PIX 501klient

Du kan hente den fra cisco.com, men det kræver at man har et CCO login....

/Rubeck

CCO = Cisco Certified ?

Cisco Connection Online :-)

Jeg har vist nok et gæste-login. Jeg har fået gaflet en klient, men skal man føle sig som en lille hæler, eller hvad er egentlig Cisco's intentioner med disse forhindringer? (gætter man skal være autoriseret)

Jeg må bare sige, at det fungerer rigtig godt. :o)

Som regel kan forhandleren, hvor PIX'en er købt, hjælpe med at skaffe en CCO account.. men glæder mig, du har fået nippet en aligevel.

Og jad det fungerer bare max... :-)

/Rubeck

Rubeck - i min glædesrus erhvervede jeg mig en PIX501 mere, da jeg er på to lokationer.

Problem:

Jeg kan komme ud igennem PIX'en og blive valideret på den anden PIX. Men tilsyneladende kan jeg rigtig noget andet, ved hvad jeg kan gøre?

Ups!
Men tilsyneladende kan jeg IKKE rigtig noget andet, ved DU, hvad jeg kan gøre?

Du skal "banke" dette ind i dine PIX konfigs: isakmp nat-traversal 60... Hvorfor? Here goes:

Man kan ikke køre native IPsec ud igennem en PIX hvis denne PIX er konfig'et til at terminerer VPN tunneller (Jo, hvis man har flere public IPs og laver en static NAT mapping til klient). IPSec virker jo ikke sådan videre igennem NAT, med mindre NAT boksen understøtter IPSec passthroug (Det gør PIX ved at bruge kommandoen "fixup protocol esp-ike". Gør du dette kan PIX ikke længere terminere VPN tunneller.)
Men hvis man nu encapsulerer IPSec i UDP som virker igennem et NAT device, er der intet problem. Det er lige det kommandoen "isakmp nat-traversal 60" gør :-) Den er dog kun tilgængelig hvis du kører PIX OS ver. 6.3.... :-(

Nå ja, nummeret 60 er et interval i secs. for keepalives packets...

Håber det gav et hint, ellers skriv..

/Rubeck

Husk forresten at slå IPSEC over UDP til i din klient :-)

/Rubeck

Inden jeg begynder at gå dybere ind i konfigurationen, ville jeg gerne tage backup. Er der en snild måde at gemme en konfiguration og hente den ind igen - hvis nødvendigt.

Du selvfølgelig bare paste konfig'en ud af den via en consol el. telnet... Du kan også gemme konfig på en TFTP server, med kommandoen "write net <TFTserver IP>:filnavn"

/Rubeck

Husk, hvis du gør det via telnet el consol, får du ikke din Shared Keys .

/Rubeck

Så fik jeg etableret en TFTP-server og overført konfigurationen.

Men hvor redigerer jeg i konfigurationen?

Via telnet:

Telnet til inside IP..

Login:<password>
PIX>ena
password
PIX#conf t
PIX(config)#isakmp nat-traversal 60
exit
PIX#wr term (så ser du den kørenden konfig..chec at der nu står isakmp nat-traversal 60 )
PIX#wr mem (så gemmes konfig)

/Rubeck

Telnet er klar, men der er et gammelt password, jeg ikke kan slette. Kender du en smutvej?

Brug konsol kablet, så kan det være du kan nøjes enable- passwordet.

/Rubeck

Jeps, så er det klaret, men det går ikke rigtig.

Min Firewall ver. er 6.3(1) og min device manager er 3.0(1)

Er det noget, der skal opdateres?

Nope....don't think so. Go right ahead. :-)

/Rubeck

Ups... så ikke: ...men det går ikke rigtig.

Kan du ikke paste din konfig her? Husk at skjule public IPs og passwords..

/Rubeck

PIX'en vil ikke have public ip i konfig, hvis der er router foran vel?

Har du evt. en mailadresse, hvis jeg skulle overse noget i config?

>PIX'en vil ikke have public ip i konfig, hvis der er router foran vel?

Nej... ikke når "router" laver NAT. Sorry.. tænkte jeg ikke lige over.

eksperten@rubeck.dk

/Rubeck

Hermed sendt.