Segurança : Dispositivos de segurança Cisco PIX 500 Series

Configurando o PIX para Cisco Secure VPN Client Wild-card, pré-compartilhado, sem configuração de modo

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (24 Agosto 2015) | Feedback


Índice


Introdução

Esta configuração demonstra como conectar um cliente VPN a um PIX Firewall com o uso dos convites e dos comandos sysopt connection permit-ipsec e sysopt ipsec pl-compatible. Este documento igualmente cobre o comando nat 0 access-list.

Nota: A tecnologia de criptografia está sujeita a controles de exportação. É sua responsabilidade conhecer a lei relativa à exportação de tecnologia de criptografia. Se você tem quaisquer perguntas relativas ao controle de exportação, envie um email a export@cisco.com.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware.

  • Software Release 5.0.3 do PIX seguro Cisco com o Cisco Secure VPN Client 1.0 (mostrado como 2.0.7 no menu do ajuda > sobre) ou o Software Release 6.2.1 do PIX seguro Cisco com o Cisco Secure VPN Client 1.1 (mostrado como 2.1.12 no menu do ajuda > sobre).

  • As máquinas de Internet alcançam o host de Web no interior com o endereço IP 192.68.0.50.

  • Os acessos de cliente VPN todas as máquinas no interior com o uso de todas as portas (10.1.1.0 /24 e 10.2.2.0 /24).

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se você trabalhar em uma rede ativa, certifique-se de que entende o impacto potencial de qualquer comando antes de utilizá-lo.

Convenções

Para obter mais informações sobre convenções de documento, consulte as Convenções de dicas técnicas Cisco.

Informações de Apoio

No PIX, os comandos access-list e nat 0 trabalham juntos. O comando nat 0 access-list é pretendido ser usado em vez do comando sysopt ipsec pl-compatible. Se você usa o comando nat 0 com o comando matching access-list, você tem que conhecer o endereço IP de Um ou Mais Servidores Cisco ICM NT do cliente que faz a conexão de VPN a fim criar o Access Control List de harmonização (ACL) para contornear o NAT.

Nota: O sysopt ipsec pl-compatible command scales melhor do que o comando nat 0 com a ordem ir do comando matching access-list contornear o Network Address Translation (NAT). A razão é porque você não precisa de conhecer o endereço IP de Um ou Mais Servidores Cisco ICM NT dos clientes que fazem a conexão. Os comandos interchangeable são corajosos na configuração neste documento.

Um usuário com um cliente VPN conecta e recebe um endereço IP de Um ou Mais Servidores Cisco ICM NT de seu provedor de serviço do Internet (ISP). O usuário tem o acesso a tudo no interior do Firewall. Isto inclui redes. Também, os usuários que não executam o cliente podem conectar ao servidor de Web com o uso do endereço fornecido pela atribuição estática. Os usuários no interior podem conectar ao Internet. Não é necessário que seu tráfego atravesse o túnel de IPsec.

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Diagrama de Rede

Este documento utiliza a configuração de rede mostrada neste diagrama.

/image/gif/paws/9354/29.gif

Configurações

Este documento utiliza as configurações mostradas aqui.

Configuração de PIX
PIX Version 6.2.1
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall
fixup protocol ftp 21
fixup protocol http 80
fixup protocol smtp 25
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol sqlnet 1521
names

!--- The ACL to bypass the NAT. You have to know the 
!--- IP address of the Client. In this case, it is 
!--- subnet 65.10.10.0/24.

access-list 103 permit ip 10.0.0.0 255.0.0.0 65.10.10.0 255.255.255.0
pager lines 24
no logging timestamp
no logging standby
logging console debugging
no logging monitor
no logging buffered
no logging trap
logging facility 20
logging queue 512
interface ethernet0 10baset
interface ethernet1 auto
mtu outside 1500
mtu inside 1500
ip address outside 192.68.0.10 255.255.255.0
ip address inside 10.1.1.3 255.255.255.0
no failover
failover timeout 0:00:00
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0
arp timeout 14400
global (outside) 1 192.68.0.11-192.168.0.15 netmask 255.255.255.0

!--- Binding ACL 103 to the NAT statement in order to 
!--- avoid NAT on the IPSec packet.

