Buongiorno a tutti,
avrei una domanda da farvi.
Ho un PIX 515E con 2 IPSec attive.
In questo momento non filtro il traffico proveniente dalle VPN.
sysopt connection permit-ipsec
Vorrei togliere questo statemant e utilizzare le ACL per permettere solo ad alcuni IP di accedere nelle mia rete.
Qualche suggerimente su come deve essere la ACL?
inside: 10.10.9.10/24
IPSec: 10.10.9.12/24
Un altra cosa, dove deve essere applicata/aggiunta questa ACL, sulla ouside?
Grazie
IPSec sul PIX
Moderatore: Federico.Lagni
- MaiO
- Messianic Network master
- Messaggi: 1083
- Iscritto il: sab 15 ott , 2005 10:55 am
- Località: Milano
- Contatta:
- MaiO
- Messianic Network master
- Messaggi: 1083
- Iscritto il: sab 15 ott , 2005 10:55 am
- Località: Milano
- Contatta:
scusate un errore di batitura:
intendevo:
inside: 10.10.9.0/24
IPSec: 10.10.12.0/24
dovrei permetere solo al 10.10.12.9 ad accedere al 10.10.9.50
Scusate lapsus.
Grazie
intendevo:
inside: 10.10.9.0/24
IPSec: 10.10.12.0/24
dovrei permetere solo al 10.10.12.9 ad accedere al 10.10.9.50
Scusate lapsus.
Grazie
-
- Holy network Shaman
- Messaggi: 637
- Iscritto il: gio 07 apr , 2005 9:30 pm
- Località: Cisco Systems Inc. West Tasman Drive 170, San Jose CA
- Contatta:
10.10.9.0/24
10.10.12.0/24
immagino che queste siano le 2 lan dei 2 peer giusto?
bhe se hai necessita di discriminire il traffico che deve essere cryptato basta che agisci modificanto la crypto access-list il comando sysopt connection permit-ipsec serve semplicemente a dire al pix di accettare le richieste ike sulla porta udp 500
se hai altre domande chiedi.
10.10.12.0/24
immagino che queste siano le 2 lan dei 2 peer giusto?
bhe se hai necessita di discriminire il traffico che deve essere cryptato basta che agisci modificanto la crypto access-list il comando sysopt connection permit-ipsec serve semplicemente a dire al pix di accettare le richieste ike sulla porta udp 500
se hai altre domande chiedi.
CCIE Routing & Switching # 20567
CCNP R&S - CCNP Sec - CCNP Collaboration - CCNP Datacenter - CCDP - VCP6-DCV
- MaiO
- Messianic Network master
- Messaggi: 1083
- Iscritto il: sab 15 ott , 2005 10:55 am
- Località: Milano
- Contatta:
Questa è la situazione.
rete 10.10.9.0/24 ---- PIX515E 1 ---- router ------router --- PIX 515E 2 --- rete 10.10.12.0/24
La VPN via IPSEC è già configurata e funziona. Adesso vorei permettere tutto il traffico dalla 10.10.9.0 verso la 10.10.12.0. Dalla 10.10.12.0 verso la 10.10.9.0 devo però permettere solotanto l'host 10.10.12.9 verso il 10.10.9.50. In tutto agendo soltanto sul PIZ515E 1.
La conf per IPSec è quella standard suggerita dalla cisco nel documento IPSec User Guide for Cisco Secure PIX Firewall Version 6.0.pdf . Le versoini del IOS sono 6.3(1).
Grazie
rete 10.10.9.0/24 ---- PIX515E 1 ---- router ------router --- PIX 515E 2 --- rete 10.10.12.0/24
La VPN via IPSEC è già configurata e funziona. Adesso vorei permettere tutto il traffico dalla 10.10.9.0 verso la 10.10.12.0. Dalla 10.10.12.0 verso la 10.10.9.0 devo però permettere solotanto l'host 10.10.12.9 verso il 10.10.9.50. In tutto agendo soltanto sul PIZ515E 1.
La conf per IPSec è quella standard suggerita dalla cisco nel documento IPSec User Guide for Cisco Secure PIX Firewall Version 6.0.pdf . Le versoini del IOS sono 6.3(1).
Grazie
-
- Holy network Shaman
- Messaggi: 637
- Iscritto il: gio 07 apr , 2005 9:30 pm
- Località: Cisco Systems Inc. West Tasman Drive 170, San Jose CA
- Contatta:
posti la cfg ?
