Cisco PIX 525

Om een succesvolle verbinding te maken terwijl er sprake is van een NAT router is het nodig om --disable_port_floating uit te zetten in /etc/ipsec.conf.
Dit kan door er een hekje direct voor te zetten. (NIET AAN HET BEGIN VAN DE REGEL!)

Citaat

# Syn-3 ipsec configuration (C)DatuX 2005

version 2.0# conforms to second version of ipsec.conf specification

# basic configuration
config setup
interfaces="%defaultroute"
# Debug-logging controls:Â? "none" for (almost) none, "all" for lots.
#klipsdebug="all"
#plutodebug="all"
# plutostderrlog=/var/log/ipsec.log
nat_traversal=yes
#plutoopts="--disable_port_floating"

include /etc/ipsec.d/tunnels/*.conf

#Disable Opportunistic Encryption
include /etc/ipsec.d/examples/no_oe.conf

Indien dit aan staat zal de tunnel wel up komen, maar kan er niet succesvol verkeer door heen komen. Deze optie moet ook uit voor bepaalde type modems die 'intelligente' VPN protocol ondersteuning bevatten.

De volgende Cisco configuratie is succesvol gebruikt voor een tunnel tussen lokaal IP 172.31.1.131 en LAN 192.168.22.0/24. Een enkel lokaal IP, in plaats van een compleet netwerk specificeert u in de SCC als 172.31.1.131/32.

Citaat

access-list gsh-hollanti permit ip host 172.31.1.131 192.168.22.0 255.255.255.0
access-list nonat-dmz permit ip host 172.31.1.131 192.168.22.0 255.255.255.0

!! Access list lines mentioned above must be the same !!

crypto ipsec transform-set GShydro esp-3des esp-sha-hmac

crypto map vpn 13 ipsec-isakmp
crypto map vpn 13 match address gsh-hollanti
crypto map vpn 13 set peer 1.2.3.4
crypto map vpn 13 set transform-set GShydro

isakmp key XXXXXX address 1.2.3.4 netmask 255.255.255.255 no-xauth no-config-mode
isakmp identity address

isakmp policy 9 authentication pre-share
isakmp policy 9 encryption 3des
isakmp policy 9 hash md5
isakmp policy 9 group 2
isakmp policy 9 lifetime 86400
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 28800
isakmp policy 11 authentication pre-share
isakmp policy 11 encryption 3des
isakmp policy 11 hash sha
isakmp policy 11 group 2
isakmp policy 11 lifetime 86400

	Welkom, Gast. Alsjeblieft inloggen of registreren.	April 18, 2024, 08:04:50
		Login met gebruikersnaam, wachtwoord en sessielengte

	Auteur	Topic: Cisco PIX 525 (gelezen 11156 keer)
0 geregistreerde leden en 1 gast bekijken dit topic.