Wenn man mal in die Verlegenheit kommt und auf einer ASA die Passwortwiederherstellungsprozedur durchführen zu müssen wie auf der Cisco Seite beschrieben, (Passwort Recovery Guide) kann es zu merkwürdigen Symptomen kommen. Ich habe Gestern eine ganze Weile damit zugebracht herauszufinden warum auf einer Kunden ASA das PPPOE plötzlich nicht mehr ging. Nach einiger Zeit und der Tatsache das ein Debug auf PPPOE gar nichts brachte, konnte ich heraus finden das das Register der ASA nicht passte. Es zeigte sich dann, dass das zurücksetzen des Konfigurationsregisters zusammen mit einem Neustart das Problem restlos löste. Ergo hing die ASA die ganze Zeit im Passwortwiederherstellungsprozess. Interessanterweise funktionierte der Rest der aktivierten ASA Features wie gewohnt.
Cheers NWG
Sonntag, 29. März 2009
EN - ASA Password recovery - something to note
If you are doing ASA password recovery like it is discribed on CISCO.com
(Recovery procedure link)
One thing you might notice that some functions are not working as expected. Well the „disable system configuration?“ question has to be answerd with „Yes“ so sure nothing should realy work.
Yesterday I spend quite a lot of time till I recognised that the ASA was nearly working except for the PPPOE part. A debug on pppoe showed ..well nothing. After some time I figured that the customer did not switch the configuration register back to the defaults and did not do a reload, so we were still hanging in the password recovery process. Switching back the configuration register, reloading and hurray the ASA was back up online. Interesstingly the rest of the activated features worked like a charm.
Cheers NWG
(Recovery procedure link)
One thing you might notice that some functions are not working as expected. Well the „disable system configuration?“ question has to be answerd with „Yes“ so sure nothing should realy work.
Yesterday I spend quite a lot of time till I recognised that the ASA was nearly working except for the PPPOE part. A debug on pppoe showed ..well nothing. After some time I figured that the customer did not switch the configuration register back to the defaults and did not do a reload, so we were still hanging in the password recovery process. Switching back the configuration register, reloading and hurray the ASA was back up online. Interesstingly the rest of the activated features worked like a charm.
Cheers NWG
Freitag, 27. März 2009
DE - 'Router on a Stick' oder "Inter VLAN routing"
Hallo zusammen,
ich versuche heute einmal in einfachen Schritten das Inter-VLAN Routing zu erläuterm.
Weil ich mein Heim noch nicht mit Routern und Switchen tapeziert habe, habe ich Dynamips aus dem GNS3 Paket benutzt.
Das folgende Setup habe ich mit 3725er Routern gebaut:
R0 ist der eigentliche Rrouter.
R2 habe ich als Switch im Einsatz. In Slot1 steckt ein NM-16ESW welches den Switch darstellt.
Host1 und Host2 stellen sind wie der Name schon erahnen lässt, lediglich Hosts.
Ich werde nur die Zeilen der Config posten, die nicht standartmäßig drin sind.
R0
Als erstes muß auf dem Subinterface der encapsulation Befehl abgesetzt werden.
Um das Routing zwischen den VLANs einzuschalten kann man entweder statisches Routing nutzen, oder aber ein belieibiges Routing Protokoll. Ich habe statitische Routen benutzt, die jedes Subnetz über das zugehörige Subinterface erreichbar machen.
R2
Host1
Da diese Router lediglich Hosts simulieren sollen, haben sie eine Defaultroute die auf das ausgehende Interface zeigt, und somit das Default Gateway darstellt.
Host2
Ich empfehle dringend (eigentlich in jeder Config)
Für Fragen benutzt einfach die Kommentar-Funktion.
Regards,
Zif
ich versuche heute einmal in einfachen Schritten das Inter-VLAN Routing zu erläuterm.
Weil ich mein Heim noch nicht mit Routern und Switchen tapeziert habe, habe ich Dynamips aus dem GNS3 Paket benutzt.
Das folgende Setup habe ich mit 3725er Routern gebaut:
R0 ist der eigentliche Rrouter.
R2 habe ich als Switch im Einsatz. In Slot1 steckt ein NM-16ESW welches den Switch darstellt.
Host1 und Host2 stellen sind wie der Name schon erahnen lässt, lediglich Hosts.
Ich werde nur die Zeilen der Config posten, die nicht standartmäßig drin sind.
R0
hostname R0
!
interface FastEthernet0/0
no ip address
speed 100
full-duplex
!
interface FastEthernet0/0.100
encapsulation dot1Q 100
ip address 10.0.100.1 255.255.255.0
!
interface FastEthernet0/0.200
encapsulation dot1Q 200
ip address 10.0.200.1 255.255.255.0
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
ip route 10.0.100.0 255.255.255.0 FastEthernet0/0.100
ip route 10.0.200.0 255.255.255.0 FastEthernet0/0.200
Für jedes VLAN muss ein Subinterface angelegt werden. Ich empfehle die VLAN-Nummern als Sub-IFnummer zu benutzen, aber das ist jedem freigelassen.Als erstes muß auf dem Subinterface der encapsulation Befehl abgesetzt werden.
encapsulation dot1Q <vlan ID>
Um das Routing zwischen den VLANs einzuschalten kann man entweder statisches Routing nutzen, oder aber ein belieibiges Routing Protokoll. Ich habe statitische Routen benutzt, die jedes Subnetz über das zugehörige Subinterface erreichbar machen.
R2
hostname R2
!
interface FastEthernet1/0
description Link to R0
switchport mode trunk
duplex full
speed 100
!
interface FastEthernet1/5
description Link to Host1
switchport access vlan 100
duplex full
speed 100
!
interface FastEthernet1/10
description Link to Host2
switchport access vlan 200
duplex full
speed 100
Da dieser Router lediglich als L2 Switch dient, sind keinerlei IP Adressen konifguriert. Normalerweise sollte zumindest eine Management IP auf irgend ein VLAN gebunden werden.Host1
hostname Host1
!
interface FastEthernet0/0
ip address 10.0.100.100 255.255.255.0
speed 100
full-duplex
!
ip route 0.0.0.0 0.0.0.0 FastEthernet0/0
Da diese Router lediglich Hosts simulieren sollen, haben sie eine Defaultroute die auf das ausgehende Interface zeigt, und somit das Default Gateway darstellt.
Host2
hostname Host2
!
interface FastEthernet0/0
ip address 10.0.200.200 255.255.255.0
speed 100
full-duplex
!
ip route 0.0.0.0 0.0.0.0 FastEthernet0/0
Ich empfehle dringend (eigentlich in jeder Config)
speed
und duplex
Befehle, um "Missmatch"-Errors zu vermeiden.Für Fragen benutzt einfach die Kommentar-Funktion.
Regards,
Zif
Mittwoch, 25. März 2009
EN - 'Router on a Stick' or Inter VLAN routing
Hey again,
I try to explain in simple steps how to do inter vlan routing.
Due to the lack of real equipment @home I used dynamips from the GNS3 package.
I built the folowing setup using 3725 routers.
R0 is the real router.
R2 is used as switch. In Slot1 I inserted a NM-16ESW which simulates the switch.
Host1 and Host2 are used as host only.
I will only post non-auto config lines.
R0
When configuring the subinterfaces enter first the encapsulation command.
To enable routing between VLANs you need either static routes or a routing protocol. I used static routes pointing for each subnet to its related subinterface.
R2
Host1
Due to these routers are (mis)used as host, the have an default gateway pointing at the outgoing interface.
Host2
I highly recommend (in every environment) to use the
For questions just use the comment section.
Regards,
Zif
I try to explain in simple steps how to do inter vlan routing.
Due to the lack of real equipment @home I used dynamips from the GNS3 package.
I built the folowing setup using 3725 routers.
R0 is the real router.
R2 is used as switch. In Slot1 I inserted a NM-16ESW which simulates the switch.
Host1 and Host2 are used as host only.
I will only post non-auto config lines.
R0
hostname R0
!
interface FastEthernet0/0
no ip address
speed 100
full-duplex
!
interface FastEthernet0/0.100
encapsulation dot1Q 100
ip address 10.0.100.1 255.255.255.0
!
interface FastEthernet0/0.200
encapsulation dot1Q 200
ip address 10.0.200.1 255.255.255.0
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
ip route 10.0.100.0 255.255.255.0 FastEthernet0/0.100
ip route 10.0.200.0 255.255.255.0 FastEthernet0/0.200
For each VLAN a subinterface has to be created. I recommend using the VLAN number but there are no rule for it.When configuring the subinterfaces enter first the encapsulation command.
encapsulation dot1Q <vlan ID>
To enable routing between VLANs you need either static routes or a routing protocol. I used static routes pointing for each subnet to its related subinterface.
R2
hostname R2
!
interface FastEthernet1/0
description Link to R0
switchport mode trunk
duplex full
speed 100
!
interface FastEthernet1/5
description Link to Host1
switchport access vlan 100
duplex full
speed 100
!
interface FastEthernet1/10
description Link to Host2
switchport access vlan 200
duplex full
speed 100
Due to this router is used as Switch only, there are no IP addresses configured. In a real scenario there would be at least a management IP normaly bound on a VLAN.Host1
hostname Host1
!
interface FastEthernet0/0
ip address 10.0.100.100 255.255.255.0
speed 100
full-duplex
!
ip route 0.0.0.0 0.0.0.0 FastEthernet0/0
Due to these routers are (mis)used as host, the have an default gateway pointing at the outgoing interface.
