セキュリティ : Cisco PIX 500 シリーズ セキュリティ アプライアンス

Wild-card, Pre-shared, No Mode-Config を使用した Cisco Secure VPN クライアントPIX 設定

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 24 日) | フィードバック


目次


概要

この設定はワイルドカードの使用と PIXファイアウォールに VPN クライアントをおよび sysopt connection permit-ipsec および sysopt ipsec pl-compatible コマンド接続する方法を示します。 この資料はまた nat 0 access-list コマンドを取り扱っています。

注: 暗号化テクノロジーは輸出規制の対象になります。 それは暗号化 技術 の 輸出に関する関連法規を知る責任です。 エクスポート制御に関する質問がある場合 export@cisco.com に E メールを送信 して下さい。

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco Secure VPN Client 1.0 の CiscoセキュアPIX ソフトウェア リリース 5.0.3 (Help > About メニューで 2.0.7 として示されている)または Cisco Secure VPN Client 1.1 の CiscoセキュアPIX ソフトウェア リリース 6.2.1 (Help > About メニューで 2.1.12 として示されている)。

  • インターネットが使えるマシンは IP アドレス 192.68.0.50 が付いている内部の Webホストにアクセスします。

  • VPN クライアントはすべてのポート(10.1.1.0 /24 および 10.2.2.0 /24)の使用の内部のすべてのマシンをアクセス しました。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 対象のネットワークが実稼働中である場合には、どのような作業についても、コマンドを使用する前にその潜在的な影響について確実に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

背景説明

PIX では、access-list および nat 0 コマンドが連携して機能します。 sysopt ipsec pl-compatible コマンドの代りに使用される nat 0 access-list コマンドは意図されています。 matching access-list コマンドで nat 0 コマンドを使用する場合、一致する Access Control List (ACL)を作成するために NAT をバイパスするために VPN 接続をするクライアントの IP アドレスを知らなければなりません。

注: sysopt ipsec pl-compatible コマンド scales ネットワーク アドレス変換(NAT)をバイパスする matching access-list コマンド ir 順序の nat 0 コマンドよりよく。 原因は接続をするクライアントの IP アドレスを知る必要はないということであるといえます。 interchangeable コマンドはこの資料の設定で太字です。

VPN クライアントのユーザはインターネットサービスプロバイダー (ISP)から IP アドレスを接続し、受け取ります。 ユーザはすべてにファイアウォールの内部のアクセスできます。 これにはネットワークが含まれています。 また、クライアントを実行しないユーザは静的割り当てによって提供されるアドレスの使用と Webサーバに接続できます。 内部のユーザはインターネットに接続できます。 トラフィックが IPSecトンネルを通過することは必要ではないです。

設定

この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。

ネットワーク構成図

このドキュメントでは、次の図で示されるネットワーク構成を使用しています。

/image/gif/paws/9354/29.gif

設定

このドキュメントでは、次に示す設定を使用しています。

PIX の設定
PIX Version 6.2.1
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall
fixup protocol ftp 21
fixup protocol http 80
fixup protocol smtp 25
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol sqlnet 1521
names

!--- The ACL to bypass the NAT. You have to know the 
!--- IP address of the Client. In this case, it is 
!--- subnet 65.10.10.0/24.

access-list 103 permit ip 10.0.0.0 255.0.0.0 65.10.10.0 255.255.255.0
pager lines 24
no logging timestamp
no logging standby
logging console debugging
no logging monitor
no logging buffered
no logging trap
logging facility 20
logging queue 512
interface ethernet0 10baset
interface ethernet1 auto
mtu outside 1500
mtu inside 1500
ip address outside 192.68.0.10 255.255.255.0
ip address inside 10.1.1.3 255.255.255.0
no failover
failover timeout 0:00:00
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0
arp timeout 14400
global (outside) 1 192.68.0.11-192.168.0.15 netmask 255.255.255.0

!--- Binding ACL 103 to the NAT statement in order to 
!--- avoid NAT on the IPSec packet.

