cisco pix 501 en 836 adsl router - Serversoftware en clouddiensten

maandag 22 november 2004 20:30

Acties:

Topicstarter

oke, ben er nu al een paar dagen aan het zoeken en testen, maar het lukt me niet.
Ik heb hier een cisco 836 adsl router/modem. Dit werkt prima.

Nu wil ik een vpn sessie naar deze locatie opzetten, maar aangezien de 836 niet als vpn server kan dienen is er een px 501 gekomen die dat wel moet kunnen.

Voordat ik begon de hele cisco site afgezocht naar een voorbeeld config voor deze combinatie, maar niks gevonden (wel 100 andere documenten die ik allemaal ook min of meer heb doorgenomen).

Ook hier op tweakers wel veel info over de pix maar niet over de combinatie.

Ik heb het gevoel dat ik een essentieel stukje kennis mis om dit werkend te krijgen.

Wat heb ik.

Een werkende router, als ik deze direct op het netwerk aansluit (insideip = 192.168.1.1, outside=xxxxx via mxstream)

Een pix welke ik kan bereiken (inside ip 10.0.0.1 en outside 192.168.1.2) over het netwerk, via pdm.

De pix kan de router pingen, maar als ik een ander adres (bijv. tweakers) wil pingen dan gaat dit niet.

Heeft iemand voor mij wat tips waar ik naar kan kijken?

maandag 22 november 2004 21:22

Acties:

Zwelgje

en 836 kan ook vpn hoor

je moet alleen wel het juiste IOS erop hebben,

maw: die pix501 heb je voor nop gekocht... naja je kan het beste die router een default nat mapping laten maken naar het externe ip adres van je pix (de wan poort, deze geeft je dan 192.168.2.1 en als inside ip 192.168.1.1) de cisco836 krijgt dan als lan adres, 192.168.2.2 en als wan je dsl ip)

op de cisco 836 doe je dan (mits je 12.2. erop hebt als ios, op ouder als 12.2 versies kon je geen default nat mapping maken)

ip nat inside source static 192.168.2.1 extern-ip-van-je-dsl

dan mapped ie alles door naar de wan poort van je pix501, waarop je vervolgens via de wizard de boel configged

vrij simpel middels pdm eigenlijk er zit zelfs een vpn wizard in

[ Voor 5% gewijzigd door Zwelgje op 22-11-2004 21:23 ]

A wise man's life is based around fuck you

maandag 22 november 2004 22:01

Acties:

sniper20

Een Cisco 836 wordt standaard al geleverd met 3des-software en firewall-ios.
Hier heb je al genoeg aan. Met een Pix maak je het alleen maar complexer.

Je kunt het natuurlijk wel werkend krijgen door de juiste ipsec poorten naar de pix te mappen. Bijvoorbeeld :

ip nat inside source static udp <extern ip pix> 500 interface Dialer1 500
ip nat inside source static esp <extern ip pix> interface Dialer1

en dit verkeer toestaan :

access-list 101 permit esp any any
access-list 101 permit udp any any eq isakmp

maandag 22 november 2004 22:08

Acties:

Verwijderd

sniper20 schreef op maandag 22 november 2004 @ 22:01:
Je kunt het natuurlijk wel werkend krijgen door de juiste ipsec poorten naar de pix te mappen. Bijvoorbeeld :
ip nat inside source static udp <extern ip pix> 500 interface Dialer1 500
ip nat inside source static esp <extern ip pix> interface Dialer1

Omdat de Cisco836 NAT doet zal je port 4500UDP ook nodig hebben en wellicht is protocol esp dan overbodig.
Vergeet ook het NAT-T traversal vinkje in de PIX niet.

maandag 22 november 2004 22:28

Acties:

Zoppie

Topicstarter

oke, met die pix ben ik dus in de aap gelogeerd, maar voordat ik dat ding in het ronde archief opberg.

Het volgende kan dus ook met alleen een 836?
- vanuit huis een vpn opzetten met kantoor (staat de 836)

maandag 22 november 2004 22:39

Acties:

Zwelgje

Zoppie schreef op maandag 22 november 2004 @ 22:28:
oke, met die pix ben ik dus in de aap gelogeerd, maar voordat ik dat ding in het ronde archief opberg.

Het volgende kan dus ook met alleen een 836?
- vanuit huis een vpn opzetten met kantoor (staat de 836)

yup dat kan

kan met pptp of met ipsec (hangt van je ios af of je ook 3des kan met ipsec)

A wise man's life is based around fuck you

maandag 22 november 2004 22:43

Acties:

Zoppie

Topicstarter

ios is 12.3(2) XC2.

