Aiuto PIX515E e SSL-VPN312 Netgear...

Alberto70 · lun 09 lug , 2007 2:51 pm

Salve a tutti ,
mi chiamo Alberto e volevo sapere se c'è qualcuno che può darmi una mano per configuare il PIX515E (6.30) in modo da poter far transitare il traffico HTTPS in entrata verso un SSL-VPN NETGEAR 312 che si trova
nella rete interna dietro al firewall .
Il PIX è già configurato con il suo VPN difatti usando il client Cisco funziona
tutto alla perfezione...
Ora vorrei attivare anche questo apparecchietto per aumentare le possibilità di connessione dall'esterno...senza creare problemi alla connessione VPN esistente...

thank's
Alberto

Wizard · lun 09 lug , 2007 3:59 pm

In pratica vuoi ridirezionare la porta 80 del ip pubblico del pix con la porta 80 del netgear?
Se è così basta una semplice regola di nat e la acl associata.

Alberto70 · lun 09 lug , 2007 4:11 pm

...Grazie della tua pronta risposta Wizard!!!

Se non ho letto male dovrebbe essere la porta 443 quindi la Https ma non sono molto pratico e non sò cosa inserire nei comandi da dare al PIX.
Sono molto "basic user" .
Io praticamente dovrei fare in modo che digitando https://ip pubblico da casa mi rispondesse stò Netgear penso anche lui via https.
E' il modello SSL-VPN312 e lo ho configurato con indirizzo della rete interna e quindi si trova dietro al firewall...

Wizard · lun 09 lug , 2007 4:17 pm

OK:

Codice: Seleziona tutto

static (inside,outside) tcp IP_PUBBLICO 443 IP_INTERNO 443 netmask 255.255.255.255

access-list *** permit tcp any any eq 443

access-group *** in interface outside

*** : nome acl in entrata.
Chiaramente se ne hai già una devi modificarla.

Alberto70 · lun 09 lug , 2007 4:35 pm

Grazie Wizard....

Ho sia ip pubblico del routerADSL sia quello del Firewall...devo usare quello del firewall ?!?!?
Quello del firewall lo uso per configurare i vpn client cisco...
L'interfaccia web del netgear poi dà la possibilità di installare un client
VPN che poi si autorimuove alla chiusura della pagina web.... non è che questo software poi mi darà problemi col VPN della Cisco ?!?!?
Come gateway del netgear ho impostato il gateway della rete che è un cisco 2800 portato dalla telecom...dovrebbe essere ok?!?!

Scusa se ti tormento ma sento di non saperne mezza....

Wizard · lun 09 lug , 2007 4:45 pm

Ho sia ip pubblico del routerADSL sia quello del Firewall...devo usare quello del firewall ?!?!?
Quello del firewall lo uso per configurare i vpn client cisco...
L'interfaccia web del netgear poi dà la possibilità di installare un client
VPN che poi si autorimuove alla chiusura della pagina web.... non è che questo software poi mi darà problemi col VPN della Cisco ?!?!?
Come gateway del netgear ho impostato il gateway della rete che è un cisco 2800 portato dalla telecom...dovrebbe essere ok?!?!

- Allora per l'ip pubblico usane uno diverso da quello usato dal pix o router poichè la porta 443 è meglio che la lasci libera (pdm) per il management grafico del pix. Dato che immagino abbia + di un ip pubblico statico usane uno libero (fai il nat su quello).

- Per la vpn continua ad usare quella sul pix! è sicuramente meglio di quella che puoi fare con il netgear

- Il gateway del netgear deve essere l'interfaccia inside del pix

Alberto70 · lun 09 lug , 2007 5:20 pm

Questo è l'estrapolato del pix :

access-list from-inside permit tcp object-group internal-nets any object-group allowed_srv
access-list from-inside permit udp 192.168.1.0 255.255.255.0 any eq domain
access-list from-inside permit udp 192.168.1.0 255.255.255.0 any eq ntp
access-list from-inside permit icmp any any
access-list from-inside permit tcp 192.168.1.0 255.255.255.0 10.112.1.0 255.255.255.0
access-list from-inside permit udp 192.168.1.0 255.255.255.0 10.112.1.0 255.255.255.0
access-list from-inside permit udp 192.168.2.0 255.255.255.0 any eq domain
access-list from-inside permit udp 192.168.3.0 255.255.255.0 any eq domain
access-list from-inside permit udp 192.168.4.0 255.255.255.0 any eq domain
access-list from-inside permit udp 192.168.6.0 255.255.255.0 any eq domain
access-list from-inside permit udp 192.168.1.0 255.255.255.0 10.112.1.0 255.255.255.0 eq tftp
access-list from-inside permit udp 192.168.0.0 255.255.0.0 10.112.1.0 255.255.255.0 eq tftp
access-list from-inside permit tcp 192.168.1.0 255.255.255.0 any eq 554
access-list from-inside deny ip object-group Controllo any
access-list from-inside deny ip any any
access-list from-inside permit tcp host 192.168.1.7 any eq ftp
access-list from-inside permit tcp host 192.168.1.7 any eq ftp-data
access-list from-outside permit tcp any host ippubblicomail eq smtp log
access-list from-outside deny tcp any host ippubblicomail eq pop3 log
access-list from-outside permit tcp any host ippubblicomail eq lotusnotes log
access-list from-outside deny tcp any host ippubblicomail eq https log
access-list nonat permit ip 192.168.0.0 255.255.0.0 10.112.1.0 255.255.255.0
access-list nonat permit ip 10.10.0.0 255.255.0.0 10.112.1.0 255.255.255.0

