Pagina 1 di 1
IPSec sul PIX
Inviato: sab 15 ott , 2005 10:59 am
da MaiO
Buongiorno a tutti,
avrei una domanda da farvi.
Ho un PIX 515E con 2 IPSec attive.
In questo momento non filtro il traffico proveniente dalle VPN.
sysopt connection permit-ipsec
Vorrei togliere questo statemant e utilizzare le ACL per permettere solo ad alcuni IP di accedere nelle mia rete.
Qualche suggerimente su come deve essere la ACL?
inside: 10.10.9.10/24
IPSec: 10.10.9.12/24
Un altra cosa, dove deve essere applicata/aggiunta questa ACL, sulla ouside?
Grazie
Re: IPSec sul PIX
Inviato: sab 15 ott , 2005 11:47 am
da andrewp
MaiO ha scritto:inside: 10.10.9.10/24
IPSec: 10.10.9.12/24
Che significa?Mascherandoli /24 prendi comunque tutta la sottorete, vuoi permettere solamente quei 2 IP ?!
Inviato: lun 17 ott , 2005 8:55 am
da MaiO
scusate un errore di batitura:
intendevo:
inside: 10.10.9.0/24
IPSec: 10.10.12.0/24
dovrei permetere solo al 10.10.12.9 ad accedere al 10.10.9.50
Scusate lapsus.
Grazie
Inviato: lun 17 ott , 2005 9:52 am
da Renato.Efrati
10.10.9.0/24
10.10.12.0/24
immagino che queste siano le 2 lan dei 2 peer giusto?
bhe se hai necessita di discriminire il traffico che deve essere cryptato basta che agisci modificanto la crypto access-list il comando sysopt connection permit-ipsec serve semplicemente a dire al pix di accettare le richieste ike sulla porta udp 500
se hai altre domande chiedi.
Inviato: lun 17 ott , 2005 10:05 am
da MaiO
Questa è la situazione.
rete 10.10.9.0/24 ---- PIX515E 1 ---- router ------router --- PIX 515E 2 --- rete 10.10.12.0/24
La VPN via IPSEC è già configurata e funziona. Adesso vorei permettere tutto il traffico dalla 10.10.9.0 verso la 10.10.12.0. Dalla 10.10.12.0 verso la 10.10.9.0 devo però permettere solotanto l'host 10.10.12.9 verso il 10.10.9.50. In tutto agendo soltanto sul PIZ515E 1.
La conf per IPSec è quella standard suggerita dalla cisco nel documento IPSec User Guide for Cisco Secure PIX Firewall Version 6.0.pdf . Le versoini del IOS sono 6.3(1).
Grazie
Inviato: lun 17 ott , 2005 12:03 pm
da Renato.Efrati
posti la cfg ?
cmq te l'ho detto basta ke modifichi la crypto access list
Inviato: lun 17 ott , 2005 4:48 pm
da MaiO
access-list NONAT permit ip 192.168.144.0 255.255.255.0 10.10.12.0 255.255.255.0
nat (inside) 0 NONAT
access-list outside_access_in xxxx
access-list outside_access_in xxxx
access-list outside_access_in xxxx
ip address inside 192.168.144.254 255.255.255.0
access-group outside_access_in in interface outside
access-list outside_cryptomap_20 permit ip 192.168.144.0 255.255.255.0 10.10.12.0 255.255.255.0
sysopt connection permit-ipsec
crypto map outside_map 20 ipsec-isakmp
crypto map outside_map 20 match address outside_cryptomap_20
crypto map outside_map 20 set peer xxx.xxx.xxx.xxx
crypto map outside_map 20 set transform-set IDUMA
isakmp enable outside
isakmp key ******** address xxx.xxx.xxx.xxx netmask 255.255.255.255 no-xauth no-config-mode
isakmp identity address
isakmp keepalive 360 10
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption des
isakmp policy 20 hash md5
isakmp policy 20 group 1
isakmp policy 20 lifetime 86400
senza farti leggere tutta la conf. penso che questo sia sufficiente.
Inviato: lun 17 ott , 2005 11:18 pm
da Renato.Efrati
outside_cryptomap_20
questa specifica il traffico ke deve essere cryptato quindi in questo caso chi parla con chi
Inviato: mar 18 ott , 2005 8:45 am
da MaiO
Ma io dal Sito1 vorrei che partisse tutto il traffico. Il traffico in entrata dovrebbe essere filtrato e bloccato. Facciamo conto che io non abbia la possibilità di intervenire sul Sito2. Su che ACL e in che modo devo intervenire????
Grazie
Inviato: sab 05 nov , 2005 12:01 pm
da MaiO
Ecco la risposta:
basta togliere SYSOPT CONNECTION PERMIT-IPSEC
e poi giocare con le ACL
access-list outside_access_in permit tcp host AS400_IDP host HP4050tn
AS400_IDP = 10.10.12.9
HP4050tn = 192.168.144.50
Grazie CMQ
Ciao
Inviato: sab 05 nov , 2005 4:22 pm
da Renato.Efrati
MaiO ha scritto:Ecco la risposta:
basta togliere SYSOPT CONNECTION PERMIT-IPSEC
e poi giocare con le ACL
access-list outside_access_in permit tcp host AS400_IDP host HP4050tn
AS400_IDP = 10.10.12.9
HP4050tn = 192.168.144.50
Grazie CMQ
Ciao
cm fai a fare una vpn senza SYSOPT CONNECTION PERMIT-IPSEC
Inviato: lun 07 nov , 2005 9:26 am
da MaiO
Implicitly permit any packet that came from an IPSec tunnel and bypass the checking of an associated access-list, conduit, or access-group command statement for IPSec connections.
Associando delle righe nella ACL applicata al outside e al traffico proveniente dalla IPSec.
Volendo si potrebbe togliere lo statemant della NAT 0 e effetuare un NAT "a mano", utile nei case se devi fare due ipsec con altretante cedi che entrambe utilizzano la stessa subnet.
Più cose scopro e più sto pix mi piace!
Ciao