Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Cisco PIX Firewall IPsec VPN Tunnel auf M0n0wall und pfsense Firewall

Anleitung Sicherheit Firewall

Mitglied: aqui

aqui (Level 5) - Jetzt verbinden

07.06.2009, aktualisiert 06.06.2010, 20049 Aufrufe, 3 Danke

Dieses Tutorial ist ein Zusatztutorial zum Cisco Router Tutorial hier in der gleichen Rubrik und beschreibt analog wie zwischen einer Cisco PIX Firewall und der externen freien Firewall Lösung (M0n0wall oder pfsense) ein VPN Tunnel mit IPsec zu realisieren ist, der eine gesichterte Verbindung zweier lokaler Netze mit privaten RFC-1918 IP Adressen über ein öffentliches Netzwerk (Internet) ermöglicht.



Allgemeine Einleitung

Das folgende Tutorial ist ein Schwester Tutorial zu dem bei Administrator.de in dieser Rubrik ebenfalls verfügbaren Tutorials zur Einrichtung eines IPsec VPN Tunnels zwischen Cisco_Router_und_Monowall_oder_pfsense
Die Basisinstallation der Komponenten decken alle weiteren dort genannten Tutorials schon ab, so das es hier nur noch um das reine HowTo geht !
Da die IPsec Funktionen mit den Beta Versionen stabiler laufen sollte bei der M0n0wall die Version 1.3.b18 (derzeit aktuell) und bei pfsense die Version 1.2.3RC1 zum Einsatz kommen !

Es wird wie beim o.a.Tutorial vorausgesetzt das ein wenig Basiswissen zum Thema Cisco Command Line Interface und IPsec VPNs im allgemeinen vorhanden ist !
Dazu empfiehlt sich als Lektüre das gut gemachte Protokoll Tutorial von spacyfreak:
http://www.administrator.de/IPSEC_Protokoll_-_Einsatz%2C_Aufbau%2C_ben% ...

Kleinere PIX Firewalls wie z.B die PIX 501 sind bei bekannten Auktionsplattformen oder Gebrauchthändlern mittlerweile preiswert zu bekommen oder es finden sich noch alte ausrangierte Systeme bei Firmen die einen weiteren Einsatz lohnen.
Mittlerweile supporten auch bessere Consumer Router wie die von LanCom oder Draytek IPsec, so das man auch dorthin mit der PIX problemlos VPN Tunnel mit IPsec realisieren kann.
Als IPsec VPN Beispiel kommt hier stellvertretend die freie, weit verbreitete Router/Firewall Lösung M0n0wall oder pfsense zum Einsatz. Weiterführende M0n0wall oder pfsense Informationen findet man auf der zugehörigen Projektseite:
http://m0n0.ch/
http://www.pfsense.com/
oder den o.a. Tutorials. Eine Installation mit anderen freien Lösungen wie IPCop, Endian, Astaro etc. ist problemlos ebenso möglich.


Installation


Als VPN Laboraufbau, der aber 1 zu 1 auf eine funktionierende Internet Konfiguration übertragbar ist, wird folgendes Szenario benutzt:


620f7f3314d2b3c1c98132f55b15f9c3-mono-pix - Klicke auf das Bild, um es zu vergrößern

IP Netze Cisco PIX:
Lokales Netzwerk 172.17.1.0 /24
Interface: ethernet 1 (inside) : 172.17.1.254, Maske: 255.255.255.0
Öffentliches Netzwerk 192.168.0.0 /24
Interface: ethernet 0 (outside) : 192.168.0.174, Maske: 255.255.255.0 *)

IP Netze M0n0wall bzw. pfsense:
Lokales Netzwerk 192.168.2.0 /24
Interface: LAN: 192.168.2.254, Maske: 255.255.255.0
Öffentliches Netzwerk 192.168.0.0 /24
Interface: WAN: 192.168.0.156, Maske: 255.255.255.0 *)

(* Als Laboraufbau wird hier nur beispielhalber ein öffentliches Netzwerk mit einer privaten RFC 1918 IP Adresse ersetzt. Diese IP Adressen müssen im real Life Aufbau durch die entsprechenden öffentlichen IP Adressen ersetzt werden !!)