Host2
hostname Host2
!
interface FastEthernet0/0
ip address 10.0.200.200 255.255.255.0
speed 100
full-duplex
!
ip route 0.0.0.0 0.0.0.0 FastEthernet0/0
I highly recommend (in every environment) to use the
speed
and duplex
settings to avoid running in mismatch errors!For questions just use the comment section.
Regards,
Zif
DE - Configuration Basics
Hallo zusammen,
Ich bin der Neue ;)
Ich will hier mit einigen initialen Konfigurationsschritten, die bei jedem jungreulichem Router oder Switch abgesetzt werden sollten.
Wenn das Gerät startet, steht normalerweise folgender Prompt:
Natürlich antwortet man hier mit "no". Ehrlich gesagt habe ich keine Ahnung was kommt, wenn man "yes" sagt ;)
Damit man mit der CLI ordentlich arbeiten kann, kopiert einfach die folgenden Zeilen und fügt sie in der CLI ein:
Diese Kommandos tun folgendes:
Diese wenigen Zeilen werden euch helfen auf der CLI die Übersicht zu behalten.
Gruß,
Zif
Ich bin der Neue ;)
Ich will hier mit einigen initialen Konfigurationsschritten, die bei jedem jungreulichem Router oder Switch abgesetzt werden sollten.
Wenn das Gerät startet, steht normalerweise folgender Prompt:
Would you like to enter the initial configuration dialog? [yes/no]:
Natürlich antwortet man hier mit "no". Ehrlich gesagt habe ich keine Ahnung was kommt, wenn man "yes" sagt ;)
Damit man mit der CLI ordentlich arbeiten kann, kopiert einfach die folgenden Zeilen und fügt sie in der CLI ein:
enable
configure terminal
line console 0
logging synchronous
exec-timeout 0 0
Diese Kommandos tun folgendes:
enable
- führt euch in den "priveledge mode"configure terminal
- führt euch in den "config mode"line console 0
- wählt den Konsolenport zur Konfiguration aus.logging synchronous
- noch jedem vom Router/Switch generiertem Output wird ein Zeilenumbruch eingefügtexec-timeout 0 0
- der Session timeout wird abgeschaltetDiese wenigen Zeilen werden euch helfen auf der CLI die Übersicht zu behalten.
Gruß,
Zif
EN - Configuration Basics
Hey gals'n guys,
I am the new one ;)
Lets start with some basic configuration steps, which should be applied to every maiden-like router or switch.
Every device startup should end in folowing prompt:
Would you like to enter the initial configuration dialog? [yes/no]:
Of course chose "no" due to I have no idea what happens when chosing "yes" ;)
Now to get the CLI working smoothly you can copy and paste the following lines:
The shown commands do:
This will help help to keep track of the following configuration.
Regards,
Zif
I am the new one ;)
Lets start with some basic configuration steps, which should be applied to every maiden-like router or switch.
Every device startup should end in folowing prompt:
Would you like to enter the initial configuration dialog? [yes/no]:
Of course chose "no" due to I have no idea what happens when chosing "yes" ;)
Now to get the CLI working smoothly you can copy and paste the following lines:
enable
configure terminal
line console 0
logging synchronous
exec-timeout 0 0
The shown commands do:
enable
- priveledge modeconfigure terminal
- enter config modeline console 0
- select console port for configurationslogging synchronous
- after each router/switch generated output a carriage return (CR) is insertedexec-timeout 0 0
- the session timeout is disabledThis will help help to keep track of the following configuration.
Regards,
Zif
ENG – Task 2 VPN Networks
Task 2
Add two routers to an existing OSPF Network.
Terminate several VPN types on this routers and try to implement high availibilty.
Tools
GNS3
existing network core:
- 3x 3660 IOS 12.3.26
VPN edge routers:
- 2x 3725 IOS 12.4.15T8
ISP Routers:
- 3x 2691 IOS 12.4.15T7
VPN Devices:
- 2x PIX 7.2.4
- 2x 2610 12.4.15T7
- 1x Cisco VPN client 5.0.x
Add two routers to an existing OSPF Network.
Terminate several VPN types on this routers and try to implement high availibilty.
Tools
GNS3
existing network core:
- 3x 3660 IOS 12.3.26
VPN edge routers:
- 2x 3725 IOS 12.4.15T8
ISP Routers:
- 3x 2691 IOS 12.4.15T7
VPN Devices:
- 2x PIX 7.2.4
- 2x 2610 12.4.15T7
- 1x Cisco VPN client 5.0.x
DE - Aufgabe 2 - VPN Netzwerke
Aufgabe 2
Anbinden zweier Router an ein bestehendes OSPF - Netz.
Terminierung dieverser VPN Arten auf den Routern moeglichst ausfallsicher.
Tools
GNS3
Bestehender Netzwerk Kern:
- 3x 3660 IOS 12.3.26
VPN Perimeterrouter:
- 2x 3725 IOS 12.4.15T8
ISP Router:
- 3x 2691 IOS 12.4.15T7
VPN Endpunkte:
- 2x PIX 7.2.4
- 2x 2610 12.4.15T7
- 1x Cisco VPN client 5.0.x
Anbinden zweier Router an ein bestehendes OSPF - Netz.
Terminierung dieverser VPN Arten auf den Routern moeglichst ausfallsicher.
Tools
GNS3
Bestehender Netzwerk Kern:
- 3x 3660 IOS 12.3.26
VPN Perimeterrouter:
- 2x 3725 IOS 12.4.15T8
ISP Router:
- 3x 2691 IOS 12.4.15T7
VPN Endpunkte:
- 2x PIX 7.2.4
- 2x 2610 12.4.15T7
- 1x Cisco VPN client 5.0.x
ENG- Zif joined
From now on Zif will, depending on his time. Add some nice configs and tips for the routing topics.
Cheers NWG
Cheers NWG
DE - Zif an Bord
Seit Heute schreibt Zif mit im Blog und wird sich, so er Zeit hat, um das Thema Routing kümmern
cheers NWG
cheers NWG
Dienstag, 24. März 2009
DE – Tools update
In den letzten Wochen hat sich mein Lab doch etwas verändert, daher hier ein kurzes Update.
Tools:
GNS3 Version 0.6
Ich musste feststellen das die 7200 Router ab einer bestimmten Anzahl dazu tendieren einfach so zu crashen. Bei meinem Arbeitsnotebook ist das zwischen 3 und 4 Router. Daher habe ich die Wahl dieser Boxen verworfen. Seit kurzem setze ich daher auf 3725, ich wollte zuerst die 3745er nehmen aber die leiden unter einem Dynamips Bug und so kann man die Konfig nicht reimportieren nachdem man sie gespeichert hat. Die 3725 laufen mit dem IOS 12.4.15T8.
Ach so ich habe eine der 5505 ASAs ausgetauscht gegen eine 5510 aber leider ist die Box im produktiven Umfeld. Daher wird es auf der keinen großen außergewöhnlichen Configs geben.
Bei VMWare bleibt alles beim alten.
Cheers NWG
Tools:
GNS3 Version 0.6
Ich musste feststellen das die 7200 Router ab einer bestimmten Anzahl dazu tendieren einfach so zu crashen. Bei meinem Arbeitsnotebook ist das zwischen 3 und 4 Router. Daher habe ich die Wahl dieser Boxen verworfen. Seit kurzem setze ich daher auf 3725, ich wollte zuerst die 3745er nehmen aber die leiden unter einem Dynamips Bug und so kann man die Konfig nicht reimportieren nachdem man sie gespeichert hat. Die 3725 laufen mit dem IOS 12.4.15T8.
Ach so ich habe eine der 5505 ASAs ausgetauscht gegen eine 5510 aber leider ist die Box im produktiven Umfeld. Daher wird es auf der keinen großen außergewöhnlichen Configs geben.
Bei VMWare bleibt alles beim alten.
Cheers NWG
ENG – Tools update
Well within the last weeks my environment slightly changed.
Just to give you a quick update
Tools:
GNS3 version 0.6
I've noticed that the 7200 routers tend to crash, if you run more than a certain amount of them. On my notebook it is often between 3 or 4 7200 routers, even if the are doing nothing. I dropped them and only use them if I need features of 12.4.22T1.
My main routers are now 3725, I tried the 3745 but due to some kind of dynamips bug the do not re import saved configs. So I keep the 3725s running IOS 12.4.15T8.
I changed one of the ASA 5505 to an ASA 5510 but this equipment is now in productive environment so their is no big chance of using them in tricky configs. Both ASAs are still running v8.0.3
VMWare stays the same
Cheers NWG
Just to give you a quick update
Tools:
GNS3 version 0.6
I've noticed that the 7200 routers tend to crash, if you run more than a certain amount of them. On my notebook it is often between 3 or 4 7200 routers, even if the are doing nothing. I dropped them and only use them if I need features of 12.4.22T1.
My main routers are now 3725, I tried the 3745 but due to some kind of dynamips bug the do not re import saved configs. So I keep the 3725s running IOS 12.4.15T8.
I changed one of the ASA 5505 to an ASA 5510 but this equipment is now in productive environment so their is no big chance of using them in tricky configs. Both ASAs are still running v8.0.3
VMWare stays the same
Cheers NWG
Donnerstag, 19. März 2009
ENG - Hub-Spoke Configuration PIX/ASA - Task 1
Finlay I've had the time to write this blog entry. As you may have noticed I´ve done the post in German some days ago, no big deal since it is my mother tong.
