Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Cisco PIX Firewall IPsec VPN Tunnel auf M0n0wall und pfsense Firewall

Anleitung Sicherheit Firewall

Mitglied: aqui

aqui (Level 5) - Jetzt verbinden

07.06.2009, aktualisiert 06.06.2010, 19686 Aufrufe, 3 Danke

Dieses Tutorial ist ein Zusatztutorial zum Cisco Router Tutorial hier in der gleichen Rubrik und beschreibt analog wie zwischen einer Cisco PIX Firewall und der externen freien Firewall Lösung (M0n0wall oder pfsense) ein VPN Tunnel mit IPsec zu realisieren ist, der eine gesichterte Verbindung zweier lokaler Netze mit privaten RFC-1918 IP Adressen über ein öffentliches Netzwerk (Internet) ermöglicht.



Allgemeine Einleitung

Das folgende Tutorial ist ein Schwester Tutorial zu dem bei Administrator.de in dieser Rubrik ebenfalls verfügbaren Tutorials zur Einrichtung eines IPsec VPN Tunnels zwischen Cisco_Router_und_Monowall_oder_pfsense
Die Basisinstallation der Komponenten decken alle weiteren dort genannten Tutorials schon ab, so das es hier nur noch um das reine HowTo geht !
Da die IPsec Funktionen mit den Beta Versionen stabiler laufen sollte bei der M0n0wall die Version 1.3.b18 (derzeit aktuell) und bei pfsense die Version 1.2.3RC1 zum Einsatz kommen !

Es wird wie beim o.a.Tutorial vorausgesetzt das ein wenig Basiswissen zum Thema Cisco Command Line Interface und IPsec VPNs im allgemeinen vorhanden ist !
Dazu empfiehlt sich als Lektüre das gut gemachte Protokoll Tutorial von spacyfreak:
http://www.administrator.de/IPSEC_Protokoll_-_Einsatz%2C_Aufbau%2C_ben% ...

Kleinere PIX Firewalls wie z.B die PIX 501 sind bei bekannten Auktionsplattformen oder Gebrauchthändlern mittlerweile preiswert zu bekommen oder es finden sich noch alte ausrangierte Systeme bei Firmen die einen weiteren Einsatz lohnen.
Mittlerweile supporten auch bessere Consumer Router wie die von LanCom oder Draytek IPsec, so das man auch dorthin mit der PIX problemlos VPN Tunnel mit IPsec realisieren kann.
Als IPsec VPN Beispiel kommt hier stellvertretend die freie, weit verbreitete Router/Firewall Lösung M0n0wall oder pfsense zum Einsatz. Weiterführende M0n0wall oder pfsense Informationen findet man auf der zugehörigen Projektseite:
http://m0n0.ch/
http://www.pfsense.com/
oder den o.a. Tutorials. Eine Installation mit anderen freien Lösungen wie IPCop, Endian, Astaro etc. ist problemlos ebenso möglich.


Installation


Als VPN Laboraufbau, der aber 1 zu 1 auf eine funktionierende Internet Konfiguration übertragbar ist, wird folgendes Szenario benutzt:


620f7f3314d2b3c1c98132f55b15f9c3-mono-pix - Klicke auf das Bild, um es zu vergrößern

IP Netze Cisco PIX:
Lokales Netzwerk 172.17.1.0 /24
Interface: ethernet 1 (inside) : 172.17.1.254, Maske: 255.255.255.0
Öffentliches Netzwerk 192.168.0.0 /24
Interface: ethernet 0 (outside) : 192.168.0.174, Maske: 255.255.255.0 *)

IP Netze M0n0wall bzw. pfsense:
Lokales Netzwerk 192.168.2.0 /24
Interface: LAN: 192.168.2.254, Maske: 255.255.255.0
Öffentliches Netzwerk 192.168.0.0 /24
Interface: WAN: 192.168.0.156, Maske: 255.255.255.0 *)

(* Als Laboraufbau wird hier nur beispielhalber ein öffentliches Netzwerk mit einer privaten RFC 1918 IP Adresse ersetzt. Diese IP Adressen müssen im real Life Aufbau durch die entsprechenden öffentlichen IP Adressen ersetzt werden !!)



