Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Cisco PIX und ASA Workshop Teil 2 - IPSEC Site-to-Site Tunnel konfigurieren

Anleitung Sicherheit Firewall

Mitglied: spacyfreak

spacyfreak (Level 2) - Jetzt verbinden

05.06.2008, aktualisiert 30.10.2008, 26092 Aufrufe, 11 Kommentare, 1 Danke

Von Berlin nach Tokio übers wilde Internet. Tunnelblick inklusive!

Im Teil 1 unseres PIX & ASA Workshops haben wir uns das Security Konzept der Cisco Security Appliances angesehen sowie eine Basiskonfiguration erstellt.

Heute gehts darum, eine IPSEC Verbindung von Berlin nach Tokio zu konfigurieren.

Eine Berliner Firma hat eine Niederlassung in Tokio und möchte diese per IPSEC an ihr Berliner Firmen-LAN koppeln. Dazu sollen zwei Cisco PIX Firewalls verwendet werden, die ideal geeignet sind um Firmenniederlassungen per IPSEC Tunnel miteinander zu verbinden.



Testlab


c2b600b60cca1eef2d3da9788b66c4b9-ipsec - Klicke auf das Bild, um es zu vergrößern

a3d22ed8efe8884adc16c60ffd552e25-pixlab - Klicke auf das Bild, um es zu vergrößern

Wie man die Interfaces der Komponenten konfiguriert haben wir bereits im ersten Teil unseres PIX/ASA Tutorials gesehen.

IP-Konfiguration Testlab

Router BERLIN (Router-1)

01.
interface FastEthernet1/0 
02.
 ip address 1.1.1.1 255.255.255.252 
03.
 no shutdown
Router TOKIO (Router-2)

01.
interface FastEthernet1/0 
02.
 ip address 3.3.3.1 255.255.255.252 
03.
 no shutdown
PIX Firewall BERLIN (PIX-1)

01.
interface Ethernet0 
02.
 nameif INSIDE 
03.
 security-level 100 
04.
 ip address 1.1.1.2 255.255.255.252 
05.
06.
interface Ethernet1 
07.
 nameif OUTSIDE 
08.
 security-level 0 
09.
 ip address 2.2.2.1 255.255.255.252
PIX Firewall TOKIO (PIX-2)

01.
interface Ethernet1 
02.
 nameif INSIDE 
03.
 security-level 100 
04.
 ip address 3.3.3.2 255.255.255.252 
05.
06.
interface Ethernet0 
07.
 nameif OUTSIDE 
08.
 security-level 0 
09.
 ip address 2.2.2.2 255.255.255.252

Routing Konfiguration


Router BERLIN (Router-1)

01.
router-1(config)#ip route 0.0.0.0 0.0.0.0 1.1.1.2
Router TOKIO (Router-2)

01.
router-2(config)#ip route 0.0.0.0 0.0.0.0 3.3.3.2
PIX Firewall BERLIN (PIX-1)
01.
pix-1(config)#route outside 0.0.0.0 0.0.0.0 2.2.2.2
PIX Firewall TOKIO (PIX-2)
01.
pix-2(config)#route outside 0.0.0.0 0.0.0.0 2.2.2.1

ICMP (PING) erlauben


Damit wir die Konnektivität testen können schalten wir ICMP frei.

Die PIX blockiert ja per default ICMP Pakete, bzw. die ICMP Reply Pakete (Antwortpakete auf Ping Anfragen) werden per default am OUTSIDE Interface der PIX blockiert.
Um PING Tests machen zu können müssen wir entsprechende access-listen schreiben und die ACLs an die Interface binden damit sie wirken können.

Wenn man nur einen einzelnen PC freischalten will kann man auch "host <ip-adress>" verwenden.

Die access-list synthax:

01.
access-list <NAME> <permit oder deny> <protokoll> <quell-ip> <quell-maske> <ziel-ip> <ziel-maske> eq <Port>
oder wenn man nur einzelne IPs freischalten will...

