4
Routing Problem, Cisco VPN Client und PIX 501
Möchte über eine bestehende VPN Verbindung AUCH ins Internet zugreifen
Hallo zusammen,
erstmal will ich los werden, dass das hier ein tolles Forum ist, was mir schon oft durch manche Probleme geholfen hat
Nun zu meinem Problem:
Ich verbinde mich mit meinem Cisco VPN Client auf meine PIX und von dort aus in mein Netzwerk. Alles funktioniert tadellos.
Der Tunnel mit mit der PIX terminiert, d.h. der 1721 lässt diese Anfrage direkt auf die PIX durch. Auf der PIX angekommen bekommt
der Client eine 10.x.x.x IP an der äußeren Schnittstelle. Von dort aus darf der Client ins LAN.
Folgender Aufbau hat mein Netz:
Inet}-----{Cisco 1721}-----{PIX 501}-----{lok. LAN
Ich möchte jedoch auch über diese bestehende Verbindung ins Internet, bzw. sollen alle Anfragen, welche nicht in meinem LAN gefunden werden, direkt ins INet weiter geleitet werden.
Beispiel:
Von der Arbeit aus sollte ich wegen der Sicherheit kein MIRC verwenden. Wenn ich jedoch eine VPN Verbindung nach Hause mache, ist das kein Problem.
Meine Idee ist jetzt, eine VPN Verbindung aufzubauen, hier auf der Arbeit das MIRC auf dem lok. Client zu starten und dieser findet dann den Weg zu den MIRC Server über die VPN Verbindung. Tja, soweit zur Theorie...
Durch googeln hab ich raus bekommen, dass die PIX nicht in der Lage ist, eine Verbindung, welche über eine bestimmte Schnittstelle rein gekommen ist, auch gleich wieder über diese raus zu routen.
Wenn ich aber in meinem LAN auf einem Rechner das RAS & Routing aktiviere und diesen als Gateway für meine VPN Verbindung eintrage, wäre es dann denkbar, diesen Traffic wieder ins INet raus zu routen?
Oder ginge das über einen Proxy im LAN?
Vielleicht hat ja einer ne Idee oder einen Lösungsansatz
erstmal will ich los werden, dass das hier ein tolles Forum ist, was mir schon oft durch manche Probleme geholfen hat
Nun zu meinem Problem:
Ich verbinde mich mit meinem Cisco VPN Client auf meine PIX und von dort aus in mein Netzwerk. Alles funktioniert tadellos.
Der Tunnel mit mit der PIX terminiert, d.h. der 1721 lässt diese Anfrage direkt auf die PIX durch. Auf der PIX angekommen bekommt
der Client eine 10.x.x.x IP an der äußeren Schnittstelle. Von dort aus darf der Client ins LAN.
Folgender Aufbau hat mein Netz:
Inet}-----{Cisco 1721}-----{PIX 501}-----{lok. LAN
Ich möchte jedoch auch über diese bestehende Verbindung ins Internet, bzw. sollen alle Anfragen, welche nicht in meinem LAN gefunden werden, direkt ins INet weiter geleitet werden.
Beispiel:
Von der Arbeit aus sollte ich wegen der Sicherheit kein MIRC verwenden. Wenn ich jedoch eine VPN Verbindung nach Hause mache, ist das kein Problem.
Meine Idee ist jetzt, eine VPN Verbindung aufzubauen, hier auf der Arbeit das MIRC auf dem lok. Client zu starten und dieser findet dann den Weg zu den MIRC Server über die VPN Verbindung. Tja, soweit zur Theorie...
Durch googeln hab ich raus bekommen, dass die PIX nicht in der Lage ist, eine Verbindung, welche über eine bestimmte Schnittstelle rein gekommen ist, auch gleich wieder über diese raus zu routen.
Wenn ich aber in meinem LAN auf einem Rechner das RAS & Routing aktiviere und diesen als Gateway für meine VPN Verbindung eintrage, wäre es dann denkbar, diesen Traffic wieder ins INet raus zu routen?
Oder ginge das über einen Proxy im LAN?
Vielleicht hat ja einer ne Idee oder einen Lösungsansatz
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 64866
Url: https://administrator.de/contentid/64866
Printed on: April 24, 2024 at 01:04 o'clock
4 Comments
Latest comment
Wer sagt denn das die PIX den Traffic nicht wieder ins Internet routet ??? Das ist Unsinn, wenn die 10er IP Adresse aus dem lokalen LAN hinter der PIX kommt geht auch der Traffic wieder ganz normal raus, denn das verhaelt sich ja so wie ein lokaler Client. Ausnahme ist allerdings das 10er Netz ist separat und die PX hat keinen Forwarding Eintrag dafuer.