Wat moet ik doen op router om dit mogelijk te maken?

dinsdag 23 november 2004 09:47

Acties:

Verwijderd

Ik denk dat je het beste op de cisco 836 kan beginnen
om een PPTP verbinding op te zetten, misschien is het dan ook habndig om
een statefull firewall op de 836 te activeren.

zoek maar eens op vpdn , virtual-template dan komen er een heleboel
voorbeeld configs van een pptp verbinding. Op de cisco site staan veel
voorbeeldconfiguraties van de meest gangbare situaties.
en de pix, tja => www.marktplaats.nl

woensdag 29 december 2004 23:41

Acties:

Verwijderd

Je kan de 836 ook configureren als een soort van dumb adsl modem, en dan via de PIX PPPoE gaan gebruiken, zodat de pix een extern ip krijgt. Onlangs had iemand een gelijkaardig probleem en dit was de oplossing.
Hier is de config voor de modem:

interface Ethernet0
no ip address
no ip route-cache
bridge-group 1
!
interface ATM0
no ip address
no ip route-cache
no ip mroute-cache
no atm ilmi-keepalive
pvc 0 8/35
encapsulation aal5snap
!
bundle-enable
dsl operating-mode auto
bridge-group 1
hold-queue 224 in
!
bridge 1 protocol ieee

in je pix dan:

vpdn group pppoex request dialout pppoe
vpdn group pppoex localname $USER
vpdn group pppoex ppp authentication pap
vpdn username $USER password $PASSWORD

woensdag 29 december 2004 23:47

Acties:

Verwijderd

De VPN config hangt af van hoe je VPN setup op kantoor ineenzit dus aangezien ik daar niet genoeg over weet kan ik je daarbij niet meteen helpen, dit bespreek je best met je netwerkbeheerder.

Je bent zoiezo beter af met de PIX als perimeter device dan met de 836 met IOS firewall featset. Ik heb niet meteen zo'n super goede ervaringen met die featureset, we hebben zelfs een heleboel vestigingen moeten migreren van IOS firewall routers naar PIXen omdat die gewoon niet voldeed en zelfs durfde crashen, of na enkele maanden plots de snelheid terugviel op max 17k/sec op onverklaarbare wijze, waarna de router moest worden gereload.
+ Als je de featset er achteraf moet bijkopen kost het ongeveer evenveel als een low-end pix.

Helaas heeft de pix dan weer geen (E)IGRP en andere geavanceerde routing functionaliteit maar aangezien het hier om access routers ging is dat niet zo'n probleem, en bij jou gaat het maw ook geen probleem zijn me dunkt.

donderdag 30 december 2004 11:23

Acties:

recharge

Ik werd gisteren door een collega gewezen op de volgende site:

http://www.cisco.com/en/U...ration_examples_list.html

Een hele waslijst vol voorbeeld-configs op gebied van VPN/IPsec.
Wellicht interessant om te bekijken.

donderdag 30 december 2004 17:57

Acties:

teigetjuh

Zoals hierboven staat biedt de cisco-site diverse voorbeelden en goede documentatie. De 836 en 837 (over PSTN) hebben een interne hardware VPN accelerator. Hierdoor zou deze net zo goed dan wel beter vpn's moeten kunnen afhandelen als een pix501. Vanuit huis kun je inderdaad een vpn opzetten naar alleen een 836, als je dat met meerdere gebruikers wil doen kun je of extra users op de 836 aanmaken of via tacacs/radius de authenticatie/authorisatie laten lopen.

zaterdag 1 januari 2005 17:27

Acties:

Verwijderd

Ik snap jullie niet helemaal. Laat die router toch routeren, en de pix toch mooi firewalletje spelen en vpnservertje. Ik zou gaan voor een bridged configuratie op de router, en de firewall latten natten. TS mail me maar even als je hulp nodig hebt bij de configuratie van je router en je pix. Denk dus niet dat alles voor nop is geweest, een pix biedt meerdere voordelen als alleen mogelijkheden tot VPN... Het is tenslotte ook een firewall en geen simpele packet-filter zoals een router.

zondag 2 januari 2005 18:44

Acties:

Verwijderd

Verwijderd schreef op zaterdag 01 januari 2005 @ 17:27:
Ik zou gaan voor een bridged configuratie op de router, en de firewall latten natten.

En dat is dan ook exact wat die configs die ik gepost had doen. Als je je interfaces van je router (in dit geval ATM0 en E0) bridged, dan wordt er niet meer geroute he.

[ Voor 17% gewijzigd door Verwijderd op 02-01-2005 18:48 ]

maandag 3 januari 2005 18:46

Acties:

Verwijderd

Tuurlijk wordt er wel geroute....

maandag 3 januari 2005 22:26

Acties:

Verwijderd

bridge == layer 2
router == layer 3

Als je je 2 interfaces van je router bridged, dan maak je dus een bridge, ook al heet het ding nog steeds een router, er wordt niets beslist op vlak van layer 3 criteria dus men spreekt niet meer van routen. Nu is het hier een min of meer speciaal geval omdat men met een ATM en een ethernet interface zit maar toch gaat men nog niet echt spreken over routing. De PIX doet dan de routing en NAT/PAT tussen het netwerk van je ISP en je eigen netwerk. Maar basic discussies over het OSI model horen niet in dit topic.