01.
access-list <NAME> <permit oder deny> <protokoll> host <quell-ip> host <ziel-ip> 
PIX-BERLIN
01.
PIX-1(config)# access-list OUTSIDE_IN permit icmp host 2.2.2.2 host 2.2.2.1 
02.
PIX-1(config)#interface ethernet 1 
03.
PIX-1(config-if)# access-group OUTSIDE_IN in interface OUTSIDE
PIX-TOKIO
01.
PIX-2(config)# access-list OUTSIDE_IN permit icmp host 2.2.2.1 host 2.2.2.2 
02.
PIX-2(config)#interface ethernet 0 
03.
PIX-2(config-if)# access-group OUTSIDE_IN in interface OUTSIDE
Nun können wir testen ob der Ping von PIX1 zu PIX2 funktioniert.

01.
pix-1(config)# ping 2.2.2.2 
02.
Type escape sequence to abort. 
03.
Sending 5, 100-byte ICMP Echos to 2.2.2.2, timeout is 2 seconds: 
04.
!!!!! 
05.
Success rate is 100 percent (5/5), round-trip min/avg/max = 30/40/50 ms
Wenn ping nicht funktioniert, kann es sein dass das Interface noch nicht hochgefahren wurde!
Das testet man mit Befehl
01.
PIX-TOKIO# show interface 
02.
Interface Ethernet1 "OUTSIDE", is up, line protocol is up
Wenn das Interface nicht hochgefahren wäre, würde man folgende Ausgabe sehen:

01.
Interface Ethernet1 "OUTSIDE", is administratively down, line protocol is up

Konfiguration IPSEC Site-to-Site Tunnel


Nun gehts ans Eingemachte.
Wir wollen zwischen den PIXen PIX-BERLIN und PIX-Tokio einen IPSEC Tunnel einrichten.

IPSEC ist eine Protokoll-Suite die im wesentlichen aus 2 Phasen besteht.
IKE Phase 1 und IKE Phase2.
IKE Phase 1 dient grob gesagt dazu einen sicheren Verbindungskanal zum VPN-Partner aufzubauen.
Über diesen sicheren (weil verschlüsselten) Kanal werden dann die Parameter für IKE Phase 2 ausgetauscht. Die zwei VPN Partner einigen sich auf Verschüsselungsalgorithmuy, Hash-Algorithmus sowie Lifetime Parametern (wie lange der ausgehandelte Sessionkey gültig sein soll) usw.

Zunächst mal konfigurieren wir die PIXen so, dass sie IPSEC Traffic unabhängig von bestehenden ACLs nicht blocken sollen.

01.
PIX-1(config)#sysopt connection permit-vpn
01.
PIX-2(config)#sysopt connection permit-vpn
Konfiguration access-list für "interesting traffic"

Zunächst wird eine access-list konfiguriert. Diese hat die Aufgabe zu definieren, welcher Traffic von der Niederlassung Berlin überhaupt in den IPSEC-Tunnel geschickt werden soll.
Es kann ja sein dass nur bestimmter Traffic (z. B. vom Netz 20.20.20.0/24) in den Tunnel geschickt werden soll und anderer Traffic nicht.

Im Beispiel wollen wir dass der gesamte Traffic der vom Berliner Netz an das Tokio Ziel-Netz 3.3.3.0/30 addressiert ist, in den Tunnel geschickt wird, und umgekehrt (Traffic von Tokio nach Berlin soll auch in den Tunnel geschickt werden).

Wir müssen eine "extended" ACL verwenden. Mit "standard" ACLs funktioniert das nicht.

01.
PIX-1(config)#access-list 111 permit ip 1.1.1.0 255.255.255.252 3.3.3.0 255.255.255.252 
02.
PIX-1(config)#access-list 111 permit icmp 1.1.1.0 255.255.255.252 3.3.3.0 255.255.255.252 
03.
PIX-1(config)#nat (inside) 0 access-list 111
01.
PIX-2(config)#access-list 111 permit ip 3.3.3.0 255.255.255.252 1.1.1.0 255.255.255.252 
02.
PIX-2(config)#access-list 111 permit icmp 3.3.3.0 255.255.255.252 1.1.1.0 255.255.255.252 
03.
PIX-2(config)#nat (inside) 0 access-list 111
ACL-Bereich ("interesting traffic") von NAT ausklammern

Nun benötigen wir eine NAT-Regel Traffic die den "interesting traffic"-Bereich vom NAT ausklammert.