nat (inside) 0 access-list 103
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) 192.68.0.50 10.1.1.50 netmask 255.255.255.255 0 0
conduit permit icmp any any
no rip outside passive
no rip outside default
no rip inside passive
no rip inside default
route outside 0.0.0.0 0.0.0.0 192.68.0.1 1
route inside 10.2.2.0 255.255.255.0 10.1.1.1 1
timeout xlate 3:00:00 conn 1:00:00 half-closed 0:10:00 udp 0:02:00
timeout rpc 0:10:00 h323 0:05:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps

!--- The sysopt ipsec pl-compatible command 
!--- avoids conduit on the IPSec encrypted traffic.
!--- This command needs to be used if you do not use 
!--- the nat 0 access-list command.

sysopt ipsec pl-compatible
sysopt connection permit-ipsec
crypto ipsec transform-set myset esp-des esp-md5-hmac
crypto dynamic-map cisco 1 set transform-set myset
crypto map dyn-map 20 ipsec-isakmp dynamic cisco
crypto map dyn-map interface outside
isakmp enable outside
isakmp key cisco123 address 0.0.0.0 netmask 0.0.0.0
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption des
isakmp policy 10 hash md5
isakmp policy 10 group 1
isakmp policy 10 lifetime 1000
telnet timeout 5
terminal width 80
Cryptochecksum:c687aa0afb1dd03abce04c31566b5c52
: end
[OK]

Configuração de cliente de VPN
Network Security policy: 
 1- TACconn 
     My Identity 
          Connection security: Secure 
          Remote Party Identity and addressing 
          ID Type: IP subnet 
          10.0.0.0 
           255.0.0.0 
          Port all Protocol all 
 
     Connect using secure tunnel 
          ID Type: IP address 
          192.68.0.10 
 
     Authentication (Phase 1) 
     Proposal 1 
         Authentication method: pre-shared key 
         Encryp Alg: DES 
         Hash Alg: MD5 
         SA life: Unspecified 
         Key Group: DH 1 
 
 
     Key exchange (Phase 2) 
     Proposal 1 
         Encapsulation ESP 
         Encrypt Alg: DES 
         Hash Alg: MD5 
         Encap: tunnel 
         SA life: Unspecified 
         no AH 
 
 
 2- Other Connections 
        Connection security: Non-secure 
        Local Network Interface 
          Name: Any 
          IP Addr: Any 
          Port: All 

Configurar a política para a conexão IPSec do cliente VPN

Siga estas etapas para configurar a política para a conexão IPSec do cliente VPN.

  1. Na aba da identidade de parte remota e do endereçamento, defina a rede privada que você quer poder alcançar com o uso do cliente VPN. Em seguida, seleto conecte usando o túnel de gateway seguro e defina o endereço IP externo do PIX.

    /image/gif/paws/9354/29a.gif

  2. Selecione minha identidade e deixe o ajuste ao padrão. Em seguida, clique o botão da chave pré-compartilhada.

    /image/gif/paws/9354/29b.gif

  3. Incorpore a chave pré-compartilhada que é configurada no PIX.

    /image/gif/paws/9354/29c.gif

  4. Configurar a proposta de autenticação (política da fase 1).

    /image/gif/paws/9354/29d.gif

  5. Configurar o propósito de IPSec (política da fase 2).

    /image/gif/paws/9354/29e.gif

Nota: Não esqueça salvar a política quando você é terminado. Abra uma janela do dos e sibile um host conhecido na rede interna do PIX a fim iniciar o túnel do cliente. Você recebe um mensagem inatingível de protocolo de mensagem de controle de Internet (ICMP) do primeiro sibilo enquanto tenta negociar o túnel.

Verificar

No momento, não há procedimento de verificação disponível para esta configuração.

Troubleshooting

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

Comandos debug

Nota: Antes de emitir comandos de depuração, consulte Informações Importantes sobre Comandos de Depuração.

A fim ver os debug do lado do cliente, permita o visor do Log seguro da Cisco:

  • debug crypto ipsec sa - Indica as negociações de IPSEC de fase 2.

  • debug crypto isakmp sa - Indica as negociações de ISAKMP de fase 1.

  • motor do debug crypto - Indica as sessões de criptografia.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 9354