But back to the problem: creating a Hub Spoke VPN topology between 3 Cisco PIX. Where the two spoke PIX can send packets to each other
At first a small break for theory.
VPN networks are commonly divided into two topology schemes The first is Hub Spoke the other Full Mesh.
Hub Spoke is somehow easier to manage, because all you have to do is make sure that your remote location can connect to the central side. Everything else can be configured at the central location.
Full Mesh offers more redundancy and you don´t have to fear that your network is completely down if your central side is off-line In comparison to Hub Spoke Full mesh is harder to administrate
In larger enterprises you often find both schemes together, Full Mesh connecting the country offices and hub spoke for the regional offices connecting to the country headquarters
Now lets get started with solution to task 1
Setting:
Used networks
192.168.1.0 /24 - LAN main site ; routing via default route
192.168.2.0 /24 – LAN at customer 1 location 1 (Cust_1); routing via default route
192.168.3.0 /24 – LAN at customer 2 location (Cust_2); routing via default route
10.10.1.x /30 transfer network between ISP router and ASA/PIX; routing via default route
10.10.98.x /30 transfer networks between ISP routers, routing via OSPF
10.10.99.x /32 Management IP of the ISP Router; added to OSPF routing
Used tools, router and software versions
configuration and simulation using GNS3 + dynamips + PEMU
3x router 7200 (IOS 12.4.24T) as ISP router
3x router 1700 (IOS 12.3.26) as LAN hosts
3x PIX 525 (ASA/PIX 8.0.3) as Firewall and VPN endpoints
Step by step solution:
Configuration of the ISP zone
Interface creation at the routers:
Configuration of OSPF
The task is easy but for the 3 internet routers I decided to work with a dynamic routing protocol OSPF
Using the command router ospf [prozess ID] will enable OSPF in your routers. The network statements define the networks that will be redistributed into OSPF.
The main configuration tasks are now done. Just do a quick ping from the router to the other routers
will ensure that the "Internet" works
Note:
I just wanted to use 12.4.24T and did get more trouble than necessary I´ve had to reconfigure quite a lot of times the IDLEPC value in Dynamips so that they do not consume all my CPU capacity. 3724 Router would have done the job running 12.4.15T8. This will be a lesson for me.
Configuration of the „Hosts“
Create an IP on the connected Interface and configure a default route to the Firewall. Nothing more to do here.
The configuration of this Hosts was done quick and after no shutdown was issued on all Interfaces they could be pinged from the PIX.
Configuration of the PIX
Basics
In the first step basic configuration on every ASA/PIX have been made. This means Interfaces, default routes to the ISPs and object groups.
All object groups are the same on all firewalls.
Site 2 Site VPNs have 3 characteristics that have to be configured
1. Crypto ACLs that define what traffic has to be encrypted
2. Tunnel groups that characterize the tunnel
3. ISAKMP and IPSEC parameters to build the tunnel.
Crypto ACLs are somehow every time the same. Allow traffic from local network A to remote network B.
The only thing to remember is that you have to apply a exact mirror on the other side of your VPN connection.
So this nearly automatically leads to the following crypto ACLs.
So far the traffic that has to be encrypted is defined. Now the tunnel has to be specified
Together with several parameters the pre shared key is configured using the tunnel group.
If you use PSK you should use of course long and complex keys and change them from time to time.
Certificates may be an alternative for other scenarios but this will be covered in later tasks
For site 2 site VPNs usually the IP Address of the remote endpoint is the name of the tunnel group.
The last and biggest configuration block is for the ISAKMP and IPsec parameters and of course the matching between ISAKMP / IPSec parameters, the tunnel group and the ACLs.
Creating the IPSec transform Sets
Defining the crypto map to match the parameters with each other. It is only possible to match one Crypto map on a logical interface, but every crypto map offers enough space for 65534 static connections
Basically the VPN tunnels are now ready to do their job. Often NAT is configured on the firewall and even more often this fact is forgotten, so that the tunnel will not work.
That is why the in this task is NAT zero configured.
Last but not least we have to enable that traffic can flow from one VPN tunnel to the other. This is by default not possible. Why VPN tunnel have the same security level and by design traffic within the same level is not allowed. Solution, enable
If everything works as expected we should now be able to ping from any host to the other hosts
The ASA and PIX will now show a MM_Actif if you run show crypto isakmp sa
Feel free to comment, ask question or give feedback (corrections).
cheers NWG
But back to the problem: creating a Hub Spoke VPN topology between 3 Cisco PIX. Where the two spoke PIX can send packets to each other
At first a small break for theory.
VPN networks are commonly divided into two topology schemes The first is Hub Spoke the other Full Mesh.
Hub Spoke is somehow easier to manage, because all you have to do is make sure that your remote location can connect to the central side. Everything else can be configured at the central location.
Full Mesh offers more redundancy and you don´t have to fear that your network is completely down if your central side is off-line In comparison to Hub Spoke Full mesh is harder to administrate
In larger enterprises you often find both schemes together, Full Mesh connecting the country offices and hub spoke for the regional offices connecting to the country headquarters
Now lets get started with solution to task 1
Setting:
Used networks
192.168.1.0 /24 - LAN main site ; routing via default route
192.168.2.0 /24 – LAN at customer 1 location 1 (Cust_1); routing via default route
192.168.3.0 /24 – LAN at customer 2 location (Cust_2); routing via default route
10.10.1.x /30 transfer network between ISP router and ASA/PIX; routing via default route
10.10.98.x /30 transfer networks between ISP routers, routing via OSPF
10.10.99.x /32 Management IP of the ISP Router; added to OSPF routing
Used tools, router and software versions
configuration and simulation using GNS3 + dynamips + PEMU
3x router 7200 (IOS 12.4.24T) as ISP router
3x router 1700 (IOS 12.3.26) as LAN hosts
3x PIX 525 (ASA/PIX 8.0.3) as Firewall and VPN endpoints
Step by step solution:
Configuration of the ISP zone
Interface creation at the routers:
device: ISP_Main
interface Loopback0
description ### MGMT INT ###
ip address 10.10.99.1 255.255.255.255
interface FastEthernet0/0
description ### FW_Main-e0 ###
ip address 10.10.1.1 255.255.255.252
duplex auto
speed auto
interface FastEthernet0/1
description ### Uplink ISP-Cust-2_f0/1 ###
ip address 10.10.98.5 255.255.255.252
duplex auto
speed auto
interface FastEthernet1/0
description ### Uplink ISP-Cust-1_f1/0 ###
ip address 10.10.98.1 255.255.255.252
duplex full
speed auto
device: ISP_Cust_1
interface Loopback0
description ### MGMT INT ###
ip address 10.10.99.3 255.255.255.255
interface FastEthernet0/0
description ### FW_Cust_1-e0 ###
ip address 10.10.1.5 255.255.255.252
duplex full
speed auto
interface FastEthernet0/1
description ### Uplink to ISP_Cust_2-f1/0 ###
ip address 10.10.98.10 255.255.255.252
duplex full
speed auto
interface FastEthernet1/0
description ### Uplink to ISP_Main-f1/0 ###
ip address 10.10.98.2 255.255.255.252
duplex full
speed auto
device: ISP_Cust_2
interface Loopback0
description ### MGMT INT ###
ip address 10.10.99.2 255.255.255.255
interface FastEthernet0/0
description ### FW-cust-2-e0 ###
ip address 10.10.1.9 255.255.255.252
duplex full
speed auto
interface FastEthernet0/1
description ### Uplink ISP_Main-f0/1 ###
ip address 10.10.98.6 255.255.255.252
duplex full
speed auto
interface FastEthernet1/0
description ### Uplink ISP_Cust_1-f0/1 ###
ip address 10.10.98.9 255.255.255.252
duplex full
speed auto
Configuration of OSPF
The task is easy but for the 3 internet routers I decided to work with a dynamic routing protocol OSPF
Using the command router ospf [prozess ID] will enable OSPF in your routers. The network statements define the networks that will be redistributed into OSPF.
device: ISP_Main
router ospf 100
router-id 10.10.99.1
log-adjacency-changes
network 10.10.1.0 0.0.0.3 area 0
network 10.10.98.0 0.0.0.3 area 0
network 10.10.98.4 0.0.0.3 area 0
network 10.10.99.1 0.0.0.0 area 0
device: ISP_Cust_1
router ospf 100
router-id 10.99.99.2
log-adjacency-changes
network 10.10.1.4 0.0.0.3 area 0
network 10.10.98.0 0.0.0.3 area 0
network 10.10.98.8 0.0.0.3 area 0
network 10.10.99.3 0.0.0.0 area 0
device: ISP_Cust_2
router ospf 100
router-id 10.99.99.3
log-adjacency-changes
network 10.10.1.8 0.0.0.3 area 0
network 10.10.98.4 0.0.0.3 area 0
network 10.10.98.8 0.0.0.3 area 0
network 10.10.99.2 0.0.0.0 area 0
The main configuration tasks are now done. Just do a quick ping from the router to the other routers
will ensure that the "Internet" works
Note:
I just wanted to use 12.4.24T and did get more trouble than necessary I´ve had to reconfigure quite a lot of times the IDLEPC value in Dynamips so that they do not consume all my CPU capacity. 3724 Router would have done the job running 12.4.15T8. This will be a lesson for me.