nat (inside) 0 access-list 103
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) 192.68.0.50 10.1.1.50 netmask 255.255.255.255 0 0
conduit permit icmp any any
no rip outside passive
no rip outside default
no rip inside passive
no rip inside default
route outside 0.0.0.0 0.0.0.0 192.68.0.1 1
route inside 10.2.2.0 255.255.255.0 10.1.1.1 1
timeout xlate 3:00:00 conn 1:00:00 half-closed 0:10:00 udp 0:02:00
timeout rpc 0:10:00 h323 0:05:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps

!--- The sysopt ipsec pl-compatible command 
!--- avoids conduit on the IPSec encrypted traffic.
!--- This command needs to be used if you do not use 
!--- the nat 0 access-list command.

sysopt ipsec pl-compatible
sysopt connection permit-ipsec
crypto ipsec transform-set myset esp-des esp-md5-hmac
crypto dynamic-map cisco 1 set transform-set myset
crypto map dyn-map 20 ipsec-isakmp dynamic cisco
crypto map dyn-map interface outside
isakmp enable outside
isakmp key cisco123 address 0.0.0.0 netmask 0.0.0.0
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption des
isakmp policy 10 hash md5
isakmp policy 10 group 1
isakmp policy 10 lifetime 1000
telnet timeout 5
terminal width 80
Cryptochecksum:c687aa0afb1dd03abce04c31566b5c52
: end
[OK]

VPN Client の設定
Network Security policy: 
 1- TACconn 
     My Identity 
          Connection security: Secure 
          Remote Party Identity and addressing 
          ID Type: IP subnet 
          10.0.0.0 
           255.0.0.0 
          Port all Protocol all 
 
     Connect using secure tunnel 
          ID Type: IP address 
          192.68.0.10 
 
     Authentication (Phase 1) 
     Proposal 1 
         Authentication method: pre-shared key 
         Encryp Alg: DES 
         Hash Alg: MD5 
         SA life: Unspecified 
         Key Group: DH 1 
 
 
     Key exchange (Phase 2) 
     Proposal 1 
         Encapsulation ESP 
         Encrypt Alg: DES 
         Hash Alg: MD5 
         Encap: tunnel 
         SA life: Unspecified 
         no AH 
 
 
 2- Other Connections 
        Connection security: Non-secure 
        Local Network Interface 
          Name: Any 
          IP Addr: Any 
          Port: All 

VPN クライアント IPSec接続のためのポリシーを設定して下さい

VPN クライアント IPSec接続のためのポリシーを設定するために次の手順に従って下さい。

  1. リモートパーティ識別およびアドレッシング タブで、VPN クライアントの使用と達できるたいと思うプライベート ネットワークを定義して下さい。 次に、PIX の外部 IP アドレスを『Connect using Secure Gateway Tunnel』 を選択 し、定義して下さい。

    /image/gif/paws/9354/29a.gif

  2. 『My Identity』 を選択 し、ディフォルト設定のままにして下さい。 次に、Pre-Shared Key ボタンをクリックして下さい。

    /image/gif/paws/9354/29b.gif

  3. PIX で設定される事前共有キーを入力して下さい。

    /image/gif/paws/9354/29c.gif

  4. 認証提案(フェーズ 1 ポリシー)を設定して下さい。

    /image/gif/paws/9354/29d.gif

  5. IPSec 提案(フェーズ 2 ポリシー)を設定して下さい。

    /image/gif/paws/9354/29e.gif

注: 終了したらポリシーを保存することを忘れないで下さい。 DOSウィンドウを開き、クライアントからのトンネルを開始するために PIX の内部ネットワークの既知 ホストを ping して下さい。 トンネルをネゴシエートすることを試みると同時に最初の PING からインターネット制御メッセージ プロトコル(ICMP)の到達不可能なメッセージを受け取ります。

確認

現在、この設定に使用できる確認手順はありません。

トラブルシューティング

ここでは、設定のトラブルシューティングに役立つ情報について説明します。

debug コマンド

注: debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

クライアント側のデバッグを参照するために、Ciscoセキュアログビューアを有効に して下さい:

  • debug crypto ipsec sa -フェーズ2 の IPSec ネゴシエーションを表示する。

  • debug crypto isakmp sa -フェーズ1 の ISAKMP ネゴシエーションを表示する。

  • debug crypto engine:暗号化されたセッションを表示します。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 9354