127 host 192.168.1.186
> access-list 130 permit ip 192.168.80.0 0.0.0.127 any
> route-map nonat permit 10
> match ip address 130
> access-list ipsec_rtr_vpn permit ip host 192.168.1.186 192.168.81.0
> 255.255.255.128
> access-list nonat permit ip host 192.168.1.186 192.168.81.0
> 255.255.255.128
> nat (inside) 0 access-list nonat
Hejsa
Du har ikke reverserende ACL i dine konfigurationer.
Den ene ende siger 192.168.81.0
Den anden siger 192.168.80.0
Det vil helt sikkert ikke virke !
HTH
Martin Bilgrav
| |
Brian Ipsen (26-03-2003)
| Kommentar
Fra : Brian Ipsen |
Dato : 26-03-03 07:45 |
|
On Wed, 26 Mar 2003 00:11:13 +0100, "Martin Bilgrav"
<bilgravCUTTHISOUT@image.dk> wrote:
>> access-list 120 remark Include the private-network-to-private-network
>> access-list 120 remark traffic in the encryption process
>> access-list 120 permit ip 192.168.80.0 0.0.0.127 host 192.168.1.186
>> access-list 130 remark Except the private network from the NAT process
>> access-list 130 deny ip 192.168.80.0 0.0.0.127 host 192.168.1.186
>> access-list 130 permit ip 192.168.80.0 0.0.0.127 any
>> route-map nonat permit 10
>> match ip address 130
>
>> access-list ipsec_rtr_vpn permit ip host 192.168.1.186 192.168.81.0
>> 255.255.255.128
>> access-list nonat permit ip host 192.168.1.186 192.168.81.0
>> 255.255.255.128
>> nat (inside) 0 access-list nonat
>Du har ikke reverserende ACL i dine konfigurationer.
>Den ene ende siger 192.168.81.0
>Den anden siger 192.168.80.0
>
>Det vil helt sikkert ikke virke !
Takker - det kan jo ske, at man stirrer sig blind på tingene.... Hvad
med mit spørgsmål mht. crypto map ??
Vil
crypto ipsec transform-set vpnset esp-3des esp-sha-hmac
crypto dynamic-map dynmap 10 set transform-set vpnset
crypto map vpnmap 10 ipsec-isakmp dynamic dynmap
crypto map vpnmap client configuration address initiate
crypto map vpnmap client authentication vpnauth
crypto map vpnmap 21 ipsec-isakmp
crypto map vpnmap 21 match address ipsec_rtr_vpn
crypto map vpnmap 21 set peer W.X.Y.Z
crypto map vpnmap 21 set transform-set tset_rtr
crypto map mymap interface outside
isakmp enable outside
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash sha
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
!--- Omø VPN Router
isakmp key ******** address W.X.Y.Z netmask 255.255.255.255
isakmp identity address
isakmp policy 21 authentication pre-share
isakmp policy 21 encryption 3des
isakmp policy 21 hash sha
isakmp policy 21 group 1
isakmp policy 21 lifetime 86400
vpngroup myvpngrp address-pool myvpnpool_1
vpngroup myvpngrp dns-server 192.168.0.6
vpngroup myvpngrp wins-server 192.168.0.6
vpngroup myvpngrp default-domain domain.dk
vpngroup myvpngrp idle-time 3600
vpngroup myvpngrp password xxxxx
vpngroup myvpngrp2 address-pool myvpnpool_2
vpngroup myvpngrp2 dns-server 192.168.1.36
vpngroup myvpngrp2 wins-server 192.168.1.36
vpngroup myvpngrp2 default-domain domain2.dk
vpngroup myvpngrp2 idle-time 3600
vpngroup myvpngrp2 password xxxxx
fungere, når både Cisco 3.x klienter samt en IOS router skal koble op
??
/Brian
| |
 Martin Bilgrav (26-03-2003)
| Kommentar
Fra : Martin Bilgrav |
Dato : 26-03-03 12:43 |
|
"Brian Ipsen" <spammers@nowhere.net> wrote in message
news:uri28votf58uaovtvid8oqsg2lpf2tjefl@news.inet.tele.dk...
> Takker - det kan jo ske, at man stirrer sig blind på tingene.... Hvad
> med mit spørgsmål mht. crypto map ??
Selv tak...
Så ikk det sidst spørgsmål....
