PIX VPN site-to-site + DMZ Temat rozwiązany

[dominik81]

Witam!

Pytanko!

Mamy dwie lokalizacje:
Lokalizaja A
IP LAN-A= 12.0.0.0/8
IP Internet=11.0.0.2/8
DMZ=13.0.0.0/8 a w nim serwer X IP=13.0.0.2/8

Lokalizacja B
IP LAN-B=10.0.0.0/8
IP Internet=11.0.0.1/8

Zestawiamy na PIXach VPN IPSeca z pre-share key. Użytkownicy z LAN-B pinguja hosty z LAN-A i odwrotnie.
Q: W jaki sposób konfigurujemy PIXa w lokalizacji A aby użytkownicy z LAN-B z adresacją 10.0.0.0/8 mieli dostęp do serwera X tylko i wyłącznie przez VPN.

Konfiguracja PIXa w lokalizacji A

PIX Version 6.3(4)
interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 auto
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security50
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname PIX
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
access-list VPN permit ip 12.0.0.0 255.0.0.0 10.0.0.0 255.0.0.0
access-list ICMP permit icmp any any
pager lines 24
mtu outside 1500
mtu inside 1500
mtu dmz 1500
ip address outside 11.0.0.2 255.0.0.0
ip address inside 12.0.0.1 255.0.0.0
ip address dmz 13.0.0.1 255.0.0.0
ip audit info action alarm
ip audit attack action alarm
pdm history enable
arp timeout 14400
global (outside) 1 interface
global (inside) 22 12.0.0.15-12.0.0.30 netmask 255.0.0.0
global (dmz) 1 13.0.0.10-13.0.0.20 netmask 255.0.0.0
nat (inside) 0 access-list VPN
nat (inside) 1 12.0.0.0 255.0.0.0 0 0
nat (dmz) 2 13.0.0.0 255.0.0.0 0 0
static (dmz,inside) 12.0.0.10 13.0.0.2 netmask 255.255.255.255 0 0 / to nie działa
access-group ICMP in interface dmz
route outside 0.0.0.0 0.0.0.0 11.0.0.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
crypto ipsec transform-set SET ah-md5-hmac esp-des
crypto ipsec transform-set SZYFROWANIE ah-md5-hmac esp-des
crypto map MAPA 100 ipsec-isakmp
crypto map MAPA 100 match address VPN
crypto map MAPA 100 set peer 11.0.0.1
crypto map MAPA 100 set transform-set SET
crypto map MAPA interface outside
isakmp enable outside
isakmp key ******** address 11.0.0.1 netmask 255.255.255.255
isakmp policy 100 authentication pre-share
isakmp policy 100 encryption des
isakmp policy 100 hash md5
isakmp policy 100 group 2
isakmp policy 100 lifetime 10000
telnet timeout 5
ssh timeout 5
console timeout 0
terminal width 80


Pozdrawiam i z góry dziękuję za pomoc.
Dominik

[pjeter]

Mimo ze nikt nie odpowiedzial ... sam sie chetnie dowiem.. wiec jak ?
Jak okreslic zasady bezpieczenstwa dla ruchu VPN <-> DMZ ? Czy tez VPN <-> inside ?

Najprostrze rozwiazanie oczywiscie ACL in na dmz ... a nie ma jakis bardziej wyrafinowanych ?
Na samego VPNa ?

PJ

[balam]

Nie jestem pewien ale route-map powinno zalatwic sprawe... Nie wczytywalem sie dokladnie ale opis route-map dla pixa 6.3

[pjeter]

wyrafinowane -> kulturalne, wbudowane, zaplanowane.

To proste pytanie, nie chodzi o trick czy tez metode na rympal (route-mapy), tylko jak to jest pomyslane w funkcjonalnosci PIXa ? Ruch przychodzacy VPNem zaterminowanym na outside traktowany jest jako outside ? Jesli tak, wszystko jasne. Jesli nie to jak i dlaczego ?

PJ

[Seba]

Ruch przychodzacy VPNem zaterminowanym na outside traktowany jest jako outside ?

Jakby nie spojrzec tak to dziala, ACLka na outside mozna to kontrolowac przy wylaczonej opcji sysopt connection permit-ipsec
Aha chcialbym sie upewnic czy dobrze rozumiem zdanie

W jaki sposób konfigurujemy PIXa w lokalizacji A aby użytkownicy z LAN-B z adresacją 10.0.0.0/8 mieli dostęp do serwera X tylko i wyłącznie przez VPN.

Czy chodzi o to, ze userzy z sieci B maja dostep przez VPN tylko do serwera, a nie maja do LANu A A ludki z LAN A maja dostep do LAN B?
Aha serwer z DMZ musisz wystawic static do Outside, coby Ci z LAN-B mogli go siegnac.
static (dmz,outside) 13.0.0.2 13.0.0.2
Oczywiscie mozna to rozwiazac na jeszcze kilka sposobow, ale to co podalem to takie chyba najbardziej powszechne

[balam]

To proste pytanie, nie chodzi o trick czy tez metode na rympal (route-mapy)...

Odpowiadalem Dominikowi81, a innej metody nie znam...

OT czemu route-map to metoda na rympal?

[pjeter]

Odpowiadalem Dominikowi81, a innej metody nie znam...

Hehe, no to masz refleks, pytanie bylo z pazdziernika 2005 ;)

OT czemu route-map to metoda na rympal?

Bo nie jest to podstawowa funkcjonalnosc security.

Anyway, Seba - bardzo dobra odpowiedz, jakby to byl moj watek to bym Ci kliknal ;)

PJ

[balam]

Hehe, no to masz refleks, pytanie bylo z pazdziernika 2005

hehe no tak w sumie tego nie zobaczylem
pozdro