Cisco PIX 501 remote access VPN opzetten

Pagina: 1
Acties:
  • 133 views sinds 30-01-2008
  • Reageer

Anoniem: 66805

Topicstarter
Hallo,

Ik heb het volgende probleem: Ik wil graag een Cisco PIX Firewall 501 zò opzetten dat gebruikers van buiten in kunnen loggen op ons netwerk met de Cisco VPN client. De PIX501 ondersteunt dit maar ik krijg het niet aan de praat.

+ ADSL modem (10.0.0.138)
|
+ PIX 501 (outside 10.0.0.2 / inside 10.203.10.200) (PIX Version 6.3(4))
|
+ LAN (DNS server op 10.203.10.2, gateway op 10.203.10.1)

Ik ben zover dat gebruikers in kunnen loggen met hun username en password. Ze geven in de Cisco VPN Client het IP adres van het ADSL modem op (KPN via Wanadoo) en ze kunnen verbinding maken met de PIX.

De PIX geeft aan remote gebruikers de IP adressen 10.203.10.125 t/m 10.203.10.130 weg. De DNS server wordt ook netjes doorgegeven maar de gateway niet.
Het probleem is nu dat, hoewel de gebruikers verbinding kunnen maken, ze ons netwerk niet op kunnen (zelfs niet pingen). Ik vermoed dus dat ik bij het configureren van de PIX iets over het hoofd heb gezien. Kort gezegd komt het er dus op neer dat gebruikers wel mogen inloggen maar 't bedrijfsnetwerk niet op kunnen.

Heeft iemand enig idee waar ik moet zoeken om dit probleem te verhelpen?

Anoniem: 121241

geef je configuratie eens even ? mail anders even naar me..kan je waarschijnlijk wel helpen.
Heb je de access-list ed wel goed ingesteld?

zie het wel verschijnen...

Anoniem: 66805

Topicstarter
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
pixfirewall(config)# sh running conf
: Saved
:
PIX Version 6.3(4)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password H8FagjK1gVCNRzBO encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall
domain-name ciscopix.com
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
access-list inside_outbound_nat0_acl permit ip any 10.203.10.124 255.255.255.252
access-list outside_cryptomap_dyn_20 permit ip any 10.203.10.124 255.255.255.252
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside 10.0.0.2 255.0.0.0
ip address inside 10.203.10.200 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
ip local pool Hills 10.203.10.125-10.203.10.127
pdm location 10.0.0.0 255.255.255.255 outside
pdm location 10.0.0.0 255.255.255.255 inside
pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list inside_outbound_nat0_acl
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
aaa authentication enable console LOCAL
aaa authentication http console LOCAL
aaa authentication telnet console LOCAL
aaa authorization command LOCAL
http server enable
http 10.203.10.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto dynamic-map outside_dyn_map 20 match address outside_cryptomap_dyn_20
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-MD5
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map interface outside
isakmp enable outside
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption 3des
isakmp policy 20 hash md5
isakmp policy 20 group 2
isakmp policy 20 lifetime 86400
vpngroup Hills address-pool Hills
vpngroup Hills dns-server 10.203.10.2
vpngroup Hills default-domain NL
vpngroup Hills idle-time 1800
vpngroup Hills password ********
telnet 10.203.10.0 255.255.255.0 inside
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd address 10.203.10.125-10.203.10.125 outside
dhcpd address 10.203.10.201-10.203.10.232 inside
dhcpd dns 10.203.10.2
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd auto_config outside
dhcpd enable outside
dhcprelay server 10.203.10.2 inside
username machielse password GOrZCUlF8QyNCCrn encrypted privilege 15
privilege show level 0 command version
privilege show level 0 command curpriv
privilege show level 3 command pdm
privilege show level 3 command blocks
privilege show level 3 command ssh
privilege configure level 3 command who
privilege show level 3 command isakmp
privilege show level 3 command ipsec
privilege show level 3 command vpdn
privilege show level 3 command local-host
privilege show level 3 command interface
privilege show level 3 command ip
privilege configure level 3 command ping
privilege show level 3 command uauth
privilege configure level 5 mode enable command configure
privilege show level 5 command running-config
privilege show level 5 command privilege
privilege show level 5 command clock
privilege show level 5 command ntp
privilege show level 5 mode configure command logging
privilege show level 5 command fragment
terminal width 80
Cryptochecksum:a79b1c84d61c67e84e3d3678d5b3de51
: end
pixfirewall(config)#


het zal idd wel iets met access lists zijn... heb deze config erin gezet met de PDM dus echt netjes zal 'ie niet zijn... :o