>
> Vil
>
> crypto ipsec transform-set vpnset esp-3des esp-sha-hmac
> crypto dynamic-map dynmap 10 set transform-set vpnset
> crypto map vpnmap 10 ipsec-isakmp dynamic dynmap
> crypto map vpnmap client configuration address initiate
> crypto map vpnmap client authentication vpnauth
> crypto map vpnmap 21 ipsec-isakmp
> crypto map vpnmap 21 match address ipsec_rtr_vpn
> crypto map vpnmap 21 set peer W.X.Y.Z
> crypto map vpnmap 21 set transform-set tset_rtr
> crypto map mymap interface outside
Her er der en fejl !
skal hedde "crypto map vpnmap interface outside"
> isakmp enable outside
> isakmp policy 10 authentication pre-share
> isakmp policy 10 encryption 3des
> isakmp policy 10 hash sha
> isakmp policy 10 group 2
> isakmp policy 10 lifetime 86400
> !--- Omø VPN Router
> isakmp key ******** address W.X.Y.Z netmask 255.255.255.255
> isakmp identity address
> isakmp policy 21 authentication pre-share
> isakmp policy 21 encryption 3des
> isakmp policy 21 hash sha
> isakmp policy 21 group 1
> isakmp policy 21 lifetime 86400
> vpngroup myvpngrp address-pool myvpnpool_1
> vpngroup myvpngrp dns-server 192.168.0.6
> vpngroup myvpngrp wins-server 192.168.0.6
> vpngroup myvpngrp default-domain domain.dk
> vpngroup myvpngrp idle-time 3600
> vpngroup myvpngrp password xxxxx
> vpngroup myvpngrp2 address-pool myvpnpool_2
> vpngroup myvpngrp2 dns-server 192.168.1.36
> vpngroup myvpngrp2 wins-server 192.168.1.36
> vpngroup myvpngrp2 default-domain domain2.dk
> vpngroup myvpngrp2 idle-time 3600
> vpngroup myvpngrp2 password xxxxx
>
>
> fungere, når både Cisco 3.x klienter samt en IOS router skal koble op
> ??
>
Ja, det kan det godt
såfremt du retter map, som sagt...
Eller, Brian, så mail hele cfg til mig (Fjern det erelevante i mail addy
inden) så skal jeg sse om du har lavet andre små-fejl
Mvh
Martin Bilgrav
> /Brian
>
| |
Brian Ipsen (26-03-2003)
| Kommentar
Fra : Brian Ipsen |
Dato : 26-03-03 23:17 |
|
On Wed, 26 Mar 2003 12:43:21 +0100, "Martin Bilgrav"
<bilgravCUTTHISOUT@image.dk> wrote:
>> vpngroup myvpngrp2 address-pool myvpnpool_2
>> vpngroup myvpngrp2 dns-server 192.168.1.36
>> vpngroup myvpngrp2 wins-server 192.168.1.36
>> vpngroup myvpngrp2 default-domain domain2.dk
>> vpngroup myvpngrp2 idle-time 3600
>> vpngroup myvpngrp2 password xxxxx
>>
>> fungere, når både Cisco 3.x klienter samt en IOS router skal koble op
>> ??
>>
>Ja, det kan det godt
>såfremt du retter map, som sagt...
>Eller, Brian, så mail hele cfg til mig (Fjern det erelevante i mail addy
>inden) så skal jeg sse om du har lavet andre små-fejl
Ok... jeg har et sidste springende punkt... Dem, som kobler op i
myvpngrp2 - og får tildelt en adresse i 192.168.81.128/25 subnettet -
de må kun have adgang til en enkelt maskine i DMZ med IP adressen
192.168.1.36 - hvordan fikser jeg det ??
Pix'en kører i øjeblikket med conduits - og jeg tror det er et større
arbejde at omlægge til access-lister (da jeg også skal have en
access-liste på DMZ benet så, da der fra DMZ skal være adgnag ind mod
en Exchange server). Sidst jeg prøvede det fik jeg en masse pakker
blokeret i dmz_in access-listen, og det blev for uoverskueligt lige
pludseligt, så jeg var nødt til at hoppe tilbage til conduits...
/Brian
| |
Martin Bilgrav (27-03-2003)
| Kommentar
Fra : Martin Bilgrav |
Dato : 27-03-03 13:33 |
|
> Ok... jeg har et sidste springende punkt... Dem, som kobler op i
> myvpngrp2 - og får tildelt en adresse i 192.168.81.128/25 subnettet -
> de må kun have adgang til en enkelt maskine i DMZ med IP adressen
> 192.168.1.36 - hvordan fikser jeg det ??
