Toon posts:

[Cisco Pix] VPN restricten op connects naar inbound hosts

Pagina: 1
Acties:

donderdag 14 december 2006 20:53

Acties:

Verwijderd

Topicstarter
Ik ben vrolijk met ijn pix aan het spelen en kom al wat verder dan eerder, ik werk trouwens met een Cisco VPN client.

Ik heb het nu voor elkaar dat inbound hosts naar internet kunnen communiceren op iedere mogelijk manier met PAT :)

Hetgeen dat niet lukken wil is een VPN client restricten op een bepaalde host waar hij kan op connecten.

Ik heb bijvoorbeeld een vpn-group met een IP-pool die van 192.168.10.51 - 192.168.10.55 toegewezen kan krijgen wanneer deze connect.

Op de groep is Split-tunneling ge-enabled zodat ik lokaal mijn netwerk kan blijven gebruiken en tevens remote gewoon dingen kan doen. Lokaal draai ik 192.168.1.0.

OK, de plittunneling gaat wel uit, maar het is nu wel even makkelijk.

OK, ik heb bij de Splittunneling handmatig een netwerk aangeven dan gesplit moet worden, dit gaat om 192.168.10.0 en subnet 255.255.255.255. OK, so far so good maar in dit geval kan het hele netwerk benaderd worden door de geconnecte VPN-client en dat wil ik niet dus hier ga ik later nog even op in.

Ik kan achter de firewall van host naar host pingen zonder problemen, ook het interne adres van de firewall kan ik pingen. Eigenlijk wil ik dat iedere host alleen naar een bepaalde VPN kan pingen en connecten en deze zelfde VPN(pool) naar deze ene bepaalde host en dat lukt me nu niet meer, dit werkte eerder wel, en komt volgens mij door de access-list en access-group die ik voor de interne hosts naar internet heb gemaakt:

code:
1
2
3

access-list ping_acl permit ip any any
access-group ping_acl in interface outside
global(outside) 1 interface


Om dit deels al voor elkaar te kunnen krijgen heb ik als split-netwerk 192.168.10.48 met als subnet 255.255.255.248 opgegeven, een 192.168.10.48/29 dus.

Het lijkt me dat je dan alleen met deze 5 adressen op deze VPN-connectie kan communiceren, hoewel... ik weet dat ik hier flink naast zit.

Wat mijn doel is om de adrespool die hierboven staat van 5 adressen, dit is dus een aparte VPN-group alleen te laten communiceren op iedere mogelijke manier met IP 192.168.10.10 en 192.168.10.10 alleen met de VPN.

De inbound hosts moeten dus intern niet met elkaar kunnen communiceren, maar wel naar buiten het internet op kunnen, waarom, ik wil wel updates kunnen doen via http/ftp en tracerouten en pingen enzo.

Het restricten van VPN connecties naar inbound hosts moet mogelijk zijn vanaf PIX 6.1(2) maar dit lijkt me eerder ook wel mogelijk, ik draai een latere versie truuwens. Ik zie bij Cisco zelf hier weinig over en kwam op google maar 2 news-posts tegen die om hetzelfde vragen en waar ik niet echt duidelijkheid uit kan halen.

Ik was het eigenlijk een beetje zat na 1-2 dagen zoeken en proberen :)

donderdag 14 december 2006 21:03

Acties:

Verwijderd

Ik heb op mijn 515E het volgende (mbt tot het VPN gebeuren).
Weet niet of je er iets aan hebt, want de VPN-ers kunnen bij het gehele netwerk.
Dit kun je natuurlijk wel limiteren door danwel het subnet aan te passen of de IP's los toe tevoegen aan de access-list/object groep

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26

PIX Version 6.3(5)

object-group network VPNsubnet 
  network-object 192.168.100.0 255.255.255.0 

access-list acl-in permit ip 192.168.1.0 255.255.254.0 192.168.100.0 255.255.255.0 
access-list acl-in permit ip 192.168.1.0 255.255.254.0 object-group VPNsubnet
access-list VPNLIST permit ip 192.168.1.0 255.255.254.0 192.168.100.0 255.255.255.0 
access-list nonat permit ip 192.168.1.0 255.255.254.0 object-group VPNsubnet

ip local pool dealer 192.168.100.1-192.168.100.254

vpngroup remoteVPN address-pool dealer
vpngroup remoteVPN split-tunnel VPNLIST
vpngroup remoteVPN idle-time 1800
vpngroup remoteVPN password <password>

aaa-server TACACS+ protocol tacacs+ 
aaa-server TACACS+ max-failed-attempts 3 
aaa-server TACACS+ deadtime 10 
aaa-server RADIUS protocol radius 
aaa-server RADIUS max-failed-attempts 3 
aaa-server RADIUS deadtime 10 
aaa-server RADIUS (inside) host 192.168.1.99 <password> timeout 10
aaa-server LOCAL protocol local 
aaa authentication include https outside 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 RADIUS

[ Voor 6% gewijzigd door Verwijderd op 14-12-2006 21:05 ]

donderdag 14 december 2006 22:32

Acties:

Verwijderd

Topicstarter
Ik moet hier eens goed naar kijken, maar je kunt deze regel toch aanpassen ?

access-list acl-in permit ip 192.168.1.0 255.255.254.0 192.168.100.0 255.255.255.0

in:

access-list acl-in permit ip 192.168.1.48 255.255.255.248 host 192.168.10.10 255.255.255.255

(of zoiets)

vrijdag 15 december 2006 02:48

Acties:

Verwijderd

Topicstarter
Update:

Ik heb de Pix even leeg gemaakt en gewoon default zaken aangemaakt als default route naar buiten en allowed traffic naar buiten vanaf de hosts.

