PIX 501 IPSEC mit NAT
Hallo Alle,
ich sitze jetzt schon eine ganze Weile bei zwei PIXen und versuche diese zu konfigurieren, doch anscheinend nur mit Teilerfolgen.
Ich wollte zwei Netze über einen IPsec Tunnel miteinander verbinden und so stelle ich mir das ganze vor.
PC1 <---> PIX 1 <----- IPSEC -----> PIX2 <---> PC2
Zwischen den beiden PIXen soll ein IPsec Tunnel gebaut werden (das klappt schon perfekt) nur habe ich jetzt das Problem, das der PC1 mit (der internen Adresse 10.0.1.55) vom PC2 über eine offizielle Adresse (xxx.65.67.128) angesprochen werden soll. d.h auf der PIX1 soll ein NAT eingerichtet werden, damit wenn ich von PC2 die offizielle IP (xxx.65.67.128) pinge der PC1 antwortet, doch leider funkt das so nicht.
Vielleicht kann mir jemand von euch helfen, ich habe jetzt schon in diversen Foren nachgesehen, doch leider nie das richtige gefunden.
ich sitze jetzt schon eine ganze Weile bei zwei PIXen und versuche diese zu konfigurieren, doch anscheinend nur mit Teilerfolgen.
Ich wollte zwei Netze über einen IPsec Tunnel miteinander verbinden und so stelle ich mir das ganze vor.
PC1 <---> PIX 1 <----- IPSEC -----> PIX2 <---> PC2
Zwischen den beiden PIXen soll ein IPsec Tunnel gebaut werden (das klappt schon perfekt) nur habe ich jetzt das Problem, das der PC1 mit (der internen Adresse 10.0.1.55) vom PC2 über eine offizielle Adresse (xxx.65.67.128) angesprochen werden soll. d.h auf der PIX1 soll ein NAT eingerichtet werden, damit wenn ich von PC2 die offizielle IP (xxx.65.67.128) pinge der PC1 antwortet, doch leider funkt das so nicht.
Vielleicht kann mir jemand von euch helfen, ich habe jetzt schon in diversen Foren nachgesehen, doch leider nie das richtige gefunden.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 86909
Url: https://administrator.de/contentid/86909
Ausgedruckt am: 31.10.2024 um 14:10 Uhr
12 Kommentare
Neuester Kommentar
Also das könnte über eine STatic NAT Regel hinhauen
Auf PIX1 konfigurieren:
static (inside,outside) 86.65.67.128 10.0.1.55 netmask 255.255.255.255 1000 1000
(wobei 1000 1000 für max. Verbindungen und max. halboffene TCP Verbindungen steht - Schutz vor Denial of Service Angriffe..).
Jetzt kommts freilich drauf an... (bzw. dat hab ich noch nicht so recht kapische...)
1. Soll der Traffic von PC2 zu PC1 durch den Tunnel gehen und DANN erst auf eine öffentliche IP gemappt werden, die dann zu PC1 weitergeleitet wird?
2. Soll der Zugriff von PC2 auf PC1 unbhängig vom Tunnel erfolgen, einfach ein Zugriff auf eine öffentliche IP die dann auf PC1 genattet wird?
Auf PIX1 konfigurieren:
static (inside,outside) 86.65.67.128 10.0.1.55 netmask 255.255.255.255 1000 1000
(wobei 1000 1000 für max. Verbindungen und max. halboffene TCP Verbindungen steht - Schutz vor Denial of Service Angriffe..).
Jetzt kommts freilich drauf an... (bzw. dat hab ich noch nicht so recht kapische...)
1. Soll der Traffic von PC2 zu PC1 durch den Tunnel gehen und DANN erst auf eine öffentliche IP gemappt werden, die dann zu PC1 weitergeleitet wird?
2. Soll der Zugriff von PC2 auf PC1 unbhängig vom Tunnel erfolgen, einfach ein Zugriff auf eine öffentliche IP die dann auf PC1 genattet wird?
Das ist schon bisschen tricky...
Wenn PC2 eine "normale" Internetanbindung hat, und nur bestimmte Daten von PC2 bzw.dem Netz in dem er sich befindet, in den IPSEC Tunnel geschickt werden, dann würde die öffentl. IP 86.65.67.128 auch nicht durch den Tunnel geroutet werden sondern versucht werden die IP über das Internet zu erreichen (unabhängig vom Tunnel).
Wenn dem so wäre..
(kann die 501 VLANs? Grübel.)
Wenn dem nicht so wäre könntest du....
Eventuell gibts noch viel einfachere Möglichkeiten, doch der Tag war lang und der Kopf ist leer.