Configuration of the „Hosts“
Create an IP on the connected Interface and configure a default route to the Firewall. Nothing more to do here.
device: Host_Main
interface FastEthernet0
ip address 192.168.1.2 255.255.255.0
speed auto
ip route 0.0.0.0 0.0.0.0 192.168.1.1
device: Host_Cust_1
interface FastEthernet0
ip address 192.168.2.2 255.255.255.0
speed auto
ip route 0.0.0.0 0.0.0.0 192.168.2.1
device: Host_Cust_2
interface FastEthernet0
ip address 192.168.3.2 255.255.255.0
speed auto
ip route 0.0.0.0 0.0.0.0 192.168.3.1
The configuration of this Hosts was done quick and after no shutdown was issued on all Interfaces they could be pinged from the PIX.
Configuration of the PIX
Basics
In the first step basic configuration on every ASA/PIX have been made. This means Interfaces, default routes to the ISPs and object groups.
device: FW_Main
interface Ethernet0
nameif IF_Outside
security-level 0
ip address 10.10.1.2 255.255.255.252
interface Ethernet1
nameif IF_Inside
security-level 100
ip address 192.168.1.1 255.255.255.0
route IF_Outside 0.0.0.0 0.0.0.0 10.10.1.1 1
device: FW-Cust-1
interface Ethernet0
nameif IF_Outside
security-level 0
ip address 10.10.1.6 255.255.255.252
interface Ethernet1
nameif IF_Inside
security-level 100
ip address 192.168.2.1 255.255.255.0
route IF_Outside 0.0.0.0 0.0.0.0 10.10.1.5 1
device: FW-Cust-2
interface Ethernet0
nameif IF_Outside
security-level 0
ip address 10.10.1.10 255.255.255.252
interface Ethernet1
nameif IF_Inside
security-level 100
ip address 192.168.3.1 255.255.255.0
route IF_Outside 0.0.0.0 0.0.0.0 10.10.1.9 1
All object groups are the same on all firewalls.
device: FW-Main / FW-Cust-1 /FW-Cust-2
object-group network OBJ_VPN_Main
network-object 192.168.1.0 255.255.255.0
object-group network OBJ_VPN_Customer_1
network-object 192.168.2.0 255.255.255.0
object-group network OBJ_VPN_Customer_2
network-object 192.168.3.0 255.255.255.0
object-group network OBJ_VPN_Customer
group-object OBJ_VPN_Customer_1
group-object OBJ_VPN_Customer_2
Site 2 Site VPNs have 3 characteristics that have to be configured
1. Crypto ACLs that define what traffic has to be encrypted
2. Tunnel groups that characterize the tunnel
3. ISAKMP and IPSEC parameters to build the tunnel.
Crypto ACLs are somehow every time the same. Allow traffic from local network A to remote network B.
The only thing to remember is that you have to apply a exact mirror on the other side of your VPN connection.
So this nearly automatically leads to the following crypto ACLs.
device: FW-Main
access-list ACL_Cry_map_10 remark ### traffic for VPN to Customer 1 ###
access-list ACL_Cry_map_10 extended permit ip object-group OBJ_VPN_Main object-group OBJ_VPN_Customer_1
access-list ACL_Cry_map_10 extended permit ip object-group OBJ_VPN_Customer_2 object-group OBJ_VPN_Customer_1
access-list ACL_Cry_map_20 remark ### traffic for VPN to Customer 2 ###
access-list ACL_Cry_map_20 extended permit ip object-group OBJ_VPN_Main object-group OBJ_VPN_Customer_2
access-list ACL_Cry_map_20 extended permit ip object-group OBJ_VPN_Customer_1 object-group OBJ_VPN_Customer_2
device: FW-Cust-1
access-list ACL_Cry_map_10 remark ### traffic for VPN to Main Location ###
access-list ACL_Cry_map_10 extended permit ip object-group OBJ_VPN_Customer_1 object-group OBJ_VPN_Main
access-list ACL_Cry_map_10 extended permit ip object-group OBJ_VPN_Customer_1 object-group OBJ_VPN_Customer_2
device: FW-Cust-2
access-list ACL_Cry_map_10 remark ### traffic for VPN to Main Location ###
access-list ACL_Cry_map_10 extended permit ip object-group OBJ_VPN_Customer_2 object-group OBJ_VPN_Main
access-list ACL_Cry_map_10 extended permit ip object-group OBJ_VPN_Customer_2 object-group OBJ_VPN_Customer_1
So far the traffic that has to be encrypted is defined. Now the tunnel has to be specified
Together with several parameters the pre shared key is configured using the tunnel group.
If you use PSK you should use of course long and complex keys and change them from time to time.
Certificates may be an alternative for other scenarios but this will be covered in later tasks
For site 2 site VPNs usually the IP Address of the remote endpoint is the name of the tunnel group.
device: FW-Main
! Tunnel Group for FW-Cust-1
tunnel-group 10.10.1.6 type ipsec-l2l
tunnel-group 10.10.1.6 ipsec-attributes
pre-shared-key 1234567890
! Tunnel Group for FW-Cust-2
tunnel-group 10.10.1.10 type ipsec-l2l
tunnel-group 10.10.1.10 ipsec-attributes
pre-shared-key 0987654321
device: FW-Cust-1
! Tunnel Group for FW-Main
tunnel-group 10.10.1.2 type ipsec-l2l
tunnel-group 10.10.1.2 ipsec-attributes
pre-shared-key 1234567890
device: FW-Cust-2
! Tunnel Group for FW-Main
tunnel-group 10.10.1.2 type ipsec-l2l
tunnel-group 10.10.1.2 ipsec-attributes
pre-shared-key 0987654321
The last and biggest configuration block is for the ISAKMP and IPsec parameters and of course the matching between ISAKMP / IPSec parameters, the tunnel group and the ACLs.
device: FW-Main/ FW-Cust-1 / FW-Cust-2
crypto isakmp enable IF_Outside
crypto isakmp policy 100
authentication pre-share
encryption aes-256
hash sha
group 2
lifetime 86400
Creating the IPSec transform Sets
device: FW-Main/ FW-Cust-1 / FW-Cust-2
crypto ipsec transform-set TRANS_1 esp-aes-256 esp-sha-hmac
Defining the crypto map to match the parameters with each other. It is only possible to match one Crypto map on a logical interface, but every crypto map offers enough space for 65534 static connections
device: FW-Main
crypto map MAP_Outside 10 match address ACL_Cry_map_10
crypto map MAP_Outside 10 set peer 10.10.1.6
crypto map MAP_Outside 10 set transform-set TRANS_1
crypto map MAP_Outside 20 match address ACL_Cry_map_20
crypto map MAP_Outside 20 set peer 10.10.1.10
crypto map MAP_Outside 20 set transform-set TRANS_1
crypto map MAP_Outside interface IF_Outside
device: FW-Cust-1
crypto ipsec transform-set TRANS_1 esp-aes-256 esp-sha-hmac
crypto map MAP_Outside 10 match address ACL_Cry_map_10
crypto map MAP_Outside 10 set peer 10.10.1.2
crypto map MAP_Outside 10 set transform-set TRANS_1
crypto map MAP_Outside interface IF_Outside
crypto isakmp enable IF_Outside
device: FW-Cust-2
crypto map MAP_Outside 10 match address ACL_Cry_map_10
crypto map MAP_Outside 10 set peer 10.10.1.2
crypto map MAP_Outside 10 set transform-set TRANS_1
crypto map MAP_Outside interface IF_Outside
crypto isakmp enable IF_Outside
Basically the VPN tunnels are now ready to do their job. Often NAT is configured on the firewall and even more often this fact is forgotten, so that the tunnel will not work.
That is why the in this task is NAT zero configured.
device: FW-Main
access-list ACL_NAT_0 remark ### Nat ZERO ###
access-list ACL_NAT_0 extended permit ip object-group OBJ_VPN_Main object-group OBJ_VPN_Customer
access-list ACL_NAT_0 extended permit ip object-group OBJ_VPN_Customer_2 object-group OBJ_VPN_Customer_1
access-list ACL_NAT_0 extended permit ip object-group OBJ_VPN_Customer_1 object-group OBJ_VPN_Customer_2
nat (IF_Outside) 0 access-list ACL_Nat_0
device: FW-Cust-1
access-list ACL_NAT_0 remark ### Nat ZERO ###
access-list ACL_Nat_0 extended permit ip object-group OBJ_VPN_Customer_1 object-group OBJ_VPN_Main
access-list ACL_Nat_0 extended permit ip object-group OBJ_VPN_Customer_1 object-group OBJ_VPN_Customer_2
nat (IF_Outside) 0 access-list ACL_Nat_0
device: FW-Cust-2
access-list ACL_NAT_0 remark ### Nat ZERO ###
access-list ACL_Nat_0 extended permit ip object-group OBJ_VPN_Customer_2 object-group OBJ_VPN_Customer_1
access-list ACL_Nat_0 extended permit ip object-group OBJ_VPN_Customer_2 object-group OBJ_VPN_Main
nat (IF_Outside) 0 access-list ACL_Nat_0
Last but not least we have to enable that traffic can flow from one VPN tunnel to the other. This is by default not possible. Why VPN tunnel have the same security level and by design traffic within the same level is not allowed. Solution, enable
device: FW-Main
same-security-traffic permit intra-interface
If everything works as expected we should now be able to ping from any host to the other hosts
The ASA and PIX will now show a MM_Actif if you run show crypto isakmp sa
Feel free to comment, ask question or give feedback (corrections).
cheers NWG
Montag, 16. März 2009
DE – Tool für PEMU unter Windows
In der letzten Zeit habe ich viel mit Dynamips und PEMU gemacht und habe festgestellt das es oft anstrengend ist mehr als 2 PIX laufen zu lassen. Meistens ist nach 4 PIX Schluss da mein CPU bei 100% ist und selbst schreiben unmöglich wird. Am Freitag hat mir ein Kollege „Battle Encoder Shiraze“ als zusätzliches Tool empfohlen. Damit lassen sich einzelne CPU Prozesse limitieren. Ich war danach in der Lage 9 PIX und einen Router gleichzeitig laufen zu lassen.
