Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

PIX 501 IPSEC mit NAT

Frage Netzwerke Router & Routing

Mitglied: newbie2007

newbie2007 (Level 1) - Jetzt verbinden

03.05.2008, aktualisiert 05.05.2008, 4732 Aufrufe, 12 Kommentare

Hallo Alle,
ich sitze jetzt schon eine ganze Weile bei zwei PIXen und versuche diese zu konfigurieren, doch anscheinend nur mit Teilerfolgen.

Ich wollte zwei Netze über einen IPsec Tunnel miteinander verbinden und so stelle ich mir das ganze vor.

PC1 <---> PIX 1 <----- IPSEC -----> PIX2 <---> PC2

Zwischen den beiden PIXen soll ein IPsec Tunnel gebaut werden (das klappt schon perfekt) nur habe ich jetzt das Problem, das der PC1 mit (der internen Adresse 10.0.1.55) vom PC2 über eine offizielle Adresse (xxx.65.67.128) angesprochen werden soll. d.h auf der PIX1 soll ein NAT eingerichtet werden, damit wenn ich von PC2 die offizielle IP (xxx.65.67.128) pinge der PC1 antwortet, doch leider funkt das so nicht.

Vielleicht kann mir jemand von euch helfen, ich habe jetzt schon in diversen Foren nachgesehen, doch leider nie das richtige gefunden.
Mitglied: spacyfreak
03.05.2008 um 20:14 Uhr
Also das könnte über eine STatic NAT Regel hinhauen

Auf PIX1 konfigurieren:

static (inside,outside) 86.65.67.128 10.0.1.55 netmask 255.255.255.255 1000 1000

(wobei 1000 1000 für max. Verbindungen und max. halboffene TCP Verbindungen steht - Schutz vor Denial of Service Angriffe..).

Jetzt kommts freilich drauf an... (bzw. dat hab ich noch nicht so recht kapische...)

1. Soll der Traffic von PC2 zu PC1 durch den Tunnel gehen und DANN erst auf eine öffentliche IP gemappt werden, die dann zu PC1 weitergeleitet wird?

2. Soll der Zugriff von PC2 auf PC1 unbhängig vom Tunnel erfolgen, einfach ein Zugriff auf eine öffentliche IP die dann auf PC1 genattet wird?
Bitte warten ..
Mitglied: newbie2007
03.05.2008 um 20:25 Uhr
Hallo spacyfreak,
erstmal danke für deine Antwort. Das mit static habe ich so auch schon probiert, doch leider habe ich kein DMZ Interface sondern nur ein Inside und ein Outside Interface daher schaut mein static so aus :

static (inside,outside) 86.65.67.128 10.0.1.55 netmask 255.255.255.255 1000 1000

Zu deiner Frage :
Der Traffic von PC2 soll zuerst durch den Tunnel gehen und dann suf eine bestimmte IP genated werden.

Ich danke dir für die Unterstützung
Bitte warten ..
Mitglied: spacyfreak
03.05.2008 um 20:43 Uhr
Das ist schon bisschen tricky...

Wenn PC2 eine "normale" Internetanbindung hat, und nur bestimmte Daten von PC2 bzw.dem Netz in dem er sich befindet, in den IPSEC Tunnel geschickt werden, dann würde die öffentl. IP 86.65.67.128 auch nicht durch den Tunnel geroutet werden sondern versucht werden die IP über das Internet zu erreichen (unabhängig vom Tunnel).

Wenn dem so wäre..

  • könntest du auf PIX2 die ACL die den "interesting traffic" beschreibt dahingehend erweitern dass der Traffic der von PC2 zu 86.65.67.128 gehen soll auch durch den Tunnel gejagt werden soll.

  • könntest du auf PIX1 ein virtuelles Interface konfigurieren dass die IP 86.65.67.128 bekommt, und

  • auf PIX1 eine NAT Regel machen die Traffic der an 86.65.67.128 gesendet wird auf die IP von PC1 genattet wird

(kann die 501 VLANs? Grübel.)

Wenn dem nicht so wäre könntest du....

  • könntest du auf PIX1 ein virtuelles Interface konfigurieren dass die IP 86.65.67.128 bekommt, und

  • auf PIX1 eine NAT Regel machen die Traffic der an 86.65.67.128 gesendet wird auf die IP von PC1 genattet wird

Eventuell gibts noch viel einfachere Möglichkeiten, doch der Tag war lang und der Kopf ist leer.

01.
pix(config)#interface vlan 666 
02.
pix(config-if)#ip address 86.65.67.128 255.255.255.0 
03.
 
04.
pix(config)#static (inside,outside) 86.65.67.128 10.0.1.55 netmask 255.255.255.255 1000 1000 
05.
 