cmq te l'ho detto basta ke modifichi la crypto access list
cmq te l'ho detto basta ke modifichi la crypto access list
CCIE Routing & Switching # 20567
CCNP R&S - CCNP Sec - CCNP Collaboration - CCNP Datacenter - CCDP - VCP6-DCV
- MaiO
- Messianic Network master
- Messaggi: 1083
- Iscritto il: sab 15 ott , 2005 10:55 am
- Località: Milano
- Contatta:
access-list NONAT permit ip 192.168.144.0 255.255.255.0 10.10.12.0 255.255.255.0
nat (inside) 0 NONAT
access-list outside_access_in xxxx
access-list outside_access_in xxxx
access-list outside_access_in xxxx
ip address inside 192.168.144.254 255.255.255.0
access-group outside_access_in in interface outside
access-list outside_cryptomap_20 permit ip 192.168.144.0 255.255.255.0 10.10.12.0 255.255.255.0
sysopt connection permit-ipsec
crypto map outside_map 20 ipsec-isakmp
crypto map outside_map 20 match address outside_cryptomap_20
crypto map outside_map 20 set peer xxx.xxx.xxx.xxx
crypto map outside_map 20 set transform-set IDUMA
isakmp enable outside
isakmp key ******** address xxx.xxx.xxx.xxx netmask 255.255.255.255 no-xauth no-config-mode
isakmp identity address
isakmp keepalive 360 10
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption des
isakmp policy 20 hash md5
isakmp policy 20 group 1
isakmp policy 20 lifetime 86400
senza farti leggere tutta la conf. penso che questo sia sufficiente.
nat (inside) 0 NONAT
access-list outside_access_in xxxx
access-list outside_access_in xxxx
access-list outside_access_in xxxx
ip address inside 192.168.144.254 255.255.255.0
access-group outside_access_in in interface outside
access-list outside_cryptomap_20 permit ip 192.168.144.0 255.255.255.0 10.10.12.0 255.255.255.0
sysopt connection permit-ipsec
crypto map outside_map 20 ipsec-isakmp
crypto map outside_map 20 match address outside_cryptomap_20
crypto map outside_map 20 set peer xxx.xxx.xxx.xxx
crypto map outside_map 20 set transform-set IDUMA
isakmp enable outside
isakmp key ******** address xxx.xxx.xxx.xxx netmask 255.255.255.255 no-xauth no-config-mode
isakmp identity address
isakmp keepalive 360 10
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption des
isakmp policy 20 hash md5
isakmp policy 20 group 1
isakmp policy 20 lifetime 86400
senza farti leggere tutta la conf. penso che questo sia sufficiente.
-
- Holy network Shaman
- Messaggi: 637
- Iscritto il: gio 07 apr , 2005 9:30 pm
- Località: Cisco Systems Inc. West Tasman Drive 170, San Jose CA
- Contatta:
outside_cryptomap_20
questa specifica il traffico ke deve essere cryptato quindi in questo caso chi parla con chi
questa specifica il traffico ke deve essere cryptato quindi in questo caso chi parla con chi
CCIE Routing & Switching # 20567
CCNP R&S - CCNP Sec - CCNP Collaboration - CCNP Datacenter - CCDP - VCP6-DCV
- MaiO
- Messianic Network master
- Messaggi: 1083
- Iscritto il: sab 15 ott , 2005 10:55 am
- Località: Milano
- Contatta:
Ma io dal Sito1 vorrei che partisse tutto il traffico. Il traffico in entrata dovrebbe essere filtrato e bloccato. Facciamo conto che io non abbia la possibilità di intervenire sul Sito2. Su che ACL e in che modo devo intervenire????
Grazie
Grazie
- MaiO
- Messianic Network master
- Messaggi: 1083
- Iscritto il: sab 15 ott , 2005 10:55 am
- Località: Milano
- Contatta:
Ecco la risposta:
basta togliere SYSOPT CONNECTION PERMIT-IPSEC
e poi giocare con le ACL
access-list outside_access_in permit tcp host AS400_IDP host HP4050tn
AS400_IDP = 10.10.12.9
HP4050tn = 192.168.144.50
Grazie CMQ
Ciao
basta togliere SYSOPT CONNECTION PERMIT-IPSEC
e poi giocare con le ACL
access-list outside_access_in permit tcp host AS400_IDP host HP4050tn
AS400_IDP = 10.10.12.9
HP4050tn = 192.168.144.50
Grazie CMQ
Ciao
-=] MaiO [=-
-
- Holy network Shaman
- Messaggi: 637
- Iscritto il: gio 07 apr , 2005 9:30 pm
- Località: Cisco Systems Inc. West Tasman Drive 170, San Jose CA
- Contatta:
cm fai a fare una vpn senza SYSOPT CONNECTION PERMIT-IPSECMaiO ha scritto:Ecco la risposta:
basta togliere SYSOPT CONNECTION PERMIT-IPSEC
e poi giocare con le ACL
access-list outside_access_in permit tcp host AS400_IDP host HP4050tn
AS400_IDP = 10.10.12.9
HP4050tn = 192.168.144.50
Grazie CMQ
Ciao
CCIE Routing & Switching # 20567
CCNP R&S - CCNP Sec - CCNP Collaboration - CCNP Datacenter - CCDP - VCP6-DCV
- MaiO
- Messianic Network master
- Messaggi: 1083
- Iscritto il: sab 15 ott , 2005 10:55 am
- Località: Milano
- Contatta:
Associando delle righe nella ACL applicata al outside e al traffico proveniente dalla IPSec.Implicitly permit any packet that came from an IPSec tunnel and bypass the checking of an associated access-list, conduit, or access-group command statement for IPSec connections.
Volendo si potrebbe togliere lo statemant della NAT 0 e effetuare un NAT "a mano", utile nei case se devi fare due ipsec con altretante cedi che entrambe utilizzano la stessa subnet.
Più cose scopro e più sto pix mi piace!
Ciao
-=] MaiO [=-