Ist aber alles bissi theoretisch, ob das wirklich die Lösung ist weiss wohl nur Dr. DoubleBrain. Aber interessante Aufgabenstellung auf jeden Fall!
Wenn PC2 eine "normale" Internetanbindung hat, und nur bestimmte Daten von PC2 bzw.dem Netz in dem er sich befindet, in den IPSEC Tunnel geschickt werden, dann würde die öffentl. IP 86.65.67.128 auch nicht durch den Tunnel geroutet werden sondern versucht werden die IP über das Internet zu erreichen (unabhängig vom Tunnel).
Wenn dem so wäre..
- könntest du auf PIX2 die ACL die den "interesting traffic" beschreibt dahingehend erweitern dass der Traffic der von PC2 zu 86.65.67.128 gehen soll auch durch den Tunnel gejagt werden soll.
- könntest du auf PIX1 ein virtuelles Interface konfigurieren dass die IP 86.65.67.128 bekommt, und
- auf PIX1 eine NAT Regel machen die Traffic der an 86.65.67.128 gesendet wird auf die IP von PC1 genattet wird
(kann die 501 VLANs? Grübel.)
Wenn dem nicht so wäre könntest du....
- könntest du auf PIX1 ein virtuelles Interface konfigurieren dass die IP 86.65.67.128 bekommt, und
- auf PIX1 eine NAT Regel machen die Traffic der an 86.65.67.128 gesendet wird auf die IP von PC1 genattet wird
Eventuell gibts noch viel einfachere Möglichkeiten, doch der Tag war lang und der Kopf ist leer.
pix(config)#interface vlan 666
pix(config-if)#ip address 86.65.67.128 255.255.255.0
pix(config)#static (inside,outside) 86.65.67.128 10.0.1.55 netmask 255.255.255.255 1000 1000
Ist aber alles bissi theoretisch, ob das wirklich die Lösung ist weiss wohl nur Dr. DoubleBrain. Aber interessante Aufgabenstellung auf jeden Fall!
Der Gruss zum Feierabend...
Also prinzipiell siehts (denk ich mal..) ja so aus dass die IPSEC Pakete erstmal in der PIX landen und ausgepackt werden.
Dann guggt die PIX auf die Ziel-IP-Adresse und lugt kurz in die Routingtabelle.
Irgendwohin muss sie das Teil ja weiterleiten. Wohin, das hängt vom Routing ab.
Wenn sie ne passende Route für 86.blah hat, wird sie diese benutzen und das Paket am entsprechenen Interface ausspucken.
Wenn nicht, schickt sie das Paket über die Default Route oder verwirft es.
Landet das Paket dann bei 86.blah (was ja ne IP ist die die PIX in dem Fall selber hat) und es besteht ein Port-Forwarding oder ein Static oder NAT Eintrag, dann wird das Paket weiter verbraten bis es schliesslich beim Ziel landet...
Gute Nacht!
Also prinzipiell siehts (denk ich mal..) ja so aus dass die IPSEC Pakete erstmal in der PIX landen und ausgepackt werden.
Dann guggt die PIX auf die Ziel-IP-Adresse und lugt kurz in die Routingtabelle.
Irgendwohin muss sie das Teil ja weiterleiten. Wohin, das hängt vom Routing ab.
Wenn sie ne passende Route für 86.blah hat, wird sie diese benutzen und das Paket am entsprechenen Interface ausspucken.
Wenn nicht, schickt sie das Paket über die Default Route oder verwirft es.
Landet das Paket dann bei 86.blah (was ja ne IP ist die die PIX in dem Fall selber hat) und es besteht ein Port-Forwarding oder ein Static oder NAT Eintrag, dann wird das Paket weiter verbraten bis es schliesslich beim Ziel landet...
Gute Nacht!
Ich glaube das Problem liegt zum Teil daran dass du kein Interface hast, welches die IP 85.65.67.128 hat. Die PIX wird ja nicht "einfach so" Pakete die an 85.65.67.128 gerichtet sind über eine NAT Regel weiterleiten - irgendwer muss die 85.65.67.128 haben.
Eventuell mit Subinterface behelfen?
http://www.cisco.com/en/US/docs/security/asa/asa70/configuration/guide/ ...
Eventuell mit Subinterface behelfen?
pix(config)#interface ethernet0.1
pix(config-if)#
http://www.cisco.com/en/US/docs/security/asa/asa70/configuration/guide/ ...
HIER steht sonst auch für "Switch Gurus" nochmal ganz genau wie man es macht :
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/prod_configuratio ...
Bzw. hier genau:
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configur ...
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configur ...
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configur ...
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/prod_configuratio ...
Bzw. hier genau:
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configur ...
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configur ...
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configur ...