Toon posts:

[PIX/ISA] VPN tussen lokaties door Cisco firewalls

Pagina: 1
Acties:

maandag 2 mei 2005 14:12

Acties:
  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 23:36

Jazzy

Moderator SSC/PB

Moooooh!

Topicstarter
Netwerkschets:
Afbeeldingslocatie: http://www.mellema.net/got/netwerk.gif

Ik wil:
Een VPN aanleggen tussen de 2 lokaties, dit moet gebeuren van ISA-server naar ISA-server. 'Helaas' zitten de ISA-servers niet aan de buitenkant, daar zit nog een andere firewall.

• Beide lokaties zijn via een DSL-lijn verbonden met internet.
• Er zijn meerdere publieke IP-adressen beschikbaar.
• De ISA-servers doen NAT voor de achterliggende clients.
• De clients uit het bovenste segment moeten kunnen communiceren met een server in het onderste segment.
• Cisco PIX-501 en PIX-515E, beiden PIX v. 6.3.4 en PDM 3.0.2.
• ISA 2000 Standard in integrated mode op Windows 2000 Server met RRAS.

Wat van plan ben/was:
Op de PIX maak ik een statische translationrule aan van een publiek IP-adres naar de ISA-server, bijvoorbeeld intern 10.20.1.253 aan extern 80.127.214.2. Vervolgens open ik de juiste poorten op de PIX om een VPN verbinding van buiten toe te staan naar de interne ISA server.

Maar als ik de VPN-wizard op de ISA-server gebruik dan heeft hij het IP-adres nodig heeft van de andere server. Kan ik dan wel het externe adres opgeven? De andere partij weet helemaal niet dat hij een extern adres heeft, die kent alleen zijn eigen interfaces.

Vraag:
Hoe krijg ik nu dat VPN langs die firewalls? Volgens mij zit ik op een dood spoor. Is dit the way to go of moet ik het op een andere manier aanpakken?

Ik ben systeembeheerder met redelijk wat ervaring, helaas niet op het gebied van routering, firewalling en netwerken. Ik ben bekend met de concepten maar kan met de vertaling naar de praktijk wel wat hulp gebruiken. Idem voor werken met een Cisco firewall, ik gebruik daarom de PDM. Wie helpt mij een eindje op weg?

Exchange en Office 365 specialist. Mijn blog.

maandag 2 mei 2005 14:45

Acties:
  • Rolfie
  • Registratie: Oktober 2003
  • Laatst online: 06:46

Rolfie

Je moet in de wizards de externe IP adres (80.127.214.2.) gebruiken. Dan gaat het goed.
Let er wel op je kan alleen pptp VPN verbidngen maken, geen L2TP vpn verbindingen.

maandag 2 mei 2005 15:28

Acties:
  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 23:36

Jazzy

Moderator SSC/PB

Moooooh!

Topicstarter
Rolfie schreef op maandag 02 mei 2005 @ 14:45:
Je moet in de wizards de externe IP adres (80.127.214.2.) gebruiken. Dan gaat het goed.
Niet helemaal. Tijdens het configureren van de local VPN server (de onderste in het plaatje) vraagt de wizard:
Afbeeldingslocatie: http://www.mellema.net/got/isashot.gif

Daar kan ik alleen het externe IP-adres van de lokale ISA-server selecteren, maar ik wil dus dat de remote server gaat connecten met het publieke adres aan de buitenkant van het netwerk (216.175.66.2).

Als ik met de wizard door ga en het vpc-bestandje ingeef tijdens het configureren van de remote VPN server dan krijg ik de foutmelding: An error occurred during reading of the configuration file: Ongeldige gegevens. Misschien ook wel logisch omdat hij die 10.10.1.253 natuurlijk nooit gaat vinden, laat staan er een verbinding mee opbouwen.

