Sécurité : Dispositifs de sécurité de la gamme Cisco PIX 500

Configuration d'une connexion entre un pare-feu PIX et un Cisco Secure VPN Client avec des caractères génériques, des clés pré-partagées et sans le mode config

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (24 août 2015) | Commentaires


Contenu


Introduction

Cette configuration explique comment connecter un client vpn à un Pare-feu PIX à l'utilisation des masques et des commandes pl-compatibles d'ipsec d'autorisation-ipsec et de sysopt de connexion de sysopt. Ce document couvre également les 0 commandes access-list nat.

Remarque: La technologie de cryptage est sujette à des contrôles d'exportation. Il est de votre responsabilité de connaître la loi liée à l'exportation de la technologie de cryptage. Si vous avez n'importe quelles questions liées au contrôle d'exportation, envoyez un courrier électronique à export@cisco.com.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Les informations dans ce document sont basées sur les versions de logiciel et matériel suivantes :

  • Version du logiciel PIX Cisco Secure 5.0.3 avec le Cisco Secure VPN Client 1.0 (affiché comme 2.0.7 dans l'aide > au sujet du menu) ou version du logiciel PIX Cisco Secure 6.2.1 avec le Cisco Secure VPN Client 1.1 (affiché en tant que 2.1.12 dans l'aide > au sujet du menu).

  • Les ordinateurs Internet accèdent à l'hôte Web sur l'intérieur avec l'adresse IP 192.68.0.50.

  • Les accès de client vpn tous les ordinateurs sur l'intérieur avec l'utilisation de tous les ports (10.1.1.0 /24 et 10.2.2.0 /24).

Les informations présentées dans ce document ont été créées à partir de périphériques dans un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si vous travaillez dans un réseau opérationnel, assurez-vous de bien comprendre l'impact potentiel de toute commande avant de l'utiliser.

Conventions

Pour plus d'informations sur les conventions de documents, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Informations générales

Sur le PIX, la liste d'accès et les commandes 0 nat fonctionnent ensemble. Les 0 commandes access-list nat sont destinées d'être utilisé au lieu de la commande pl-compatible d'ipsec de sysopt. Si vous utilisez les 0 commandes nat avec la commande access-list assortie, vous devez connaître l'adresse IP du client qui établit la connexion VPN afin de créer la liste de contrôle d'accès assortie (ACL) pour sauter le NAT.

Remarque: La commande pl-compatible d'ipsec de sysopt mesure mieux que les 0 commandes nat avec la commande assortie de la commande access-list IR de sauter le Traduction d'adresses de réseau (NAT). La raison est parce que vous n'avez pas besoin de connaître l'adresse IP des clients qui établissent le rapport. Les commandes interchangeables sont grasses dans la configuration dans ce document.

Un utilisateur avec un client vpn connecte et reçoit une adresse IP de leur fournisseur de services Internet (ISP). L'utilisateur a accès à tout sur l'intérieur du Pare-feu. Ceci inclut des réseaux. En outre, les utilisateurs qui n'exécutent pas le client peuvent se connecter au web server à l'utilisation de l'adresse fournie par l'affectation statique. Les utilisateurs sur l'intérieur peuvent se connecter à l'Internet. Il n'est pas que leur trafic passe par le tunnel d'IPSec.

Configurez

Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.

Diagramme du réseau

Ce document utilise la configuration réseau indiquée dans le diagramme suivant.

/image/gif/paws/9354/29.gif

Configurations

Ce document utilise les configurations indiquées ici.

Configuration PIX
PIX Version 6.2.1
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall
fixup protocol ftp 21
fixup protocol http 80
fixup protocol smtp 25
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol sqlnet 1521
names

!--- The ACL to bypass the NAT. You have to know the 
!--- IP address of the Client. In this case, it is 
!--- subnet 65.10.10.0/24.

access-list 103 permit ip 10.0.0.0 255.0.0.0 65.10.10.0 255.255.255.0
pager lines 24
no logging timestamp
no logging standby
logging console debugging
no logging monitor
no logging buffered
no logging trap
logging facility 20
logging queue 512
interface ethernet0 10baset
interface ethernet1 auto
mtu outside 1500
mtu inside 1500
ip address outside 192.68.0.10 255.255.255.0
ip address inside 10.1.1.3 255.255.255.0
no failover
failover timeout 0:00:00
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0
arp timeout 14400
global (outside) 1 192.68.0.11-192.168.0.15 netmask 255.255.255.0