  • Movinghead
  • Registratie: November 2001
  • Laatst online: 01-06 10:26

Movinghead

ing.

ik heb ook problemen met vpn en pix 501, ik wil een L2TP IPSEC opzetten maar telkens komt er geen verbinding tot stand :( met PPTP of via Cisco VPN Client lukt het wel vpn op te zetten maar helaas niet met L2TP. wil de lokale ACL gebruiken dus geen radius/ias of dergelijke


probeer jij het via L2TP?

oja als tip, mocht je deze pix gebruiken voor smtp verkeer, voer dan het commando
no fixup protocol 25 omdat anders je mailserver gespooft wordt

Acties:
  • 0 Henk 'm!

Anoniem: 1322

Je kunt beter je config veranderen op je router zodat deze bridged.
Zo voorkom je problemen dat je router de boel niet goed kan doorgooien.
Hier zit meestal het probleem.

Externe ip op de outside van de pix voorkomt veel problemen.

De pix is hier ook voor gemaakt. Normaal zet je b.v. de router op publiek IP 1 (in de reeks) en de pix op het 2e publieke IP.
De router (meestal cisco) gooit alles door naar de pix. Deze opzet is bijna fool proof. Helaas heb ik geen ervaring met deze (thuis?) opzet. Alleen zakelijk,

Acties:
  • 0 Henk 'm!

Anoniem: 66805

Topicstarter
Het is geen thuis opzet... mijn kennisniveau inzake deze materie echter wel... :o

We hebben hier een simpele (particuliere) ADSL aansluiting om mee te testen. Zodra 't werkt zetten we dit om in een 'echte' aansluiting. Het probleem is volgens mij niet zozeer dat externe gebruikers geen verbinding kunnen maken met de PIX maar dat ik de Access Control lists niet (goed) heb ingesteld. Met als gevolg dat, hoewel er een VPN tunnel wordt opgezet, externe gebruikers geen toegang krijgen tot het interne netwerk.

code:
1
Internet --- (83.x.x.x) Modem (10.0.0.138) --- (10.0.0.2) PIX (10.203.10.200) --- (10.203.10.0) LAN

Acties:
  • 0 Henk 'm!

Anoniem: 66805

Topicstarter
Dit is de huidige configuratie:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
Building configuration...
: Saved
:
PIX Version 6.3(4)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password syn/NEOV28cF4Zdj encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall
domain-name ciscopix.com
clock timezone CEST 1
clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
access-list 101 permit ip 10.203.0.0 255.255.0.0 10.204.10.0 255.255.255.0 
pager lines 24
logging on
logging timestamp
logging trap warnings
logging facility 23
logging host inside 10.203.10.201 format emblem
mtu outside 1500
mtu inside 1500
ip address outside 10.0.0.1 255.0.0.0
ip address inside 10.203.10.200 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
ip local pool hillspool1 10.204.10.225-10.204.10.230
pdm location 10.203.5.0 255.255.255.0 inside
pdm location 10.203.20.0 255.255.255.0 inside
pdm location 10.203.10.201 255.255.255.255 inside
pdm location 10.204.10.0 255.255.255.0 outside
pdm location 10.203.0.0 255.255.0.0 inside
pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
global (inside) 1 interface
global (inside) 2 10.203.10.1
nat (outside) 1 10.204.10.224 255.255.255.248 outside 0 0
nat (inside) 0 access-list 101
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+ 
aaa-server TACACS+ max-failed-attempts 3 
aaa-server TACACS+ deadtime 10 
aaa-server RADIUS protocol radius 
aaa-server RADIUS max-failed-attempts 3 
aaa-server RADIUS deadtime 10 
aaa-server LOCAL protocol local 
aaa authentication enable console LOCAL
aaa authentication http console LOCAL
aaa authentication telnet console LOCAL
aaa authorization command LOCAL 
http server enable
http 10.203.10.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
crypto ipsec transform-set trmset1 esp-aes-256 esp-sha-hmac 
crypto dynamic-map map2 10 set transform-set trmset1
crypto map map1 10 ipsec-isakmp dynamic map2
crypto map map1 interface outside
isakmp enable outside
isakmp identity address
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption aes-256
isakmp policy 10 hash sha
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
vpngroup ict_el address-pool hillspool1
vpngroup ict_el dns-server 10.203.10.2
vpngroup ict_el default-domain nl.eu.win.colpal.com
vpngroup ict_el split-tunnel 101
vpngroup ict_el idle-time 1800
vpngroup ict_el password ********
telnet 10.203.10.0 255.255.255.0 inside
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd address 10.203.10.201-10.203.10.232 inside
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd auto_config outside
username xxxxxx password EumP1U4UqFGQh3SN encrypted privilege 15
username xxxxxx password soSDbhkNJIyMjp38 encrypted privilege 15
username xxxxxx password GOrZCUlF8QyNCCrn encrypted privilege 15
username xxxxxx password fpLWq7CrPUFGOuqR encrypted privilege 15
privilege show level 0 command version
privilege show level 0 command curpriv
privilege show level 3 command pdm
privilege show level 3 command blocks
privilege show level 3 command ssh
privilege configure level 3 command who
privilege show level 3 command isakmp
privilege show level 3 command ipsec
privilege show level 3 command vpdn
privilege show level 3 command local-host
privilege show level 3 command interface
privilege show level 3 command ip
privilege configure level 3 command ping
privilege show level 3 command uauth
privilege configure level 5 mode enable command configure
privilege show level 5 command running-config
privilege show level 5 command privilege
privilege show level 5 command clock
privilege show level 5 command ntp
privilege show level 5 mode configure command logging
privilege show level 5 command fragment
terminal width 80
banner login Welcome, please log in...
banner motd Vacca foeda!
Cryptochecksum:af01396df27921ac89ffad016ba56cea
: end
[OK]


