Cisco Pix 501 VPN strul med PDM

[Mr O Mr T]

Jag har lyckats installera en Cisco Pix 501. Fungerar utmärkt utåt, problemet som följer är detta med VPN. Hur konfigurerar man detta via Webbinterfacet PDM? Jag har kört VPn wizzarden osv men får inte igång det. Nej, jag har inte tillgång till någon dator med seriell port. Varken på laptopen eller den stationära. Jag måste konfa allt via webbinterfacet någon som kan och är villig att hjälpa mig??? Alla idéer uppskattas....

 

 

 

[joe]

Du kan komma åt CLI om det behövs från GUI/PDM. Kolla under tools/command line eller dylikt.

 

Ang konfigen har du kollat på Ciscos web? Finns hur mycket exempel som helst. Skall du köra klient-VPN eller L2L?

 

[Mr O Mr T]

jag skall köra med klient VPN. Alltså sitta på distans och arbeta mot det lokala nätet osv via en annan dator. Den där PDM grejen gör mig galen. Jag vet inte hur jag skall göra. Linux brandväggar osv fixar jag men denna är hur svår som helst. Jag vill kunna lägga upp en VPN klient via webbinterfacet osv. Jag har glömt en hel del kommandon också för den delen =). Sedan har jag ingen seriell port alls, hade jag hafft det så hade all hjälp som jag hittat på Ciscos hemsida hjälpt.

 

Du får gärna ge mig lite idéer, länkar eller screenshots eller vad som helst på hur man lägger upp VPN tunnel samt hur man natar ett Intern ip mot ett extern osv i webbinterfacet. Jag har kört fast helt.

 

 

[Coleburn]

Man klickar på VPN-fliken under Configuration. Första gången man gör det (eller tills man aktivt väljer bort det), så uppmanas man att köra VPN-wizard. Denna wizard lägger upp VPN enligt de kriterier man specificerar.

Att lägga upp PIXen som VPN terminator för utsides klienter funkar utmärkt, medan wizarden inte verkar vara helt komplett när det gäller 'site to site' tunnlar. I det senare fallet måste man komplettera lite saker under VPN inställningarna.

 

Dessvärre är din beskrivning av vad du vill åstadkomma inte speciellt tydlig, så detta svar blir tyvärr lite luddigt.

 

 

==Coleburn==

 

--------------------

"It takes a lot of knowledge to

really mess something up!"

 

[Coleburn]

Följ beskrivningen i min andra post!

 

PIXen sköter all VPN NAT själv, så du behöver inte göra någon explicit NATning. Du specificerar bara vilket adressområde dina VPN klienter ska få IP ur (görs i guiden, om jag inte minns helt fel).

 

Att statiskt NAT:a ett internt IP mot ett externt (annat än PIXens yttre interface, görs när du specificerar en host på insidan (configuration->hosts)

Gällande VPN behövs inte detta, men du kanske vill ha det i andra sammanhang!

 

--Edit typo--

 

--Tillägg--

Jag rekommenderar definitivt PDMen, men om du nödvändigtvis vill köra CLI så kan du köra det via ssh (anv. t.ex putty om du kör Windows). Configuration->System Properties->Administration->Secure Shell

 

 

==Coleburn==

 

--------------------

"It takes a lot of knowledge to

really mess something up!"

 

[inlägget ändrat 2006-03-24 19:58:28 av Coleburn]

[inlägget ändrat 2006-03-24 20:03:33 av Coleburn]

[Mr O Mr T]

Colebrun, det är precis det jag gjort. Jag har kört VPN wizzarden via webbgrännsnittet men får det ej att fungera oavsett om jag väljer PPTP eller Ciscos VPN klient osv. Jag vet att Cisco pixen får ett externt ip och ett internt osv.

 

Dessutom vill jag veta hur man natar mao öppnar så att jag kan komma åt min webbserver, filserver, xboxen eller vad som helst som ligger bakom just cisco pixen via mitt externa ip?

 

[Mr O Mr T]

Colebrun, jag vet att VPN sköter Naten helt själv. Jag vill nata i andra sammanhang typ komma åt min webbserver osv utifrån =). Jag skall ta och prova allt en gång till som du nämt =). Tack för hjälpen så länge...

 

[Coleburn]

Sitter just nu med familjen och har en lugn fredagskväll, och det är inte populärt om jag blir sittande alltför länge vid datorn. Hoppas att det är ok om jag svarar på dina specifika frågor imorgon på förmiddagen!

