cisco ios vpn proxyid
Cisco aranyos. Az acl-ből veszi a proxy-ID-t amit küld is az SSG részére! Ha az acl-ben több szabály van, akkor az első! Ez azért is gáz, mert hiába routeolok beleszól a proxy-ID.
Latest Publications
ASA tapasztalatok::
Rendelésnél nézzél useszámot, mert ennyi connection lehet az külső és a belső interface között. Kellemetlen. Esetemben még a proxy mellett sem volt elég ( a fél világ VPN-ezett ).
Rendelésnél nézd meg az encryption-t is. ( háthavéletlen az eszköz nem tudja a 3des-t ) Kellemetlen erre is rájönni. Hálisten erről nem volt szó!
Juniper SSG5 route based site-to-site policy less VPN with VPN monitor::
site A : juniper SSG 140 ( két internetkapcsolattal )
site B : juniper SSG5 ( egy internetkapcsolattal )
site A:
——–
ISP1 10.10.10.1/30
set interface ethernet0/8 ip 10.10.10.1/30
set interface ethernet0/8 route
set route 0.0.0.0/0 interface ethernet0/8 gateway 10.10.10.2
ISP2 10.10.20.1/30
set interface ethernet0/9 ip 10.10.20.1/30
set interface ethernet0/9 route
set route 0.0.0.0/0 interface ethernet0/9 gateway 10.10.20.2 preference 40
LAN 10.1.2.0/24
set interface ethernet0/6 ip 10.1.2.1/24
set interface ethernet0/6 route
tunnel.1
set interface "tunnel.1" zone "Trust"
set interface tunnel.1 ip unnumbered interface ethernet0/6
set route 10.1.1.0/24 interface tunnel.1
tunnel.2
set interface "tunnel.2" zone "Trust"
set interface tunnel.2 ip unnumbered interface ethernet0/6
set route 10.1.1.0/24 interface tunnel.2 preference 40
VPN:
——
gateway1:
set ike gateway "VPN-MAIN" address 10.10.30.1 Main outgoing-interface "ethernet0/8" preshare "almaalma" proposal "pre-g2-3des-sha"
gateway2:
set ike gateway "VPN-BACKUP" address 10.10.30.1 Main outgoing-interface "ethernet0/9" preshare "kortekorte" proposal "pre-g2-3des-sha"
VPN1:
set vpn "VPN-MAIN" gateway "VPN-MAIN" no-replay tunnel idletime 0 proposal "g2-esp-3des-md5"
set vpn "VPN-MAIN" monitor source-interface ethernet0/6 destination-ip 10.1.1.1 optimized rekey
set vpn "VPN-MAIN" id 0x4 bind interface tunnel.1
VPN2:
set vpn "VPN-BACKUP" gateway "VPN-BACKUP" no-replay tunnel idletime 0 proposal "g2-esp-3des-md5"
set vpn "VPN-BACKUP-alma" id 0x5 bind interface tunnel.2
Policy:
——-
Alapból csak egy policy-t használok, és ez adja a dolog lényegét. Az össz policy trust->untrust és NAT-ot valósít meg!
set policy id 4 from "Trust" to "Untrust" "Any" "Any" "ANY" nat src permit
set policy id 4
ASA tapasztalatok ::
Pár napot töltöttem az ASA-k alapvető ismeretével, és bár egyelőre továbbra sem sikerült IDS tapasztalatokra szert tennem egy jól körbejárt alap konfigurációt készíthettem amiben minden van, ami szem-szájnak ingere amire a végleges konfigurációnál szükség lehet.