Konfiguration Cisco PIX

Die VPN IPsec Konfiguration der Cisco PIX Firewall sieht entsprechend zum o.a. Aufbau so aus: (Überflüssige Standard Kommandos sind weggelassen !)
01.
PIX Version 6.3(5) 
02.
interface ethernet0 auto 
03.
interface ethernet1 100full 
04.
nameif ethernet0 outside security0 
05.
nameif ethernet1 inside security100 
06.
hostname pix501 
07.
names 
08.
name 192.168.2.0 pixtomono 
09.
access-list 100 permit icmp any any echo-reply 
10.
access-list inside_outbound_nat0_acl permit ip 172.17.1.0 255.255.255.0 pixtomono 255.255.255.0 
11.
access-list outside_cryptomap_20 permit ip 172.17.1.0 255.255.255.0 pixtomono 255.255.255.0 
12.
ip address outside 192.168.0.174 255.255.255.0 
13.
ip address inside 172.17.1.254 255.255.255.0 
14.
global (outside) 10 interface 
15.
nat (inside) 0 access-list inside_outbound_nat0_acl 
16.
nat (inside) 10 0.0.0.0 0.0.0.0 0 0 
17.
access-group 100 in interface outside 
18.
19.
sysopt connection permit-ipsec 
20.
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac 
21.
crypto map outside_map 20 ipsec-isakmp 
22.
crypto map outside_map 20 match address outside_cryptomap_20 
23.
crypto map outside_map 20 set peer 192.168.0.156 
24.
crypto map outside_map 20 set transform-set ESP-3DES-SHA 
25.
crypto map outside_map interface outside 
26.
isakmp enable outside 
27.
isakmp key test address 192.168.0.156 netmask 255.255.255.255 no-xauth no-config-mode 
28.
isakmp identity address 
29.
isakmp policy 20 authentication pre-share 
30.
isakmp policy 20 encryption 3des 
31.
isakmp policy 20 hash md5 
32.
isakmp policy 20 group 2 
33.
isakmp policy 20 lifetime 86400 
34.
35.
dhcpd address 172.17.1.10-172.17.1.20 inside 
36.
dhcpd dns 192.168.7.254 
37.
dhcpd lease 3600 
38.
dhcpd ping_timeout 750 
39.
dhcpd enable inside 
40.
end

Konfiguration M0n0wall oder pfsense Router/Firewall

Alle Einstellungen werden ausschliesslich im Menü VPN -> IPsec vorgenommen. Weitere Einstellungen sind zum Aufbau des Tunnels nicht erforderlich.

7c2017405e8ab5fca57a06e1c78998da-mono1a - Klicke auf das Bild, um es zu vergrößern

c7f2dd793fe22ae321f0c341b4a35935-mono2 - Klicke auf das Bild, um es zu vergrößern

04a8d2ba2a3de2da68160cd4143fa7be-mono3 - Klicke auf das Bild, um es zu vergrößern

Noch eine weitere Anmerkung:
Lässt man die VPN Kopplung auf Seiten der M0n0wall oder pfsense auf ein anderes Interface als dem LAN Interface zu wie z.B. ein WLAN Interface (bei integriertem WLAN), oder DMZ oder eines der alternativen OPTx Interfaces muss man die Firewall Regeln entsprechend in den Firewall Rules anpassen das Pakete wie z.b. ICMP (Ping) und andere ausgehend erlaubt sind.
Beim LAN Interface ist das per Default eingestellt auf den o.a. alternativen Interface hingegen, wie bei Firewalls generell üblich, nicht so das eine o.a Anpassung zwingend erforderlich ist um den Traffic passieren zu lassen !!!

Abschliessend noch ein wichtiger Hinweis um Frustrationen zu vermeiden:
Betreibt man die M0n0wall mit PPPoE direkt an einem DSL Anschluss mit einem einfachen DSL Modem, ist generell der Zugang auf das WAN Interface von außen gesperrt wie bei einer Firewall ja üblich und auch gewollt.
Um eingehende IPsec ESP Verbindungen möglich zu machen muss man den WAN Port für IPsec entsprechend öffnen.
Auch das geht mit einer Firewall Regel auf dem WAN Port die dann UDP 500 (IKE), UDP 4500 (NAT Traversal) und das ESP Protokoll erlaubt:

dc25e349b85fe4cd5cc9f9c01970f23c-monoesp - Klicke auf das Bild, um es zu vergrößern

Noch ein Tip zum Schluss:
Falls die PIX statt mit DSL Modem direkt am Internet hinter einem NAT/DSL Router betrieben wird kann man das Feature NAT Traversal in der Monowall anhaken und auch in der PIX aktivieren. Damit erspart man sich umständliche Port Weiterleitungen am Router zu konfigurieren.
Der IPsec Tunnel kann dann selbstständig die NAT Firewall im Router überwinden !