Es ist auf jeden Fall einen blick Wert
BES 1.3.8
Hoffentlich hilft es noch mehr Leuten als nur mir
Cheers NWG
Es ist auf jeden Fall einen blick Wert
BES 1.3.8
Hoffentlich hilft es noch mehr Leuten als nur mir
Cheers NWG
ENG - Tool for PEMU under Windows
Playing around with dynamips and pemu is sometime quite hard since running two or more PIX Firewalls costs a lot of resources. Usually running 4 PIX is the maximum I can run on my laptop before I hit 100% CPU Load.
But on Friday a co-worker showed me „Battle Encoder Shiraze“ with this tool you are able to limit the CPU load of PEMU. Quite nice!! I was able to run about 9 PIX and 1 Router without problems.
BES 1.3.8
Hope that helps
Cheers NWG
But on Friday a co-worker showed me „Battle Encoder Shiraze“ with this tool you are able to limit the CPU load of PEMU. Quite nice!! I was able to run about 9 PIX and 1 Router without problems.
BES 1.3.8
Hope that helps
Cheers NWG
Samstag, 14. März 2009
DE - Hub-Spoke Konfiguration Pix /ASA - Task 1
Endlich ist es geschafft und vor allem beschrieben. Also jetzt zur Frage Task 1 wie konfiguriere ich 2 Pixen so das sie mit der Zentralen Pix kommunizieren können und auch untereinander Daten verschicken können.
Ein bisschen was zu Theorie aber vorab.
Im VPN Netzwerken (nicht nur dort) kann man grundsätzlich zwischen zwei Topologie unterscheiden. Zum Einen Hub-Spoke und zum Anderen Full-Mesh Netzen.
Hub Spoke Netze sind Zentral ausgerichtet. Alle Remotestandorte verbinden sich zu einer Zentrale und über diese findet auch die Kommunikation zwischen den Remotestandorten statt. Administrativ ist die Konfiguration vermeintlich sehr elegant, da der Administrator sich nur an einer Stelle Gedanken machen muss, wer worauf zugreifen darf. In den Remotestandorten muss nur sicherstellen werden das die Zentrale erreicht wird. Fällt die Zentrale oder die Verbindung dorthin aus, ist das Datentechnisch der Super GAU – der Ausdruck „Nichts geht mehr“ trifft es so ziemlich genau.
Im Gegensatz dazu sind Full-Mesh Netzwerke ausfallsicher. Es gibt keine klare Zentrale und jeder Teilnehmer ist, an sich, mit jedem anderen vernetzt. Dies ermöglicht eine große Flexibilität falls einmal eine Lokation nicht erreichbar ist, sorgt aber im schlimmsten Fall auch für einen enormen administrativen Zusatzaufwand, da die Verbindungen konfiguriert, gemonitort und auch „gepflegt“ werden müssen.
Oft findet man in großen Organisationen eine Mischform aus beiden Konzepten. So sind oft bei einer Firma die Landesfilialen untereinander mittels Full-Mesh Konzept verbunden, die Regionalbüros aber dann wiederum mittels Hub-Spoke Topologie an die Landesfiliale angebunden.
Aber zurück zur Aufgabe
Testaufbau:
Verwendete Netzwerke:
192.168.1.0 /24 - LAN in der Zentrale (Main); Routing via Default Route
192.168.2.0 /24 – LAN bei Kunden 1 (Cust_1); Routing via Default Route
192.168.3.0 /24 – LAN bei Kunden 2 (Cust_2); Routing via Default Route
10.10.1.x /30 Verbindungsnetze zwischen ISP Router und PIX/ASA ; Routing via Default Route
10.10.98.x /30 Verbindungsnetze zwischen den ISP Routern, Routing via OSPF
10.10.99.x /32 Management IP der ISP Router; in OSPF Routing eingebunden
Verwendete Tools, Router, Software Versionen
Konfiguration und Simulation GNS3 + Dynamips + Pemu
3x Router 7200 (IOS 12.4.24T) als ISP Router
3x Router 1700 (IOS 12.3.26) als LAN Hosts
3x PIX 525 (ASA/PIX 8.0.3) als Firewall und VPN Endpunkt
Schritt für Schritt Lösung der Aufgabe:
Konfiguration der ISP Zone
Anlegen der Interface auf den Routern:
Konfiguration des OSPF auf den Routern
Auf wenn die Aufgabe einfach ist, wird für die drei Internet Router ein Routing Protokoll in der einfachsten Form implementiert.
Mit dem Befehl router ospf [Prozess ID] wird auf dem Router das OSPF Protokoll aktiviert. Die network Statements definieren die Netze die im Routing verteilt werden sollen. In diesem Fall werden alle Netze nur im Area 0 des OSPF Netzwerks bekannt gegeben.
Die Kernaufgaben auf den Routern sind damit abgeschlossen. Ein kurzes pingen der einzelnen Interfaces von jedem Router aus, ergab das das „Internet“ funktioniert.
Anmerkungen:
Ich wollte unbedingt 12.4.24T einsetzen, und habe mir damit mehr Ärger als nötig eingehandelt, da die 72er Router regelmäßig nachdem sie konfiguriert wurden, mussten ihren IDLEPC Werte im Dynamips angepasst werden. 37er hätten es wohl auch getan und dann 12.4.15T8.
Konfiguration der LAN „Hosts“
Einrichten einer IP auf dem angeschlossenen Interface und setzen einer statischen Default Router in Richtung der PIX war alles was hier zu konfigurieren war.
Die Hosts waren schnell erledigt und nachdem ein no shutdown auf allen Interfaces gesetzt war, konnte man sie auch von den PIXen nach deren Konfiguration erreichen.
Konfiguration der PIX
Grundlagen
Als erstes wurden die Dinge, die es auf jeder PIX/ ASA gibt konfiguriert. Also in dem Fall die Interfaces, die (default) Routen zu den ISPs und die Optionalen Objekt Gruppen.
Die Objekt Gruppen sind auf allen drei PIXen identisch.
Die definierten Objekt Gruppen werden vor allem in ACLs eingesetzt, da man dann die ACLs bereits durch das ändern der Objekt Definition anpassen kann.
Site 2 Site VPNs zeichnen sich durch 3 Punkte aus, die zwingend in der Konfiguration vorhanden sein müssen.
1. ACLs die den zu verschlüsselnden Traffice definieren
2. Eine Tunnelgruppe die den Tunnel charakterisiert
3. den ISAKMP und IPSEC Parametern um den Tunnel aufzubauen
Die ACLs die die Tunnel definieren sind im Grunde genommen immer gleich. Erlaube Traffic von IP oder Netz A nach IP oder Netz B im Remote-Standort. Dabei ist nur zu beachten das die ACL gespiegelt auf dem anderen Teilnehmer zur Anwendung kommt.
So ergibt sich für die Crypto ACLs folgender Inhalt:
Somit wäre definiert, welcher Traffic zu verschlüsseln ist. Jetzt muss Der Tunnel genauer definiert werden. Neben diversen Parametern lässt sich vor allem in der Tunnelgruppe der Pre Shared Key bestimmen. Setzt man PSK ein sollte dieser möglichst Lang und Komplex sein und von Zeit zur Zeit geändert werden. Alternativ lassen sich Zertifikate verwenden. Der Einfachheit der Aufgabe aber ist das hier außen vor.
Für Site 2 Site VPNs werden in der Regel als Tunnelbezeichnung die IP Adresse der entfernten Seite der VPN Verbindung verwendet.
Als letzten und größten Block müssen die ISAKMP und IPSec Parameter der Tunnel festgelegt werden und natürlich ein Zuordnung zwischen ISAKMP/ IPSec Parametern, Tunnel Gruppe und ACLs erfolgen.
Bestimmen des IPSec Transform Sets
Definieren der Crypto Map um die Parameter miteinander zu verknüpfen. Die Auswahl erfolgt beim Verbindungsaufbau über den bereits definierten Traffic durch die ACL.
Es kann pro Logischem Interface nur eine Crypto map gebunden werden, aber jede Crypto map bietet theoretisch Platz für 65534 statische Verbindungen.
Grundlegend ist nun alle Bereit um als VPN Tunnel zu arbeiten. Oft wird jedoch vergessen das auf der PIX/ASA NAT definiert ist. Dann versucht die Firewall Aufgrund der NAT Regeln den Traffic im Tunnel zu NATen.
Daher wird im Beisiel noch NAT 0 mit zugehöriger ACL konfiguriert. NAT 0 bedeutet das der Traffic der auf diese ACL zutrifft vom generellen NAT Prozess ignoriert wird.