!--- Binding ACL 103 to the NAT statement in order to 
!--- avoid NAT on the IPSec packet.

nat (inside) 0 access-list 103
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) 192.68.0.50 10.1.1.50 netmask 255.255.255.255 0 0
conduit permit icmp any any
no rip outside passive
no rip outside default
no rip inside passive
no rip inside default
route outside 0.0.0.0 0.0.0.0 192.68.0.1 1
route inside 10.2.2.0 255.255.255.0 10.1.1.1 1
timeout xlate 3:00:00 conn 1:00:00 half-closed 0:10:00 udp 0:02:00
timeout rpc 0:10:00 h323 0:05:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps

!--- The sysopt ipsec pl-compatible command 
!--- avoids conduit on the IPSec encrypted traffic.
!--- This command needs to be used if you do not use 
!--- the nat 0 access-list command.

sysopt ipsec pl-compatible
sysopt connection permit-ipsec
crypto ipsec transform-set myset esp-des esp-md5-hmac
crypto dynamic-map cisco 1 set transform-set myset
crypto map dyn-map 20 ipsec-isakmp dynamic cisco
crypto map dyn-map interface outside
isakmp enable outside
isakmp key cisco123 address 0.0.0.0 netmask 0.0.0.0
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption des
isakmp policy 10 hash md5
isakmp policy 10 group 1
isakmp policy 10 lifetime 1000
telnet timeout 5
terminal width 80
Cryptochecksum:c687aa0afb1dd03abce04c31566b5c52
: end
[OK]

Configuration du client VPN
Network Security policy: 
 1- TACconn 
     My Identity 
          Connection security: Secure 
          Remote Party Identity and addressing 
          ID Type: IP subnet 
          10.0.0.0 
           255.0.0.0 
          Port all Protocol all 
 
     Connect using secure tunnel 
          ID Type: IP address 
          192.68.0.10 
 
     Authentication (Phase 1) 
     Proposal 1 
         Authentication method: pre-shared key 
         Encryp Alg: DES 
         Hash Alg: MD5 
         SA life: Unspecified 
         Key Group: DH 1 
 
 
     Key exchange (Phase 2) 
     Proposal 1 
         Encapsulation ESP 
         Encrypt Alg: DES 
         Hash Alg: MD5 
         Encap: tunnel 
         SA life: Unspecified 
         no AH 
 
 
 2- Other Connections 
        Connection security: Non-secure 
        Local Network Interface 
          Name: Any 
          IP Addr: Any 
          Port: All 

Configurez la stratégie pour la connexion d'IPSec de client vpn

Suivez ces étapes pour configurer la stratégie pour la connexion d'IPSec de client vpn.

  1. Sur l'onglet d'identité du correspondant et d'adressage, définissez le réseau privé que vous voulez pouvoir atteindre avec l'utilisation du client vpn. Ensuite, choisi connectez à l'aide du tunnel de passerelle sécurisé et définissez l'adresse IP extérieure du PIX.

    /image/gif/paws/9354/29a.gif

  2. Sélectionnez mon identité et laissez la configuration au par défaut. Ensuite, cliquez sur le bouton principal pré-partagé.

    /image/gif/paws/9354/29b.gif

  3. Introduisez la clé pré-partagée qui est configurée sur le PIX.

    /image/gif/paws/9354/29c.gif

  4. Configurez la proposition d'authentification (stratégie de Phase 1).

    /image/gif/paws/9354/29d.gif

  5. Configurez la proposition d'IPSec (stratégie de Phase 2).

    /image/gif/paws/9354/29e.gif

Remarque: N'oubliez pas de sauvegarder la stratégie quand vous êtes de finition. Ouvrez une fenêtre DOS et cinglez un hôte connu sur le réseau intérieur du PIX afin d'initier le tunnel du client. Vous recevez un message d'inaccessibilité de Protocole ICMP (Internet Control Message Protocol) du premier ping en tant que lui essaye de négocier le tunnel.

Vérifiez

Aucune procédure de vérification n'est disponible pour cette configuration.

Dépannez

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

commandes de débogage

Remarque: Avant d'émettre des commandes debug, reportez-vous aux Informations importantes sur les commandes de débogage.

Afin de voir le côté client met au point, active le visualiseur Cisco Secure de log :

  • debug crypto ipsec SA - Affiche les négociations IPSecs de la phase 2.

  • debug crypto isakmp SA - Affiche les négociations ISAKMP de la phase 1.

  • debug crypto engine - Affiche les sessions chiffrées.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 9354