newbie2007
Goto Top

PIX 501 IPSEC mit NAT

Hallo Alle,
ich sitze jetzt schon eine ganze Weile bei zwei PIXen und versuche diese zu konfigurieren, doch anscheinend nur mit Teilerfolgen.

Ich wollte zwei Netze über einen IPsec Tunnel miteinander verbinden und so stelle ich mir das ganze vor.

PC1 <---> PIX 1 <----- IPSEC -----> PIX2 <---> PC2

Zwischen den beiden PIXen soll ein IPsec Tunnel gebaut werden (das klappt schon perfekt) nur habe ich jetzt das Problem, das der PC1 mit (der internen Adresse 10.0.1.55) vom PC2 über eine offizielle Adresse (xxx.65.67.128) angesprochen werden soll. d.h auf der PIX1 soll ein NAT eingerichtet werden, damit wenn ich von PC2 die offizielle IP (xxx.65.67.128) pinge der PC1 antwortet, doch leider funkt das so nicht.

Vielleicht kann mir jemand von euch helfen, ich habe jetzt schon in diversen Foren nachgesehen, doch leider nie das richtige gefunden.

Content-ID: 86909

Url: https://administrator.de/contentid/86909

Ausgedruckt am: 31.10.2024 um 14:10 Uhr

spacyfreak
spacyfreak 03.05.2008 um 20:14:44 Uhr
Goto Top
Also das könnte über eine STatic NAT Regel hinhauen

Auf PIX1 konfigurieren:

static (inside,outside) 86.65.67.128 10.0.1.55 netmask 255.255.255.255 1000 1000

(wobei 1000 1000 für max. Verbindungen und max. halboffene TCP Verbindungen steht - Schutz vor Denial of Service Angriffe..).

Jetzt kommts freilich drauf an... (bzw. dat hab ich noch nicht so recht kapische...)

1. Soll der Traffic von PC2 zu PC1 durch den Tunnel gehen und DANN erst auf eine öffentliche IP gemappt werden, die dann zu PC1 weitergeleitet wird?

2. Soll der Zugriff von PC2 auf PC1 unbhängig vom Tunnel erfolgen, einfach ein Zugriff auf eine öffentliche IP die dann auf PC1 genattet wird?
newbie2007
newbie2007 03.05.2008 um 20:25:30 Uhr
Goto Top
Hallo spacyfreak,
erstmal danke für deine Antwort. Das mit static habe ich so auch schon probiert, doch leider habe ich kein DMZ Interface sondern nur ein Inside und ein Outside Interface daher schaut mein static so aus :

static (inside,outside) 86.65.67.128 10.0.1.55 netmask 255.255.255.255 1000 1000

Zu deiner Frage :
Der Traffic von PC2 soll zuerst durch den Tunnel gehen und dann suf eine bestimmte IP genated werden.

Ich danke dir für die Unterstützung
spacyfreak
spacyfreak 03.05.2008 um 20:43:18 Uhr
Goto Top
Das ist schon bisschen tricky...

Wenn PC2 eine "normale" Internetanbindung hat, und nur bestimmte Daten von PC2 bzw.dem Netz in dem er sich befindet, in den IPSEC Tunnel geschickt werden, dann würde die öffentl. IP 86.65.67.128 auch nicht durch den Tunnel geroutet werden sondern versucht werden die IP über das Internet zu erreichen (unabhängig vom Tunnel).

Wenn dem so wäre..

  • könntest du auf PIX2 die ACL die den "interesting traffic" beschreibt dahingehend erweitern dass der Traffic der von PC2 zu 86.65.67.128 gehen soll auch durch den Tunnel gejagt werden soll.

  • könntest du auf PIX1 ein virtuelles Interface konfigurieren dass die IP 86.65.67.128 bekommt, und

  • auf PIX1 eine NAT Regel machen die Traffic der an 86.65.67.128 gesendet wird auf die IP von PC1 genattet wird

(kann die 501 VLANs? Grübel.)

Wenn dem nicht so wäre könntest du....

  • könntest du auf PIX1 ein virtuelles Interface konfigurieren dass die IP 86.65.67.128 bekommt, und

  • auf PIX1 eine NAT Regel machen die Traffic der an 86.65.67.128 gesendet wird auf die IP von PC1 genattet wird

Eventuell gibts noch viel einfachere Möglichkeiten, doch der Tag war lang und der Kopf ist leer.

pix(config)#interface vlan 666
pix(config-if)#ip address 86.65.67.128 255.255.255.0

pix(config)#static (inside,outside) 86.65.67.128 10.0.1.55 netmask 255.255.255.255 1000 1000

Ist aber alles bissi theoretisch, ob das wirklich die Lösung ist weiss wohl nur Dr. DoubleBrain. Aber interessante Aufgabenstellung auf jeden Fall!
newbie2007
newbie2007 03.05.2008 um 21:05:24 Uhr
Goto Top
Hallo spacyfreak,
ich kenn mich der PIX nicht wirklich gut aus bin bisher nur auf Layer 2 gewesen, sprich war bisher nur der Switch GURU, doch das wird sich jetzt ändern.