Beachtet man diese Feinheiten steht nun auch einer Nutzung des VPN Tunnels PIX <-> Monowall und damit der Kopplung beider (oder mehrerer) lokaler Netze zwischen den Geräten nichts mehr im Wege !!!
Ähnliche Inhalte
Netzwerke
IPsec VPN für mobile Benutzer auf der pfSense Firewall einrichten
Anleitung von aquiNetzwerke10 Kommentare

Allgemeine Einleitung Das folgende Tutorial ist eng angelehnt an das hiesige Standort_VPN_Praxis_Tutorial bei Administrator.de und ergänzt dieses um die ...

Router & Routing
PfSense Routing durch VPN-Tunnel
Tipp von FA-jkaRouter & Routing2 Kommentare

Ich hatte vorhin das Problem, dass eine pfSense keine Route auf einen OpenVPN-Client setzen kann. In der Sense war ...

Netzwerke
IPsec VPN Praxis mit Standort Kopplung zw. Cisco, IPCop, pfSense, FritzBox und mehr
Anleitung von aquiNetzwerke20 Kommentare

Allgemeine Einleitung Das folgende Tutorial ist eine Erweiterung des hier bei Administrator.de schon bestehenden IPsec_VPN_Grundlagen_Tutorials und soll in loser ...

Router & Routing
Über IPsec und das präzise Zusammenspiel zwischen Fritz Box und pfSense
Anleitung von Stronzolios.KakaloidisRouter & Routing3 Kommentare

καλημέρα, liebe Kolleginnen und Kollegen, das Zusammenspiel mit einer Φριτζ Βοξ (in Deutschland besser bekannt als "Fritz Box") und ...

Neue Wissensbeiträge
MikroTik RouterOS

Mikrotik - Lets Encrypt Zertifikate mit MetaROUTER Instanz auf dem Router erzeugen

Anleitung von colinardo vor 12 StundenMikroTik RouterOS4 Kommentare

Einleitung Folgende Anleitung ist aus der Lage heraus entstanden das ein Kunde auf seinem Mikrotik sein Hotspot Captive Portal ...

Sicherheit

Sicherheitslücke in HP-Druckern - Firmware-Updates stehen bereit

Information von BassFishFox vor 13 StundenSicherheit1 Kommentar

Ein weiterer Grund, dass Drucker keinerlei Verbindung nach "auswaerts" haben sollen. Unter Verwendung spezieller Malware können Angreifer aus der ...

Administrator.de Feedback

Entwicklertagebuch: Die Startseite wurde überarbeitet

Information von admtech vor 15 StundenAdministrator.de Feedback9 Kommentare

Hallo Administrator User, mit dem Release 5.7 haben wir unsere Startseite überarbeitet und die Beiträge und Fragen voneinander getrennt. ...

Vmware

VMware Desktopprodukte sind verwundbar

Information von Penny.Cilin vor 20 StundenVmware

Die VMware-Anwendungen zum Umgang mit virtuellen Maschinen Fusion, Horizon Client und Workstation sowie die Plattform NSX sind verwundbar. Davon ...

Heiß diskutierte Inhalte
Visual Studio
Vb.net-Tool zum Erzeugen einer Outlook-E-Mail
Frage von ahstaxVisual Studio24 Kommentare

Hallo, ich möchte gerne ein vb.net-Tool schreiben, das am Ende eine Outlook-E-Mail erzeugt. Grundsätzlich ist mir klar, wie das ...

Windows Server
RDP macht Server schneller???
Frage von JaniDJWindows Server16 Kommentare

Hallo Community, wir betrieben seit geraumer Zeit diverse virtuelle Maschinen und Server mit Windows Server 2012. Leider haben wir ...

Windows Netzwerk
Netzwerk Neustrukturierung
Frage von IT-DreamerWindows Netzwerk16 Kommentare

Hallo verehrte Community und Admins, bei uns im Haus steht eine Neustrukturierung an. Dafür benötige ich von euch ein ...

Windows 10
Windows 10 dunkler Bildschirm nach Umfallen
Frage von AkcentWindows 1015 Kommentare

Hallo, habe hier einen Windows 10 Rechner der von einem User umgefallen wurde (Beine übers Knie, an den PC ...