nat (inside) 0 access-list nonat
nat (inside) 1 192.168.1.0 255.255.255.0 0 0
nat (inside) 1 192.168.2.0 255.255.255.0 0 0
nat (inside) 1 192.168.3.0 255.255.255.0 0 0
nat (inside) 1 192.168.4.0 255.255.255.0 0 0
nat (inside) 1 192.168.6.0 255.255.255.0 0 0
static (inside,outside) ippubblicomail 192.168.1.14 netmask 255.255.255.255 0 0
access-group from-outside in interface outside
access-group from-inside in interface inside
route outside 0.0.0.0 0.0.0.0 ippubblicorouter 1
route inside 192.168.0.0 255.255.0.0 192.168.1.251 1

Ora faccio due prove....
Grazie infinitamente della tua disponibilità .... se sono disperato posso ridisturbarti ?!?!

Saluti e buona serata.
Alberto

Wizard · mar 10 lug , 2007 9:10 am

Fai tutte le tue prove e facci sapere

Alberto70 · mar 10 lug , 2007 11:21 am

Eccoci alle incertezze dopo le prime prove :

Ho inserito la riga:

static (inside,outside) tcp IP_PUBBLICO 443 IP_INTERNO 443 netmask 255.255.255.255
Guardando sul pix mi trovo la stessa riga con due zero alla fine :

static (inside,outside) tcp IP_PUBBLICO 443 IP_INTERNO 443 netmask 255.255.255.255 0 0
E' normale ?!?

Volevo chiederti inoltre se mi puoi spiegare il significato della :
access-list from-outside permit tcp any any eq 443
Io capisco : permetti a tutti i gli indirizzi esterni di comunicare con tutti gli indirizzi interni della rete con il protocollo https è giusto ??

Io mi ritrovo una riga già esistente :
access-list from-outside deny tcp any host ippubblicomail eq https log
Questa và in conflitto con la riga precedente o ci possono/devono stare entrambe.

Scusa per il bombardamento ma sono molto confuso...

Alberto

Wizard · mar 10 lug , 2007 11:29 am

static (inside,outside) tcp IP_PUBBLICO 443 IP_INTERNO 443 netmask 255.255.255.255 0 0
E' normale ?!?

Si tranquillo

Volevo chiederti inoltre se mi puoi spiegare il significato della :
access-list from-outside permit tcp any any eq 443
Io capisco : permetti a tutti i gli indirizzi esterni di comunicare con tutti gli indirizzi interni della rete con il protocollo https è giusto ??

Si, dice che permette il traffico da any verso any (porta 443).
Per fare una cosa precisa potresti fare:
access-list from-outside permit tcp any host IP_PUBBLICO eq 443

Io mi ritrovo una riga già esistente :
access-list from-outside deny tcp any host ippubblicomail eq https log
Questa và in conflitto con la riga precedente o ci possono/devono stare entrambe

Beh, siciuramente è praticamente l'opposto di quella che devi creare tu quindi va tolta anche se la metta dopo quella creata da te dove permetti le connessioni verso la porta 443 non fa nulla ma appunto per quello eliminala.[/quote]

Alberto70 · mar 10 lug , 2007 1:48 pm

Grande Wizard...
funziona ... vedo il sito https adesso farò delle prove con i vari plug-in preconfigurati.
Peccato che il portale della netgear non è modificabile a fondo come vorrei a meno di non riscrivere il firmware...almeno così ho letto in giro..
Tu lo hai mai usato questo apparecchio....cosa ne pensi?!?!?

Il concentrator della Cisco costrava un botto altrimenti avrei optato per quello...

Ciao
Alberto

Wizard · mar 10 lug , 2007 1:53 pm

I Cisco vpn concentrator non esistono più.
Un PIX515 ti può gestire tranquillamente un tot di connessioni vpn.
L'apparato della netgear che hai installato tu non lo conosco.

Alberto70 · mar 10 lug , 2007 2:32 pm

Azz non sapevo che non esistessero più....questo apparato della netgear ha di positivo che ci si può collegare da remoto anche senza aver installato in locale il client vpn .
Tra l'altro sul portale di connessione c'è la possibilità di installare un client vpn temporaneo che viene rimosso in automatico alla chiusura del Browser-Web...

Questo mi aveva attirato molto!

Wizard · mar 10 lug , 2007 2:44 pm

In sostanza fa delle web vpn...
Le può gestire anche un firewall cisco con la versione 7-8 della ios.

Alberto70 · mar 10 lug , 2007 4:20 pm

Ma anche il firewall che già ho ?!?
La versione del sistema è la 6.3(E) mi pare e mi hanno detto che per aggiornarlo alle versioni sucessive occorre + ram e poi non sò cos'altro...
Per questo alla fine mi sono deciso a provare stò netgear....

Se lo fà anche il PIX515 mi rosicchio la spalla a partire dalle mani!!!

Aiuto PIX515E e SSL-VPN312 Netgear...

Login • Iscriviti