Pár buktatós dolog:
- VPN esetén a management interface-t csak akkor érjük el, ha ezt engedjük is:
(config)#management-access inside - Nem tudom, hogy a base license miatt-e, de csak egy kizáró nat szabályt tudtam készíteni, így ebbe kellett gyűjtenem minden olyan szabályt, amit a VPN hozzáférésekhez felvettem. Az így elkészített összesített szabályra alkalmaztam végül a nat-ból való kizárást.
nat (inside) 0 access-list VPN - A forgalom engedélyéhez egy ACL-t kell felhúznunk a következőképp:
access-list border-list extended permit icmp any any
access-list border-list extended permit esp any interface outside
access-group border-list in interface outside
- A telephely egy kisebb publikus tartománnyal rendelkezik, így előfordulhat static nat alkalmazása, így ezt is leteszteltem
static (inside,outside) 172.21.57.81 10.111.25.200 netmask 255.255.255.255- Ahol 172.21.57.81 a MAPPELT 10.111.25.200 a valódi cím
- Az így elérhetővé tett eszköz hozzáférését szintén a border-list ACL-ben szabályozzuk
Egy kis hack::
ASA-t konfigurálok, annak minden szépségével. Sajnos az eszköz ( ASA5505 ) base licensel csak egy szappantartó, és annak is elég drága! Viszont az SSH felületéről ügyesen kizártam magam, vagyis nem engedtem be a VPN-es címeinket, mivel nem gondoltam, hogy nekem okvetlen kell majd ezt matatni ( nem kell, de ki akarok még valamit probálni ) Szóval beengedtem az egyik benti subnet-ünket, mögötte pedig a gépem, natolt címet. ( ez szeretném most static nat-ra rakni egy másik címre, de nem lényeg ).
Szóval a probléma, hogy hogy hazudjam azt, hogy ebből a hálózatból vagyok. Mivel hogy hálózati eszközünk mint a pejva, ezért a linuxos hackingről itt le is tettem, felesleges! Rendelkezésemre áll egy Cisco, és egy Juniper! A cisco-ra esett a választásom, ebben pedig a következőt tettem:
<code>(config)#ip ssh source-interface fastethernet0/0.56</code>
Igazából nem nagy trükk, viszont hatásos. Innentől már a routerből indított ssh kapcsolatok source ip-je a megfelelő subnetben van. 
Költözés:
Az utóbbi pár napban a cég költözését intéztük. Vicces volt ahogy a minél nagyobb rendelkezésre állás mellett valósítottuk meg az átállást! Volt itt kérem szerver almásládán, és szerver tetején a többi hálózati eszköz, és egyéb!
A keletkezett hálózati struktúránk viszont rendkívül kellemes.
Egyéb linuxos fontosság::
Ugyanígy elérhető lett az Oracle ( pfuj ) VirtualBox virtualizációs környezet repóból a 10.04-es ubuntu-ra.
teamviewer @ linux::
Kellemes meglepetés ért a napokban. Bevált szokás, hogy a konfigurálandó eszközt teamviewer, soros konzol és putty segítségével teszik elérhetővé. Teamviewer pedig nem volt a gépen, mióta feltettem az új ubuntu-t! El is kezdtem a telepítési folyamatot az eddig megszokottak szerint:
#aptitude install wine
Ebből a sorból látszik, hogy bizony bizony, itt a windows világot kell használni, másra nincs lehetőség! A wine install kicsit hosszú volt, de kellemes. Leszedte a fontokat és a satöbbit, majd közölte, hogy akkor ő most kész van. “Örülök neked”, és navigáltam a teamviewer honlapjára. Meglepetésemre a download szekcióban natív linux beta verziót kínált letöltésre, az 5-ös verzióból! A szoftver full, de a gép távelérhetőségét még idő hiányban nem néztem meg! A program ugyanígy elérhető Mac-re és Iphone-ra is.
ASA 5505::
A mai napot ennek a szappantartónak a társaságában töltöttem, amit volt szerencsénk extended license nélkül megrendelni, ami még szappantartóbbá teszi! Ennek ellenére egyelőre még sikerült mindent belenyomni. Holnap folytatom a játékot az ipsec csatorna tesztelésével!