Exchange en Office 365 specialist. Mijn blog.

maandag 2 mei 2005 15:32

Acties:
  • Rolfie
  • Registratie: Oktober 2003
  • Laatst online: 06:46

Rolfie

Dan zul je hem moet de hand moeten configueren, en niet de wizard gebruiken..... :Y)

maandag 2 mei 2005 16:29

Acties:
  • Equator
  • Registratie: April 2001
  • Laatst online: 06-05 20:00

Equator

Crew Council

#whisky #barista

Rolfie schreef op maandag 02 mei 2005 @ 15:32:
Dan zul je hem moet de hand moeten configueren, en niet de wizard gebruiken..... :Y)
Bull shit, selecteer daar het Ip adres 10.10.1.253
Je PIX zet alle verkeer op de juiste poorten dan door naar dat IP adres. Je ISA server hoeft helemaal niets te weten van je echte externe IP adres.

maandag 2 mei 2005 16:48

Acties:
  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 23:36

Jazzy

Moderator SSC/PB

Moooooh!

Topicstarter
CyberJ schreef op maandag 02 mei 2005 @ 16:29:
[...]

Bull shit, selecteer daar het Ip adres 10.10.1.253
Je PIX zet alle verkeer op de juiste poorten dan door naar dat IP adres. Je ISA server hoeft helemaal niets te weten van je echte externe IP adres.
Lees even mijn voorgaande bericht. Met deze gegevens maak je een vpc-bestandje aan die je vervolgens aan de remote VPN server voert om hem te configureren. Ik kan je verzekeren dat de remote server best een beetje moeite heeft om een VPN-verbinding op te gaan zetten met de 10.10.1.253. :)

Exchange en Office 365 specialist. Mijn blog.

maandag 2 mei 2005 17:56

Acties:

Verwijderd

dat adress is het ip wat de vpn krijgt. niet het connectie adres. het is dus gewoon een ip in de lokale reeks, wat je default gateway wordt voor dat segmentje...

maandag 2 mei 2005 20:14

Acties:
  • proza
  • Registratie: September 2001
  • Laatst online: 04-05 19:06

proza

Laat eens wat deeltjes van de configuratie zien, wellicht kan ik je dan iets gerichter helpen. De VPN IPsec tunnel moet je uiteraard opzetten tussen de twee officiële (peer(s)) IP adressen.
Voor de rest lijkt het me verstandig de externe IP adressen te verwijderen uit je plaatje. Dit "nodigt" mensen alleen maar uit })

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19

C:\>ping -a 80.xxx.yyy.1

Pinging a80-xxx-yyy-1.adsl.xs4all.nl [80.xxx.yyy.1] with 32 bytes of data:

Reply from 80.xxx.yyy.1: bytes=32 time=18ms TTL=250
Reply from 80.xxx.yyy.1: bytes=32 time=128ms TTL=250
Reply from 80.xxx.yyy.1: bytes=32 time=46ms TTL=250
Reply from 80.xxx.yyy.1: bytes=32 time=18ms TTL=250

Ping statistics for 80.xxx.yyy.1:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 18ms, Maximum = 128ms, Average = 52ms

C:\>ping -a 216.xxx.yyy.1

Pinging user-vcaugg1.dsl.abcdef.com [216.xxx.yyy.1] with 32 bytes of data:

Request timed out.

If you see me collapse, pause my Garmin!🚶🏃

maandag 2 mei 2005 20:37

Acties:
  • proza
  • Registratie: September 2001
  • Laatst online: 04-05 19:06

proza

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23

hostname fwl01-boven

nameif ethernet0 outside security0
nameif ethernet1 inside security100
interface ethernet0 auto
interface ethernet1 auto
ip address outside 1.1.1.1 255.255.255.0
ip address inside 10.20.1.254 255.255.255.0
route outside 0.0.0.0 0.0.0.0 0.0.0.0

isakmp enable outside
isakmp policy 10 authentication pre-share
crypto ipsec transform-set mytransform esp-3des
isakmp key jazzy-shared-key address 2.2.2.2 netmask 255.255.255.255
isakmp nat-traversal 20
access-list tosite2 permit ip 10.20.1.0 255.255.255.0 10.10.1.0 255.255.255.0
access-list nonatinside permit ip 10.20.1.0 255.255.255.0 10.10.1.0 255.255.255.0
crypto map mymap 11 ipsec-isakmp
crypto map mymap 11 match address tosite-2
crypto map mymap 11 set peer 2.2.2.2
crypto map mymap 11 set transform-set mytransform
nat (inside) 0 access-list nonatinside
crypto map mymap interface outside


