38542
Jan 10, 2008, updated at Jan 12, 2008 (UTC)
9166
5
0
Einrichten eines VPN Tunnels mit einer Cisco Pix 501
hi liebe leute,
habe mal wieder ein tolles problem....
und zwar folgendes:
ich habe hier handhelds die sich über rdp auf unserem server aufschalten müssen. dazu möchte ich eine vpn verbindung haben! habe hier eine cisco pix 501 liegen.
habe eine öffentliche ip und vom provider aus einen host an dem ich mich mit meinem cisco vpn client anmelden kann. nun möchte ich die pix hier so konfigurieren das diese den tunnel aufbaut und die handhelds diese pix als gateway nutzen zu uns ins netzwek ohne das ich da noch großartig clients oder sonstiges drauf isntallieren muss!
es ist klar das ich mit unserem provider sprechen muss aber würde mir trotzdem schonmal gern infos einholen was ich schon "vorarbeiten" kann. von einer pix zu einer anderen ist doch site to site stimmts?
remote access wäre ja nur wenn ich mich an meiner pix mit einem vpn client aufschlaten würde oder? (die beiden sachen möcht ich nur nochmal zur sicherheit wissen...)
danke schonmal im voraus für die hilfe.
lg
Miischiii
habe mal wieder ein tolles problem....
und zwar folgendes:
ich habe hier handhelds die sich über rdp auf unserem server aufschalten müssen. dazu möchte ich eine vpn verbindung haben! habe hier eine cisco pix 501 liegen.
habe eine öffentliche ip und vom provider aus einen host an dem ich mich mit meinem cisco vpn client anmelden kann. nun möchte ich die pix hier so konfigurieren das diese den tunnel aufbaut und die handhelds diese pix als gateway nutzen zu uns ins netzwek ohne das ich da noch großartig clients oder sonstiges drauf isntallieren muss!
es ist klar das ich mit unserem provider sprechen muss aber würde mir trotzdem schonmal gern infos einholen was ich schon "vorarbeiten" kann. von einer pix zu einer anderen ist doch site to site stimmts?
remote access wäre ja nur wenn ich mich an meiner pix mit einem vpn client aufschlaten würde oder? (die beiden sachen möcht ich nur nochmal zur sicherheit wissen...)
danke schonmal im voraus für die hilfe.
lg
Miischiii
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 77761
Url: https://administrator.de/contentid/77761
Printed on: April 18, 2024 at 00:04 o'clock
5 Comments
Latest comment
hi leute
mal eine frage wie kann ich eine anständige access-list einbauen das ich vom inside nach outside und umgekehrt pingen kann???
hier mal die konfig. bzw. was fehlt mir da noch?
Building configuration...
PIX Version 6.3(5)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password encrypted
passwd encrypted
hostname pixfirewall
domain-name *.com
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside xx.xxx.135.84 255.255.255.248
ip address inside 192.168.99.111 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 192.168.99.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd address 192.168.99.112-192.168.99.239 inside
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd auto_config outside
terminal width 80
Cryptochecksum:**
: end
[OK]
mal eine frage wie kann ich eine anständige access-list einbauen das ich vom inside nach outside und umgekehrt pingen kann???
hier mal die konfig. bzw. was fehlt mir da noch?
Building configuration...
- Saved
PIX Version 6.3(5)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password encrypted
passwd encrypted
hostname pixfirewall
domain-name *.com
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside xx.xxx.135.84 255.255.255.248
ip address inside 192.168.99.111 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 192.168.99.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd address 192.168.99.112-192.168.99.239 inside
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd auto_config outside
terminal width 80
Cryptochecksum:**
: end
[OK]
Bitte was sind "handhelds" ? Hersteller & Betriebssystem.
Die PIX ist eine Firewall. Sie erlaubt oder verbietet das Pakete durch kommen.
Wie kommst du auf die Idee das die PIX eine Verbindung zum "handhelds" aufbaut? Warum sollte die PIX das wollen....
Entwerder der "handhelds" ist ein Laptop und baut mit dem Cisco VPN Client eine verbindung zur PIX auf oder es wurde ein Site-to-Site VPN Tunnel aufgebaut der zwei Netzwerke verbindet.
Gruß Rafiki
Die PIX ist eine Firewall. Sie erlaubt oder verbietet das Pakete durch kommen.
Wie kommst du auf die Idee das die PIX eine Verbindung zum "handhelds" aufbaut? Warum sollte die PIX das wollen....
Entwerder der "handhelds" ist ein Laptop und baut mit dem Cisco VPN Client eine verbindung zur PIX auf oder es wurde ein Site-to-Site VPN Tunnel aufgebaut der zwei Netzwerke verbindet.