Het is nu wel mogelijk om op het 10.203.10.xxx netwerk te komen maar niet op bijvoorbeeld 10.203.8.xxx.

Iemand enig idee?

Acties:
  • 0 Henk 'm!

  • Bas
  • Registratie: Juni 1999
  • Niet online

Bas

aka BannieMove

Je mist het nodige aan access-listen (wat mag je wel door de vpn tunnel heen en wat niet).
Daarnaast is het niet handig om al je vpn gebruikers privilege 15 (admin) te gegeven..

Tjielp... een vogel.


Acties:
  • 0 Henk 'm!

  • Dionysus007281
  • Registratie: Maart 2002
  • Laatst online: 27-02 16:31

Dionysus007281

Spank my monkey!

Wat ik laatst van een expert heb begrepen mag een pix geen private IP hebben, anders werkt het hele VPN gebeuren niet.
De outside IP van je pix moet dus een publiek adres zijn.

Dual Opteron 248 Nu met Asus X800XT PE @ X850XT PE Server.


Acties:
  • 0 Henk 'm!

  • Bas
  • Registratie: Juni 1999
  • Niet online

Bas

aka BannieMove

Dionysus007281 schreef op dinsdag 18 januari 2005 @ 16:15:
Wat ik laatst van een expert heb begrepen mag een pix geen private IP hebben, anders werkt het hele VPN gebeuren niet.
De outside IP van je pix moet dus een publiek adres zijn.
Eh, nee niet echt. Dat kan ik je 100% zeker vertellen

Tjielp... een vogel.


Acties:
  • 0 Henk 'm!

Anoniem: 66805

Topicstarter
Maar is het überhaupt mogelijk om een ADSL modem rechtstreeks aan de outside interface van de PIX te hangen? Of moet het een router zijn. Voor zover ik het begrijp zit het probleem bij 'mijn' config dat op de een of andere manier het doorsturen van de VPN requests vanaf internet door de ADSL modem naar de PIX niet goed gaat. MAW, de VPN request komt niet aan bij de PIX... of zit ik er nu naast?

Acties:
  • 0 Henk 'm!

  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Laat me raden, een Alcatel Speedtouch?
Die dingen zijn LVT *] maar beslist niet geschikt voor wat jij wil.
Probeer anders eerst dhcp-spoof (zwerft hier nog zo'n topic van rond) of defserver, al lijkt het erop dat die pix dat toch niet gaat vreten.


*] LVT = leuk voor thuis

[ Voor 46% gewijzigd door alt-92 op 01-02-2005 15:01 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device


Acties:
  • 0 Henk 'm!

Anoniem: 66805

Topicstarter
Ja, had idd eerst zo'n alcatel ding. Maar ik kan er eventueel ook een Cisco 836 tussen hangen...
Pagina: 1