Leider schreibst du rein gar nichts ueber deine IP Adressvergabe so das nun hier das grosse Raten anfaengt
Man weiss z.B. nicht wer den NAT Prozess ins Internet macht ob das die PIX oder der 1700er Router ist.
Normalerweise funktioniert so ein Szenario wie du planst voellig problemlos. Der VPN Client routet jeglichen Traffic in den Tunnel und am remoten Standort geht dieser Traffic dann ins Internet...sofern die Konfig und IP Adressvergabe bzw. Routing stimmt.
Das ist ein vielfach genutztes Design und funktioniert auch mit einer PIX problemlos !
Leider schreibst du rein gar nichts ueber deine IP Adressvergabe so das nun hier das grosse Raten anfaengt
Man weiss z.B. nicht wer den NAT Prozess ins Internet macht ob das die PIX oder der 1700er Router ist.
Normalerweise funktioniert so ein Szenario wie du planst voellig problemlos. Der VPN Client routet jeglichen Traffic in den Tunnel und am remoten Standort geht dieser Traffic dann ins Internet...sofern die Konfig und IP Adressvergabe bzw. Routing stimmt.
Das ist ein vielfach genutztes Design und funktioniert auch mit einer PIX problemlos !
Nat´en tun beide Geräte, sowohl der 1721 als auch die PIX.
Der 1721 ist überwiegend für die Einwahl zuständig. Die PIX wird als FW und VPN verwendet.
Hier nochmals das Szenario mit IP Adressen.
_________ 1721 ___________________________ PIX __________________
INet}-{Dialer><192.168.44.x/29}-{192.168.44.x/29><192.168.33.x/24}-{LAN
Der VPN Client bekommt am äußeren Ethernetport an und bekommt die Adresse 10.11.12.x/8 zugewiesen.
Ich erlaube mir mal die Config zu posten, denn oftmals erleichtert es die Sache ungemein.
PIX Version 6.3(5)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password encrypted
passwd * encrypted
hostname PiX
domain-name DOMAIN
clock timezone CEST 1
clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00
fixup protocol dns maximum-length 512
no fixup protocol ftp 21
fixup protocol ftp 6526
no fixup protocol h323 h225 1720
no fixup protocol h323 ras 1718-1719
no fixup protocol http 80
fixup protocol http 2332
no fixup protocol rsh 514
no fixup protocol rtsp 554
no fixup protocol sip 5060
no fixup protocol sip udp 5060
no fixup protocol skinny 2000
no fixup protocol smtp 25
no fixup protocol sqlnet 1521
no fixup protocol tftp 69
names
object-group service DNS udp
port-object eq domain
object-group service Skype udp
port-object eq 18084
object-group service Webdienste tcp
port-object eq 2332
port-object eq 6526
port-object eq ftp-data
object-group icmp-type icmp-allowed
icmp-object echo-reply
icmp-object time-exceeded
icmp-object unreachable
icmp-object source-quench
object-group service Syslog udp
port-object eq syslog
object-group service TFTP udp
port-object eq tftp
access-list outside_access_in permit tcp any interface outside object-group Webdienste
access-list outside_access_in permit udp host 192.168.44.x interface outside object-group TFTP
access-list outside_access_in permit udp host 192.168.44.x interface outside object-group Syslog
access-list outside_access_in permit icmp any interface outside object-group icmp-allowed
access-list outside_access_in permit udp any interface outside object-group Skype
access-list inside_outbound_nat0_acl permit ip host 192.168.33.x host 10.11.12.x
access-list outside_cryptomap_dyn_20 permit ip any host 10.11.12.x
no pager
logging on
logging trap critical
logging history warnings
logging facility 16
logging device-id hostname
logging host inside 192.168.33.x
mtu outside 1500
mtu inside 1500
ip address outside 192.168.44.x 255.255.255.248
ip address inside 192.168.33.x 255.255.255.0
ip verify reverse-path interface outside
ip audit name IDS_Info info action alarm drop reset
ip audit name IDS attack action alarm drop reset
ip audit interface outside IDS_Info
ip audit interface outside IDS
ip audit info action alarm
ip audit attack action alarm drop
ip local pool VPN-USER-ABC 10.11.12.x
pdm location 192.168.33.x 255.255.255.255 inside
pdm location 192.168.33.x 255.255.255.255 inside
pdm location 192.168.44.x 255.255.255.255 outside