Gruß Rafiki
handhelds sind kleine pda's
von symbol MC9090 mit windows ce 5.0
zur zeit läuft das ganze über einen rechner der mit einem cisco client einen tunnel aufbaut und diese den rechner als gateway nutzen um zu uns auf den server zu gelangen.
ja gut ich brauche site to site. aber ersteinmal muss ich es ja überhaupt hinbekommen das ich die beiden netzwerke verbinden kann.
inside: 192.168.99.0
255.255.255.0
outside:192.168.10.0
255.255.255.0
ich kann von meinem laptop der sich im 99er netz befindet nicht ins 10er netz pingen und umgekehrt gehts auch nicht.
das es eine firewall ist ist mir schon bewusst und das ich da freigaben machen muss auch meine große frage ist bloß wie?
habe mir diesen link hier mal zu gemüte geführt und auch das gemacht was da drin stand aber hat nix gebracht...
http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/pix_v52/confi ...
das ist ja quasi das was ich haben möchte...
von symbol MC9090 mit windows ce 5.0
zur zeit läuft das ganze über einen rechner der mit einem cisco client einen tunnel aufbaut und diese den rechner als gateway nutzen um zu uns auf den server zu gelangen.
ja gut ich brauche site to site. aber ersteinmal muss ich es ja überhaupt hinbekommen das ich die beiden netzwerke verbinden kann.
inside: 192.168.99.0
255.255.255.0
outside:192.168.10.0
255.255.255.0
ich kann von meinem laptop der sich im 99er netz befindet nicht ins 10er netz pingen und umgekehrt gehts auch nicht.
das es eine firewall ist ist mir schon bewusst und das ich da freigaben machen muss auch meine große frage ist bloß wie?
habe mir diesen link hier mal zu gemüte geführt und auch das gemacht was da drin stand aber hat nix gebracht...
http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/pix_v52/confi ...
das ist ja quasi das was ich haben möchte...
Aha, Danke für diese Informationen, jetzt glaube ich verstehe ich was du möchtest.
Es gibt von Cisco keinen VPN Client für Windows Mobile. Aber von BlueFireSecurity
http://www.bluefiresecurity.com/products/vpn/
Damit wird die VPN Verbindung von dem Handheld zu der Firewall aufgebaut. Der Benutzer meldet sich wie gewohnt an (mit Passwort, RSA SecurID Token oder automatisch per Zertifikat). Die Preise sind unlogischer weise bei den Downloads aufgeführt. Die Kompatibilität zur PIX ist ausdrücklich aufgeführt: http://www.bluefiresecurity.com/resources/products/
Du bist nicht alleine mit deinen Sorgen. Ich habe die Software gerade gefunden als ich im Cisco Forum gesucht habe: "windows mobile" VPN
Ich habe die Software von BlueFireSecurity nicht getestet da ich keine Windows Mobile Geräte habe. Hmmmmm... ich könnte mir mal wieder ein Spielzeug kaufen. Sehe ich das richtig, solch ein Handheld kostet EUR 2.000?! Dafür kann man auch einen schönen Laptop kaufen.
Wie wollt ihr die Internetverbindung aufbauen? WLAN oder EDGE?
Wenn ihr beispielsweise Pakete ausliefern wollt und somit GMS/EDGE benutzt dann würde ich von der VPN Technik abstand nehmen. Es dauert immer einige Sekunden bis die VPN Verbindung aufgebaut ist. Das nervt den Fahrer ungemein wenn er bei jedem Kunden 30sec auf sein Gerät warten muss. Je nach eurem Sicherheitsbedürfnis genügt evtl. eine https:// verschlüsselte Webseite, die zwingend ein Client Zertifikat von eurer Firma verlangt. Kost nix und ist um ein vielfaches schneller. Nur darf niemand das Zertifikat von dem Handheld kopieren und "mit nach Hause" nehmen.
Zweitens:
du schreibst:
Deine config sieht für mich sauber und fast jungfräulich aus. Anscheinen ist die PIX am outside interface mit dem Internet verbunden. Bitte wo ist das Netz 192.168.10.0? Ist das ein anderer Standort oder hat der Handheld diese Adresse?