 

 

==Coleburn==

 

--------------------

"It takes a lot of knowledge to

really mess something up!"

 

[joe]

Här finns massor av exempel:

http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/prod_configuration_examples_list.html

 

 

 

[Mr O Mr T]

Det är lugnt. Ta det då du hinner och känner för det =).

 

[Mr O Mr T]

Tackar håller på att kolla igenom de

 

[Coleburn]

Har du hittat den info du sökte, eller vill du fortfarande ha hjälp?

 

 

==Coleburn==

 

--------------------

"It takes a lot of knowledge to

really mess something up!"

 

[Mr O Mr T]

Jag behöver fortfarande hjälp. Jag satt uppe halva natten och virrade bort mig totallt .

 

[joe]

Ta ut konfigurationen genom "show run" i Tools/Command line.

 

Pasta in den här (ta bort ev publika adresser först).

 

Lättare att hjälpa dig om vi ser vad du gjort hittils

 

[Mr O Mr T]

Result of firewall command: "show run"

 

: Saved

:

PIX Version 6.3(5)

interface ethernet0 auto

interface ethernet1 100full

nameif ethernet0 outside security0

nameif ethernet1 inside security100

enable password encrypted

passwd encrypted

hostname gate

domain-name test.lan

fixup protocol dns maximum-length 512

fixup protocol ftp 21

fixup protocol h323 h225 1720

fixup protocol h323 ras 1718-1719

fixup protocol http 80

fixup protocol rsh 514

fixup protocol rtsp 554

fixup protocol sip 5060

fixup protocol sip udp 5060

fixup protocol skinny 2000

fixup protocol smtp 25

fixup protocol sqlnet 1521

fixup protocol tftp 69

names

access-list inside_outbound_nat0_acl permit ip any 172.16.0.16 255.255.255.248

pager lines 24

mtu outside 1500

mtu inside 1500

ip address outside

ip address inside 172.16.0.1 255.255.255.0

ip audit info action alarm

ip audit attack action alarm

ip local pool test 172.16.0.16-172.16.0.20

pdm location 172.16.0.16 255.255.255.248 outside

pdm logging informational 100

pdm history enable

arp timeout 14400

global (outside) 1 interface

nat (inside) 0 access-list inside_outbound_nat0_acl

nat (inside) 1 0.0.0.0 0.0.0.0 0 0

route outside 0.0.0.0 0.0.0.0

timeout xlate 0:05:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00

timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00

timeout sip-disconnect 0:02:00 sip-invite 0:03:00

timeout uauth 0:05:00 absolute

aaa-server TACACS+ protocol tacacs+

aaa-server TACACS+ max-failed-attempts 3

aaa-server TACACS+ deadtime 10

aaa-server RADIUS protocol radius

aaa-server RADIUS max-failed-attempts 3

aaa-server RADIUS deadtime 10

aaa-server LOCAL protocol local

http server enable

http 172.16.0.0 255.255.255.0 inside

no snmp-server location

no snmp-server contact

snmp-server community public

no snmp-server enable traps

floodguard enable

sysopt connection permit-pptp

telnet timeout 5

ssh timeout 5

console timeout 0

vpdn group PPTP-VPDN-GROUP accept dialin pptp

vpdn group PPTP-VPDN-GROUP ppp authentication pap

vpdn group PPTP-VPDN-GROUP ppp authentication chap

vpdn group PPTP-VPDN-GROUP ppp authentication mschap

vpdn group PPTP-VPDN-GROUP ppp encryption mppe auto

vpdn group PPTP-VPDN-GROUP client configuration address local test

vpdn group PPTP-VPDN-GROUP client configuration dns

vpdn group PPTP-VPDN-GROUP pptp echo 60

vpdn group PPTP-VPDN-GROUP client authentication local

vpdn username password

vpdn enable outside

dhcpd address 172.16.0.10-172.16.0.15 inside

dhcpd dns

dhcpd lease 3600

dhcpd ping_timeout 750

dhcpd auto_config outside

dhcpd enable inside

terminal width 80

Cryptochecksum:

: end

 

[joe]

OK.

 

Om du skall köra Ciscos VPN-klient skall allt med "vpdn" bort - eftersom det endast är för pptp.

 

Detta behövs för klient-VPN. Bygg först enligt wizarden - o kolla sedan med "sh run" o jämför med nedan.