pdm logging errors 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list inside_outbound_nat0_acl
nat (inside) 1 192.168.33.0 255.255.255.0 0 0
static (inside,outside) tcp interface 2332 192.168.33.x www netmask 255.255.255.255 0 0
static (inside,outside) tcp interface 6426 192.168.33.x ftp netmask 255.255.255.255 0 0
static (inside,outside) tcp interface ftp-data 192.168.33.x ftp-data netmask 255.255.255.255 0 0
static (inside,outside) udp interface 18087 192.168.33.x 18086 netmask 255.255.255.255 0 0
static (inside,outside) udp interface syslog 192.168.33.x syslog netmask 255.255.255.255 0 0
static (inside,outside) udp interface tftp 192.168.33.x tftp netmask 255.255.255.255 0 0
access-group outside_access_in in interface outside
route outside 0.0.0.0 0.0.0.0 192.168.44.x 1
timeout xlate 2:30:00
timeout conn 0:30:00 half-closed 0:05:00 udp 0:30:00 rpc 0:00:00 h225 0:00:00
timeout h323 0:00:00 mgcp 0:00:00 sip 0:00:00 sip_media 0:00:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 192.168.33.x 255.255.255.255 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
tftp-server inside 192.168.33.x pix.config
floodguard enable
sysopt connection timewait
sysopt connection permit-ipsec
sysopt noproxyarp outside
sysopt noproxyarp inside
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto dynamic-map outside_dyn_map 20 match address outside_cryptomap_dyn_20
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-MD5
crypto dynamic-map outside_dyn_map 20 set security-association lifetime seconds 300 kilobytes 4608000
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map interface outside
isakmp enable outside
isakmp identity address
isakmp nat-traversal 20
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption 3des
isakmp policy 20 hash md5
isakmp policy 20 group 2
isakmp policy 20 lifetime 86400
vpngroup VPN-USER address-pool VPN-USER-ABC
vpngroup VPN-USER dns-server 192.168.33.x
vpngroup VPN-USER default-domain XYZ
vpngroup VPN-USER idle-time 1800
vpngroup VPN-USER password
telnet 192.168.33.x 255.255.255.255 inside
telnet timeout 30
ssh timeout 5
console timeout 0
username ABCDE password
terminal width 80
Der 1721 ist überwiegend für die Einwahl zuständig. Die PIX wird als FW und VPN verwendet.
Hier nochmals das Szenario mit IP Adressen.
_________ 1721 ___________________________ PIX __________________
INet}-{Dialer><192.168.44.x/29}-{192.168.44.x/29><192.168.33.x/24}-{LAN
Der VPN Client bekommt am äußeren Ethernetport an und bekommt die Adresse 10.11.12.x/8 zugewiesen.
Ich erlaube mir mal die Config zu posten, denn oftmals erleichtert es die Sache ungemein.
PIX Version 6.3(5)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password encrypted
passwd * encrypted
hostname PiX
domain-name DOMAIN
clock timezone CEST 1
clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00
fixup protocol dns maximum-length 512
no fixup protocol ftp 21
fixup protocol ftp 6526
no fixup protocol h323 h225 1720
no fixup protocol h323 ras 1718-1719
no fixup protocol http 80
fixup protocol http 2332
no fixup protocol rsh 514
no fixup protocol rtsp 554
no fixup protocol sip 5060
no fixup protocol sip udp 5060
no fixup protocol skinny 2000
no fixup protocol smtp 25
no fixup protocol sqlnet 1521
no fixup protocol tftp 69
names
object-group service DNS udp
port-object eq domain
object-group service Skype udp
port-object eq 18084
object-group service Webdienste tcp
port-object eq 2332
port-object eq 6526
port-object eq ftp-data
object-group icmp-type icmp-allowed
icmp-object echo-reply
icmp-object time-exceeded
icmp-object unreachable
icmp-object source-quench
object-group service Syslog udp
port-object eq syslog
object-group service TFTP udp
port-object eq tftp
access-list outside_access_in permit tcp any interface outside object-group Webdienste
access-list outside_access_in permit udp host 192.168.44.x interface outside object-group TFTP
access-list outside_access_in permit udp host 192.168.44.x interface outside object-group Syslog
access-list outside_access_in permit icmp any interface outside object-group icmp-allowed
