[CISCO PIX] Simpele VPN zonder Authentication server - Netwerken

zondag 19 november 2006 20:40

Acties:

Verwijderd

Topicstarter

Ik ben blij

met mijn PIX, en wat is er leuker dan een VPN op te bouwen met het ding.

Cisco heeft hele goede manuals heb ik gezien en hier kan heel veel informatie uithalen, maar een VPN opzetten gaat wat moeilijker.

De situatie is

INTERNET - PIX - SERVER

De PIX heeft een exter adres dat we even 123.123.123.123 zullen noemen. Intern heetf het apparaat een adres 192.168.1.10 en de server een adres 192.168.1.20

HIer staat gewoon een Linux-server achter waar ik bestanden op weg wil kunnen zetten per gebruiker in een eigen map. Het leek me handig dit via VPN te doen zodat ik shares kan maken (hoop ik dan)

Aan de hand van de gebruiksaanwijzingen van Cisco kan je wel een VPN authenticatie opzetten aan de hand van een Certificaat, hier is alleen een CA-server voor nodig, en met behulp van een Radius-server.

Beide zijn wel leuk, ik zou het alleen graag zonder willen doen. Als ik er de mogelijkheid voor heb zou ik de RSA-key variant nog wel eens willen proberen.

Zover ben ik hier dus aan het lezen: http://www.cisco.com/en/U...0080172787.html#wp1053259

Tot nu zonder al teveel succes en zou ik graag willen weten hoe ik simpel een VPN-connectie op kan zetten.

Vragen zijn:

- Moet ik een lokaal IP van achter de PIX aannemen ?
- Kan hier dan ook de Cisco Client en/of Windows VPN client voor gebruikt worden
- Wat zijn de voordelen van Authenticatie met een CA-server ?
- Is RSA makkelijk en goedkoop toe te passen, of kom ik ver genoeg met een gebruikersnaam en wachtwoord en connectie fileteren op IP van de geconnecte persoon ?

zondag 19 november 2006 21:59

Acties:

Bl@ckbird

Overzicht van een aantal veel voorkomende configuraties:
http://www.cisco.com/en/U...ration_examples_list.html

Configuration Guides staan hier:
http://www.cisco.com/en/U...guration_guides_list.html

Wat jij wil opzetten is een Remote Access situatie (Meerdere users loggen in op één PIX.)
Cisco gebruikt hiervoor IPSec. (SSL VPN is ook een optie, maar dat ondersteund jouw PIX/software niet.) Als client kun je de Cisco VPN client gebruiken, of een andere IPSec client. (Windows doet PPTP.) Overige clients worden officieel niet ondersteund, vandaar dat je ze niet ziet in de documentatie van Cisco.

Remote Access VPN heeft 2 smaken: Het oude vertrouwde Remote Access VPN en Cisco Easy VPN. Bij Remote Access VPN moet je een configuratie maken op de PIX en client, bij Easy VPN wordt een belangrijk deel van de configuratie gepushed vanuit de PIX naar de clients. Als je een Cisco VPN client gebruikt kun je voor Easy VPN kiezen. (Easy VPN is een Cisco "ding") Gebruik je een andere IPSec client, dan kan je voor de klassieke methode gaan.

Voor de authenticatie van je VPN tunnel heb je de keuze uit:
Pre-shared key - Een wachtwoord wat op de PIX en client bekent is.

Authenticatie server - Zoals RADIUS (Cisco ACS / freeradius) MS Active Directory of de lokale authenticatie server op de PIX zelf.

Digitale certificaten - Met een Certificate Authority (CA) maak je een root certificaat. Met dit certificaat signeer je alle overige certificaten die je uitschrijft. Dit kan je evt. gebruiken in combinatie met smartcard tokens.

Pre-shared key is voor jouw je makkelijkste oplossing om het in eerste instantie werkend te krijgen.
Let op dat je met het zoeken naar info software release 6.3 of lager aanhoud.
(Aangezien we al op 7.2 zitten.)

~ Voordelig Zelf Vliegen? ~ Sent using RFC 1149. Note: No animals were harmed during this data transfer. ~

zondag 19 november 2006 22:03

Acties:

Herby

Stalknecht

Een windows client kan wel degelijk omgaan met IPsec VPN's mits het een pre shared key betrefd

In eerste instantie maak je hem aan als PPTP verbinding maar in de eigenschappen kun je nog het 1 en ander meegeven.

Compromis? Hoezo heb ik het mis dan?! | Geluk = gelul met een K | з=(•̪●)=ε

maandag 20 november 2006 11:27

Acties:

Verwijderd

Topicstarter

Dank je Bl@ckBird !

Ik was hier zelf ook al aan de lees, maar zoch toch een manier om wat meer duidelijkheid te krijgen. Ik heb PDM van Cisco geinstalleerd gisteravond en had zo een werkende VPN zonder problemen.

Ik zit nu op een 384 MB mem met het apparaat en een PII350. Ik denk dat ik dat opschroef naar 512MB en een 500 of 850Mhz Processor.

Lijkt me geen overbodige luxe voor VPN's.

maandag 20 november 2006 12:08

Acties:

Bl@ckbird

Graag gedaan.
( En Windows XP doet idd. L2TP / IPSec.)

~ Voordelig Zelf Vliegen? ~ Sent using RFC 1149. Note: No animals were harmed during this data transfer. ~

maandag 20 november 2006 13:17

Acties:

Verwijderd

Topicstarter

Wat is trouwens een essentieel verschil na de 6.3(5) tov de 7.x varianten ?

Ik heb het idee dat het zeker een Hardware issue is, daar is wat veranders, maar waarom zou 7.x niet meer op een PIX520 kunnen draaien ? Toch de hardware ?

maandag 20 november 2006 15:46

Acties:

Bl@ckbird

De PIX 520 wordt al sinds 2001 niet meer verkocht en is opgevolgd door de PIX525.
De hardware is te oud en na een bepaalde periode stopt de ondersteuning gewoon.

Zie de EoS van de PIX 520:
http://www.cisco.com/en/U.../products_eol_models.html

Inmiddels bestaat de PIX serie ook al redelijk lang en is inmiddels opgevolgd door de ASA5500.
De PIX zal op termijn verdwijnen. (Dat zie je nu al, omdat Software release 7.0 en hoger,
niet verkrijgbaar is voor de PIX501 en 506E.)

Voor een overzicht van de verschillen tussen alle versies van PIX/ASA OS, zie de Release Notes:
http://www.cisco.com/en/U...d_release_notes_list.html

~ Voordelig Zelf Vliegen? ~ Sent using RFC 1149. Note: No animals were harmed during this data transfer. ~

maandag 20 november 2006 16:05

Acties:

Verwijderd

Topicstarter

Ik had hetzelfde begrepen, bedankt voor de verificatie.

Een 520 is redelijk op leeftijd, maar kan nog prima mee als je het mij vraagt. Ik heb eens zo'n ding moeten vervangen door een 525 een jaar of 3 geleden, config hoede ik verder weinig aan te doen, was al gedaan gelukkig.

Redelijk prijsverschil namelijk