Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Cisco PIX Firewall IPsec VPN Tunnel auf M0n0wall und pfsense Firewall

Mitglied: aqui

aqui (Level 5) - Jetzt verbinden

07.06.2009, aktualisiert 06.06.2010, 20189 Aufrufe, 3 Danke

Dieses Tutorial ist ein Zusatztutorial zum Cisco Router Tutorial hier in der gleichen Rubrik und beschreibt analog wie zwischen einer Cisco PIX Firewall und der externen freien Firewall Lösung (M0n0wall oder pfsense) ein VPN Tunnel mit IPsec zu realisieren ist, der eine gesichterte Verbindung zweier lokaler Netze mit privaten RFC-1918 IP Adressen über ein öffentliches Netzwerk (Internet) ermöglicht.



Allgemeine Einleitung

Das folgende Tutorial ist ein Schwester Tutorial zu dem bei Administrator.de in dieser Rubrik ebenfalls verfügbaren Tutorials zur Einrichtung eines IPsec VPN Tunnels zwischen Cisco_Router_und_Monowall_oder_pfsense
Die Basisinstallation der Komponenten decken alle weiteren dort genannten Tutorials schon ab, so das es hier nur noch um das reine HowTo geht !
Da die IPsec Funktionen mit den Beta Versionen stabiler laufen sollte bei der M0n0wall die Version 1.3.b18 (derzeit aktuell) und bei pfsense die Version 1.2.3RC1 zum Einsatz kommen !

Es wird wie beim o.a.Tutorial vorausgesetzt das ein wenig Basiswissen zum Thema Cisco Command Line Interface und IPsec VPNs im allgemeinen vorhanden ist !
Dazu empfiehlt sich als Lektüre das gut gemachte Protokoll Tutorial von spacyfreak:
https://www.administrator.de/IPSEC_Protokoll_-_Einsatz%2C_Aufbau%2C_ben% ...

Kleinere PIX Firewalls wie z.B die PIX 501 sind bei bekannten Auktionsplattformen oder Gebrauchthändlern mittlerweile preiswert zu bekommen oder es finden sich noch alte ausrangierte Systeme bei Firmen die einen weiteren Einsatz lohnen.
Mittlerweile supporten auch bessere Consumer Router wie die von LanCom oder Draytek IPsec, so das man auch dorthin mit der PIX problemlos VPN Tunnel mit IPsec realisieren kann.
Als IPsec VPN Beispiel kommt hier stellvertretend die freie, weit verbreitete Router/Firewall Lösung M0n0wall oder pfsense zum Einsatz. Weiterführende M0n0wall oder pfsense Informationen findet man auf der zugehörigen Projektseite:
http://m0n0.ch/
http://www.pfsense.com/
oder den o.a. Tutorials. Eine Installation mit anderen freien Lösungen wie IPCop, Endian, Astaro etc. ist problemlos ebenso möglich.


Installation


Als VPN Laboraufbau, der aber 1 zu 1 auf eine funktionierende Internet Konfiguration übertragbar ist, wird folgendes Szenario benutzt:


620f7f3314d2b3c1c98132f55b15f9c3-mono-pix - Klicke auf das Bild, um es zu vergrößern

IP Netze Cisco PIX:
Lokales Netzwerk 172.17.1.0 /24
Interface: ethernet 1 (inside) : 172.17.1.254, Maske: 255.255.255.0
Öffentliches Netzwerk 192.168.0.0 /24
Interface: ethernet 0 (outside) : 192.168.0.174, Maske: 255.255.255.0 *)

IP Netze M0n0wall bzw. pfsense:
Lokales Netzwerk 192.168.2.0 /24
Interface: LAN: 192.168.2.254, Maske: 255.255.255.0
Öffentliches Netzwerk 192.168.0.0 /24
Interface: WAN: 192.168.0.156, Maske: 255.255.255.0 *)

(* Als Laboraufbau wird hier nur beispielhalber ein öffentliches Netzwerk mit einer privaten RFC 1918 IP Adresse ersetzt. Diese IP Adressen müssen im real Life Aufbau durch die entsprechenden öffentlichen IP Adressen ersetzt werden !!)



