Ik ben bezig met het configureren van een PIX 506E.
Deze moet VPN verbindingen accepteren van thuiswerkers die een Cisco VPN client gebruiken en een LAN-LAN verbinding met een PIX 501 in een tweede vestiging van ons.
Ik ben er bijna. Alleen krijg ik geen toegang op het netwerk achter de PIX506. Ik zal waarschijnlijk nog een access-list toe moeten voegen. Misschien dat iemand mij nog kan helpen met de laatste stap.
De PIX 506E staat achter een alcatel speedtouch waarbij dhcp spoofing aanstaat.
UPDATE: Ben er al uit.
ik miste:
isakmp nat-traversal 20
Nu alleen nog een ander probleem. Thuiswerkers die verbinding maken kunnen vervolgens lokaal niet meer op internet. Dit zou opgelost moeten kunnen worden met vpngroup split-tunnel maar ik kom hier nog niet uit.
Deze moet VPN verbindingen accepteren van thuiswerkers die een Cisco VPN client gebruiken en een LAN-LAN verbinding met een PIX 501 in een tweede vestiging van ons.
Ik ben er bijna. Alleen krijg ik geen toegang op het netwerk achter de PIX506. Ik zal waarschijnlijk nog een access-list toe moeten voegen. Misschien dat iemand mij nog kan helpen met de laatste stap.
De PIX 506E staat achter een alcatel speedtouch waarbij dhcp spoofing aanstaat.
UPDATE: Ben er al uit.
ik miste:
isakmp nat-traversal 20
Nu alleen nog een ander probleem. Thuiswerkers die verbinding maken kunnen vervolgens lokaal niet meer op internet. Dit zou opgelost moeten kunnen worden met vpngroup split-tunnel maar ik kom hier nog niet uit.
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
| Building configuration... : Saved : PIX Version 6.3(5) interface ethernet0 auto interface ethernet1 auto nameif ethernet0 outside security0 nameif ethernet1 inside security100 enable password ****** encrypted passwd ****** encrypted hostname pixfirewall domain-name domeinnaam.local fixup protocol dns maximum-length 512 fixup protocol ftp 21 fixup protocol h323 h225 1720 fixup protocol h323 ras 1718-1719 fixup protocol http 80 fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol sip 5060 fixup protocol sip udp 5060 fixup protocol skinny 2000 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol tftp 69 names name 192.168.5.2 SRV02 access-list outside_access_in permit tcp any interface outside eq smtp access-list 100 permit ip 192.168.5.0 255.255.255.0 192.168.1.0 255.255.255.0 access-list 100 permit ip 192.168.5.0 255.255.255.0 192.168.2.0 255.255.255.0 access-list 110 permit ip 192.168.5.0 255.255.255.0 192.168.1.0 255.255.255.0 pager lines 24 mtu outside 1500 mtu inside 1500 ip address outside externIP 255.255.255.0 ip address inside 192.168.5.230 255.255.255.0 ip audit info action alarm ip audit attack action alarm ip local pool dhcpvpn 192.168.2.1-192.168.2.25 pdm location 192.168.1.0 255.255.255.0 inside pdm location 0.0.0.0 255.255.255.255 outside pdm location 192.168.5.55 255.255.255.255 inside pdm location SRV02 255.255.255.255 inside pdm location 192.168.5.57 255.255.255.255 inside pdm location 192.168.1.0 255.255.255.0 outside pdm location 192.168.2.0 255.255.255.0 outside pdm location 192.168.5.0 255.255.255.0 outside pdm logging informational 100 pdm history enable arp timeout 14400 global (outside) 1 interface nat (inside) 0 access-list 100 nat (inside) 1 192.168.5.0 255.255.255.0 0 0 static (inside,outside) tcp interface smtp SRV02 smtp netmask 255.255.255.255 0 0 access-group outside_access_in in interface outside route outside 0.0.0.0 0.0.0.0 gatewayADSL 1 timeout xlate 0:05:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout sip-disconnect 0:02:00 sip-invite 0:03:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server TACACS+ max-failed-attempts 3 aaa-server TACACS+ deadtime 10 aaa-server RADIUS protocol radius aaa-server RADIUS max-failed-attempts 3 aaa-server RADIUS deadtime 10 aaa-server LOCAL protocol local http server enable http 192.168.1.0 255.255.255.0 inside http 192.168.5.0 255.255.255.0 inside no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps floodguard enable sysopt connection permit-ipsec crypto ipsec transform-set myset esp-3des esp-md5-hmac crypto dynamic-map dynmap 30 set transform-set myset crypto map newmap 10 ipsec-isakmp crypto map newmap 10 match address 110 crypto map newmap 10 set peer externIPvestiging2 crypto map newmap 10 set transform-set myset crypto map newmap 20 ipsec-isakmp dynamic dynmap crypto map newmap interface outside isakmp enable outside isakmp key ******** address externIPvestiging2 netmask 255.255.255.255 no-xauth no-config-mode isakmp identity address isakmp policy 10 authentication pre-share isakmp policy 10 encryption 3des isakmp policy 10 hash md5 isakmp policy 10 group 2 isakmp policy 10 lifetime 86400 vpngroup vpn3000 address-pool dhcpvpn vpngroup vpn3000 dns-server 192.168.5.1 vpngroup vpn3000 wins-server 192.168.5.1 vpngroup vpn3000 default-domain domeinnaam.local vpngroup vpn3000 idle-time 1800 vpngroup vpn3000 password ******** telnet 192.168.5.57 255.255.255.255 inside telnet timeout 15 ssh timeout 5 console timeout 0 dhcpd lease 3600 dhcpd ping_timeout 750 dhcpd auto_config outside terminal width 80 Cryptochecksum:b0ffd325efde7ef82a3002cbf526ca19 : end [OK] |
"640K ought to be enough for anybody." Bill Gates, 1981
:strip_icc():strip_exif()/u/33428/image.jpg?f=community)