 

ip local pool test 172.16.0.16-172.16.0.20

access-list inside_outbound_nat0_acl permit ip any 172.16.0.16 255.255.255.248

nat (inside) 0 access-list inside_outbound_nat0_acl

 

sysopt connection permit-ipsec

crypto ipsec transform-set MYSET esp-3des esp-md5-hmac

crypto dynamic-map MYDYN 10 set transform-set MYSET

crypto map normal 10 ipsec-isakmp dynamic MYDYN

crypto map normal client configuration address initiate

crypto map normal interface outside

isakmp enable outside

isakmp identity address

isakmp policy 10 authentication pre-share

isakmp policy 10 encryption 3des

isakmp policy 10 hash md5

isakmp policy 10 group 2

isakmp policy 10 lifetime 86400

vpngroup VPN address-pool test

vpngroup VPN dns-server 10.1.1.1

vpngroup VPN wins-server 10.1.1.2

vpngroup VPN password superpassword

 

Vad du använder för namn o password på VPN-gruppen är egalt - bara du anger samma i VPN-klienten sedan!

Samma med namn på crypto map, adress-pool osv.

DNS osv måste du naturligtvis ändra till ngt som passar för dig, eller ta bort raden helt om det inte är ngt du behöver.

 

[Mr O Mr T]

skall jag ha TACACS+ server eller RADIUS eller vad skall jag egentligen välja i wizzarden??? Jag körde wizzarden precis som du nämt, tankat ner och installerat Ciscos VPn klient version 4.8.00.0440.

 

När jag jämförde det jag satt upp med det du skrivit så inte nog med att jag får Error i PDM så stämmer ingenting. Dock är allt med vpdn borta.

 

Jag vill gärna komma åt PDM via mitt pulika IP som jag ej heller får till i PDM. Vilka portar behöver jag öppna osv? och var hittar jag den i menyn?

Sedan skulle jag vilja komma åt min lilla fil & webbserver utifrån.

Vore tacksam för lite mer tips..

 

[joe]

skall jag ha TACACS+ server eller RADIUS eller vad skall jag egentligen välja i wizzarden???

 

Sannolikt inget av dem - om du inte har en sådan server som du vill autentisera användarna på? Men det gissar jag att du saknar. Kör utan extendend auth (x-auth) tills du fått det att funka utan - sen kan du titta på att slå på det.

 

När jag jämförde det jag satt upp med det du skrivit så inte nog med att jag får Error i PDM så stämmer ingenting. Dock är allt med vpdn borta.

 

Hur ser det ut nu då?

 

Jag vill gärna komma åt PDM via mitt pulika IP som jag ej heller får till i PDM.

 

Går ej innan du fått igång VPN. PIXen tillåter endast management från utsidan via en krypterad IPSEC-tunnel.

 

Sedan skulle jag vilja komma åt min lilla fil & webbserver utifrån.

 

http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_tech_note09186a0080094aad.shtml

[inlägget ändrat 2006-03-26 14:13:47 av bregga]

[Coleburn]

Jag vill gärna komma åt PDM via mitt pulika IP som jag ej heller får till i PDM.

 

Går ej innan du fått igång VPN. PIXen tillåter endast management från utsidan via en krypterad IPSEC-tunnel.

 

Nej, detta är inte helt korrekt (det är de facto helt fel)!

Ställ in det IP du kör ifrån i Configuration->System Properties->Administration->PDM/HTTPS

och du når PIXens PDM på https://pix-yttre-ip/

 

Det går även att köra som joe säger, genom att först gå in via VPN, och sedan nå PDM från insidan. I det fallet måste man lägga till uppgifter under Configuration->System Properties->Administration->Management Access.

 

Skall man administera PIXen utifrån och sitter på ett fast IP, så är alt.1 att föredra, medan alt.2 är bättre om man alltid ansluter från olika IP.

 

Error i PDM är ganska vanligt, speciellt gällande kommandon som rör samma interface man sitter på. PDM har ett gäng inbyggda checkar, som ibland omöjliggör det man vill åstadkomma.

 

Om du inte har en serieport, så kan du som jag skrev i en tidigare post, köra CLI genom ssh. Ställ in det i Configuration->System Properties->Administration->Secure Shell.

 

Om du inte har en speciellt komplicerad konfiguration, dvs tokmycket regler, så kan det i många fall vara enklast att starta från början, genom att köra en factory-default.

Jag säger inte att det är bättre, men i många fall enklare, iom att man startar med en ren konfiguration.

 

>ena
#conf t
(config)#configure factory-default

 

 

==Coleburn==

 

--------------------

"It takes a lot of knowledge to

really mess something up!"

