Pix 501: wel VPN, geen internet; - Netwerken

dinsdag 20 november 2007 21:20

Acties:

Topicstarter

Situatie schets:
internet = router (transparant) = Cisco Pix 501 = intern netwerk

Probleem: De pix staat ingesteld als een VPN server. Clients kunnen hierna connecten op zijn outside ip. Met de juiste credentials krijg je ook nog verbinding, dit werkt. Alleen als je geconnect bent dan kun je alleen maar het interne netwerk benaderen maw je kan dan niet meer op internet komen. Op het interne netwerk bevindt zich een DNS server, op naam pingen van client in het netwerk dit werkt gewoon naar behoren.

IP gegevens:
outside pix: dhcp enabled, ip adres krijgt hij van de hosting.
inside pix: 176.12.0.1/24
vpn pool: 176.12.1.1-176.12.1.10

Pix configuratie:

code:

PIX Version 6.3(4)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password *password* encrypted
passwd *password* encrypted
hostname pix01
names
access-list outside_access_in permit icmp any any
access-list inside_access_out permit ip any any
access-list inside_outbound_nat0_acl permit ip any 176.12.1.0 255.255.255.224
access-list outside_cryptomap_dyn_20 permit ip any 176.12.1.0 255.255.255.224
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside dhcp setroute
ip address inside 176.12.0.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
ip local pool VPN_DHCP_POOL 176.12.1.1-176.12.1.20
pdm location 176.12.0.0 255.255.255.0 inside
pdm location 176.12.1.0 255.255.255.0 inside
pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list inside_outbound_nat0_acl
nat (inside) 1 176.12.0.0 255.255.255.0 0 0
nat (inside) 0 176.12.1.0 255.255.255.0 0 0
access-group outside_access_in in interface outside
access-group inside_access_out in interface inside
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 176.12.0.0 255.255.255.0 inside
floodguard enable
sysopt connection permit-ipsec
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto dynamic-map outside_dyn_map 20 match address outside_cryptomap_dyn_20
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-MD5
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map client authentication LOCAL
crypto map outside_map interface outside
isakmp enable outside
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption 3des
isakmp policy 20 hash md5
isakmp policy 20 group 2
isakmp policy 20 lifetime 86400
vpngroup VpnAccess address-pool VPN_DHCP_POOL
vpngroup VpnAccess dns-server 176.12.0.10
vpngroup VpnAccess default-domain *domeinnaam*
vpngroup VpnAccess idle-time 1800
vpngroup VpnAccess password ********
telnet 176.12.0.0 255.255.255.0 inside
telnet timeout 5
console timeout 0
dhcpd auto_config outside
username testing password *password* encrypted privilege 15
terminal width 80

Wat heb ik gedaan:
- google gebruikt, als ik zoek op "vpn no internet pix 501" krijg ik te veel hits.
- Cisco handleiding gebruikt: http://www.cisco.com/en/U...uration/guide/overvw.html

Ik denk zelf dat het 1 dingetje wijzigen is in een access-list, maar de code heb ik volgens mij iets te vaak gelezen, dat ik het simpelweg niet zie.

while ( !$succeed ) { $try++ }

dinsdag 20 november 2007 21:23

Acties:

martijnn

Zoek even naar split tunneling.

dinsdag 20 november 2007 21:28

Acties:

Mikey!

Voeg het volgende eens toe

code:

1	vpngroup VpnAccess split-tunnel inside_outbound_nat0_acl

dinsdag 20 november 2007 21:34

Acties:

Bas_je

Topicstarter

Mikey! schreef op dinsdag 20 november 2007 @ 21:28:
Voeg het volgende eens toe
code:
1
vpngroup VpnAccess split-tunnel inside_outbound_nat0_acl

Ik heb de betreffende regel erbij gezet, een reload uitgevoerd op de pix, maar helaas, nog niet het gewenste resultaat.

while ( !$succeed ) { $try++ }

dinsdag 20 november 2007 21:44

Acties:

CherandarGuard

Niet helemaal waar je om vraagt, maar naar mijn idee wel relevant: wij hadden nagenoeg dezelfde inrichting en hebben de PIX vervangen door een machine (mag een behoorlijk lichte zijn) die IPCop draait. Als je daar de Zerina addon op installeert kun host-to-net VPN gebruiken, net-to-net zit er standaard al in.

woensdag 21 november 2007 16:11

Acties:

Mikey!

Bas_je schreef op dinsdag 20 november 2007 @ 21:34:
[...]

Ik heb de betreffende regel erbij gezet, een reload uitgevoerd op de pix, maar helaas, nog niet het gewenste resultaat.

Je nonat-access-list was niet helemaal wat ik gewend ben

Probeer dit eens:

code:

1
2
3

access-list splittunnel permit ip 172.16.0.0 255.255.255.0 176.12.1.0 255.255.255.224
no vpngroup VpnAccess split-tunnel inside_outbound_nat0_acl
vpngroup VpnAccess split-tunnel splittunnel

woensdag 21 november 2007 19:13

Acties:

Bas_je

Topicstarter

En dit werkt inderdaad, Thnx.

while ( !$succeed ) { $try++ }

woensdag 21 november 2007 21:28

Acties:

Mikey!

Bas_je schreef op woensdag 21 november 2007 @ 19:13:
En dit werkt inderdaad, Thnx.

Graag gedaan

Je kan het beste je nonat access-list op dezelfde manier configureren, dat maakt de configuratie makkelijker te temmen!