Linux en Syn-3 Forum

Syn-3 Nederland => Hardware support => Topic gestart door: edwin op Mei 14, 2007, 02:45:37


Titel: Cisco PIX 525
Bericht door: edwin op Mei 14, 2007, 02:45:37
Om een succesvolle verbinding te maken terwijl er sprake is van een NAT router is het nodig om --disable_port_floating uit te zetten in /etc/ipsec.conf.
Dit kan door er een hekje direct voor te zetten. (NIET AAN HET BEGIN VAN DE REGEL!)

Citaat
# Syn-3 ipsec configuration (C)DatuX 2005


version 2.0# conforms to second version of ipsec.conf specification

# basic configuration
config setup
  interfaces="%defaultroute"
  # Debug-logging controls:Â?  "none" for (almost) none, "all" for lots.
  #klipsdebug="all"
  #plutodebug="all"
  # plutostderrlog=/var/log/ipsec.log
  nat_traversal=yes
  #plutoopts="--disable_port_floating"

include /etc/ipsec.d/tunnels/*.conf

#Disable Opportunistic Encryption
include /etc/ipsec.d/examples/no_oe.conf

Indien dit aan staat zal de tunnel wel up komen, maar kan er niet succesvol verkeer door heen komen. Deze optie moet ook uit voor bepaalde type modems die 'intelligente' VPN protocol ondersteuning bevatten.

De volgende Cisco configuratie is succesvol gebruikt voor een tunnel tussen lokaal IP 172.31.1.131 en LAN 192.168.22.0/24. Een enkel lokaal IP, in plaats van een compleet netwerk specificeert u in de SCC als 172.31.1.131/32.
Citaat
access-list gsh-hollanti permit ip host 172.31.1.131 192.168.22.0 255.255.255.0
access-list nonat-dmz permit ip host 172.31.1.131 192.168.22.0 255.255.255.0
 
!! Access list lines mentioned above must be the same !!
 
 
crypto ipsec transform-set GShydro esp-3des esp-sha-hmac
 
crypto map vpn 13 ipsec-isakmp
crypto map vpn 13 match address gsh-hollanti
crypto map vpn 13 set peer 1.2.3.4
crypto map vpn 13 set transform-set GShydro
 
isakmp key XXXXXX address 1.2.3.4 netmask 255.255.255.255 no-xauth no-config-mode
isakmp identity address
 
isakmp policy 9 authentication pre-share
isakmp policy 9 encryption 3des
isakmp policy 9 hash md5
isakmp policy 9 group 2
isakmp policy 9 lifetime 86400
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 28800
isakmp policy 11 authentication pre-share
isakmp policy 11 encryption 3des
isakmp policy 11 hash sha
isakmp policy 11 group 2
isakmp policy 11 lifetime 86400
 



Powered by SMF 1.1.11 | SMF © 2006, Simple Machines LLC