En nu terug ontopic:
Een voordeel van de pix (over de gebridgde interfaces van de router) quasi rechtstreeks aan het internet te hangen is dat je geen IPSEC NAT traversal moet gaan gebruiken, en je dus veel minder problemen zal hebben daarmee, want IPSEC zonder NAT ertussen gaat toch nog steeds een stuk vlotter als met. De PIX501 is dan ook ontworpen om als perimeter device, dus rechtreeks aan het internet, te werken.

woensdag 12 januari 2005 17:51

Acties:

Verwijderd

En hoe denk je dat die router alles naar het internet toe gooit? Het is geen hub...

woensdag 12 januari 2005 18:48

Acties:

Verwijderd

Een werkende router.....................insideip = 192.168.1.1
Een pix welke ik kan bereiken (inside ip 10.0.0.1 en outside 192.168.1.2

Gooi is voor de gein of de pix of de router in een ander subnet..... 192.168.2.2 bijvoorbeeld.

vrijdag 14 januari 2005 13:46

Acties:

ijdod

Verwijderd schreef op zaterdag 01 januari 2005 @ 17:27:
Ik snap jullie niet helemaal. Laat die router toch routeren, en de pix toch mooi firewalletje spelen en vpnservertje. Ik zou gaan voor een bridged configuratie op de router, en de firewall latten natten. TS mail me maar even als je hulp nodig hebt bij de configuratie van je router en je pix. Denk dus niet dat alles voor nop is geweest, een pix biedt meerdere voordelen als alleen mogelijkheden tot VPN... Het is tenslotte ook een firewall en geen simpele packet-filter zoals een router.

Niet om het een of ander, maar je roept eerst dat je een router moet laten routeren, en gaat dan naadloos over op hoe je router wilt laten bridgen.... Niet zozeer fout of zo, de router in kwestie kan het, maar het is geen 'standaard' functie.

Overigens de IOS firewall ook geen simpel packet filter. Functioneel gelijkwaardig aan PIX-OS.

Verwijderd schreef op woensdag 12 januari 2005 @ 17:51:
En hoe denk je dat die router alles naar het internet toe gooit? Het is geen hub...

Klopt. Een hub is namelijk geen bridge, maar een repeater (laag 1). In bridging mode routeert (laag 3) de router echter niet, maar bridged (laag 2) ie. Hij heeft op laag 3 niets met het verkeer te maken.

[ Voor 6% gewijzigd door ijdod op 14-01-2005 14:36 ]

Root don't mean a thing, if you ain't got that ping...

zondag 16 januari 2005 16:50

Acties:

Verwijderd

Het wil er maar niet ingaan bij Meph

De 836 heeft in deze configuratie zelfs geen IP meer he.

De IOS firewall kan zelfs veel meer als de PIX software. Bij ios firewall heb je nog steeds geavanceerde routing mogelijkheden plus de meeste pix functies. Maar de ervaring leert mij dat de ios firewall featset niet zo stabiel is als de pix software, dit hangt ook af van welke fwall release en voor welke router, want de ene durft nogal sterk te verschillen van de andere qua problemen.

zondag 16 januari 2005 17:25

Acties:

ijdod

Mijn ervaring van de stabiliteit van PIX-OS is zeer goed. IOS+FW is in mijn ervaring ook een beetje een wisselend verhaal. Als het werkt, is het stabiel. Alleen niet alle combinaties van hardware/software werken goed. Zo doet mijn 837 het alleen goed met 12.3.2 of 12.3.11, bij de versies daartussen weigert de fw te werken.

Root don't mean a thing, if you ain't got that ping...

maandag 17 januari 2005 15:24

Acties:

Verwijderd

Volgens mij snappen jullie maar half wat een pix kan en precies doet

Al helemaal in combinatie met ACS.. Dat is zowieso niet te vergelijken met een router.... Voor de rest: never mind, ik ga hier verder geen nietus wellus spelletje meer spelen.

dinsdag 18 januari 2005 20:32

Acties:

Verwijderd

Wij danken U voor uw constructieve inbreng in de situatie.

Ik zal heus mijn eigen pix kennis en praktijkervaring eens gaan herevalueren omdat iemand die het verschil tussen een router en een bridge niet weet beweert dat ik er niets van snap.

vrijdag 21 januari 2005 17:04

Acties:

Verwijderd

Precies, want een bridged router is alleen maar layer 2, en heeft geen ip-adres (l3?)?...

zondag 23 januari 2005 09:59

Acties:

ijdod

Verwijderd schreef op vrijdag 21 januari 2005 @ 17:04:
Precies, want een bridged router is alleen maar layer 2, en heeft geen ip-adres (l3?)?...

Hij heeft geen IP adres nodig om te functioneren, nee. Hij zal er vaak wel een hebben voor management doeleinden, maar da's niet relevant. Met routering hebben ze niets te maken. For all intents en purposes heb je te maken met een ADSL naar Ethernet mediaconverter.

Root don't mean a thing, if you ain't got that ping...

maandag 7 februari 2005 14:03

Acties:

Verwijderd

Zoppie, zou jij je config hier kunnen neerzetten (zonder password ofc)

Want ik wil m'n cisco 836 ook graag draaiend krijgen met VPN en ADSL

Ik krijg 't maar niet voor elkaar, maar als ik jou config zie krijg ik misschien een geniale ingeving

Grtz,
Maartuh

Pagina: 1

Reageer