>
> Pix'en kører i øjeblikket med conduits - og jeg tror det er et større
> arbejde at omlægge til access-lister (da jeg også skal have en
> access-liste på DMZ benet så, da der fra DMZ skal være adgnag ind mod
> en Exchange server). Sidst jeg prøvede det fik jeg en masse pakker
> blokeret i dmz_in access-listen, og det blev for uoverskueligt lige
> pludseligt, så jeg var nødt til at hoppe tilbage til conduits...
>
Hmm ACS og Userdownloadable ACL er svaret, omend lidt dyr.
Mvh
Martin Bilgrav
> /Brian
>
| |
Brian Ipsen (27-03-2003)
| Kommentar
Fra : Brian Ipsen |
Dato : 27-03-03 14:02 |
|
On Thu, 27 Mar 2003 13:32:33 +0100, "Martin Bilgrav"
<bilgravCUTTHISOUT@image.dk> wrote:
>> Ok... jeg har et sidste springende punkt... Dem, som kobler op i
>> myvpngrp2 - og får tildelt en adresse i 192.168.81.128/25 subnettet -
>> de må kun have adgang til en enkelt maskine i DMZ med IP adressen
>> 192.168.1.36 - hvordan fikser jeg det ??
>>
>> Pix'en kører i øjeblikket med conduits - og jeg tror det er et større
>> arbejde at omlægge til access-lister (da jeg også skal have en
>> access-liste på DMZ benet så, da der fra DMZ skal være adgnag ind mod
>> en Exchange server). Sidst jeg prøvede det fik jeg en masse pakker
>> blokeret i dmz_in access-listen, og det blev for uoverskueligt lige
>> pludseligt, så jeg var nødt til at hoppe tilbage til conduits...
>>
>
>Hmm ACS og Userdownloadable ACL er svaret, omend lidt dyr.
Kan det ikke klares med en Tacacs+ på en Linux boks ?? Der ligger jo
en public tacacs+ sourcecode hos Cisco - omend den ikke er
supporteret.
Hvad koster sådan et "svin" ellers ?? - Og så skal det vel på en
Windoze eller en Solaris maskine ?
/Brian
| |
Martin Bilgrav (27-03-2003)
| Kommentar
Fra : Martin Bilgrav |
Dato : 27-03-03 15:35 |
|
"Brian Ipsen" <spammers@nowhere.net> wrote in message
news:6bt58vsaote8fa0oufp4vck4uvoj9ldcvv@news.inet.tele.dk...
> >
> >Hmm ACS og Userdownloadable ACL er svaret, omend lidt dyr.
>
> Kan det ikke klares med en Tacacs+ på en Linux boks ?? Der ligger jo
> en public tacacs+ sourcecode hos Cisco - omend den ikke er
> supporteret.
>
> Hvad koster sådan et "svin" ellers ?? - Og så skal det vel på en
> Windoze eller en Solaris maskine ?
ACS kan vist godt køre på x-nix.
Mvh
Martin
| |
Brian Ipsen (27-03-2003)
| Kommentar
Fra : Brian Ipsen |
Dato : 27-03-03 16:20 |
|
On Thu, 27 Mar 2003 13:32:33 +0100, "Martin Bilgrav"
<bilgravCUTTHISOUT@image.dk> wrote:
>> Pix'en kører i øjeblikket med conduits - og jeg tror det er et større
>> arbejde at omlægge til access-lister (da jeg også skal have en
>> access-liste på DMZ benet så, da der fra DMZ skal være adgnag ind mod
>> en Exchange server). Sidst jeg prøvede det fik jeg en masse pakker
>> blokeret i dmz_in access-listen, og det blev for uoverskueligt lige
>> pludseligt, så jeg var nødt til at hoppe tilbage til conduits...
>>
>
>Hmm ACS og Userdownloadable ACL er svaret, omend lidt dyr.
Eh... Kan man selv skrue noget sammen med Cisco's public Tacacs+
daemon ??? Det burde man vel kunne hvis de ACL'er ikke ligger i et
eller andet mystisk format - og hvis de ellers overføres via TACACS
/Brian
| |
Martin Bilgrav (27-03-2003)
| Kommentar
Fra : Martin Bilgrav |
Dato : 27-03-03 19:15 |
|
"Brian Ipsen" <spammers@nowhere.net> wrote in message
news:6i568v0tar8q104sicl4ua432t5ff03lhi@news.inet.tele.dk...
> >Hmm ACS og Userdownloadable ACL er svaret, omend lidt dyr.
