Remote VPN

Gibo® · lun 17 set , 2007 4:30 pm

Ciao a tutti,
ho un 1721 con modulo VPN accellerator connesso in DSL Tiscali e con un Pix501 a protezione della LAN.
Devo creare una configurazione per l'accesso esterno su VPN Remote, essenzialmente da client Windows ma anche con VPN Client di Cisco.
Vorrei sapere se è conviente terminare la VPN sul 1721 con HW specifico o è meglio farlo sul PIX.
La connessione al provider è PPP.
Anche degli esempi di conf sono molto graditi.

Grazie per l'aiuto!

Gibo® · mar 18 set , 2007 2:20 pm

!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname xxxxxx
!
boot-start-marker
boot-end-marker
!
no logging buffered
enable secret 5
enable password 7
!
aaa new-model
!
!
aaa authentication login VPN_User_List local
aaa authorization network VPN_User_Group local
!
aaa session-id common
!
resource policy
!
memory-size iomem 25
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
no ip source-route
!
ip cef
ip ips notify SDEE
ip ips name sdm_ips_rule_101 list 101
ip ips name sdm_ips_rule
ip ddns update method DynDNS
HTTP
add ....
!
crypto pki trustpoint TP-self-signed
....

username xxxxx privilege 15 password 7
!
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp client configuration address-pool local VPN_Client_Pool
crypto isakmp xauth timeout 60
!
crypto isakmp client configuration group VPN_User_Group
key xxxxx
dns 2xxxxxxx
domain local
pool VPN_Client_Pool
acl 150
!
!
crypto ipsec transform-set MySet esp-3des esp-md5-hmac
!
crypto dynamic-map DPNDynamic 10
set transform-set MySet
reverse-route
!
!
crypto map Crypto_VPN 10 ipsec-isakmp dynamic DPNDynamic
!
crypto map DPNDynamic client authentication list VPN_User_List
crypto map DPNDynamic isakmp authorization list VPN_User_Group
crypto map DPNDynamic client configuration address initiate
crypto map DPNDynamic client configuration address respond
crypto map DPNDynamic 10 ipsec-isakmp dynamic DPNDynamic
!
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
crypto map DPNDynamic
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
!
interface FastEthernet0
ip address 192.168.200.253 255.255.255.0
ip nat inside
no ip virtual-reassembly
speed auto
full-duplex
!
interface Serial0
bandwidth 2048
ip address 192.168.15.1 255.255.255.252
!
interface Serial1
no ip address
shutdown
!
interface Dialer0
ip ddns update hostname
ip ddns update
ip address negotiated
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
no cdp enable
ppp chap hostname
ppp chap password
ppp pap sent-username
ppp ipcp dns request
ppp multilink
crypto map DPNDynamic
!
ip local pool VPN_Client_Pool 192.168.201.180 192.168.201.185
ip route 0.0.0.0 0.0.0.0 Dialer0
ip dns server
ip http server
ip http port 8065
ip http authentication local
ip http secure-server
!
ip nat inside source list 101 interface Dialer0 overload
!
!
!
ip access-list extended addr-pool
access-list 101 permit ip 192.168.200.0 0.0.0.255 any
access-list 150 permit ip 192.168.201.0 0.0.0.255 any
dialer-list 1 protocol ip permit
snmp-server community xxxx
!
control-plane
!
line con 0
exec-timeout 30 0
password 7
transport output all
stopbits 1
line aux 0
line vty 0 4
access-class 23 in
exec-timeout 120 0
password 7
length 0
transport input all
transport output all
!
end

Wizard · gio 20 set , 2007 9:37 pm

Nat delle porte specifiche per le vpn poi configuri le vpn client sul pix!

Gibo® · ven 21 set , 2007 2:59 pm

Ah ok grazie!

..quindi 1194/tcp e 1194/udp in out e in o ci sono altre porte relative al tipo di connessione che si intende effettuare (es ftp,http,etc.)

Wizard · ven 21 set , 2007 3:38 pm

X la vpn:

pptp: 1723 tcp e gre
ipsec: 4500 e 500 udp

Gibo® · mer 26 set , 2007 10:56 am

Grazie, proverò con IPSec appena ho un attimo di tempo...

Grazie della tua disponibilità intanto...!!!
Ci sono dei comadi per fare degugging sulla VPN?
ho gia visto sh crypto e sh vpn
ciauz!

Wizard · mer 26 set , 2007 11:01 am

Codice: Seleziona tutto

debug crypto ipsec
debug crypto isakmp

sh crypto isakmp sa
sh crypto ipsec sa

Gibo® · mar 02 ott , 2007 10:04 am

..scusami altra info ...perdono

Amministro il router da remoto e vorrei (dovrei) farlo anche per il PIX in LAN(outside) per fare le modifiche indicatemi...ma non "rompo" la sicurezza su questa interfaccia?
Come dovrei fare? lato pix e lato router?

wan---router--lanout-pix--lanin

grazie ciao

Wizard · mar 02 ott , 2007 10:20 am

In tutti i casi devi dare il comando:

ssh ip_pubblico outside

Se ad esempio vuoi permettere tutti le connessioni ssh e https al tuo firewall devi fare:

ssh 0.0.0.0 0.0.0.0 outside
https server enable 0.0.0.0 0.0.0.0 outside

Chiaro che se fai in questo modo apri un bel buco, ti consiglio di fissare l'ip sorgente.

Il pix ha un ip pubblico nella outsoide vero?!
Se non la ha devi nattare le porte sul router prima

Gibo® · mar 02 ott , 2007 11:34 am

eh!

grazie tantissimo x la tua disponibilità...IMMEDIATA!

no il router è in IP dinamico e lo raggiungo con DDNS nomehost..si bhè diciamo che salvo interruzoni ( e da 3 weeks non ce ne sono state

) posso ritenerlo STATICO

Salvo un mio reload...
..quindi per fare quello che dici presumo di dover mettere il nome dell'interfaccia o lo stesso IP della fe0 del 1721
Grazieeee

Wizard · mar 02 ott , 2007 12:16 pm

no, devi impostare l'ip sorgente da cui ti colleghi al pix.

ronon · lun 08 ott , 2007 9:01 pm

Io facevo così:
Facevo partire il tunnel con il vpn client, desktop remoto su una macchina interna, telnet sul pix.... non sarà molto elegante ma funzia e non fa bichi nella sicurezza.
Ciao

Remote VPN

Login • Iscriviti