PIXen brauchen per Design für jede Verbindung eine NAT-Regel, wenn "nat-control" aktiviert ist).
Wenn wir nat-control sowieso abgeschaltet haben (mit Befehl "no nat-control") können wir diesen Schritt auch überspringen.

01.
PIX-1(config)#nat (INSIDE) 0 access-list 111
01.
PIX-2(config)#nat (INSIDE) 0 access-list 111
IKE Phase 1 ("ISAKMP") konfigurieren

01.
PIX-1(config)#isakmp enable outside 
02.
PIX-1(config)#isakmp policy 10 encryption 3des 
03.
PIX-1(config)#isakmp policy 10 hash sha 
04.
PIX-1(config)#isakmp policy 10 authentication pre-share 
05.
PIX-1(config)#isakmp policy 10 group 5 
06.
PIX-1(config)#isakmp policy 10 lifetime 86400
So konfigurieren wir auch die PIX-TOKIO

01.
PIX-2(config)#isakmp enable outside 
02.
PIX-2(config)#isakmp policy 10 encryption 3des 
03.
PIX-2(config)#isakmp policy 10 hash sha 
04.
PIX-2(config)#isakmp policy 10 authentication pre-share 
05.
PIX-2(config)#isakmp policy 10 group 5 
06.
PIX-2(config)#isakmp policy 10 lifetime 86400
IKE Phase 2 ("IPSEC") konfigurieren

"Transform-Set"

Das Transform-Set definiert die Verschlüsselungs-Algorithmen die wir für unseren Tunnel verwenden wollen. Man kann mehrere Algorithmen aufführen, die zwei VPN-Partner werden in dem Fall aushandeln auf welche der Verschlüsselungs-Varianten sie sich einigen wollen. Man kann jedoch auch nur eine Variante definieren - diese muss dann aber auch der VPN-Partner kennen und können, sonst wirds nix mit dem VPN-Tunnel! Wir wählen im Beispiel die Variante "AES 256bit Verschlüsselung".

01.
PIX-1(config)#tunnel-group 2.2.2.2 type ipsec-l2l 
02.
PIX-1(config)#tunnel-group 2.2.2.2 ipsec-attributes  
03.
PIX-1(config-tunnel-ipsec)#pre-shared-key pa55w0rd 
04.
PIX-1(config-tunnel-ipsec)#exit 
05.
PIX-1(config)#crypto ipsec transform-set TFS esp-aes-256 
06.
 
01.
PIX-2(config)#tunnel-group 2.2.2.1 type ipsec-l2l 
02.
PIX-2(config)#tunnel-group 2.2.2.1 ipsec-attributes  
03.
PIX-2(config-tunnel-ipsec)#pre-shared-key pa55w0rd 
04.
PIX-2(config-tunnel-ipsec)#exit 
05.
PIX-2(config)#crypto ipsec transform-set TFS esp-aes-256

Konfiguration "Crypto-Map"

Nun müssen wir eine so genannte "CRYPO-MAP" konfigurieren.
Die Crypto-Map ist die Summe der Parameter die man für den Tunnel verwenden möchte.
Die Crypto-Map beinhaltet das oben definierte Transform-Set, die Peer IP-Adressen, crypto ACL, PFS und die SA-spezifische Lifetime.
Die Crypto-Map wird zu guter Letzt an das Interface gebunden, das als Tunnel-Endpunkt dienen soll.