Ist aber alles bissi theoretisch, ob das wirklich die Lösung ist weiss wohl nur Dr. DoubleBrain. Aber interessante Aufgabenstellung auf jeden Fall!
Bitte warten ..
Mitglied: newbie2007
03.05.2008 um 21:05 Uhr
Hallo spacyfreak,
ich kenn mich der PIX nicht wirklich gut aus bin bisher nur auf Layer 2 gewesen, sprich war bisher nur der Switch GURU, doch das wird sich jetzt ändern.

Also ich beschreib dir nochmal die Situation, diese PIX1 steht in einer DMZ. Diese DMZ ist nur von der PIX2 aus erreichbar und es entsteht absolut kein anderer Traffic sondern wirklich nur IPSec Traffic. So ich will das der PC1 sobald er was zu PC2 schickt über diese PIX1 über den VPN Tunnel schickt, dass das Paket so bei PC2 ankommt als würde es die IP 86.65.67.128 schicken. Umgekehrt wenn PC2 was über die PIX2 und dann PIX1 an PC1 schickt soll bis zur PIX1 über die 86.65.67.128 kommuniziert werden, erst wenn die PIX1 dran ist soll sie die Destination Adresse wieder auf die interne des PC1 naten.

Ich hoffe ich habe es nicht zu kompliziert formuliert. Ich danke dir nochmal für deine Bemühungen.
Bitte warten ..
Mitglied: spacyfreak
03.05.2008 um 21:15 Uhr
Wie ist denn das Routing?
Welche IP hat denn PC2?

Wenn du auf PC2 die Route verfolgst, was kommt dabei raus?
01.
tracert 86.65.67.128
Ist 86.65.67.128 die OUTSIDE IP-Adresse der PIX?
Wie wäre es mit einem Portforwarding (z. B. wenn der Server ein Webserver ist, und man muss den nur auf TCP443 erreichen?
Bitte warten ..
Mitglied: newbie2007
03.05.2008 um 21:28 Uhr
Über das Routing muss ich mir Gott sei dank keine Sorgen machen.

Mein Testlab sieht derzeit so aus.

PC1 ---> PIX1 < ----- IPSEC ----- > PIX2 ---> PC2

PC1 : interne Adresse 10.0.1.55
PIX1 : inside 10.0.1.23 outside ist eine 192.168.32.1
PIX2 : inside 192.168.233.22 outside ist einen 192.168.32.2
PC2 : interne Adresse 192.168.233.10

Derzeit sind dazwischen keine Router, weil es wie gesagt ein Testlab ist. Ich habe bei der PIX2 gesagt, dass der Host 85.65.67.128 über die PIX1 genauer über 192.168.32.1 erreichbar ist. Nun habe ich mir gedacht, die PIX1 soll dann auf die 10.0.1.55 naten.

#sh route (PIX2)
outside 85.65.67.128 255.255.255.255 192.168.32.1 1 Other static

Dachte so könnte es funken die 85.65.67.128 ist derzeit eine Phantasieadresse !!!!

Danke dir für deine Geduld ....
Bitte warten ..
Mitglied: spacyfreak
03.05.2008 um 21:38 Uhr
Der Gruss zum Feierabend...

Also prinzipiell siehts (denk ich mal..) ja so aus dass die IPSEC Pakete erstmal in der PIX landen und ausgepackt werden.
Dann guggt die PIX auf die Ziel-IP-Adresse und lugt kurz in die Routingtabelle.
Irgendwohin muss sie das Teil ja weiterleiten. Wohin, das hängt vom Routing ab.

Wenn sie ne passende Route für 86.blah hat, wird sie diese benutzen und das Paket am entsprechenen Interface ausspucken.
Wenn nicht, schickt sie das Paket über die Default Route oder verwirft es.

Landet das Paket dann bei 86.blah (was ja ne IP ist die die PIX in dem Fall selber hat) und es besteht ein Port-Forwarding oder ein Static oder NAT Eintrag, dann wird das Paket weiter verbraten bis es schliesslich beim Ziel landet...

Gute Nacht!
Bitte warten ..
Mitglied: newbie2007
03.05.2008 um 21:47 Uhr
Hallo,
hier mal meine aktuelle Konfig, damit du dir auch was vorstellen kannst.
Es hört sich an als wärest du ein richtiger Profi, ich bin davon überzeugt, du siehst meinen Fehler sofort. Ich danke dir nochamls für deine Geduld.