Wieder erfolgt die Konfiguration der ACLs nach dem Syntax Erlaube von Netz A nach Remote Netz B.
Zu Guterletz muss eine Restriktion der ASA / PIX aufgegeben werden, damit die Remote Netzwerke sich gegenseitig sehen können. Grundsätzlich dürfen Interfaces mit gleichem Security Level keine Daten austauschen. Dies wird generell mit folgendem Befehl aufgehoben.
Wenn alles glatt gelaufen ist, sollten sich von allen Drei Hosts nun Pings zu den Remote Hosts absetzen lassen.
Auf den PIXen /ASA zeigt sich ein „wunderschönes“ MM_Active sobald man show crypto isakmp sa eingibt.
Für Anregungen ,Idee und so weiter(gern auch Fragen und Richtigstellungen) bin ich gern zu haben. Einfach in die Kommentare posten.
Links zu den Konfigs
ISP1
ISP2
ISP3
Host_Main
Host_Cust_1
Host_Cust_2
FW-Main
FW-Cust-1
FW-Cust-2
Ein bisschen was zu Theorie aber vorab.
Im VPN Netzwerken (nicht nur dort) kann man grundsätzlich zwischen zwei Topologie unterscheiden. Zum Einen Hub-Spoke und zum Anderen Full-Mesh Netzen.
Hub Spoke Netze sind Zentral ausgerichtet. Alle Remotestandorte verbinden sich zu einer Zentrale und über diese findet auch die Kommunikation zwischen den Remotestandorten statt. Administrativ ist die Konfiguration vermeintlich sehr elegant, da der Administrator sich nur an einer Stelle Gedanken machen muss, wer worauf zugreifen darf. In den Remotestandorten muss nur sicherstellen werden das die Zentrale erreicht wird. Fällt die Zentrale oder die Verbindung dorthin aus, ist das Datentechnisch der Super GAU – der Ausdruck „Nichts geht mehr“ trifft es so ziemlich genau.
Im Gegensatz dazu sind Full-Mesh Netzwerke ausfallsicher. Es gibt keine klare Zentrale und jeder Teilnehmer ist, an sich, mit jedem anderen vernetzt. Dies ermöglicht eine große Flexibilität falls einmal eine Lokation nicht erreichbar ist, sorgt aber im schlimmsten Fall auch für einen enormen administrativen Zusatzaufwand, da die Verbindungen konfiguriert, gemonitort und auch „gepflegt“ werden müssen.
Oft findet man in großen Organisationen eine Mischform aus beiden Konzepten. So sind oft bei einer Firma die Landesfilialen untereinander mittels Full-Mesh Konzept verbunden, die Regionalbüros aber dann wiederum mittels Hub-Spoke Topologie an die Landesfiliale angebunden.
Aber zurück zur Aufgabe
Testaufbau:
Verwendete Netzwerke:
192.168.1.0 /24 - LAN in der Zentrale (Main); Routing via Default Route
192.168.2.0 /24 – LAN bei Kunden 1 (Cust_1); Routing via Default Route
192.168.3.0 /24 – LAN bei Kunden 2 (Cust_2); Routing via Default Route
10.10.1.x /30 Verbindungsnetze zwischen ISP Router und PIX/ASA ; Routing via Default Route
10.10.98.x /30 Verbindungsnetze zwischen den ISP Routern, Routing via OSPF
10.10.99.x /32 Management IP der ISP Router; in OSPF Routing eingebunden
Verwendete Tools, Router, Software Versionen
Konfiguration und Simulation GNS3 + Dynamips + Pemu
3x Router 7200 (IOS 12.4.24T) als ISP Router
3x Router 1700 (IOS 12.3.26) als LAN Hosts
3x PIX 525 (ASA/PIX 8.0.3) als Firewall und VPN Endpunkt
Schritt für Schritt Lösung der Aufgabe:
Konfiguration der ISP Zone
Anlegen der Interface auf den Routern:
Gerät: ISP_Main
interface Loopback0
description ### MGMT INT ###
ip address 10.10.99.1 255.255.255.255
interface FastEthernet0/0
description ### FW_Main-e0 ###
ip address 10.10.1.1 255.255.255.252
duplex auto
speed auto
interface FastEthernet0/1
description ### Uplink ISP-Cust-2_f0/1 ###
ip address 10.10.98.5 255.255.255.252
duplex auto
speed auto
interface FastEthernet1/0
description ### Uplink ISP-Cust-1_f1/0 ###
ip address 10.10.98.1 255.255.255.252
duplex full
speed auto
Gerät: ISP_Cust_1
interface Loopback0
description ### MGMT INT ###
ip address 10.10.99.3 255.255.255.255
interface FastEthernet0/0
description ### FW_Cust_1-e0 ###
ip address 10.10.1.5 255.255.255.252
duplex full
speed auto
interface FastEthernet0/1
description ### Uplink to ISP_Cust_2-f1/0 ###
ip address 10.10.98.10 255.255.255.252
duplex full
speed auto
interface FastEthernet1/0
description ### Uplink to ISP_Main-f1/0 ###
ip address 10.10.98.2 255.255.255.252
duplex full
speed auto
Gerät: ISP_Cust_2
interface Loopback0
description ### MGMT INT ###
ip address 10.10.99.2 255.255.255.255
interface FastEthernet0/0
description ### FW-cust-2-e0 ###
ip address 10.10.1.9 255.255.255.252
duplex full
speed auto
interface FastEthernet0/1
description ### Uplink ISP_Main-f0/1 ###
ip address 10.10.98.6 255.255.255.252
duplex full
speed auto
interface FastEthernet1/0
description ### Uplink ISP_Cust_1-f0/1 ###
ip address 10.10.98.9 255.255.255.252
duplex full
speed auto
Konfiguration des OSPF auf den Routern
Auf wenn die Aufgabe einfach ist, wird für die drei Internet Router ein Routing Protokoll in der einfachsten Form implementiert.
Mit dem Befehl router ospf [Prozess ID] wird auf dem Router das OSPF Protokoll aktiviert. Die network Statements definieren die Netze die im Routing verteilt werden sollen. In diesem Fall werden alle Netze nur im Area 0 des OSPF Netzwerks bekannt gegeben.
Gerät: ISP_Main
router ospf 100
router-id 10.10.99.1
log-adjacency-changes
network 10.10.1.0 0.0.0.3 area 0
network 10.10.98.0 0.0.0.3 area 0
network 10.10.98.4 0.0.0.3 area 0
network 10.10.99.1 0.0.0.0 area 0
Gerät: ISP_Cust_1
router ospf 100
router-id 10.99.99.2
log-adjacency-changes
network 10.10.1.4 0.0.0.3 area 0
network 10.10.98.0 0.0.0.3 area 0
network 10.10.98.8 0.0.0.3 area 0
network 10.10.99.3 0.0.0.0 area 0
Gerät: ISP_Cust_2
router ospf 100
router-id 10.99.99.3
log-adjacency-changes
network 10.10.1.8 0.0.0.3 area 0
network 10.10.98.4 0.0.0.3 area 0
network 10.10.98.8 0.0.0.3 area 0
network 10.10.99.2 0.0.0.0 area 0
Die Kernaufgaben auf den Routern sind damit abgeschlossen. Ein kurzes pingen der einzelnen Interfaces von jedem Router aus, ergab das das „Internet“ funktioniert.
Anmerkungen:
Ich wollte unbedingt 12.4.24T einsetzen, und habe mir damit mehr Ärger als nötig eingehandelt, da die 72er Router regelmäßig nachdem sie konfiguriert wurden, mussten ihren IDLEPC Werte im Dynamips angepasst werden. 37er hätten es wohl auch getan und dann 12.4.15T8.
Konfiguration der LAN „Hosts“
Einrichten einer IP auf dem angeschlossenen Interface und setzen einer statischen Default Router in Richtung der PIX war alles was hier zu konfigurieren war.
Gerät: Host_Main
interface FastEthernet0
ip address 192.168.1.2 255.255.255.0
speed auto
ip route 0.0.0.0 0.0.0.0 192.168.1.1
Gerät: Host_Cust_1
interface FastEthernet0
ip address 192.168.2.2 255.255.255.0
speed auto
ip route 0.0.0.0 0.0.0.0 192.168.2.1
Gerät: Host_Cust_2
interface FastEthernet0
ip address 192.168.3.2 255.255.255.0
speed auto
ip route 0.0.0.0 0.0.0.0 192.168.3.1
Die Hosts waren schnell erledigt und nachdem ein no shutdown auf allen Interfaces gesetzt war, konnte man sie auch von den PIXen nach deren Konfiguration erreichen.
Konfiguration der PIX
Grundlagen
Als erstes wurden die Dinge, die es auf jeder PIX/ ASA gibt konfiguriert. Also in dem Fall die Interfaces, die (default) Routen zu den ISPs und die Optionalen Objekt Gruppen.