Konfiguration Cisco PIX

Die VPN IPsec Konfiguration der Cisco PIX Firewall sieht entsprechend zum o.a. Aufbau so aus: (Überflüssige Standard Kommandos sind weggelassen !)
01.
PIX Version 6.3(5) 
02.
interface ethernet0 auto 
03.
interface ethernet1 100full 
04.
nameif ethernet0 outside security0 
05.
nameif ethernet1 inside security100 
06.
hostname pix501 
07.
names 
08.
name 192.168.2.0 pixtomono 
09.
access-list 100 permit icmp any any echo-reply 
10.
access-list inside_outbound_nat0_acl permit ip 172.17.1.0 255.255.255.0 pixtomono 255.255.255.0 
11.
access-list outside_cryptomap_20 permit ip 172.17.1.0 255.255.255.0 pixtomono 255.255.255.0 
12.
ip address outside 192.168.0.174 255.255.255.0 
13.
ip address inside 172.17.1.254 255.255.255.0 
14.
global (outside) 10 interface 
15.
nat (inside) 0 access-list inside_outbound_nat0_acl 
16.
nat (inside) 10 0.0.0.0 0.0.0.0 0 0 
17.
access-group 100 in interface outside 
18.
19.
sysopt connection permit-ipsec 
20.
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac 
21.
crypto map outside_map 20 ipsec-isakmp 
22.
crypto map outside_map 20 match address outside_cryptomap_20 
23.
crypto map outside_map 20 set peer 192.168.0.156 
24.
crypto map outside_map 20 set transform-set ESP-3DES-SHA 
25.
crypto map outside_map interface outside 
26.
isakmp enable outside 
27.
isakmp key test address 192.168.0.156 netmask 255.255.255.255 no-xauth no-config-mode 
28.
isakmp identity address 
29.
isakmp policy 20 authentication pre-share 
30.
isakmp policy 20 encryption 3des 
31.
isakmp policy 20 hash md5 
32.
isakmp policy 20 group 2 
33.
isakmp policy 20 lifetime 86400 
34.
35.
dhcpd address 172.17.1.10-172.17.1.20 inside 
36.
dhcpd dns 192.168.7.254 
37.
dhcpd lease 3600 
38.
dhcpd ping_timeout 750 
39.
dhcpd enable inside 
40.
end

Konfiguration M0n0wall oder pfsense Router/Firewall

Alle Einstellungen werden ausschliesslich im Menü VPN -> IPsec vorgenommen. Weitere Einstellungen sind zum Aufbau des Tunnels nicht erforderlich.

7c2017405e8ab5fca57a06e1c78998da-mono1a - Klicke auf das Bild, um es zu vergrößern

c7f2dd793fe22ae321f0c341b4a35935-mono2 - Klicke auf das Bild, um es zu vergrößern

04a8d2ba2a3de2da68160cd4143fa7be-mono3 - Klicke auf das Bild, um es zu vergrößern

Noch eine weitere Anmerkung:
Lässt man die VPN Kopplung auf Seiten der M0n0wall oder pfsense auf ein anderes Interface als dem LAN Interface zu wie z.B. ein WLAN Interface (bei integriertem WLAN), oder DMZ oder eines der alternativen OPTx Interfaces muss man die Firewall Regeln entsprechend in den Firewall Rules anpassen das Pakete wie z.b. ICMP (Ping) und andere ausgehend erlaubt sind.
Beim LAN Interface ist das per Default eingestellt auf den o.a. alternativen Interface hingegen, wie bei Firewalls generell üblich, nicht so das eine o.a Anpassung zwingend erforderlich ist um den Traffic passieren zu lassen !!!

Abschliessend noch ein wichtiger Hinweis um Frustrationen zu vermeiden:
Betreibt man die M0n0wall mit PPPoE direkt an einem DSL Anschluss mit einem einfachen DSL Modem, ist generell der Zugang auf das WAN Interface von außen gesperrt wie bei einer Firewall ja üblich und auch gewollt.
Um eingehende IPsec ESP Verbindungen möglich zu machen muss man den WAN Port für IPsec entsprechend öffnen.
Auch das geht mit einer Firewall Regel auf dem WAN Port die dann UDP 500 (IKE), UDP 4500 (NAT Traversal) und das ESP Protokoll erlaubt:

dc25e349b85fe4cd5cc9f9c01970f23c-monoesp - Klicke auf das Bild, um es zu vergrößern

Noch ein Tip zum Schluss:
Falls die PIX statt mit DSL Modem direkt am Internet hinter einem NAT/DSL Router betrieben wird kann man das Feature NAT Traversal in der Monowall anhaken und auch in der PIX aktivieren. Damit erspart man sich umständliche Port Weiterleitungen am Router zu konfigurieren.
Der IPsec Tunnel kann dann selbstständig die NAT Firewall im Router überwinden !

