Cisco-pix-openswan

Aus xinux.net
Zur Navigation springen Zur Suche springen

Aktivierung von IKE auf der ausgehenden Schnittstelle

pix(config)#isakmp enable outside

Accessliste für kein NAT erstellen (zwischen beiden Netzen)

pix(config)# access-list no_nat permit ip 172.22.2.0 255.255.255.0 172.32.1.0 255.255.255.0

Kein NAT für die obige Verbindungen

pix(config)#nat (inside) 0 access-list no_nat

Accesslisten anlegen

pix(config)# access-list 120 permit ip 172.22.2.0 255.255.255.0 172.32.1.0 255.255.255.0 
pix(config)# access-list 120 permit ip 172.32.1.0 255.255.255.0 172.22.2.0 255.255.255.0 
pix(config)# access-list 120 permit icmp 172.32.1.0 255.255.255.0 172.22.2.0 255.255.255.0

Erstellen einer ISAKMP Protections Suite

Festlegen der Authentifizierungsmethode (pre-shared oder rsa-sig)

pix(config)#isakmp policy 10 authentication pre-share

Festlegen der Verschlüsselungsmethode (des oder 3des)

pix(config)# isakmp policy 10 encryption 3des

Festlegen der Hashmethode um Authentität zu gewahren (md5 oder sha)

pix(config)#isakmp policy 10 hash md5

Festlegen der Diffie-Hellman-Gruppe (1 = 768, 2=1024)

pix(config)#isakmp policy 10 group 2

Festlegen der Lebenszeit in Sekunden

pix(config)#isakmp policy 10 lifetime 28800

Den Key für die Verbindung festlegen

pix(config)# isakmp key sehr-geheim address 192.168.249.62 netmask 255.255.255.255 no-xauth no-config-mode

Als id dient die IP-Adresse (address = IP, hostname = FQDN)

pix(config)# isakmp identity address

Anzeigen der ISAKMP Policy

pix# show isakmp policy

Die Ipsec-SA soll esp-3des(168Bit) plus esp-md5-hmac nutzen

pix(config)# crypto ipsec transform-set xinux-set esp-3des esp-md5-hmac

Überprüfen der Transform-Sets

pix(config)# show crypto ipsec transform-set

Konfiguration der Cryptomap

Erstellen des Crypto-Map-Eintrag für Ipsec und IKE

pix(config)# crypto map lurchie-unkerich 10 ipsec-isakmp

Es wird angewendet wenn die Accessliste 120 zutrifft

pix(config)# crypto map lurchie-unkerich 10 match address 120

Angabe des Ipsec-Peers mit dem der geschützte Verkehr ausgetauscht wird

pix(config)# crypto map lurchie-unkerich 10 set peer 192.168.249.62

Transform-Sets der für diesen Eintrag benutzt wird (Es können bis zu 6 angeben werden)

pix(config)# crypto map lurchie-unkerich 10 set transform-set xinux-set

Anwenden des Crypto-Maps auf die konkrete Schnittstelle

pix(config)# crypto map lurchie-unkerich interface outside

Openswan-Site

/etc/ipsec.conf 

version 2.0     # conforms to second version of ipsec.conf specification

config setup
       nat_traversal=yes
       nhelpers=0

conn test
       right=192.168.241.90
       rightsubnet=172.23.3.0/24
       left=192.168.250.96
       leftsubnet=172.22.2.0/24
       esp=3des-md5-96
       keyexchange=ike
       authby=secret
       pfs=no
       auto=add

include /etc/ipsec.d/examples/no_oe.conf

/etc/ipsec.secrets 

192.168.250.96 192.168.241.90 : PSK "sauhund"
Abgerufen von „https://xinux.net/index.php?title=Cisco-pix-openswan&oldid=16172