OK, dat werkt, vpn aangemaakt, werkt ook en ik kan nu via de VPN pingen, van host naar host, en van een host naar een vpn-client.

Nu moet ik dus de IP's uit de vpn-pool aan een vaste host knopen en deze alleen met elkaar laten praten.

Ik kwam uit op network-objectsgroups ?

vrijdag 15 december 2006 13:33

Acties:

Verwijderd

Dit:

access-list acl-in permit ip 192.168.1.48 255.255.255.248 host 192.168.10.10 255.255.255.255

zal je pix niet accepteren.

Als je IP 192.168.1.48 toegang wil geven tot 192.168.10.10 zul je er dit van moeten maken:

access-list acl-in permit ip 192.168.10.10 255.255.255.255 192.168.1.48 255.255.255.255

Met een object group is dat nog makkelijker, maak een object group aan die bijv VPN heet en voeg daar de VPN hosts aan toe.

(Deze regels kun je bijv invoeren)
object-group network VPN
network-object 192.168.1.48 255.255.255.255

als je dan vervolgens je config bekijkt zul je zien dat je een groep erbij hebt:

object-group network VPN
network-object 192.168.1.48 255.255.255.255

deze object groep kun je dan vervolgens gebruiken in bovenstaande access-list regel:

access-list acl-in permit ip 192.168.10.10 255.255.255.255 object-group vpn

Dan hoef je dus enkel IP's toe te voegen aan je object-group en niet per IP een access-list regel toe te voegen.

[ Voor 53% gewijzigd door Verwijderd op 15-12-2006 13:41 ]

vrijdag 15 december 2006 14:53

Acties:

Verwijderd

Topicstarter
Verwijderd schreef op vrijdag 15 december 2006 @ 13:33:
Dit:

access-list acl-in permit ip 192.168.1.48 255.255.255.248 host 192.168.10.10 255.255.255.255

zal je pix niet accepteren.

Als je IP 192.168.1.48 toegang wil geven tot 192.168.10.10 zul je er dit van moeten maken:

access-list acl-in permit ip 192.168.10.10 255.255.255.255 192.168.1.48 255.255.255.255
192.168.1.48 255.255.255.248 ziet de PDM als een 192.168.10.48/29 wat weer 192.168.10.51 - 192.168.10.55 zou moeten zijn.

Die groups lijken me aantrekkelijk, is het echter niet zo dat ik dat geval bij voorbaat alle communicatie aan de inbound-kant op 192.168.10.0 moet deny-en ?

woensdag 20 december 2006 22:01

Acties:

Verwijderd

Topicstarter
Ik krijg het toch niet goed voor elkaar na dagen proberen.

Ik vind mijn VPN-verbinding trouwens echt slecht, want deze ligt er meestal na 3 minuten weer uit. Mijn KDE-client-reconnect wel weer maar soms kan ik ook helemaal niet meer connecten. Het ligt aan mijn provider denk ik, ik heb het vanaf een andere locatie geprobeerd en deze bleef gewoon open staan, dit was wel een PPTP, die lijk sowiezo al stabieler te zijn.

Wanneer ik een VPN heb kan ik met bepaalde adressen uit de pool 192.168.1.51 - 55 soms niets intern pingen. Het gebruik van een Cisco of Linux client maakt gewoon niet uit.

Als ik ze in de object-group hang maakt dit ook niet uit, het lijkt wel een raadsel.

Ik kan sowiezo de PIX intern niet pingen, dat is opzich goed, waarom weet ik niet, de server lukt wel maar ook van IP's die niet in de object-group staan.

Ik wil niet direct mijn config posten, dit vind ik wat te makkelijk, maar een kleine goede simpele setup die zou moeten werken lijkt me wel handig, ik kan dan toch eens vergelijken wat ik fout doe.

Ik kan gewoon voor een 3DES-SHA encryptie gaan ? je verbinding hacken zal niet snel gebeuren, de security freaks zullen wel anders beweren denk ik.

edit:


De verbinding blijft toch goed open met filestransfers, maar hierna is de pret snel over.

Ik ken het 30-minutenprobleem, maar dit is toch echt 3 minuten :?

[ Voor 7% gewijzigd door Verwijderd op 20-12-2006 23:15 ]

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026