access-list outside_access_in permit udp any interface outside object-group Skype
access-list inside_outbound_nat0_acl permit ip host 192.168.33.x host 10.11.12.x
access-list outside_cryptomap_dyn_20 permit ip any host 10.11.12.x
no pager
logging on
logging trap critical
logging history warnings
logging facility 16
logging device-id hostname
logging host inside 192.168.33.x
mtu outside 1500
mtu inside 1500
ip address outside 192.168.44.x 255.255.255.248
ip address inside 192.168.33.x 255.255.255.0
ip verify reverse-path interface outside
ip audit name IDS_Info info action alarm drop reset
ip audit name IDS attack action alarm drop reset
ip audit interface outside IDS_Info
ip audit interface outside IDS
ip audit info action alarm
ip audit attack action alarm drop
ip local pool VPN-USER-ABC 10.11.12.x
pdm location 192.168.33.x 255.255.255.255 inside
pdm location 192.168.33.x 255.255.255.255 inside
pdm location 192.168.44.x 255.255.255.255 outside
pdm logging errors 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list inside_outbound_nat0_acl
nat (inside) 1 192.168.33.0 255.255.255.0 0 0
static (inside,outside) tcp interface 2332 192.168.33.x www netmask 255.255.255.255 0 0
static (inside,outside) tcp interface 6426 192.168.33.x ftp netmask 255.255.255.255 0 0
static (inside,outside) tcp interface ftp-data 192.168.33.x ftp-data netmask 255.255.255.255 0 0
static (inside,outside) udp interface 18087 192.168.33.x 18086 netmask 255.255.255.255 0 0
static (inside,outside) udp interface syslog 192.168.33.x syslog netmask 255.255.255.255 0 0
static (inside,outside) udp interface tftp 192.168.33.x tftp netmask 255.255.255.255 0 0
access-group outside_access_in in interface outside
route outside 0.0.0.0 0.0.0.0 192.168.44.x 1
timeout xlate 2:30:00
timeout conn 0:30:00 half-closed 0:05:00 udp 0:30:00 rpc 0:00:00 h225 0:00:00
timeout h323 0:00:00 mgcp 0:00:00 sip 0:00:00 sip_media 0:00:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 192.168.33.x 255.255.255.255 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
tftp-server inside 192.168.33.x pix.config
floodguard enable
sysopt connection timewait
sysopt connection permit-ipsec
sysopt noproxyarp outside
sysopt noproxyarp inside
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto dynamic-map outside_dyn_map 20 match address outside_cryptomap_dyn_20
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-MD5
crypto dynamic-map outside_dyn_map 20 set security-association lifetime seconds 300 kilobytes 4608000
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map interface outside
isakmp enable outside
isakmp identity address
isakmp nat-traversal 20
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption 3des
isakmp policy 20 hash md5
isakmp policy 20 group 2
isakmp policy 20 lifetime 86400
vpngroup VPN-USER address-pool VPN-USER-ABC
vpngroup VPN-USER dns-server 192.168.33.x
vpngroup VPN-USER default-domain XYZ
vpngroup VPN-USER idle-time 1800
vpngroup VPN-USER password
telnet 192.168.33.x 255.255.255.255 inside
telnet timeout 30
ssh timeout 5
console timeout 0
username ABCDE password
terminal width 80
Hat keiner eine Idee, was an der Config fehlt, dass es funktioniert?
Erst einmal ist es voellig richtig: Die PIX leitet nur durch die PIX, nicht aber auf dem gleichen Interface wieder raus (Standard)
Fuer Dein Problem brauchst Du Split-Tunneling:
Syntax:
access-list SPLIT-TUNNEL permit ip 'QUELL-NETZE' 'ZIEL-NETZE'
vpngroup VPN-USER split-tunnel SPLIT-TUNNEL
Ggf. noch:
vpngroup VPN-USER split-dns DOMAIN
Damit wird das VPN ge-split-et, nur der in der ACL aufgefuehrte Traffic wird durch das IPSec-VPN geleitet. Alles andere wird bereits beim Client direkt geroutet.
Hilft das weiter?
Gruss,
krachtor
Fuer Dein Problem brauchst Du Split-Tunneling:
Syntax:
access-list SPLIT-TUNNEL permit ip 'QUELL-NETZE' 'ZIEL-NETZE'
vpngroup VPN-USER split-tunnel SPLIT-TUNNEL
Ggf. noch:
vpngroup VPN-USER split-dns DOMAIN
Damit wird das VPN ge-split-et, nur der in der ACL aufgefuehrte Traffic wird durch das IPSec-VPN geleitet. Alles andere wird bereits beim Client direkt geroutet.
Hilft das weiter?
Gruss,
krachtor