01.
PIX-1(config)#crypto map MAP 10 match address 111 
02.
PIX-1(config)#crypto map MAP 10 set peer 2.2.2.2 
03.
PIX-1(config)#crypto map MAP 10 set transform-set TFS 
04.
PIX-1(config)#crypto map MAP 10 set security-association lifetime seconds 86400 
05.
PIX-1(config)#crypto map MAP 10 set pfs group5 
06.
PIX-1(config)#crypto map MAP interface OUTSIDE
01.
PIX-2(config)#crypto map MAP 10 match address 111 
02.
PIX-2(config)#crypto map MAP 10 set peer 2.2.2.1 
03.
PIX-2(config)#crypto map MAP 10 set transform-set TFS 
04.
PIX-2(config)#crypto map MAP 10 set security-association lifetime seconds 86400 
05.
PIX-2(config)#crypto map MAP 10 set pfs group5 
06.
PIX-2(config)#crypto map MAP interface OUTSIDE

PIX VPN Konfiguration Schnellüberblick

PIX-1 (BERLIN)


PIX-1(config)#sysopt connection permit-vpn

PIX-1(config)#isakmp enable outside
PIX-1(config)#isakmp policy 10 encryption des
PIX-1(config)#isakmp policy 10 hash sha
PIX-1(config)#isakmp policy 10 authentication pre-share
PIX-1(config)#isakmp policy 10 group 5
PIX-1(config)#isakmp policy 10 lifetime 86400

PIX-1(config)#tunnel-group 2.2.2.2 type ipsec-l2l
PIX-1(config)#tunnel-group 2.2.2.2 ipsec-attributes
PIX-1(config-tunnel-ipsec)#pre-shared-key pa55w0rd
PIX-1(config-tunnel-ipsec)#exit

PIX-1(config)#access-list 111 permit ip 1.1.1.0 255.255.255.252 3.3.3.0 255.255.255.252
PIX-1(config)#access-list 111 permit icmp 1.1.1.0 255.255.255.252 3.3.3.0 255.255.255.252
PIX-1(config)#nat (inside) 0 access-list 111

PIX-1(config)#crypto ipsec transform-set TFS esp-aes-256

PIX-1(config)#crypto map MAP 10 match address 111
PIX-1(config)#crypto map MAP 10 set peer 2.2.2.2
PIX-1(config)#crypto map MAP 10 set transform-set TFS
PIX-1(config)#crypto map MAP 10 set security-association lifetime seconds 86400
PIX-1(config)#crypto map MAP 10 set pfs group5
PIX-1(config)#crypto map MAP interface OUTSIDE


PIX-2 (TOKIO)


PIX-2(config)#sysopt connection permit-vpn

PIX-2(config)#isakmp enable outside
PIX-2(config)#isakmp policy 10 encryption des
PIX-2(config)#isakmp policy 10 hash sha
PIX-2(config)#isakmp policy 10 authentication pre-share
PIX-2(config)#isakmp policy 10 group 5
PIX-2(config)#isakmp policy 10 lifetime 86400

PIX-2(config)#tunnel-group 2.2.2.1 type ipsec-l2l
PIX-2(config)#tunnel-group 2.2.2.1 ipsec-attributes
PIX-2(config-tunnel-ipsec)#pre-shared-key pa55w0rd
PIX-2(config-tunnel-ipsec)#exit

PIX-2(config)#access-list 111 permit ip 3.3.3.0 255.255.255.252 1.1.1.0 255.255.255.252
PIX-2(config)#access-list 111 permit icmp 3.3.3.0 255.255.255.252 1.1.1.0 255.255.255.252
PIX-2(config)#nat (inside) 0 access-list 111

PIX-2(config)#crypto ipsec transform-set TFS esp-aes-256

PIX-2(config)#crypto map MAP 10 match address 111
PIX-2(config)#crypto map MAP 10 set peer 2.2.2.1
PIX-2(config)#crypto map MAP 10 set transform-set TFS
PIX-2(config)#crypto map MAP 10 set security-association lifetime seconds 86400
PIX-2(config)#crypto map MAP 10 set pfs group 5
PIX-2(config)#crypto map MAP interface OUTSIDE


VPN Fehlersuche


Es ist völlig normal dass die Konfiguration nicht auf Anhieb klappen wird.
Beim Troubleshooting muss man systematisch vorgehen.

