Cisco pix VPN

Je kan op je pix split tunneling aanzetten.
Normaal gesproken wordt al het verkeer door de tunnel gerouteerd. Echter omdat een PIX niet kan routeren over hetzelfde interface, kan je het internet niet op.

Verwijderd schreef op dinsdag 16 januari 2007 @ 15:35:
[...]


uuhm, split tunneling? geen idee, ik kan de optie ook niet vinden in de PDM.

Split tunneling wil zeggen dat je een deel (wat naar je corporate LAN gaat) door de VPN stuurt en het andere verkeer (lokaal + internet ...) niet langs de tunnel gaat.

Als jij de VPN start gaat alles door de VPN tunnel en als je dan internet toegang zou willen hebben moet je eigenlijk via je corporate LAN gaan (via je proxy bv).

Het is je VPN client die dat zal afhandelen (die zal namelijk dan enkel routes toevoegen naar je corporate LAN ipv de default gateway naar de tunnel te zetten.

Ik ben niet bekend met hoe je dat op een cisco PIX doet, maar je moet wellicht het volgende doen:
De functie activeren en aangeven welke subnetten je bereikbaar wil maken (dit is meestal onafhankelijk van je FW rules).

Het is juist een goede eigenschap van een VPN tunnel dat overige toegang (dus internet) er niet 'naast' kan. Stel jouw PC thuis is gehackt, dan kan iemand van buiten via jouw PC het bedrijfsnetwerk in. Niet zo handig.

De Cisco VPN Client software kan je wel zo instellen dat je 'lokale' LAN segment nog wel zichtbaar is, maar je niet over een router kunt hoppen. Dan kun je dus thuis wel je netwerkprintertje benaderen, maar niet meer het internet. Dat doe je dan via je VPN verbinding.

Als ik een VPN zou moeten opzetten voor een bedrijf zou ik vanuit security oogpunt een split tunnel compleet vergeten. Een VPN tunnel is een verlengstukje van je bedrijfsnetwerk, en dat verlengstukje wil je zo veilig mogelijk houden.


Suc6

Ik ga er even vanuit dat de PIX501 inderdaad ook het internetverkeer verzorgt en dan loop je inderdaad aan tegen het feit dat een PIX501 geen verkeer ondersteund wat naar binnen komt en weer naar buiten moet over hetzelfde interface (Naar binnen door de tunnel vanuit je huis, naar buiten het internet op). Dit kan pas vanaf PIX OS 7.0 en die draait niet op een 501.

Wat je dus wilt als je wilt kunnen internetten en VPNnen (al is dat echt niet veilig en wil je dit dus eigenlijk zeker niet) is inderdaad een split tunnel. Dat wil zeggen dat het verkeer voor je kantoor de tunnel ingaat vanuit thuis en het inetrnet verkeer gaat buiten de tunnel om. Dit zul je dan op je VPN client moeten instellen (ik neem aan dat je een cisco client gebruikt oid).

[ Voor 3% gewijzigd door bazkar op 16-01-2007 17:05 ]

[knip]

Modbreak:

Als je niets te melden hebt blijf dan weg..

[ Voor 81% gewijzigd door Equator op 17-01-2007 12:16 ]

Verwijderd schreef op woensdag 17 januari 2007 @ 08:59:
[...]

Hey, Dat klinkt inderdaad logisch. Ik gebruik echter gewoon een Microsoft Windows VPN-ppp inbelverbinding thuis en geen cisco VPN client, maakt dit wat uit?

Ik ken helaas niet alle VPN client oplossingen uit mijn hoofd, maar wat je in ieder geval kunt kijken is of de routing tabel van je machine aangepast wordt door de VPN client en waar nodig die route tabel zelf terug aanpassen zodat je internetverkeer direct over je eigen internetverbinding routeert en niet de tunnel instuurt.

Kijk even welke routes er aangemaakt worden met een route print en voeg vervolgens een 0.0.0.0 route toe naar je 'normale' default gateway. Die zal nu naar je tunnel gateway staan als je verbinding opgebouwd is.

bazkar schreef op dinsdag 16 januari 2007 @ 17:05:
Ik ga er even vanuit dat de PIX501 inderdaad ook het internetverkeer verzorgt en dan loop je inderdaad aan tegen het feit dat een PIX501 geen verkeer ondersteund wat naar binnen komt en weer naar buiten moet over hetzelfde interface (Naar binnen door de tunnel vanuit je huis, naar buiten het internet op). Dit kan pas vanaf PIX OS 7.0 en die draait niet op een 501.