Also ich beschreib dir nochmal die Situation, diese PIX1 steht in einer DMZ. Diese DMZ ist nur von der PIX2 aus erreichbar und es entsteht absolut kein anderer Traffic sondern wirklich nur IPSec Traffic. So ich will das der PC1 sobald er was zu PC2 schickt über diese PIX1 über den VPN Tunnel schickt, dass das Paket so bei PC2 ankommt als würde es die IP 86.65.67.128 schicken. Umgekehrt wenn PC2 was über die PIX2 und dann PIX1 an PC1 schickt soll bis zur PIX1 über die 86.65.67.128 kommuniziert werden, erst wenn die PIX1 dran ist soll sie die Destination Adresse wieder auf die interne des PC1 naten.

Ich hoffe ich habe es nicht zu kompliziert formuliert. Ich danke dir nochmal für deine Bemühungen.
spacyfreak
spacyfreak 03.05.2008 um 21:15:16 Uhr
Goto Top
Wie ist denn das Routing?
Welche IP hat denn PC2?

Wenn du auf PC2 die Route verfolgst, was kommt dabei raus?
tracert 86.65.67.128
Ist 86.65.67.128 die OUTSIDE IP-Adresse der PIX?
Wie wäre es mit einem Portforwarding (z. B. wenn der Server ein Webserver ist, und man muss den nur auf TCP443 erreichen?
newbie2007
newbie2007 03.05.2008 um 21:28:07 Uhr
Goto Top
Über das Routing muss ich mir Gott sei dank keine Sorgen machen.

Mein Testlab sieht derzeit so aus.

PC1 ---> PIX1 < ----- IPSEC ----- > PIX2 ---> PC2

PC1 : interne Adresse 10.0.1.55
PIX1 : inside 10.0.1.23 outside ist eine 192.168.32.1
PIX2 : inside 192.168.233.22 outside ist einen 192.168.32.2
PC2 : interne Adresse 192.168.233.10

Derzeit sind dazwischen keine Router, weil es wie gesagt ein Testlab ist. Ich habe bei der PIX2 gesagt, dass der Host 85.65.67.128 über die PIX1 genauer über 192.168.32.1 erreichbar ist. Nun habe ich mir gedacht, die PIX1 soll dann auf die 10.0.1.55 naten.

#sh route (PIX2)
outside 85.65.67.128 255.255.255.255 192.168.32.1 1 Other static

Dachte so könnte es funken die 85.65.67.128 ist derzeit eine Phantasieadresse !!!!

Danke dir für deine Geduld ....
spacyfreak
spacyfreak 03.05.2008 um 21:38:08 Uhr
Goto Top
Der Gruss zum Feierabend... face-wink

Also prinzipiell siehts (denk ich mal..) ja so aus dass die IPSEC Pakete erstmal in der PIX landen und ausgepackt werden.
Dann guggt die PIX auf die Ziel-IP-Adresse und lugt kurz in die Routingtabelle.
Irgendwohin muss sie das Teil ja weiterleiten. Wohin, das hängt vom Routing ab.

Wenn sie ne passende Route für 86.blah hat, wird sie diese benutzen und das Paket am entsprechenen Interface ausspucken.
Wenn nicht, schickt sie das Paket über die Default Route oder verwirft es.

Landet das Paket dann bei 86.blah (was ja ne IP ist die die PIX in dem Fall selber hat) und es besteht ein Port-Forwarding oder ein Static oder NAT Eintrag, dann wird das Paket weiter verbraten bis es schliesslich beim Ziel landet...