Gruß Rafiki
Es gibt von Cisco keinen VPN Client für Windows Mobile. Aber von BlueFireSecurity
http://www.bluefiresecurity.com/products/vpn/
Damit wird die VPN Verbindung von dem Handheld zu der Firewall aufgebaut. Der Benutzer meldet sich wie gewohnt an (mit Passwort, RSA SecurID Token oder automatisch per Zertifikat). Die Preise sind unlogischer weise bei den Downloads aufgeführt. Die Kompatibilität zur PIX ist ausdrücklich aufgeführt: http://www.bluefiresecurity.com/resources/products/
Du bist nicht alleine mit deinen Sorgen. Ich habe die Software gerade gefunden als ich im Cisco Forum gesucht habe: "windows mobile" VPN
Ich habe die Software von BlueFireSecurity nicht getestet da ich keine Windows Mobile Geräte habe. Hmmmmm... ich könnte mir mal wieder ein Spielzeug kaufen. Sehe ich das richtig, solch ein Handheld kostet EUR 2.000?! Dafür kann man auch einen schönen Laptop kaufen.
Wie wollt ihr die Internetverbindung aufbauen? WLAN oder EDGE?
Wenn ihr beispielsweise Pakete ausliefern wollt und somit GMS/EDGE benutzt dann würde ich von der VPN Technik abstand nehmen. Es dauert immer einige Sekunden bis die VPN Verbindung aufgebaut ist. Das nervt den Fahrer ungemein wenn er bei jedem Kunden 30sec auf sein Gerät warten muss. Je nach eurem Sicherheitsbedürfnis genügt evtl. eine https:// verschlüsselte Webseite, die zwingend ein Client Zertifikat von eurer Firma verlangt. Kost nix und ist um ein vielfaches schneller. Nur darf niemand das Zertifikat von dem Handheld kopieren und "mit nach Hause" nehmen.
Zweitens:
du schreibst:
ip address outside xx.xxx.135.84 255.255.255.248
und dann späteroutside:192.168.10.0
Deine config sieht für mich sauber und fast jungfräulich aus. Anscheinen ist die PIX am outside interface mit dem Internet verbunden. Bitte wo ist das Netz 192.168.10.0? Ist das ein anderer Standort oder hat der Handheld diese Adresse?
Gruß Rafiki
hey rafiki
danke für deine hilfe;)
die sache bei uns ist ja die das die leute mit den handhelds bei uns auf dem terminalserver arbeiten sollen. die handhelds laufen über wlan und von dort aus weiter zu einem "gateway rechner" den ich da aufgebaut habe. nur kann ich das ja nicht als endlösung stehen lassen.
darum will ich quasi das gleiche haben wie gerade nur halt mit der pix. die pix soll schlichthin einen vpn tunnel permanent aufbauen und die handhelds sollen einfach über die pix (die ich als gateway angebe) zu uns ins netz kommen. sollte ja doch möglich sein oder etwa nicht??
und vpn clients auf den handhelds ist auch nicht so die tolle lösung muss ich sagen.
hatte schon einige ausprobiert ncp, green bow, etc. ...
und diese lösung die anstrebe scheint mir die beste und einfachste zu sein.
nur bekomme ich diese komische pix nicht so konfiguriert das ich datenpakete in beide richtungen geschickt werden können
sprich vom outside xx.xxx.135.0 ins inside 192.168.99.0 vom inside hingegen komme ich inst outside... fehlt mir da ne route?!
und sorry für die verwirrung rafiki aber ich hab das ganze nochmal neu aufgebaut und hab einfach das öffentliche netz gegen ein internes ersetzt... also ist das 10er netz das gleiche wie der 135er
danke für deine hilfe;)
die sache bei uns ist ja die das die leute mit den handhelds bei uns auf dem terminalserver arbeiten sollen. die handhelds laufen über wlan und von dort aus weiter zu einem "gateway rechner" den ich da aufgebaut habe. nur kann ich das ja nicht als endlösung stehen lassen.
darum will ich quasi das gleiche haben wie gerade nur halt mit der pix. die pix soll schlichthin einen vpn tunnel permanent aufbauen und die handhelds sollen einfach über die pix (die ich als gateway angebe) zu uns ins netz kommen. sollte ja doch möglich sein oder etwa nicht??
und vpn clients auf den handhelds ist auch nicht so die tolle lösung muss ich sagen.
hatte schon einige ausprobiert ncp, green bow, etc. ...
und diese lösung die anstrebe scheint mir die beste und einfachste zu sein.
nur bekomme ich diese komische pix nicht so konfiguriert das ich datenpakete in beide richtungen geschickt werden können
sprich vom outside xx.xxx.135.0 ins inside 192.168.99.0 vom inside hingegen komme ich inst outside... fehlt mir da ne route?!
und sorry für die verwirrung rafiki aber ich hab das ganze nochmal neu aufgebaut und hab einfach das öffentliche netz gegen ein internes ersetzt... also ist das 10er netz das gleiche wie der 135er