code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23

hostname fwl02-beneden

nameif ethernet0 outside security0
nameif ethernet1 inside security100
interface ethernet0 auto
interface ethernet1 auto
ip address outside 2.2.2.2 255.255.255.0
ip address inside 10.10.1.254 255.255.255.0
route outside 0.0.0.0 0.0.0.0 0.0.0.0

isakmp enable outside
isakmp policy 10 authentication pre-share
crypto ipsec transform-set mytransform esp-3des
isakmp key jazzy-shared-key address 1.1.1.1 netmask 255.255.255.255
isakmp nat-traversal 20
access-list tosite1 permit ip 10.10.1.0 255.255.255.0 10.20.1.0 255.255.255.0
access-list nonatinside permit ip 10.10.1.0 255.255.255.0 10.20.1.0 255.255.255.0
crypto map mymap 11 ipsec-isakmp
crypto map mymap 11 match address tosite1
crypto map mymap 11 set peer 1.1.1.1
crypto map mymap 11 set transform-set mytransform
nat (inside) 0 access-list nonatinside
crypto map mymap interface outside

If you see me collapse, pause my Garmin!🚶🏃

dinsdag 3 mei 2005 10:15

Acties:
  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 23:36

Jazzy

Moderator SSC/PB

Moooooh!

Topicstarter
ovdberg schreef op maandag 02 mei 2005 @ 20:14:
Laat eens wat deeltjes van de configuratie zien, wellicht kan ik je dan iets gerichter helpen. De VPN IPsec tunnel moet je uiteraard opzetten tussen de twee officiële (peer(s)) IP adressen.
Dat laatste is nu inderdaad mijn grootste zorg. Op de beide PIX-en doe ik het volgende:
• Static translation rule van extern IP-adres naar de interne ISA-Server (bestaat in beide gevallen al)
• Access rule die pptp toe staat van outside naar interne ISA-Server

Als je daarmee in kunt stemmen dan is de Cisco-kant niet mijn probleem. Wanneer ik hier niet uitkom dan kan ik altijd nog de config in de groep gooien.
Voor de rest lijkt het me verstandig de externe IP adressen te verwijderen uit je plaatje. Dit "nodigt" mensen alleen maar uit })
Daar had ik aan gedacht, de getoonde IP-adressen zijn niet de mijne. :)

Exchange en Office 365 specialist. Mijn blog.

woensdag 4 mei 2005 11:19

Acties:
  • Flyduck
  • Registratie: Juni 2001
  • Laatst online: 28-03-2025

Flyduck

ik zou het heel anders doen. Ik zou de VPN opzetten tussen de twee pix firewalls en als reeks dezelfde gebruiken als op de external interface van de ISA servers. Op beide ISA server dan wel dezelfde range gebruiken. Je kan kan dan namelijk gewoon je verkeer vanaf de ISA server routeren met als next hop de ISA aan de andere kant.

Zijn er mensen die deze regel lezen? Graag terugkoppeling gewenst (onopvallend)

woensdag 4 mei 2005 11:57

Acties:
  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 23:36

Jazzy

Moderator SSC/PB

Moooooh!

Topicstarter
Flyduck schreef op woensdag 04 mei 2005 @ 11:19:
ik zou het heel anders doen. Ik zou de VPN opzetten tussen de twee pix firewalls
Om beheersredenen moet het van ISA tot ISA, maar bedankt voor je suggestie.

Exchange en Office 365 specialist. Mijn blog.

woensdag 4 mei 2005 13:56

Acties:
  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 23:36

Jazzy

Moderator SSC/PB

Moooooh!

Topicstarter
Verwijderd schreef op maandag 02 mei 2005 @ 17:56:
dat adress is het ip wat de vpn krijgt. niet het connectie adres. het is dus gewoon een ip in de lokale reeks, wat je default gateway wordt voor dat segmentje...
Zeker weten? Er staat namelijk iets anders: Select the IP adress of the local ISA VPN computer. This is the IP address to wich the remote ISA VPN computer will connect. In mijn geval moet hier dus geen 10.10.1.253 staan maar het externe adres 216.175.66.2.

Helaas akn ik hem niet handmatig aanpassen, de volgende stap is het opgeven van een bestandsnaam voor het vpc-bestand. Dit gemaakte vpc-bestand is dus niet bruikbaar omdat er een verkeerd IP-adres in staat.