Konfiguration Cisco PIX

Die VPN IPsec Konfiguration der Cisco PIX Firewall sieht entsprechend zum o.a. Aufbau so aus: (Überflüssige Standard Kommandos sind weggelassen !)
01.
PIX Version 6.3(5) 
02.
interface ethernet0 auto 
03.
interface ethernet1 100full 
04.
nameif ethernet0 outside security0 
05.
nameif ethernet1 inside security100 
06.
hostname pix501 
07.
names 
08.
name 192.168.2.0 pixtomono 
09.
access-list 100 permit icmp any any echo-reply 
10.
access-list inside_outbound_nat0_acl permit ip 172.17.1.0 255.255.255.0 pixtomono 255.255.255.0 
11.
access-list outside_cryptomap_20 permit ip 172.17.1.0 255.255.255.0 pixtomono 255.255.255.0 
12.
ip address outside 192.168.0.174 255.255.255.0 
13.
ip address inside 172.17.1.254 255.255.255.0 
14.
global (outside) 10 interface 
15.
nat (inside) 0 access-list inside_outbound_nat0_acl 
16.
nat (inside) 10 0.0.0.0 0.0.0.0 0 0 
17.
access-group 100 in interface outside 
18.
19.
sysopt connection permit-ipsec 
20.
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac 
21.
crypto map outside_map 20 ipsec-isakmp 
22.
crypto map outside_map 20 match address outside_cryptomap_20 
23.
crypto map outside_map 20 set peer 192.168.0.156 
24.
crypto map outside_map 20 set transform-set ESP-3DES-SHA 
25.
crypto map outside_map interface outside 
26.
isakmp enable outside 
27.
isakmp key test address 192.168.0.156 netmask 255.255.255.255 no-xauth no-config-mode 
28.
isakmp identity address 
29.
isakmp policy 20 authentication pre-share 
30.
isakmp policy 20 encryption 3des 
31.
isakmp policy 20 hash md5 
32.
isakmp policy 20 group 2 
33.
isakmp policy 20 lifetime 86400 
34.
35.
dhcpd address 172.17.1.10-172.17.1.20 inside 
36.
dhcpd dns 192.168.7.254 
37.
dhcpd lease 3600 
38.
dhcpd ping_timeout 750 
39.
dhcpd enable inside 
40.
end

Konfiguration M0n0wall oder pfsense Router/Firewall

Alle Einstellungen werden ausschliesslich im Menü VPN -> IPsec vorgenommen. Weitere Einstellungen sind zum Aufbau des Tunnels nicht erforderlich.

7c2017405e8ab5fca57a06e1c78998da-mono1a - Klicke auf das Bild, um es zu vergrößern

c7f2dd793fe22ae321f0c341b4a35935-mono2 - Klicke auf das Bild, um es zu vergrößern

04a8d2ba2a3de2da68160cd4143fa7be-mono3 - Klicke auf das Bild, um es zu vergrößern

Noch eine weitere Anmerkung:
Lässt man die VPN Kopplung auf Seiten der M0n0wall oder pfsense auf ein anderes Interface als dem LAN Interface zu wie z.B. ein WLAN Interface (bei integriertem WLAN), oder DMZ oder eines der alternativen OPTx Interfaces muss man die Firewall Regeln entsprechend in den Firewall Rules anpassen das Pakete wie z.b. ICMP (Ping) und andere ausgehend erlaubt sind.
Beim LAN Interface ist das per Default eingestellt auf den o.a. alternativen Interface hingegen, wie bei Firewalls generell üblich, nicht so das eine o.a Anpassung zwingend erforderlich ist um den Traffic passieren zu lassen !!!

Abschliessend noch ein wichtiger Hinweis um Frustrationen zu vermeiden:
Betreibt man die M0n0wall mit PPPoE direkt an einem DSL Anschluss mit einem einfachen DSL Modem, ist generell der Zugang auf das WAN Interface von außen gesperrt wie bei einer Firewall ja üblich und auch gewollt.
Um eingehende IPsec ESP Verbindungen möglich zu machen muss man den WAN Port für IPsec entsprechend öffnen.
Auch das geht mit einer Firewall Regel auf dem WAN Port die dann UDP 500 (IKE), UDP 4500 (NAT Traversal) und das ESP Protokoll erlaubt:

dc25e349b85fe4cd5cc9f9c01970f23c-monoesp - Klicke auf das Bild, um es zu vergrößern

Noch ein Tip zum Schluss:
Falls die PIX statt mit DSL Modem direkt am Internet hinter einem NAT/DSL Router betrieben wird kann man das Feature NAT Traversal in der Monowall anhaken und auch in der PIX aktivieren. Damit erspart man sich umständliche Port Weiterleitungen am Router zu konfigurieren.
Der IPsec Tunnel kann dann selbstständig die NAT Firewall im Router überwinden !

Beachtet man diese Feinheiten steht nun auch einer Nutzung des VPN Tunnels PIX <-> Monowall und damit der Kopplung beider (oder mehrerer) lokaler Netze zwischen den Geräten nichts mehr im Wege !!!
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
LAN, WAN, Wireless
gelöst L2TP-IPsec VPN pfSense 2.3 (6)

Frage von maddig zum Thema LAN, WAN, Wireless ...

Router & Routing
Cisco IPSEC VPN - Magic Packet (WOL) - ip helper-address (4)

Frage von Bernhard-B zum Thema Router & Routing ...

Router & Routing
PfSense Routing durch VPN-Tunnel (2)

Tipp von FA-jka zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...