IPSec sul PIX

MaiO · sab 15 ott , 2005 10:59 am

Buongiorno a tutti,

avrei una domanda da farvi.

Ho un PIX 515E con 2 IPSec attive.
In questo momento non filtro il traffico proveniente dalle VPN.
sysopt connection permit-ipsec
Vorrei togliere questo statemant e utilizzare le ACL per permettere solo ad alcuni IP di accedere nelle mia rete.

Qualche suggerimente su come deve essere la ACL?

inside: 10.10.9.10/24
IPSec: 10.10.9.12/24

Un altra cosa, dove deve essere applicata/aggiunta questa ACL, sulla ouside?

Grazie

andrewp · sab 15 ott , 2005 11:47 am

MaiO ha scritto:inside: 10.10.9.10/24
IPSec: 10.10.9.12/24

Che significa?Mascherandoli /24 prendi comunque tutta la sottorete, vuoi permettere solamente quei 2 IP ?!

MaiO · lun 17 ott , 2005 8:55 am

scusate un errore di batitura:

intendevo:

inside: 10.10.9.0/24
IPSec: 10.10.12.0/24

dovrei permetere solo al 10.10.12.9 ad accedere al 10.10.9.50

Scusate lapsus.

Grazie

Renato.Efrati · lun 17 ott , 2005 9:52 am

10.10.9.0/24
10.10.12.0/24
immagino che queste siano le 2 lan dei 2 peer giusto?
bhe se hai necessita di discriminire il traffico che deve essere cryptato basta che agisci modificanto la crypto access-list il comando sysopt connection permit-ipsec serve semplicemente a dire al pix di accettare le richieste ike sulla porta udp 500

se hai altre domande chiedi.

MaiO · lun 17 ott , 2005 10:05 am

Questa è la situazione.

rete 10.10.9.0/24 ---- PIX515E 1 ---- router ------router --- PIX 515E 2 --- rete 10.10.12.0/24

La VPN via IPSEC è già configurata e funziona. Adesso vorei permettere tutto il traffico dalla 10.10.9.0 verso la 10.10.12.0. Dalla 10.10.12.0 verso la 10.10.9.0 devo però permettere solotanto l'host 10.10.12.9 verso il 10.10.9.50. In tutto agendo soltanto sul PIZ515E 1.
La conf per IPSec è quella standard suggerita dalla cisco nel documento IPSec User Guide for Cisco Secure PIX Firewall Version 6.0.pdf . Le versoini del IOS sono 6.3(1).

Grazie

Renato.Efrati · lun 17 ott , 2005 12:03 pm

posti la cfg ?

cmq te l'ho detto basta ke modifichi la crypto access list

MaiO · lun 17 ott , 2005 4:48 pm

access-list NONAT permit ip 192.168.144.0 255.255.255.0 10.10.12.0 255.255.255.0
nat (inside) 0 NONAT
access-list outside_access_in xxxx
access-list outside_access_in xxxx
access-list outside_access_in xxxx
ip address inside 192.168.144.254 255.255.255.0
access-group outside_access_in in interface outside
access-list outside_cryptomap_20 permit ip 192.168.144.0 255.255.255.0 10.10.12.0 255.255.255.0
sysopt connection permit-ipsec
crypto map outside_map 20 ipsec-isakmp
crypto map outside_map 20 match address outside_cryptomap_20
crypto map outside_map 20 set peer xxx.xxx.xxx.xxx
crypto map outside_map 20 set transform-set IDUMA
isakmp enable outside
isakmp key ******** address xxx.xxx.xxx.xxx netmask 255.255.255.255 no-xauth no-config-mode
isakmp identity address
isakmp keepalive 360 10
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption des
isakmp policy 20 hash md5
isakmp policy 20 group 1
isakmp policy 20 lifetime 86400

senza farti leggere tutta la conf. penso che questo sia sufficiente.

Renato.Efrati · lun 17 ott , 2005 11:18 pm

outside_cryptomap_20
questa specifica il traffico ke deve essere cryptato quindi in questo caso chi parla con chi

MaiO · mar 18 ott , 2005 8:45 am

Ma io dal Sito1 vorrei che partisse tutto il traffico. Il traffico in entrata dovrebbe essere filtrato e bloccato. Facciamo conto che io non abbia la possibilità di intervenire sul Sito2. Su che ACL e in che modo devo intervenire????

Grazie

MaiO · sab 05 nov , 2005 12:01 pm

Ecco la risposta:

basta togliere SYSOPT CONNECTION PERMIT-IPSEC

e poi giocare con le ACL

access-list outside_access_in permit tcp host AS400_IDP host HP4050tn

AS400_IDP = 10.10.12.9
HP4050tn = 192.168.144.50

Grazie CMQ

Ciao

Renato.Efrati · sab 05 nov , 2005 4:22 pm

MaiO ha scritto:Ecco la risposta:

basta togliere SYSOPT CONNECTION PERMIT-IPSEC

e poi giocare con le ACL

access-list outside_access_in permit tcp host AS400_IDP host HP4050tn

AS400_IDP = 10.10.12.9
HP4050tn = 192.168.144.50

Grazie CMQ

Ciao

cm fai a fare una vpn senza SYSOPT CONNECTION PERMIT-IPSEC

MaiO · lun 07 nov , 2005 9:26 am

Implicitly permit any packet that came from an IPSec tunnel and bypass the checking of an associated access-list, conduit, or access-group command statement for IPSec connections.

Associando delle righe nella ACL applicata al outside e al traffico proveniente dalla IPSec.
Volendo si potrebbe togliere lo statemant della NAT 0 e effetuare un NAT "a mano", utile nei case se devi fare due ipsec con altretante cedi che entrambe utilizzano la stessa subnet.

Più cose scopro e più sto pix mi piace!

Ciao

IPSec sul PIX

Login • Iscriviti