Exchange en Office 365 specialist. Mijn blog.

woensdag 4 mei 2005 15:51

Acties:
  • Equator
  • Registratie: April 2001
  • Laatst online: 06-05 20:00

Equator

Crew Council

#whisky #barista

Jazzy schreef op woensdag 04 mei 2005 @ 13:56:
[...]
Zeker weten? Er staat namelijk iets anders: Select the IP adress of the local ISA VPN computer. This is the IP address to wich the remote ISA VPN computer will connect. In mijn geval moet hier dus geen 10.10.1.253 staan maar het externe adres 216.175.66.2.

Helaas akn ik hem niet handmatig aanpassen, de volgende stap is het opgeven van een bestandsnaam voor het vpc-bestand. Dit gemaakte vpc-bestand is dus niet bruikbaar omdat er een verkeerd IP-adres in staat.
Nee, daar kan je gewoon het lokale IP opgeven. Het "echte" ip adres wat vanaf internet bereikbaar is wordt immers gepoortmapped naar dat 10.10.1.253 adres. Voor de remote ISA VPN computer maakt dat niet uit, hij merkt het niet eens.

In weze gaat het zo:
ISA server 1 maakt tunnel naar ISA server 2.
Hij maakt verbinding naar het internet adres 216.175.66.2, op poort xxxx
De Cisco PIX vertaald het destination adres (216.175.66.2) naar een intern adres (10.10.1.253) op poort xxxx (DIt is DNAT / Destination Network Address Translation)
ISA server1 denkt dat hij babbelt met ISA Server2 maar merkt dus niet dat er nog een PIX tussen zit.
De terugweg loopt op een dergelijke manier.

Snappieum :? ;)

donderdag 5 mei 2005 10:56

Acties:

Verwijderd

Helaas akn ik hem niet handmatig aanpassen, de volgende stap is het opgeven van een bestandsnaam voor het vpc-bestand. Dit gemaakte vpc-bestand is dus niet bruikbaar omdat er een verkeerd IP-adres in staat.
Het boeit niet dat je hem daar niet kan veranderen, gewoon doorrammelen.

Als je de hele handel geconfigged hebt en geimporteerd aan de andere kant open je je packet filters (die dus automatisch aangemaakt zijn) en verander je daar handmatig het Remote Computer IP adres dat is namelijk de enige plek waar dat "verkeerde" ip adres voorkomt.

donderdag 5 mei 2005 21:54

Acties:

Verwijderd

en toch snap ik 2 dingen niet:

waarom nat je 2 keer? (pix + isa)
waarom wil je persee geen vpn tunnel tussen de pix firewalls?

donderdag 5 mei 2005 22:21

Acties:

Verwijderd

waarom nat je 2 keer? (pix + isa)
Misschien wil TS wel een proxy en wat Exchange publishing (OWA forms based) oid, misschien is het plaatje niet volledig en is er nog een DMZ waar servers inhangen.......
waarom wil je persee geen vpn tunnel tussen de pix firewalls?
Zo'n tunnel is lastig en functioneert alleen als je ISA uitschakelt. Je krijgt dan een "DMZ" VPN en geen VPN tussen je LAN's.

vrijdag 6 mei 2005 08:30

Acties:
  • Equator
  • Registratie: April 2001
  • Laatst online: 06-05 20:00

Equator

Crew Council

#whisky #barista

Verwijderd schreef op donderdag 05 mei 2005 @ 21:54:
en toch snap ik 2 dingen niet:

waarom nat je 2 keer? (pix + isa)
waarom wil je persee geen vpn tunnel tussen de pix firewalls?
Ten eerste is het vanuit security ookgpunt niet eens zo'n slecht idee om 2 verschillende firewall's te gebruiken.
Ten tweede, misschien heeft de TS helemaal geen beheer over die PIX'en maar wil hij wel het beheer over zijn firewall.
Ten derde heeft de ISA Server natuurlijk nog wat andere mogelijkheden die een PIX niet heeft. Denk daarbij aan user authentication, content blocking / filtering en virusscanning van de data.

En wat rsa zegt over de tunnel ^^^ ;)
Pagina: 1
Reageer