VPN da pix a concentrator...

giankyfava · lun 18 feb , 2008 11:52 am

Salve,
mi è stato chiesto di fare una particolare configurazione su un pix per far accedere ad una serie di servizi il mio cliente. In sostanza si tratta di accedere ad un vpn concentrator il mio pix 515e, ma per poterlo fare devo accedere con un indirizzo pubblico che non è i lmio (mi è stato asseganto dal gestore dei servizi), ovvero devo 'far finta' di avere un indirizzo diverso da quello con cui esco per collegarmi al peer. Mi hanno comunicato:
1) Indirizzo remoto con cui il loro concentrator crea la vpn.
2) Indirizzo con cui fare nat assegnato a me.
3) Indirizzo loro con cui fare la vpn.
4) PSK
5) Tipo di crittografia.
6) Subnet ruotate.
Il collegamento verrà effettuato con VPN IPSEC con PSK in 3des esp/sha/hmac-160. Inoltre devo 'routare' 7 subnet (che vorrebbe dire

). La mia conf attuale è questa:

Codice: Seleziona tutto

PIX Version 6.3(4)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password xxxxxxxxxxxxx encrypted
passwd xxxxxxxxxxx encrypted
hostname pix
domain-name pippo
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
access-list 80 permit ip 100.0.0.0 255.0.0.0 192.168.10.0 255.255.255.0
access-list 101 permit ip 192.168.1.0 255.255.255.0 100.10.0.0 255.255.255.0
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside xxxxxxxxx 255.255.255.240
ip address inside 100.10.0.100 255.0.0.0
ip audit info action alarm
ip audit attack action alarm
ip local pool vpnclientpool 100.10.0.150-100.10.0.159
pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list 80
nat (inside) 1 100.0.0.0 255.0.0.0 0 0
static (inside,outside) xxxxxxxxxxx 100.10.0.93 netmask 255.255.255.255 0 0
route outside 0.0.0.0 0.0.0.0 yyyyyyyyyy 1
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 100.10.0.0 255.255.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
sysopt connection permit-pptp
crypto ipsec transform-set pluto_set esp-des esp-sha-hmac
crypto map locale 10 ipsec-isakmp
crypto map locale 10 match address 80
crypto map locale 10 set peer yyyyyyyyyyyyyyyy
crypto map locale 10 set transform-set pluto_set
crypto map locale interface outside
isakmp enable outside
isakmp key ******** address zzzzzzzzzzzz netmask 255.255.255.255
isakmp identity address
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption des
isakmp policy 10 hash sha
isakmp policy 10 group 1
isakmp policy 10 lifetime 86400
telnet 100.10.0.0 255.255.0.0 inside
telnet timeout 5
ssh xxxxxxxxxx 255.255.255.255 outside
ssh yyyyyyyyy 255.255.255.255 outside
ssh zzzzzzzzzzz 255.255.255.255 outside
ssh 100.10.0.0 255.255.255.0 inside
ssh timeout 60
console timeout 0
vpdn group 1 accept dialin pptp
vpdn group 1 ppp authentication pap
vpdn group 1 ppp authentication chap
vpdn group 1 ppp authentication mschap
vpdn group 1 ppp encryption mppe 40
vpdn group 1 client configuration address local vpnclientpool
vpdn group 1 pptp echo 60
vpdn group 1 client authentication local
vpdn username topolino password *********
vpdn enable outside
dhcpd lease 3600
dhcpd ping_timeout 750
terminal width 80

Come potete vedere ho già una vpn punto punto e un vpn server attivi, come posso realizzare ciò che mi chiedono senza toglielre ciò che ho già configurato? Grazie per l'aiuto, spero di essermi spiegato a sufficienza...

giankyfava · mar 19 feb , 2008 3:07 pm

nessuno??? ne avrei proprio bisogno...

Wizard · mar 19 feb , 2008 5:53 pm

Dalla parte pix configura una vpn come se fosse un altro pix\asa

giankyfava · mar 19 feb , 2008 6:45 pm

Wizard ha scritto:Dalla parte pix configura una vpn come se fosse un altro pix\asa

Ok e per tutto il resto?

Wizard · mar 19 feb , 2008 6:58 pm

il vpn concentrator ha una comodissima interfaccia grafica

giankyfava · mar 19 feb , 2008 7:46 pm

Wizard ha scritto:il vpn concentrator ha una comodissima interfaccia grafica

No no ma io devo configurare solo il pix... intendevo per usare l'indirizzo pubblico che mi danno loro e le subnet da ruotare...

Wizard · mer 20 feb , 2008 10:15 am

Il tuo ip pubblico non lo puoi cambiare (ip interfaccia outside) mentre per la rete interna "basta" che fai delle regole di nat o policy-nat.
Se non hai mai fatto nulla del genere documentati un po' prima perchè non è una cosa troppo banale

giankyfava · mer 20 feb , 2008 1:41 pm

Wizard ha scritto:Il tuo ip pubblico non lo puoi cambiare (ip interfaccia outside) mentre per la rete interna "basta" che fai delle regole di nat o policy-nat.
Se non hai mai fatto nulla del genere documentati un po' prima perchè non è una cosa troppo banale

Quindi l'indirizzo che mi assegnano lo dovrei configurare come secondario nella mia interfaccia inside?

Wizard · gio 21 feb , 2008 11:06 am

Assolutamente no anche perchè non puoi impostare un ip secondario alla interfaccia su pix

giankyfava · gio 21 feb , 2008 12:37 pm

Wizard ha scritto:Assolutamente no anche perchè non puoi impostare un ip secondario alla interfaccia su pix

Già...

non è mica un router... mi potresti linkare un pò di documentazione a riguardo ? Grazie.

VPN da pix a concentrator...

Login • Iscriviti