|
| PIX VPN - VPN Grupper ? Fra : Brian Ipsen |
Dato : 08-06-02 17:22 |
|
Hej!
Når man laver VPN på eb Cisco PIX firewall - hvor "termineres" VPN
forbindelsen så ?? Sikkert på et "virtuelt" interface inde i PIX'en,
men hvordan fortæller jeg at f.eks. VPNGROUP xyz (som har ip pool
192.168.7.1-192.168.7.254) kun må have adgang til en server
(192.168.2.3) på dmz1 interfacet ?? Jeg er klar over, at det er noget
med at skrue en access-liste sammen - men jeg er ikke lige klar over
hvordan det gøres mest fikst... Samtidigt skal gruppen VPNGROUP own
have adgang til alle interne IP adresser (192.168.0.x) samt alt i dmz1
(192.168.1.x) og dmz2 (192.168.2.x) - hvordan indopereres dette ?
/Brian
| |
Martin Bilgrav (08-06-2002)
| Kommentar Fra : Martin Bilgrav |
Dato : 08-06-02 21:36 |
|
hejsa
> Hej!
>
> Når man laver VPN på eb Cisco PIX firewall - hvor "termineres" VPN
> forbindelsen så ?? Sikkert på et "virtuelt" interface inde i PIX'en,
> men hvordan fortæller jeg at f.eks. VPNGROUP xyz (som har ip pool
> 192.168.7.1-192.168.7.254) kun må have adgang til en server
> (192.168.2.3) på dmz1 interfacet ?? Jeg er klar over, at det er noget
> med at skrue en access-liste sammen - men jeg er ikke lige klar over
> hvordan det gøres mest fikst... Samtidigt skal gruppen VPNGROUP own
> have adgang til alle interne IP adresser (192.168.0.x) samt alt i dmz1
> (192.168.1.x) og dmz2 (192.168.2.x) - hvordan indopereres dette ?
En sample på client VPN kunne fx sådan her:
#---------------------------------------------------------------------------
------
# Cisco VPN Client software config - remember just ONE "crypto map int"
statement
#---------------------------------------------------------------------------
------
access-list nonat permit ip 10.0.0.0 255.0.0.0 192.168.0.0 255.255.255.0
nat (inside) 0 access-list nonat
ip local pool vpnpool 192.168.0.10-192.168.0.126
sysopt connection permit-ipsec
crypto ipsec transform-set setnavn esp-des esp-md5-hmac
crypto dynamic-map dynmap 90 set transform-set setnavn
crypto map VPNMAP 90 ipsec-isakmp dynamic dynmap
crypto map VPNMAP interface outside
isakmp enable outside
isakmp identity address
isakmp policy 90 authentication pre-share
isakmp policy 90 encryption des
isakmp policy 90 hash md5
isakmp policy 90 group 2
isakmp policy 90 lifetime 86400
vpngroup cvpn3 address-pool vpnpool
vpngroup cvpn3 dns-server 10.0.0.3
vpngroup cvpn3 wins-server 10.0.0.3
vpngroup cvpn3 default-domain dnsnavn.dk
vpngroup cvpn3 idle-time 1800
vpngroup cvpn3 password passwordher
Se evt også enable#sho crypt ips sa
Access.list sets gælder hvis du har dem bundet til interfacet, dog kan du
kun have een, så du skal nok blokkeret svaret fra servere til C-VPNérne,
hvis du forstår ?
fx
Access-list DMZ-UD deny 192.168.0.0 255.255.255.0 host serverIP
access-group DMZ-UD in interface dmz1
HTH
Mvh
Martin Bilgrav
| |
Brian Ipsen (08-06-2002)
| Kommentar Fra : Brian Ipsen |
Dato : 08-06-02 22:41 |
|
On Sat, 8 Jun 2002 22:36:14 +0200, "Martin Bilgrav"
<bilgravCUTTHISOUT@image.dk> wrote:
>access-list nonat permit ip 10.0.0.0 255.0.0.0 192.168.0.0 255.255.255.0
>nat (inside) 0 access-list nonat
....
Ok, måske var der lige lidt mere end jeg havde behov for....
Jeg kan lige prøve at sætte et scenario op, så kan du lige kommentere
det (og fortælle om jeg gør noget forkert).