 

[joe]

Jag vill gärna komma åt PDM via mitt pulika IP som jag ej heller får till i PDM.

 

Går ej innan du fått igång VPN. PIXen tillåter endast management från utsidan via en krypterad IPSEC-tunnel.

 

 

Nej, detta är inte helt korrekt (det är de facto helt fel)!

Ställ in det IP du kör ifrån i Configuration->System Properties->Administration->PDM/HTTPS

och du når PIXens PDM på https://pix-yttre-ip/

 

Japp, du har rätt. My bad.

 

 

 

 

 

[Mr O Mr T]

Jag har fortfarande inte fått VPNen att fungera ej heller har jag fått igång PDM att fungera utifrån. Jag gör som ni nämner osv...har provat allt. Jag sätter det externa IPet direkt på brandväggens outside som det heter, då jag har statisk IP. Vilket är rätt. OM jag nu skall få VPN att fungera och likaså PDM utifrån, så skall juh både PDM samt WPN wizzarden peka mot det ip numret på outside eller har jag missuppfattat allt fel? =) Jag tycker det låter logiskt i alla fall. Vad tycker ni experter??? Jag får det inte att fungera alls....trots att jag tycker att jag gör rätt osv

 

[inlägget ändrat 2006-03-26 20:24:15 av Mr O Mr T]

[Mr O Mr T]

Jag är tvungen att bygga på lite till. Oavsett om jag lägger upp en PPTP eller en VPN anslutning så får jag följande felmeddelande: Fel 800 för PPTP osv.

 

Det måste vara någon regel som jag glömmer eller?

 

[joe]

Visa aktuell konfig.

 

[Mr O Mr T]

Jag lägger ut aktuell config senare under dagen. Jag har lagt märke till att efter en helt nollställning av Cisco Pix 501, så dyker TASACS+ och RADIUS authentisering upp i show run trots att man ej vallt detta i wizzarden i PDMen. Skall det vara så? Ni får se configen senare idag.

 

Har ni någon grundconfig som jag skulle kunna köra in för att få PDM att fungera publikt, samt VPN samt där jag kan öppna ett par portar som port 21, 25 mfl osv? Där jag i efterhand kan byta IP osv? I vilken PDM meny öppnar jag portar??

 

Bara så att ni vet, jag är mycket tacksam för all hälp jag fått hittills.

 

[Coleburn]

Jag lägger ut aktuell config senare under dagen. Jag har lagt märke till att efter en helt nollställning av Cisco Pix 501, så dyker TASACS+ och RADIUS authentisering upp i show run trots att man ej vallt detta i wizzarden i PDMen. Skall det vara så? Ni får se configen senare idag.

 

Ja, det skall vara så! Det som sen används för autenticering (om något alls) anges sen med:

 

aaa authentication 

 

I mitt fall kör jag med ett lokalt konto på PIXen:

aaa-server LOCAL protocol local
aaa authentication http console LOCAL
aaa authentication ssh console LOCAL

 

Har ni någon grundconfig som jag skulle kunna köra in för att få PDM att fungera publikt, samt VPN samt där jag kan öppna ett par portar som port 21, 25 mfl osv? Där jag i efterhand kan byta IP osv? I vilken PDM meny öppnar jag portar??

 

Att få PDM att fungera från det publika nätet, dvs från en IP varifrån som helst, till det yttre interfacet på din PIX...har nog förklarats i en tidigare post i denna tråd.

Om vi förtydligar det hela:

- I PDM:en så gå till Configuration->System Properties->Administration->PDM/HTTPS

- Klicka 'add'

- Välj interface name 'outside'

- Lägg till det IP som du vill tillåta att utifrån skall kunna nå PIXens PDM. IP är alltså det IP du sitter på när du sitter ute i världen och vill komma åt PDM på din PIX

- Klicka 'ok'

- Klicka 'apply'

- Klicka på 'save' uppe i huvudmenyn

 

vill du hellre ta det via CLI så lägg till följande:

http server enable
http IP NÄTMASK outside

 

Portar 'öppnas' (dvs portmappas) i PDM under fliken 'Translation Rules'

 

VPN kan skapas enklast i PDM via Wizards->VPN Wizard

I vissa fall kan man behöva justera de värden som läggs in av wizarden. Dessa justeringar och tillägg fixar man i PDM under VPN fliken.

 

 

 

 

==Coleburn==

 

--------------------

"It takes a lot of knowledge to

really mess something up!"

 

[inlägget ändrat 2006-03-27 12:17:43 av Coleburn]