IPSEC Pass throug på Cisco PIX 501

Jeps, det passer.... :-( PIX'en skal vide hvor IPSec traffik inbound (incl. retur traffik) skal termineres (pr IP addr). Hvis du har flere public IPs kan du lave statisk NAT mapping til din inside host.

/Rubeck



/Rubeck

Vil det sige at det er umuligt af have en vpn client på inderside af pix, også hvis man ikke bruger site to site ?

Det kan man sagtens hvis man kører PIX ver. 6.3.... Kommandoen fixup protocol esp-ike som først kom i ver. 6.3 skal bare indtastes som du selv er inde på, men det går ikke hvis du samtidg har L2L tunnels konfig på PIX.

Det samme vil vis sig hvis man sidder bag en router der selvf. understøtter IPSec passthrough og man starter TO VPN clienter samtidig. Kun den en vil virke...

Hvis din klient og device hvor tunnel termineres understøtter encapsulering af IPSec (i UDP el TCP) er der her ikke noget problem, da UDP og TCP sagtens kan PAT's. Det kan IPsec ikke da det ikke bruger porte...

Men her er Cisco forklaring:

The fixup protocol esp-ike command enables PAT for Encapsulating Security Payload (ESP), single tunnel.

The fixup protocol esp-ike command is disabled by default. If a fixup protocol esp-ike command is issued, the fixup is turned on, and the firewall preserves the source port of the Internet Key Exchange (IKE) and creates a PAT translation for ESP traffic. Additionally, if the esp-ike fixup is on, ISAKMP cannot be turned on any interface.


/Rubeck

Hej Rubeck
Det lyder som du virkelige har styr på det her :-)
Men har prøvet fixup og har disablet ISAKMP virker stadig ikke :-(
Skal de site to site VPN'er der er defineret slettes ??

Dvs at "no isakmp enable outside" ikke er nok? Hmmm... Du har selvf. prøvet at vende PIX'en efter dette? El. lavet en "clear crypto isakmp sa" og en "clear crypto ipsec sa".

Prøv evt. "no crypto map <MAPname> <Seq nr> match address <ACL>"
Så burde "interresting traffic for encryption" være holdt ude..

/Rubeck