Gerät: FW_Main
interface Ethernet0
nameif IF_Outside
security-level 0
ip address 10.10.1.2 255.255.255.252
interface Ethernet1
nameif IF_Inside
security-level 100
ip address 192.168.1.1 255.255.255.0
route IF_Outside 0.0.0.0 0.0.0.0 10.10.1.1 1
Gerät: FW-Cust-1
interface Ethernet0
nameif IF_Outside
security-level 0
ip address 10.10.1.6 255.255.255.252
interface Ethernet1
nameif IF_Inside
security-level 100
ip address 192.168.2.1 255.255.255.0
route IF_Outside 0.0.0.0 0.0.0.0 10.10.1.5 1
Gerät: FW-Cust-2
interface Ethernet0
nameif IF_Outside
security-level 0
ip address 10.10.1.10 255.255.255.252
interface Ethernet1
nameif IF_Inside
security-level 100
ip address 192.168.3.1 255.255.255.0
route IF_Outside 0.0.0.0 0.0.0.0 10.10.1.9 1
Die Objekt Gruppen sind auf allen drei PIXen identisch.
Geräte: FW-Main / FW-Cust-1 /FW-Cust-2
object-group network OBJ_VPN_Main
network-object 192.168.1.0 255.255.255.0
object-group network OBJ_VPN_Customer_1
network-object 192.168.2.0 255.255.255.0
object-group network OBJ_VPN_Customer_2
network-object 192.168.3.0 255.255.255.0
object-group network OBJ_VPN_Customer
group-object OBJ_VPN_Customer_1
group-object OBJ_VPN_Customer_2
Die definierten Objekt Gruppen werden vor allem in ACLs eingesetzt, da man dann die ACLs bereits durch das ändern der Objekt Definition anpassen kann.
Site 2 Site VPNs zeichnen sich durch 3 Punkte aus, die zwingend in der Konfiguration vorhanden sein müssen.
1. ACLs die den zu verschlüsselnden Traffice definieren
2. Eine Tunnelgruppe die den Tunnel charakterisiert
3. den ISAKMP und IPSEC Parametern um den Tunnel aufzubauen
Die ACLs die die Tunnel definieren sind im Grunde genommen immer gleich. Erlaube Traffic von IP oder Netz A nach IP oder Netz B im Remote-Standort. Dabei ist nur zu beachten das die ACL gespiegelt auf dem anderen Teilnehmer zur Anwendung kommt.
So ergibt sich für die Crypto ACLs folgender Inhalt:
Gerät: FW-Main
access-list ACL_Cry_map_10 remark ### traffic for VPN to Customer 1 ###
! Folgende Zeile erlaubt: Traffic von der Zentralen Main Seite zum Netz im Standort Cust_1
access-list ACL_Cry_map_10 extended permit ip object-group OBJ_VPN_Main object-group OBJ_VPN_Customer_1
! Folgende Zeile erlaubt: Traffic vom LAN Cust_2 zum LAN Cust_1
access-list ACL_Cry_map_10 extended permit ip object-group OBJ_VPN_Customer_2 object-group OBJ_VPN_Customer_1
access-list ACL_Cry_map_20 remark ### traffic for VPN to Customer 2 ###
! Folgende Zeile erlaubt: Traffic aus dem Main LAN zum Netz Standort Cust_2
access-list ACL_Cry_map_20 extended permit ip object-group OBJ_VPN_Main object-group OBJ_VPN_Customer_2
! Folgende Zeile erlaubt: Traffic vom LAN Cust_2 zum LAN Cust_1
access-list ACL_Cry_map_20 extended permit ip object-group OBJ_VPN_Customer_1 object-group OBJ_VPN_Customer_2
Gerät: FW-Cust-1
access-list ACL_Cry_map_10 remark ### traffic for VPN to Main Location ###
! Folgende Zeile erlaubt: Traffic vom LAN Cust_1 zum Main_LAN
access-list ACL_Cry_map_10 extended permit ip object-group OBJ_VPN_Customer_1 object-group OBJ_VPN_Main
! Folgende Zeile erlaubt: Traffic vom LAN Cust_1 zum LAN Cust_2
access-list ACL_Cry_map_10 extended permit ip object-group OBJ_VPN_Customer_1 object-group OBJ_VPN_Customer_2
Gerät: FW-Cust-2
access-list ACL_Cry_map_10 remark ### traffic for VPN to Main Location ###
! Folgende Zeile erlaubt: Traffic vom LAN Cust_2 zum Main LAN
access-list ACL_Cry_map_10 extended permit ip object-group OBJ_VPN_Customer_2 object-group OBJ_VPN_Main
! Folgende Zeile erlaubt: Traffic vom LAN Cust_2 zum LAN Cust_1
access-list ACL_Cry_map_10 extended permit ip object-group OBJ_VPN_Customer_2 object-group OBJ_VPN_Customer_1
Somit wäre definiert, welcher Traffic zu verschlüsseln ist. Jetzt muss Der Tunnel genauer definiert werden. Neben diversen Parametern lässt sich vor allem in der Tunnelgruppe der Pre Shared Key bestimmen. Setzt man PSK ein sollte dieser möglichst Lang und Komplex sein und von Zeit zur Zeit geändert werden. Alternativ lassen sich Zertifikate verwenden. Der Einfachheit der Aufgabe aber ist das hier außen vor.
Für Site 2 Site VPNs werden in der Regel als Tunnelbezeichnung die IP Adresse der entfernten Seite der VPN Verbindung verwendet.
Gerät: FW-Main
! Tunnel Gruppe zur FW-Cust-1
tunnel-group 10.10.1.6 type ipsec-l2l
tunnel-group 10.10.1.6 ipsec-attributes
pre-shared-key 1234567890
! Tunnel Gruppe zur FW-Cust-2
tunnel-group 10.10.1.10 type ipsec-l2l
tunnel-group 10.10.1.10 ipsec-attributes
pre-shared-key 0987654321
Gerät: FW-Cust-1
! Tunnel Gruppe zur FW-Main
tunnel-group 10.10.1.2 type ipsec-l2l
tunnel-group 10.10.1.2 ipsec-attributes
pre-shared-key 1234567890
Gerät: FW-Cust-2
! Tunnel Gruppe zur FW-Main
tunnel-group 10.10.1.2 type ipsec-l2l
tunnel-group 10.10.1.2 ipsec-attributes
pre-shared-key 0987654321
Als letzten und größten Block müssen die ISAKMP und IPSec Parameter der Tunnel festgelegt werden und natürlich ein Zuordnung zwischen ISAKMP/ IPSec Parametern, Tunnel Gruppe und ACLs erfolgen.
Geräte: FW-Main/ FW-Cust-1 / FW-Cust-2
! Definieren der ISAKMP Parameter auf allen 3 Firewall Geräten gleich
crypto isakmp enable IF_Outside
crypto isakmp policy 100
authentication pre-share
encryption aes-256
hash sha
group 2
lifetime 86400
Bestimmen des IPSec Transform Sets
Geräte: FW-Main/ FW-Cust-1 / FW-Cust-2
crypto ipsec transform-set TRANS_1 esp-aes-256 esp-sha-hmac
Definieren der Crypto Map um die Parameter miteinander zu verknüpfen. Die Auswahl erfolgt beim Verbindungsaufbau über den bereits definierten Traffic durch die ACL.
Es kann pro Logischem Interface nur eine Crypto map gebunden werden, aber jede Crypto map bietet theoretisch Platz für 65534 statische Verbindungen.
Gerät: FW-Main
crypto map MAP_Outside 10 match address ACL_Cry_map_10
crypto map MAP_Outside 10 set peer 10.10.1.6
crypto map MAP_Outside 10 set transform-set TRANS_1
crypto map MAP_Outside 20 match address ACL_Cry_map_20
crypto map MAP_Outside 20 set peer 10.10.1.10
crypto map MAP_Outside 20 set transform-set TRANS_1
! Binden der Crypto Map auf das Extern Interface
crypto map MAP_Outside interface IF_Outside
Gerät: FW-Cust-1
crypto ipsec transform-set TRANS_1 esp-aes-256 esp-sha-hmac
crypto map MAP_Outside 10 match address ACL_Cry_map_10
crypto map MAP_Outside 10 set peer 10.10.1.2
crypto map MAP_Outside 10 set transform-set TRANS_1
crypto map MAP_Outside interface IF_Outside
crypto isakmp enable IF_Outside
Gerät: FW-Cust-2
crypto map MAP_Outside 10 match address ACL_Cry_map_10
crypto map MAP_Outside 10 set peer 10.10.1.2
crypto map MAP_Outside 10 set transform-set TRANS_1
crypto map MAP_Outside interface IF_Outside
crypto isakmp enable IF_Outside
Grundlegend ist nun alle Bereit um als VPN Tunnel zu arbeiten. Oft wird jedoch vergessen das auf der PIX/ASA NAT definiert ist. Dann versucht die Firewall Aufgrund der NAT Regeln den Traffic im Tunnel zu NATen.
Daher wird im Beisiel noch NAT 0 mit zugehöriger ACL konfiguriert. NAT 0 bedeutet das der Traffic der auf diese ACL zutrifft vom generellen NAT Prozess ignoriert wird.
Wieder erfolgt die Konfiguration der ACLs nach dem Syntax Erlaube von Netz A nach Remote Netz B.