Gute Nacht!
newbie2007
newbie2007 03.05.2008 um 21:47:11 Uhr
Goto Top
Hallo,
hier mal meine aktuelle Konfig, damit du dir auch was vorstellen kannst.
Es hört sich an als wärest du ein richtiger Profi, ich bin davon überzeugt, du siehst meinen Fehler sofort. Ich danke dir nochamls für deine Geduld.

lg, newbie2007

PIX1 : PIX Version 6.3(5)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password xxxxxxxxxxxxxxxxxxx encrypted
passwd xxxxxxxxxxxxxxxxx encrypted
hostname pix1
domain-name xxxxxx
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
access-list nonat permit ip 10.0.1.0 255.255.255.0 192.168.233.0 255.255.255.0
access-list IPSEC permit ip 10.0.1.0 255.255.255.0 192.168.233.0 255.255.255.0
access-list IPSEC permit ip 192.168.233.0 255.255.255.0 10.0.1.0 255.255.255.0
pager lines 24
logging on
mtu outside 1500
mtu inside 1500
ip address outside 192.168.32.1 255.255.255.0
ip address inside 10.0.1.23 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm location 10.0.1.55 255.255.255.255 inside
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list nonat
static (inside,outside) 85.67.6.128 10.0.1.55 netmask 255.255.255.255 1000 1000
route outside 0.0.0.0 0.0.0.0 192.168.32.2 1
route outside 192.168.233.0 255.255.255.0 192.168.32.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 10.0.1.55 255.255.255.255 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
tftp-server inside 10.0.1.1 /pix1
floodguard enable
sysopt connection permit-ipsec
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto map outside_map 20 ipsec-isakmp
crypto map outside_map 20 match address IPSEC
crypto map outside_map 20 set peer 192.168.32.2
crypto map outside_map 20 set transform-set ESP-3DES-MD5
crypto map outside_map interface outside
isakmp enable outside
isakmp key 12345678 address 192.168.32.2 netmask 255.255.255.255
isakmp identity address
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption 3des
isakmp policy 20 hash md5
isakmp policy 20 group 2
isakmp policy 20 lifetime 86400
telnet timeout 5
ssh timeout 5
console timeout 0
terminal width 80
Cryptochecksum:15e59c538f58da5876a003638357d791

PIX2 : PIX Version 6.3(5)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 7sZddddddddddddd encrypted
passwd xxxxxxxxxxxxxxxxxxxx encrypted
hostname xxxxxx
domain-name extern
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
access-list nonat permit ip 192.168.233.0 255.255.255.0 10.0.1.0 255.255.255.0
access-list IPSEC permit ip 192.168.233.0 255.255.255.0 10.0.1.0 255.255.255.0
access-list IPSEC permit ip 192.168.233.0 255.255.255.0 host 85.65.67.128
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside 192.168.32.2 255.255.255.0
ip address inside 192.168.233.22 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm location 192.168.233.10 255.255.255.255 inside
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list nonat
route outside 0.0.0.0 0.0.0.0 192.168.32.1 1
route outside 85.65.67.128 255.255.255.255 192.168.32.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 192.168.233.10 255.255.255.255 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
tftp-server inside 192.168.233.1 /pix2-confg
floodguard enable
sysopt connection permit-ipsec
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto map outside_map 20 ipsec-isakmp
crypto map outside_map 20 match address IPSEC
crypto map outside_map 20 set peer 192.168.32.1
crypto map outside_map 20 set transform-set ESP-3DES-MD5
crypto map outside_map interface outside
isakmp enable outside
isakmp key 12345678 address 192.168.32.1 netmask 255.255.255.255
isakmp identity address
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption 3des
isakmp policy 20 hash md5
isakmp policy 20 group 2
isakmp policy 20 lifetime 86400
telnet timeout 5
ssh timeout 5
console timeout 0
terminal width 80
Cryptochecksum:b4d24d69f37f92d183920cc2014f5f93
spacyfreak
spacyfreak 04.05.2008 um 06:57:42 Uhr
Goto Top
Ich glaube das Problem liegt zum Teil daran dass du kein Interface hast, welches die IP 85.65.67.128 hat. Die PIX wird ja nicht "einfach so" Pakete die an 85.65.67.128 gerichtet sind über eine NAT Regel weiterleiten - irgendwer muss die 85.65.67.128 haben.
Eventuell mit Subinterface behelfen?

pix(config)#interface ethernet0.1
pix(config-if)#

http://www.cisco.com/en/US/docs/security/asa/asa70/configuration/guide/ ...
newbie2007
newbie2007 04.05.2008 um 14:38:49 Uhr
Goto Top
Das sonderbare an der Geschichte ist, dass es schon mal hingehauen hat, nur leider hat dann ein Kollege rumgespielt und jetzt funkt es nicht mehr.
Ich denke die Access-listen machen mir ein bisserl zu schaffen, werde mich heute abend wieder an die PIX schmeissen und weiter machen, wenn du heute abend Zeit hast werde ich dich über den aktuellen Status informierern.

danke dir nochmals sehr herzlich !!
spacyfreak
spacyfreak 04.05.2008 um 17:39:09 Uhr
Goto Top
ip access-list outside_in permit ip any host 85.67.6.128