Wat je dus wilt als je wilt kunnen internetten en VPNnen (al is dat echt niet veilig en wil je dit dus eigenlijk zeker niet) is inderdaad een split tunnel. Dat wil zeggen dat het verkeer voor je kantoor de tunnel ingaat vanuit thuis en het inetrnet verkeer gaat buiten de tunnel om. Dit zul je dan op je VPN client moeten instellen (ik neem aan dat je een cisco client gebruikt oid).

Je hebt natuurlijk gelijk daarin, maar niet alle situaties zijn dezelfde.

Ik gebruik zelf ook geen split-tunneling voor 95% van de remote users, maar voor sommige wel.
Dat zijn namelijk externe partners welke consulaties doen op een beveiligd systeem bij ons gedurende de dag door. Die kunnen natuurlijk niet 100 keer per dag een VPN connectie starten en stoppen.

Er zijn situaties waarin split-VPN wel gerechtvaardigd is. Het hangt er vanaf wat je je juist toegangkelijk maakt. Is dat een remote user die aan de volledige serverfarm kan, dan is dat wellicht minder handig. ;-)

Gebruik je een speciale VPN client die geconfigureerd wordt vanaf de VPN server, dan kan je ook de remote VPN gebruiker beveiligen (bv alles dichtzetten inbound op de VPN client pc). Op het moment dat die verbinding maakt kan er dan niets of niemand doorhoppen.

Maar split-vpn of niet, als je de remote users volledige toegang geeft, dan open je wel nog altijd de deur voor worms/virussen die reeds aanwezig zijn op de host als die verbinding maakt.
In sommige (zeker te vermijden gevallen) kunnen dan zelfs pc's zijn die niet onder jouw beheer vallen.
Vandaar dat veel fabrikanten al security checks inbouwen om de vpn client pc na te kijken (anti-virus actief, FW actief enz ...).

HTT-Thalan schreef op dinsdag 16 januari 2007 @ 17:06:
Je kan het ook aan Cisco vragen... maar dan moet je eerst even een Contractje van 4 nullen voor de komma tekenen

Ik denk niet dat jouw opmerking veel toevoegd aan dit topic.

Verwijderd schreef op woensdag 17 januari 2007 @ 08:59:
[...]

Hey, Dat klinkt inderdaad logisch. Ik gebruik echter gewoon een Microsoft Windows VPN-ppp inbelverbinding thuis en geen cisco VPN client, maakt dit wat uit?

Ik hoop dat je wel L2TP/IPSEC gebruikt en geen PPTP (in te stellen in de properties).

Je zou wel beter de Cisco VPN client gebruiken, aangezien die wellicht beter te managen valt.

Wanneer je gewoon de Windows VPN client gebruikt, zou je de volgende instelling eens kunnen controleren: Ga naar de Properties van de betreffende VPN client > tabje Networking > dubbelklik Internet Protocol (TCP/IP) > tabje Advanced > en onder het tabje General zie je dan "Use default gateway on remote network". Wanneer je deze aanvinkt zal ook je internetverkeer over de VPN verbinding gaan, de VPN server geldt hierbij als gateway. Misschien dat dit je probleem al oplost.

juiced schreef op woensdag 17 januari 2007 @ 10:36:
Wanneer je gewoon de Windows VPN client gebruikt, zou je de volgende instelling eens kunnen controleren: Ga naar de Properties van de betreffende VPN client > tabje Networking > dubbelklik Internet Protocol (TCP/IP) > tabje Advanced > en onder het tabje General zie je dan "Use default gateway on remote network". Wanneer je deze aanvinkt zal ook je internetverkeer over de VPN verbinding gaan, de VPN server geldt hierbij als gateway. Misschien dat dit je probleem al oplost.

Het ligt er daarnaast maar net aan of je via de VPN internet wil hebben of dat je het internet lokaal wil blijven gebruiken......

Indien lokaal dan zal je je verbinding moeten bruggen, dan is het simpel opgelost. Maar wil je via je VPN internet hebben op je remote, dan zal je de gateways goed moeten instellen, en dat is precies wat juiced hierboven vermeld

Die tip van juiced moet werken, werkt voor mij in ieder geval altijd prima (als je niet de Cisco VPN Client gebruikt) ...