lg, newbie2007

PIX1 : PIX Version 6.3(5)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password xxxxxxxxxxxxxxxxxxx encrypted
passwd xxxxxxxxxxxxxxxxx encrypted
hostname pix1
domain-name xxxxxx
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
access-list nonat permit ip 10.0.1.0 255.255.255.0 192.168.233.0 255.255.255.0
access-list IPSEC permit ip 10.0.1.0 255.255.255.0 192.168.233.0 255.255.255.0
access-list IPSEC permit ip 192.168.233.0 255.255.255.0 10.0.1.0 255.255.255.0
pager lines 24
logging on
mtu outside 1500
mtu inside 1500
ip address outside 192.168.32.1 255.255.255.0
ip address inside 10.0.1.23 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm location 10.0.1.55 255.255.255.255 inside
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list nonat
static (inside,outside) 85.67.6.128 10.0.1.55 netmask 255.255.255.255 1000 1000
route outside 0.0.0.0 0.0.0.0 192.168.32.2 1
route outside 192.168.233.0 255.255.255.0 192.168.32.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 10.0.1.55 255.255.255.255 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
tftp-server inside 10.0.1.1 /pix1
floodguard enable
sysopt connection permit-ipsec
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto map outside_map 20 ipsec-isakmp
crypto map outside_map 20 match address IPSEC
crypto map outside_map 20 set peer 192.168.32.2
crypto map outside_map 20 set transform-set ESP-3DES-MD5
crypto map outside_map interface outside
isakmp enable outside
isakmp key 12345678 address 192.168.32.2 netmask 255.255.255.255
isakmp identity address
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption 3des
isakmp policy 20 hash md5
isakmp policy 20 group 2
isakmp policy 20 lifetime 86400
telnet timeout 5
ssh timeout 5
console timeout 0
terminal width 80
Cryptochecksum:15e59c538f58da5876a003638357d791

PIX2 : PIX Version 6.3(5)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 7sZddddddddddddd encrypted
passwd xxxxxxxxxxxxxxxxxxxx encrypted
hostname xxxxxx
domain-name extern
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
access-list nonat permit ip 192.168.233.0 255.255.255.0 10.0.1.0 255.255.255.0
access-list IPSEC permit ip 192.168.233.0 255.255.255.0 10.0.1.0 255.255.255.0
access-list IPSEC permit ip 192.168.233.0 255.255.255.0 host 85.65.67.128
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside 192.168.32.2 255.255.255.0
ip address inside 192.168.233.22 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm location 192.168.233.10 255.255.255.255 inside
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list nonat
route outside 0.0.0.0 0.0.0.0 192.168.32.1 1
route outside 85.65.67.128 255.255.255.255 192.168.32.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 192.168.233.10 255.255.255.255 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
tftp-server inside 192.168.233.1 /pix2-confg
floodguard enable
sysopt connection permit-ipsec
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto map outside_map 20 ipsec-isakmp
crypto map outside_map 20 match address IPSEC
crypto map outside_map 20 set peer 192.168.32.1
crypto map outside_map 20 set transform-set ESP-3DES-MD5
crypto map outside_map interface outside
isakmp enable outside
isakmp key 12345678 address 192.168.32.1 netmask 255.255.255.255
isakmp identity address
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption 3des
isakmp policy 20 hash md5
isakmp policy 20 group 2
isakmp policy 20 lifetime 86400
telnet timeout 5
ssh timeout 5
console timeout 0
terminal width 80
Cryptochecksum:b4d24d69f37f92d183920cc2014f5f93
Bitte warten ..
Mitglied: spacyfreak
04.05.2008 um 06:57 Uhr
Ich glaube das Problem liegt zum Teil daran dass du kein Interface hast, welches die IP 85.65.67.128 hat. Die PIX wird ja nicht "einfach so" Pakete die an 85.65.67.128 gerichtet sind über eine NAT Regel weiterleiten - irgendwer muss die 85.65.67.128 haben.
Eventuell mit Subinterface behelfen?

01.
pix(config)#interface ethernet0.1 
02.
pix(config-if)#
http://www.cisco.com/en/US/docs/security/asa/asa70/configuration/guide/ ...
Bitte warten ..
Mitglied: newbie2007
04.05.2008 um 14:38 Uhr
Das sonderbare an der Geschichte ist, dass es schon mal hingehauen hat, nur leider hat dann ein Kollege rumgespielt und jetzt funkt es nicht mehr.
Ich denke die Access-listen machen mir ein bisserl zu schaffen, werde mich heute abend wieder an die PIX schmeissen und weiter machen, wenn du heute abend Zeit hast werde ich dich über den aktuellen Status informierern.

danke dir nochmals sehr herzlich !!
Bitte warten ..
Mitglied: spacyfreak
04.05.2008 um 17:39 Uhr
ip access-list outside_in permit ip any host 85.67.6.128
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Netzwerkgrundlagen
IPSec Site-to-Site über NAT ohne Portforwarding (18)

Frage von BirdyB zum Thema Netzwerkgrundlagen ...

Voice over IP
Voip hinter NAT (10)

Frage von Windows10Gegner zum Thema Voice over IP ...

Netzwerke
VPN DHCP IPSec im Vergleich zu L2TP over IPSec (1)

Frage von TomJones zum Thema Netzwerke ...

Heiß diskutierte Inhalte
Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

DSL, VDSL
DSL-Signal bewerten (12)

Frage von SarekHL zum Thema DSL, VDSL ...

Windows Server
Mailserver auf Windows Server 2012 (8)

Frage von StefanT81 zum Thema Windows Server ...

Backup
Clients als Server missbrauchen? (8)

Frage von 1410640014 zum Thema Backup ...