Beachtet man diese Feinheiten steht nun auch einer Nutzung des VPN Tunnels PIX <-> Monowall und damit der Kopplung beider (oder mehrerer) lokaler Netze zwischen den Geräten nichts mehr im Wege !!!
Ähnliche Inhalte
Netzwerke

IPsec VPN für mobile Benutzer auf der pfSense Firewall einrichten

Anleitung von aquiNetzwerke17 Kommentare

Allgemeine Einleitung Das folgende Tutorial ist eng angelehnt an das hiesige Standort_VPN_Praxis_Tutorial bei Administrator.de und ergänzt dieses um die ...

Router & Routing

PfSense Routing durch VPN-Tunnel

Tipp von FA-jkaRouter & Routing2 Kommentare

Ich hatte vorhin das Problem, dass eine pfSense keine Route auf einen OpenVPN-Client setzen kann. In der Sense war ...

Netzwerke

IPsec VPN Praxis mit Standort Kopplung zw. Cisco, IPCop, pfSense, FritzBox und mehr

Anleitung von aquiNetzwerke20 Kommentare

Allgemeine Einleitung Das folgende Tutorial ist eine Erweiterung des hier bei Administrator.de schon bestehenden IPsec_VPN_Grundlagen_Tutorials und soll in loser ...

Router & Routing

Über IPsec und das präzise Zusammenspiel zwischen Fritz Box und pfSense

Anleitung von Stronzolios.KakaloidisRouter & Routing3 Kommentare

καλημέρα, liebe Kolleginnen und Kollegen, das Zusammenspiel mit einer Φριτζ Βοξ (in Deutschland besser bekannt als "Fritz Box") und ...

Neue Wissensbeiträge
Windows 10

Microcode-Updates KB4090007, KB4091663, KB4091664, KB4091666 für Windows 10

Information von kgborn vor 5 StundenWindows 101 Kommentar

Kurze Information für Administratoren von Windows 10-Systemen, die mit neueren Intel CPUs laufen. Microsoft hat zum 23. April 2018 ...

iOS
Updates für Iphone und Co
Information von sabines vor 9 StundeniOS

Gestern abend ist iOS 11.3.1 erschienen, ein kleineres Update, dass einige Lücken schließt und "Lahmlegen" nach einem Display Tausch ...

Windows 7

Windows 7 - Server 2008 R2: Exploit für Total Meltdown verfügbar

Information von kgborn vor 1 TagWindows 7

Kleine Information für Administratoren, die für die Updates von Windows 7 SP1 und Windows Server 2008 R2 SP1 verantwortlich ...

Sicherheit

Zero Day-Schwachstelle im Internet Explorer - wird von APT bereits ausgenutzt

Information von kgborn vor 2 TagenSicherheit

Im Kernel des Internet Explorer scheint es eine Zero Day-Lücke zu geben, die von staatlichen Akteuren (APT) im Rahmen ...

Heiß diskutierte Inhalte
Batch & Shell
Powershell: Im AD nach Rechnern mit bestimmten IP-Adressen suchen
gelöst Frage von Raven42Batch & Shell34 Kommentare

Hallo zusammen, ich suche nach einer Möglichkeit nach Computern im AD zu suchen , deren IP-Adresse mit 10.11.12. beginnt. ...

C und C++
Frage1 C Programmierung-Makefile Frage2 PHP-Programmierung HTTP-Fehler 404
Frage von KatalinaC und C++34 Kommentare

Hallo, ich habe 2 Fragen, die nichts miteinander zu tun haben aber mit denen ich mich gerade beschäftige: 1. ...

LAN, WAN, Wireless
Watchguard T15 VPN Einrichtung
gelöst Frage von thomasjayLAN, WAN, Wireless25 Kommentare

Hallo zusammen, wir möchten gerne über unsere Watchguard T15 einen VPN-Tunnel (Mobile VPN with IPSec) einrichten! Als Client nutzen ...

Batch & Shell
Mit Powershell den Inhalt einer Excel mit einer Text Datei abgleichen
gelöst Frage von Bommi1961Batch & Shell21 Kommentare

Hallo zusammen, ich muss den Inhalt einer Excel Datei (Mappe1) mit dem Daten einer Text Datei abgleichen. Die Daten ...