>
> Eh... Kan man selv skrue noget sammen med Cisco's public Tacacs+
> daemon ??? Det burde man vel kunne hvis de ACL'er ikke ligger i et
> eller andet mystisk format - og hvis de ellers overføres via TACACS
>
> /Brian
HEj igen,
På :
http://www.cisco.com/pcgi-bin/Support/browse/psp_view.pl?p=Hardware:PIX&s=So
ftware_Configuration
ser du en masse sample cfg's
bl.a.:
http://www.cisco.com/warp/public/110/pixcryaaa52.shtml
som hvis du bladre nedad har en del om ACS og specielt Downloadable ACL.
Tror der er insiration at hente der.
HTH
Martin Bilgrav
PS Mail til bilgravCUTTHISOUT@image.dk
hvor du fjerner CUTTHISOUT - har lige testet den virker ok.
| |
Brian Ipsen (27-03-2003)
| Kommentar
Fra : Brian Ipsen |
Dato : 27-03-03 21:43 |
|
On Thu, 27 Mar 2003 19:14:34 +0100, "Martin Bilgrav"
<bilgravCUTTHISOUT@image.dk> wrote:
>> >Hmm ACS og Userdownloadable ACL er svaret, omend lidt dyr.
>>
>> Eh... Kan man selv skrue noget sammen med Cisco's public Tacacs+
>> daemon ??? Det burde man vel kunne hvis de ACL'er ikke ligger i et
>> eller andet mystisk format - og hvis de ellers overføres via TACACS
>På :
> http://www.cisco.com/pcgi-bin/Support/browse/psp_view.pl?p=Hardware:PIX&s=So
>ftware_Configuration
>
>ser du en masse sample cfg's
>
>bl.a.:
>
> http://www.cisco.com/warp/public/110/pixcryaaa52.shtml
>
>som hvis du bladre nedad har en del om ACS og specielt Downloadable ACL.
>
>Tror der er insiration at hente der.
En smule - men som jeg læser det, så anvendes de ACL'er under "How to
Authenticate with Xauth With VPN Groups" i forbindelse med split
tunnelling. Det er muligt at jeg tager fejl, men som jeg læser
tingene, så anvendes access-lister i forbindelse med PIX VPN-grupper
til at definere split tunnelling op - uanset om de kommer dynamisk
eller om jeg sætter dem direkte i selve pix config'en. Correct me if
I'm wrong 
/Brian
| |
Brian Ipsen (27-03-2003)
| Kommentar
Fra : Brian Ipsen |
Dato : 27-03-03 13:52 |
|
On Wed, 26 Mar 2003 12:43:21 +0100, "Martin Bilgrav"
<bilgravCUTTHISOUT@image.dk> wrote:
>Eller, Brian, så mail hele cfg til mig (Fjern det erelevante i mail addy
>inden) så skal jeg sse om du har lavet andre små-fejl
har forsøgt, men når jeg skriver til den del af adresssen, der ikke er
i uppercase - så bounce'r min mail.... (jeg har lige indsat nogle
WXYZ'er i stedet for):
<bilgravWXYZWXYZ@image.dk>:
212.54.64.159 does not like recipient.
Remote host said: 550 RCPT TO:<bilgravWXYZWXYZ@image.dk> User unknown
Giving up on 212.54.64.159.
/Brian
| |
Asbjorn Hojmark (26-03-2003)
| Kommentar
Fra : Asbjorn Hojmark |
Dato : 26-03-03 07:54 |
|
On Tue, 25 Mar 2003 23:46:54 +0100, Brian Ipsen
<spammers@nowhere.net> wrote:
> access-list 120 permit ip 192.168.80.0 0.0.0.127 host 192.168.1.186
> access-list ipsec_rtr_vpn permit ip host 192.168.1.186 192.168.81.0 255.255.255.128
80 != 81
-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.net/
FAQ : http://www.net-faq.dk/
| |
Brian Ipsen (26-03-2003)
| Kommentar
Fra : Brian Ipsen |
Dato : 26-03-03 10:30 |
|
> > access-list 120 permit ip 192.168.80.0 0.0.0.127 host 192.168.1.186
>
> > access-list ipsec_rtr_vpn permit ip host 192.168.1.186 192.168.81.0
255.255.255.128
>
> 80 != 81
>
Jeps - man stirrer sig blind på problemet - specielt sent om aftenen.... Har
du evt. en kommentar til det omkring crypto map som jeg svarede til Martin
Bilgrav (her i samme tråd) ??
Mvh.
/Brian
| |
|
|