Cisco-pix-openswan
Zur Navigation springen
Zur Suche springen
Aktivierung von IKE auf der ausgehenden Schnittstelle
pix(config)#isakmp enable outside
Accessliste für kein NAT erstellen (zwischen beiden Netzen)
pix(config)# access-list no_nat permit ip 172.22.2.0 255.255.255.0 172.32.1.0 255.255.255.0
Kein NAT für die obige Verbindungen
pix(config)#nat (inside) 0 access-list no_nat
Accesslisten anlegen
pix(config)# access-list 120 permit ip 172.22.2.0 255.255.255.0 172.32.1.0 255.255.255.0 pix(config)# access-list 120 permit ip 172.32.1.0 255.255.255.0 172.22.2.0 255.255.255.0 pix(config)# access-list 120 permit icmp 172.32.1.0 255.255.255.0 172.22.2.0 255.255.255.0
Erstellen einer ISAKMP Protections Suite
pix(config)#isakmp policy 10 authentication pre-share
Festlegen der Verschlüsselungsmethode (des oder 3des)
pix(config)# isakmp policy 10 encryption 3des
Festlegen der Hashmethode um Authentität zu gewahren (md5 oder sha)
pix(config)#isakmp policy 10 hash md5
Festlegen der Diffie-Hellman-Gruppe (1 = 768, 2=1024)
pix(config)#isakmp policy 10 group 2
Festlegen der Lebenszeit in Sekunden
pix(config)#isakmp policy 10 lifetime 28800
Den Key für die Verbindung festlegen
pix(config)# isakmp key sehr-geheim address 192.168.249.62 netmask 255.255.255.255 no-xauth no-config-mode
Als id dient die IP-Adresse (address = IP, hostname = FQDN)
pix(config)# isakmp identity address
Anzeigen der ISAKMP Policy
pix# show isakmp policy
Die Ipsec-SA soll esp-3des(168Bit) plus esp-md5-hmac nutzen
pix(config)# crypto ipsec transform-set xinux-set esp-3des esp-md5-hmac
Überprüfen der Transform-Sets
pix(config)# show crypto ipsec transform-set
Konfiguration der Cryptomap
Erstellen des Crypto-Map-Eintrag für Ipsec und IKE
pix(config)# crypto map lurchie-unkerich 10 ipsec-isakmp
Es wird angewendet wenn die Accessliste 120 zutrifft
pix(config)# crypto map lurchie-unkerich 10 match address 120
Angabe des Ipsec-Peers mit dem der geschützte Verkehr ausgetauscht wird
pix(config)# crypto map lurchie-unkerich 10 set peer 192.168.249.62
Transform-Sets der für diesen Eintrag benutzt wird (Es können bis zu 6 angeben werden)
pix(config)# crypto map lurchie-unkerich 10 set transform-set xinux-set
Anwenden des Crypto-Maps auf die konkrete Schnittstelle
pix(config)# crypto map lurchie-unkerich interface outside
Openswan-Site
/etc/ipsec.conf
version 2.0 # conforms to second version of ipsec.conf specification config setup nat_traversal=yes nhelpers=0 conn test right=192.168.241.90 rightsubnet=172.23.3.0/24 left=192.168.250.96 leftsubnet=172.22.2.0/24 esp=3des-md5-96 keyexchange=ike authby=secret pfs=no auto=add include /etc/ipsec.d/examples/no_oe.conf
/etc/ipsec.secrets
192.168.250.96 192.168.241.90 : PSK "sauhund"