Dmz1 er 192.168.1.0/24
Dmz2 er 192.168.2.0/24
Inside er 192.168.0.0/24
ip local pool vpnpool1 192.168.10.1-192.168.10.30
ip local pool vpnpool2 192.168.10.33-192.168.10.62
vpngroup vpngrp1 address-pool vpnpool1
vpngroup vpngrp1 dns-server 192.168.0.10
vpngroup vpngrp1 wins-server 192.168.0.10
vpngroup vpngrp1 default-domain internal.dk
vpngroup vpngrp2 address-pool vpnpool2
vpngroup vpngrp2 dns-server 192.168.2.15
vpngroup vpngrp2 wins-server 192.168.2.15
vpngroup vpngrp2 default-domain special.dk
Ved validering i vpngrp2 skal der kun være adgang til 192.168.2.15 -
og ikke andet. vpngrp1 skal have fuld adgang til alt (jeg ved godt, at
der mangler et par kommandoer i vpngroup sektionen, de er blot udeladt
her). Jeg skal jo gerne have blokeret VPN-trafik fra vpngrp2 til alt
andet end den ene host de må snakke med - Så jeg skal vel have filtre
på alle 3 non-outside interfaces:
# Nægt alt trafik fra 192.168.10.32 subnettet
access-list dmz1-out deny 192.168.10.32 255.255.255.224 any
# Tillad alt andet trafik
access-list dmz1-out permit any any
# Tillad trafik fra vpngrp2 til 192.168.2.15
access-list dmz2-out permit 192.168.10.32 255.255.255.224 host
192.168.2.15
# Nægt alt andet trafik fra 192.168.10.32 subnettet
access-list dmz2-out deny 192.168.10.32 255.255.255.224 any
# Tillad al trafik som ikke er fra 192.168.10.32
access-list dmz2-out permit any any
# Drop trafik fra Vpngrp2
access-list inside-out deny 192.168.10.32 255.255.255.224 any
# Tillad trafik fra inside netværk
access-list inside-out permit 192.168.0.0 255.255.255.224 any
# Tillad trafik fra egne VPN klienter
access-list inside-out permit 192.168.10.0 255.255.255.224 any
access-group dmz1-out in interface dmz1
access-group dmz2-out in interface dmz2
access-group inside-out in interface inside
Eller er det helt galt ??
/Brian
| |
Martin Bilgrav (09-06-2002)
| Kommentar Fra : Martin Bilgrav |
Dato : 09-06-02 13:22 |
|
ser ok ud, bort set fra at du skal vende ACL om efter devicen FRA-host -
TIL-host
Mvh
Martin
"Brian Ipsen" <spammers@nowhere.net> wrote in message
news:dkt4gu0asg7p475e70vssbdoah2ld51vpm@news.inet.tele.dk...
> On Sat, 8 Jun 2002 22:36:14 +0200, "Martin Bilgrav"
> <bilgravCUTTHISOUT@image.dk> wrote:
>
> >access-list nonat permit ip 10.0.0.0 255.0.0.0 192.168.0.0 255.255.255.0
> >nat (inside) 0 access-list nonat
>
> ...
>
> Ok, måske var der lige lidt mere end jeg havde behov for....
>
> Jeg kan lige prøve at sætte et scenario op, så kan du lige kommentere
> det (og fortælle om jeg gør noget forkert).
>
> Dmz1 er 192.168.1.0/24
> Dmz2 er 192.168.2.0/24
> Inside er 192.168.0.0/24
>
> ip local pool vpnpool1 192.168.10.1-192.168.10.30
> ip local pool vpnpool2 192.168.10.33-192.168.10.62
>
> vpngroup vpngrp1 address-pool vpnpool1
> vpngroup vpngrp1 dns-server 192.168.0.10
> vpngroup vpngrp1 wins-server 192.168.0.10
> vpngroup vpngrp1 default-domain internal.dk
>
> vpngroup vpngrp2 address-pool vpnpool2
> vpngroup vpngrp2 dns-server 192.168.2.15
> vpngroup vpngrp2 wins-server 192.168.2.15
> vpngroup vpngrp2 default-domain special.dk
>
> Ved validering i vpngrp2 skal der kun være adgang til 192.168.2.15 -
> og ikke andet. vpngrp1 skal have fuld adgang til alt (jeg ved godt, at
> der mangler et par kommandoer i vpngroup sektionen, de er blot udeladt
> her). Jeg skal jo gerne have blokeret VPN-trafik fra vpngrp2 til alt
> andet end den ene host de må snakke med - Så jeg skal vel have filtre
> på alle 3 non-outside interfaces:
>
> # Nægt alt trafik fra 192.168.10.32 subnettet
> access-list dmz1-out deny 192.168.10.32 255.255.255.224 any
> # Tillad alt andet trafik
> access-list dmz1-out permit any any
>
> # Tillad trafik fra vpngrp2 til 192.168.2.15
> access-list dmz2-out permit 192.168.10.32 255.255.255.224 host
> 192.168.2.15
> # Nægt alt andet trafik fra 192.168.10.32 subnettet
> access-list dmz2-out deny 192.168.10.32 255.255.255.224 any
> # Tillad al trafik som ikke er fra 192.168.10.32
> access-list dmz2-out permit any any
>
> # Drop trafik fra Vpngrp2
> access-list inside-out deny 192.168.10.32 255.255.255.224 any
> # Tillad trafik fra inside netværk
> access-list inside-out permit 192.168.0.0 255.255.255.224 any
> # Tillad trafik fra egne VPN klienter
> access-list inside-out permit 192.168.10.0 255.255.255.224 any
>
> access-group dmz1-out in interface dmz1
> access-group dmz2-out in interface dmz2
> access-group inside-out in interface inside
>
> Eller er det helt galt ??
>
> /Brian
>
| |
|
|