Allora: site to site, due PIX515E con DES, seguo questa guida
http://www.cisco.com/univercd/cc/td/doc ... tm#xtocid3
ma è fatta per una versione + vecchia di quella che ho (7.2.1) e infatti il comando nat 0 così com'è non va, c'ho dovuto mettere (dmz) tra nat e 0
Per il resto che ne dite? deve andare? ho gia passato questo al primo pix
sysopt connection permit-ipsec
isakmp enable newext
isakmp policy 9 authentication pre-share
isakmp policy 9 encrypt des
crypto isakmp key ******* address x.y.w.z
crypto ipsec transform-set strong esp-des esp-sha-hmac
access-list 90 permit ip 192.168.1.0 255.255.255.0 192.168.3.0 255.255.255.0
nat (dmz) 0 access-list 90
crypto map toALTRA 20 ipsec-isakmp
crypto map toALTRA 20 match address 90
crypto map toALTRA 20 set transform-set strong
crypto map toALTRA 20 set peer x.y.w.z
crypto map toALTRA interface newext
Configurando anche l'altro pix, la vpn funge con quanto scritto sopra? (ovviamente adattando il tutto al pix di destinazione e cambiando peer etc etc)
inoltre... questa config dovrà mettere in comunicazione le due dmz, ma il caso volle che anche l'altro pix ha la stessa c class per la dmz, e nessuno dei due può facilmente cambiare classe. Pensavo allora di creare due vlan sui due pix (chiamamole newdmz), interfaccia dmz, e poi nattare da dmz a newdmz (la access list 90 infatti non è calibrata sulla configurazione reale delle reti), che ne dite?
Ciao a tutti