Gerät: FW-Main
access-list ACL_NAT_0 remark ### Nat ZERO ###
! Kein NAT für Verbindungen von Main Lan zu den Remote Standorten
access-list ACL_NAT_0 extended permit ip object-group OBJ_VPN_Main object-group OBJ_VPN_Customer
! Kein NAT für Verbindungen von Kundennetz 1 zu Kundennetz 1
access-list ACL_NAT_0 extended permit ip object-group OBJ_VPN_Customer_2 object-group OBJ_VPN_Customer_1
! Kein NAT für Verbindungen von Kundennetz 1 zu Kundennetz 2
access-list ACL_NAT_0 extended permit ip object-group OBJ_VPN_Customer_1 object-group OBJ_VPN_Customer_2
! aktivieren der Nat Aufnahme für Traffic der der ACL entspricht und über das Interface IF_Outside geht
nat (IF_Outside) 0 access-list ACL_Nat_0
Gerät: FW-Cust-1
access-list ACL_NAT_0 remark ### Nat ZERO ###
! Kein NAT für Verbindungen von Kundennetz 1 zum Main Netz
access-list ACL_Nat_0 extended permit ip object-group OBJ_VPN_Customer_1 object-group OBJ_VPN_Main
! Kein NAT für Verbindungen von Kundennetz 1 zu Kundennetz 2
access-list ACL_Nat_0 extended permit ip object-group OBJ_VPN_Customer_1 object-group OBJ_VPN_Customer_2
! aktivieren der Nat Aufnahme für Traffic der der ACL entspricht und über das Interface IF_Outside geht
nat (IF_Outside) 0 access-list ACL_Nat_0
Gerät: FW-Cust-2
access-list ACL_NAT_0 remark ### Nat ZERO ###
! Kein NAT für Verbindungen von Kundennetz 2 zum Kundennetz 1
access-list ACL_Nat_0 extended permit ip object-group OBJ_VPN_Customer_2 object-group OBJ_VPN_Customer_1
! Kein NAT für Verbindungen von Kundennetz 2 zum Main Netz
access-list ACL_Nat_0 extended permit ip object-group OBJ_VPN_Customer_2 object-group OBJ_VPN_Main
! aktivieren der Nat Aufnahme für Traffic der der ACL entspricht und über das Interface IF_Outside geht
nat (IF_Outside) 0 access-list ACL_Nat_0
Zu Guterletz muss eine Restriktion der ASA / PIX aufgegeben werden, damit die Remote Netzwerke sich gegenseitig sehen können. Grundsätzlich dürfen Interfaces mit gleichem Security Level keine Daten austauschen. Dies wird generell mit folgendem Befehl aufgehoben.
Gerät: FW-Main
same-security-traffic permit intra-interface
Wenn alles glatt gelaufen ist, sollten sich von allen Drei Hosts nun Pings zu den Remote Hosts absetzen lassen.
Auf den PIXen /ASA zeigt sich ein „wunderschönes“ MM_Active sobald man show crypto isakmp sa eingibt.
Für Anregungen ,Idee und so weiter(gern auch Fragen und Richtigstellungen) bin ich gern zu haben. Einfach in die Kommentare posten.
Links zu den Konfigs
ISP1
ISP2
ISP3
Host_Main
Host_Cust_1
Host_Cust_2
FW-Main
FW-Cust-1
FW-Cust-2
DE / ENG Task 1 Update
Nachdem ich nun auf Seite 8 angekommen bin wird es morgen wohl ein Update zu Task 1 Geben (endlich)
Since I´v just managed to complete the first 8 pages of the German description to Task 1 I think the update will take place within the next 3 days.
Cheers NWG
Since I´v just managed to complete the first 8 pages of the German description to Task 1 I think the update will take place within the next 3 days.
Cheers NWG
Mittwoch, 4. März 2009
DE - Diskussionen und die Erkenntnisse daraus
Vor einiger Zeit hatte ich eine interessante Diskussion mit Zif einem Arbeitskollegen und gutem Freund über das Konfigurieren von Routern und Firewalls nur so zum Spaß.
Ich glaube mittlerweile ist das basteln an Netzwerkkomponenten (echt oder virtuell) so was wie ein Hobby für mich geworden.
Ähnlich wie ich noch vor einiger Zeit in diversen MMORPGs Quests gelöst habe und mich über die EXP gefreut habe, freue ich mich jetzt darüber das eine Konfiguration so arbeitet wie ich es wollte. Es ist quasi eine DAILY Quest für mich geworden.
Natürlich spiele ich hin und wieder auch noch MMOs aber das eher weniger aber auch viel bewusster.
Ich glaube mittlerweile ist das basteln an Netzwerkkomponenten (echt oder virtuell) so was wie ein Hobby für mich geworden.
Ähnlich wie ich noch vor einiger Zeit in diversen MMORPGs Quests gelöst habe und mich über die EXP gefreut habe, freue ich mich jetzt darüber das eine Konfiguration so arbeitet wie ich es wollte. Es ist quasi eine DAILY Quest für mich geworden.
Natürlich spiele ich hin und wieder auch noch MMOs aber das eher weniger aber auch viel bewusster.
ENG - Discussions
Some time ago I had a interesting discussion with Zif a good friend and colleague about configuring routers and Firewalls just for fun.
In this discussion I realized that playing around with networks is kind of entertainment in my spare time.
In the past I used to play MMORPGs and solved quest and spent quite a lot of time hunting for EXPs and levels.
Today I´m happy when a configuration works as i wanted. It has become a kind of daily quest to me.
Of course I´m still playing MMOs. ;)
In this discussion I realized that playing around with networks is kind of entertainment in my spare time.
In the past I used to play MMORPGs and solved quest and spent quite a lot of time hunting for EXPs and levels.
Today I´m happy when a configuration works as i wanted. It has become a kind of daily quest to me.
Of course I´m still playing MMOs. ;)
DE- Update von IOS v12.4.22T auf 12.4.24T
Servus
nachdem ich gestern ca. 8 Stunden bei einem Kunden mich mit 2 Router herumgeschlagen habe, konnte ich das Problem durch einen Releasewechsel von 12.4.22T auf 12.4.24T beheben. Ich glaube 22T ist keine gute Wahl für Router vor allem wenn man bedenkt das von den aktuell 2015 Bugs 1200 innerhalb der letzten 3 Wochen hinzu kamen. AUA!
Mal sehen wie sich 12.4.24T macht, ich will es mal in GNS3 testen.
Cheers NWG
nachdem ich gestern ca. 8 Stunden bei einem Kunden mich mit 2 Router herumgeschlagen habe, konnte ich das Problem durch einen Releasewechsel von 12.4.22T auf 12.4.24T beheben. Ich glaube 22T ist keine gute Wahl für Router vor allem wenn man bedenkt das von den aktuell 2015 Bugs 1200 innerhalb der letzten 3 Wochen hinzu kamen. AUA!
Mal sehen wie sich 12.4.24T macht, ich will es mal in GNS3 testen.
Cheers NWG
ENG -Update from IOS 12.4.22T to 12.4.24T
Hi Folks
after about 8 hours fighting with 2 routers on a customer location i solved the problem with switching from 12.4.22T to 12.4.24T, guess 22T is not a good choice for routers. According to the Bugtracking tool from the Cisco website their are 2015 Bugs level 1-3 listed. Approximately 1200 added within the last week. Ouch!
Lets see how 12.4.24T is working. I´ll test this release in GNS3.
Cheers
NWG
after about 8 hours fighting with 2 routers on a customer location i solved the problem with switching from 12.4.22T to 12.4.24T, guess 22T is not a good choice for routers. According to the Bugtracking tool from the Cisco website their are 2015 Bugs level 1-3 listed. Approximately 1200 added within the last week. Ouch!
Lets see how 12.4.24T is working. I´ll test this release in GNS3.
Cheers
NWG
Montag, 2. März 2009
ENG - Why nothing new on Task 1
A small update on task 1
since the task is not that hard nearly everything is working as desired but I´d like to write some comments on this task. This is the main part why I didn´t publish the post.
But why no time? Well I´m involved in a project on a customer location with this setting:
Network + 2Gate Routers – 2 ISP routers
Aim: Build a 100% failsafe VPN solution. But of course we cant start from the scratch, we´ve got to pa attention to a grown configuration.
More to come later
since the task is not that hard nearly everything is working as desired but I´d like to write some comments on this task. This is the main part why I didn´t publish the post.
But why no time? Well I´m involved in a project on a customer location with this setting:
Network + 2Gate Routers – 2 ISP routers
Aim: Build a 100% failsafe VPN solution. But of course we cant start from the scratch, we´ve got to pa attention to a grown configuration.
More to come later
DE - Aufgabe 1 kein Update
Warum nichts neues?
Ganz kurzes update zu Aufgabe 1:
Es ist soweit alles fast fertig und tut es auch so gut oder schlecht, da ich aber noch ein bisschen was dazu schreiben will noch kein Lösungspost.
Warum ich keine Zeit habe? Ich sitze gerade an einem Problem eines Kunden:
Netzwerk + 2 Gateway Router – 2 ISP Router
Dabei soll eine möglichst 100% ausfallsicher VPN-Lösung gebaut werden. Leider gibt es keine grüne Fläche sondern eine über Jahre gewachsen Konfig.
Ganz kurzes update zu Aufgabe 1:
Es ist soweit alles fast fertig und tut es auch so gut oder schlecht, da ich aber noch ein bisschen was dazu schreiben will noch kein Lösungspost.
Warum ich keine Zeit habe? Ich sitze gerade an einem Problem eines Kunden:
Netzwerk + 2 Gateway Router – 2 ISP Router
Dabei soll eine möglichst 100% ausfallsicher VPN-Lösung gebaut werden. Leider gibt es keine grüne Fläche sondern eine über Jahre gewachsen Konfig.
Abonnieren
Posts (Atom)