1. Ist OHNE VPN Konfiguration eine Verbindung zwischen den zwei PIXen gegeben? Testen mit Ping.

2. Kann Router-1 den Router-2 pingen? Wenn nicht, Routen checken mit "show ip route"

3. VPN Troubleshooting:

  • show run
  • show running-config tunnel-group
  • show running-config crypto
  • show crypto isakmp sa
  • show ipsec sa

  • debug crypto isakmp 7 (Zeigt in Echtzeit an wie der VPN Tunnel aufgebaut wird, IKE Phase1)
  • debug crypto ipsec 7 (Zeig in Echtzeit IKE Phase 2 an)
  • no debug crypto isakmp (Nach Fehlersuche wieder debug abschalten!)
  • no debug crypto ipsec (Nach Fehlersuche wieder debug abschalten!)

  • packet-tracer als analyse-tool einsetzen

01.
pix-1(config)# packet-tracer input INSIDE icmp 1.1.1.1 1 1 3.3.3.1 
02.
 
03.
Phase: 1 
04.
Type: FLOW-LOOKUP 
05.
Subtype: 
06.
Result: ALLOW 
07.
Config: 
08.
Additional Information: 
09.
Found no matching flow, creating a new flow 
10.
 
11.
Phase: 2 
12.
Type: ROUTE-LOOKUP 
13.
Subtype: input 
14.
Result: ALLOW 
15.
Config: 
16.
Additional Information: 
17.
in   0.0.0.0         0.0.0.0         OUTSIDE 
18.
 
19.
Phase: 3 
20.
Type: IP-OPTIONS 
21.
Subtype: 
22.
Result: ALLOW 
23.
Config: 
24.
Additional Information: 
25.
 
26.
Phase: 4 
27.
Type: INSPECT 
28.
Subtype: np-inspect 
29.
Result: ALLOW 
30.
Config: 
31.
Additional Information: 
32.
 
33.
Phase: 5 
34.
Type: VPN 
35.
Subtype: encrypt 
36.
Result: ALLOW 
37.
Config: 
38.
Additional Information: 
39.
 
40.
Phase: 6 
41.
Type: FLOW-CREATION 
42.
Subtype: 
43.
Result: ALLOW 
44.
Config: 
45.
Additional Information: 
46.
New flow created with id 141, packet dispatched to next module 
47.
 
48.
Phase: 7 
49.
Type: FLOW-LOOKUP 
50.
Subtype: 
51.
Result: ALLOW 
52.
Config: 
53.
Additional Information: 
54.
Found flow with id 136, using existing flow 
55.
 
56.
Result: 
57.
input-interface: INSIDE 
58.
input-status: up 
59.
input-line-status: up 
60.
output-interface: OUTSIDE 
61.
output-status: up 
62.
output-line-status: up 
63.
Action: allow 
64.
 
65.
pix-1(config)#
Gängige Fehler VPN Konfiguration

  • alte Konfigurations- oder Test-Überbleibsel stören den VPN Aufbau
  • Falsches Pre-Shared Passwort
  • Parameter-Werte der beiden Peers weichen voneinander ab (Lifetime, Verschlüsselungsvariante, Hash-Variante)
  • Peer-IP-Adressen falsch gesetzt
  • kein VPN Traffic erlaubt "sysopt connection permit-vpn"
  • ACL für "interesting traffic" falsch konfiguriert
  • NAT Regeln verhindern VPN Aufbau "nat (INSIDE) 0 access-list 111" oder "no nat-control"
Mitglied: rs-schmid
16.06.2008 um 14:53 Uhr
PIX-1(config)#tunnel-group 2.2.2.2 type ipsec-l2l
PIX-1(config)#tunnel-group 2.2.2.2 ipsec-attributes
PIX-1(config-tunnel-ipsec)#pre-shared-key pa55w0rd
PIX-1(config-tunnel-ipsec)#exit


Hallo,

ich habe eine Frage zu dem Site-to-Site Lab.
Wir haben auf den einen Site eine Pix 501, die Version 6.3(5) hat.
Wie nenne ich unserer Pix 501 die tunnel-group und das pre-shared password ?
Andere Site ist eine Pix 515 E, da passen die Kommandos.

Gruss Roland
Bitte warten ..
Mitglied: spacyfreak
16.06.2008 um 14:56 Uhr
Bei 6.3 weiss ich nicht - prinzipiell ist die tunnel-group eine Zahl, wenn man pre-shared key benutzt.

