Cisco Pix IPSEC site-to-site met Telenet (be)

Hallo,

ik heb hier een Telenet lijn en bij mijn ouders een Scarlet lijn. Nu wil ik een IPSEC VPN gaan bouwen tussen de 2 sites. Ik heb al 1 cisco Pix 501. Nu wil ik dus een 2de gaan aankopen voor dit doel MAAR vooralleer ik deze kosten doe moet ik wel weten of Telenet ipsec doorlaat op zijn default poort. Dit omdat ik op de cisco docu heb gezien dat de pix enkel op de default IPSEC poort kan werken. (UDP port 500).

aangezien Telenet poorten onder de 1024 blocked vroeg ik me af of hier iemand ervaring mee heeft ? Want ik hoorde (niet geconfirmeerd) dat deze poort wel open zou staan omwille van de VPN clients die op het Telenet netwerk moeten werken.

Dus : iemand ervaring / technische details ?

Goed plan

Ik ben eigenlijk wel aan't twijfelen over poort 500 ... kan iemand dit bevestigen ? (dus : default IPSEC poort, IKE of andere authentication types)

Ok :

Poort 500 staat dus toe ... wat zijn mijn alternatieven ? Kan ik het misschien toch op een andere poort gooien TCP-IPSEC ? Van Telenet naar Scarlet werken ?

[/quote]
Disabling IKE

To disable IKE, you must make these concessions at the peers:

•All the IPSec security associations are manually specified in the crypto maps at all peers.

•IPSec security associations will never time out for a given IPSec session.

•The encryption keys never change during IPSec sessions between peers.

•Anti-replay services will not be available between the peers.

•CA support cannot be used.

To disable IKE, use the following command:

no crypto isakmp enable interface-name

[quote]

Mmh ....

[ Voor 79% gewijzigd door Dieter op 09-02-2008 19:04 . Reden: Test gedaan :( ]

Niemand een antwoord hierop ?

Ondertussen weet ik het volgende :

IPSEC kan gebruik maken van IKE om scalable te zijn en keys uit te wisselen. Dit is geen vereiste. Met andere woorden ik heb geen IKE nodig in dit verhaal (UDP/500).

Wat ik WEL nodig heb (denk ik) is AH of ESP, protocol 50 en 51.

Volgens mij is bij Telenet dus enkel PPTP of SSL VPN een oplossing. De laatste kan de PIX 501 niet, en met een PPTP ben ik niet zeker of deze nu wel of niet site-to-site ondersteund...

[ Voor 23% gewijzigd door Dieter op 10-02-2008 16:12 ]

Voor degenen dat het mocht interesseren en die er ooit op zoeken.
Ik heb een SCARLET to TELENET ipsec tunnel opgebouwd. Op veel fora werd gezegd dat dit NIET mogelijk was met Telenet, maar het tegendeel is dus waar. Het werkt perfect.

Kan ook niet anders, want indien ze poorten voor IKE AH of ESP zouden blokkeren werkt de VPN client voor naar het kantoor te verbinden ook niet. Het heeft wat moeite gekost, maar uiteindelijk is het dan toch gelukt.

Ter info : PIX op Telenet site accepteert dynamische IPSEC-Tunnels (andere kant heeft dynamisch IP). Langs scarlet kant zorgt een vigor 2200E voor de opbouw van de IPSEC-Tunnel.

aaah! Jij ook hier
inderdaad met foefelen geraakt men ver

[ Voor 7% gewijzigd door Dieter op 02-03-2008 17:12 ]

Verwijderd schreef op donderdag 26 maart 2009 @ 09:20:
Zou het ook werken van Telenet naar Scarlet ?

Mijn verhaal ging over Telenet <> Scarlet IPSEC.
Het werkt dus wel degelijk :-)

En ik heb geen zakelijke Telenet verbinding.

Hey Stany,

ik neem aan dat je gewoon een IPSEC tunnel probeert op te zetten ? Want dat is wat ik heb opgezet.
Let op het gaat hier over UDP 500 en UDP 4500. Deze poorten moeten gewoon open staan, anders (in 2 richtingen) anders kunnen er geen IPSEC tunnels over de provider heen lopen. Eigenlijk is het gewoon een basis IPSEC tunnel config, in mijn geval op een Cisco router en PIX.

Belgacom heeft 80, 443 en 23 toegezet omdat er een exploit bestaat voor hun BBOX. Simpel gezegd kan een hacker via deze poorten het wachtwoord van de skynet verbinding achterhalen (herinner je de hacker die tegen de downloadlimieten was, dit heeft er wellicht iets mee te maken).

PM me desnoods eens over de producten die je gebruikt.