Z. B.
tunnel-group 10 type ipsec-l2l

Will man Namen benutzen (z. B. tunnel-group MyTunnelGroup) geht das nur wenn man RSA statt Pre-Shared-Key benutzt (Zertifikate).
Man kann jedoch die IP-Adresse benutzen (statt namen) wenn man pre-shared key benutzen will, wi eim Beispiel.

tunnel-group 2.2.2.2 type ipsec-l2l (l2l bedeutet lan-to-lan bzw. site-to-site).

Ich denke wenn du eine Zahl verwendest (z. B. tunnel-group 10) kannst nicht viel falsch machen...

So ich schmeiss jez den Grill an bevors wieder regnet. Scheiss Wetter aber auch!
Bitte warten ..
Mitglied: rs-schmid
17.06.2008 um 09:04 Uhr
Morgen,

mein Problem ist, dass unsere kleine Pix 501 die "tunnel-group" nicht kennt.

Gruss Roland


So ich schmeiss jez den Grill an bevors wieder regnet. Scheiss Wetter aber auch!

gute Idee
Bitte warten ..
Mitglied: spacyfreak
17.06.2008 um 09:22 Uhr
Wie wärs mit nem PIX Upgrade auf 8.3?
6.X ist ja schon ne ganze Weile her...
Bitte warten ..
Mitglied: rs-schmid
17.06.2008 um 15:59 Uhr
Wie wärs mit nem PIX Upgrade auf 8.3?

gute Idee, aber wir haben keinen Account auf der Cisco Site. Cisco will da heute richtig Kohle für...

Gruss Roland
Bitte warten ..
Mitglied: spacyfreak
17.06.2008 um 21:04 Uhr
Tja, nix ist umsonst.
Selbst wenn du dir ein 8.3 irgendwo besorgst, wirds IPSEC ohne Activation Key nicht funktionieren, und das ist an die Hardware gebunden..
Bitte warten ..
Mitglied: rs-schmid
18.06.2008 um 07:34 Uhr
bin gerade dabei uns einen Cisco Accont einzurichten.
Unser Händler hat schon die Seriennummern der Pixen.
Kostet natürlich Geld, ist aber vertretbar und macht Sinn.

Gruss Roland
Bitte warten ..
Mitglied: ubiwan
30.10.2008 um 15:31 Uhr
Wird vermutlich sowieso nicht mehr aktuell sein, aber PIX 501, 506E und 520 unterstützen keine SW > 6.3
Bitte warten ..
Mitglied: rs-schmid
30.10.2008 um 18:55 Uhr
Wird vermutlich sowieso nicht mehr aktuell sein, aber PIX 501, 506E und 520 unterstützen > keine SW > 6.3

ich danke für die Antwort.
Hatte es allerdings inzwischen schon selber in Erfahrung gebracht

Gruss Roland
Bitte warten ..
Mitglied: MonsterMan
13.05.2009 um 23:04 Uhr
Wird es auch bald ein "Cisco PIX und ASA Workshop Teil 3" geben?! Hinsichtlich Remote Access VPN!?!
Genau wie im Teil 1 Outside / Inside Interface mit öffentlichen IPs... Danke

Erstmal Lob an die ersten beiden Teile...
Bitte warten ..
Mitglied: spacyfreak
23.06.2011 um 22:14 Uhr
Kinder, wie die Zeit vergeht!
Ne, nen Teil 3 wirds wohl nicht geben.
Für Remote Access nimmt man Juniper SSL-VPN.
Und das ist so einfach, da braucht man keine Anleitung. Hehe.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Netzwerkgrundlagen
IPSec Site-to-Site über NAT ohne Portforwarding (18)

Frage von BirdyB zum Thema Netzwerkgrundlagen ...

Firewall
gelöst Cisco ASA - Wechsel der Outside IP Adresse auf der Remote Site ASA (3)

Frage von tweishaar zum Thema Firewall ...

Firewall
gelöst Site-to-Site-VPN und Cisco VPN-Client von gleicher IP (2)

Frage von TripleDouble zum Thema Firewall ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...