https://wiki.ixheim.de/index.php?action=history&feed=atom&title=Cisco-pix-openswan 2026-06-29T01:23:45Z Versionsgeschichte dieser Seite in Xinux Wiki MediaWiki 1.35.1 https://wiki.ixheim.de/index.php?title=Cisco-pix-openswan&diff=16172&oldid=prev 2017-12-20T14:43:24Z

<p>Die Seite wurde neu angelegt: „ ===Aktivierung von IKE auf der ausgehenden Schnittstelle=== pix(config)#isakmp enable outside ===Accessliste für kein NAT erstellen (zwischen beiden Netze…“</p> <p><b>Neue Seite</b></p><div><br /> ===Aktivierung von IKE auf der ausgehenden Schnittstelle===<br /> <br /> pix(config)#isakmp enable outside<br /> <br /> ===Accessliste für kein NAT erstellen (zwischen beiden Netzen)===<br /> <br /> pix(config)# access-list no_nat permit ip 172.22.2.0 255.255.255.0 172.32.1.0 255.255.255.0<br /> <br /> ===Kein NAT für die obige Verbindungen===<br /> pix(config)#nat (inside) 0 access-list no_nat <br /> <br /> ===Accesslisten anlegen===<br /> pix(config)# access-list 120 permit ip 172.22.2.0 255.255.255.0 172.32.1.0 255.255.255.0 <br /> pix(config)# access-list 120 permit ip 172.32.1.0 255.255.255.0 172.22.2.0 255.255.255.0 <br /> pix(config)# access-list 120 permit icmp 172.32.1.0 255.255.255.0 172.22.2.0 255.255.255.0<br /> <br /> ===Erstellen einer ISAKMP Protections Suite===<br /> <br /> ===Festlegen der Authentifizierungsmethode (pre-shared oder rsa-sig)===<br /> pix(config)#isakmp policy 10 authentication pre-share <br /> <br /> ===Festlegen der Verschlüsselungsmethode (des oder 3des)===<br /> pix(config)# isakmp policy 10 encryption 3des <br /> <br /> ===Festlegen der Hashmethode um Authentität zu gewahren (md5 oder sha)===<br /> pix(config)#isakmp policy 10 hash md5 <br /> <br /> ===Festlegen der Diffie-Hellman-Gruppe (1 = 768, 2=1024)===<br /> pix(config)#isakmp policy 10 group 2 <br /> <br /> ===Festlegen der Lebenszeit in Sekunden===<br /> pix(config)#isakmp policy 10 lifetime 28800 <br /> <br /> ===Den Key für die Verbindung festlegen===<br /> pix(config)# isakmp key sehr-geheim address 192.168.249.62 netmask 255.255.255.255 no-xauth no-config-mode<br /> <br /> ===Als id dient die IP-Adresse (address = IP, hostname = FQDN)=== <br /> pix(config)# isakmp identity address <br /> <br /> ===Anzeigen der ISAKMP Policy===<br /> pix# show isakmp policy<br /> <br /> ===Die Ipsec-SA soll esp-3des(168Bit) plus esp-md5-hmac nutzen=== <br /> pix(config)# crypto ipsec transform-set xinux-set esp-3des esp-md5-hmac<br /> <br /> ===Überprüfen der Transform-Sets===<br /> pix(config)# show crypto ipsec transform-set<br /> <br /> ===Konfiguration der Cryptomap===<br /> ===Erstellen des Crypto-Map-Eintrag für Ipsec und IKE===<br /> pix(config)# crypto map lurchie-unkerich 10 ipsec-isakmp<br /> <br /> ===Es wird angewendet wenn die Accessliste 120 zutrifft===<br /> pix(config)# crypto map lurchie-unkerich 10 match address 120<br /> <br /> ===Angabe des Ipsec-Peers mit dem der geschützte Verkehr ausgetauscht wird===<br /> pix(config)# crypto map lurchie-unkerich 10 set peer 192.168.249.62<br /> <br /> ===Transform-Sets der für diesen Eintrag benutzt wird (Es können bis zu 6 angeben werden)===<br /> pix(config)# crypto map lurchie-unkerich 10 set transform-set xinux-set<br /> <br /> ===Anwenden des Crypto-Maps auf die konkrete Schnittstelle=== <br /> pix(config)# crypto map lurchie-unkerich interface outside<br /> <br /> ===Openswan-Site===<br /> /etc/ipsec.conf<br /> version 2.0 # conforms to second version of ipsec.conf specification<br /> <br /> config setup<br /> nat_traversal=yes<br /> nhelpers=0<br /> <br /> conn test<br /> right=192.168.241.90<br /> rightsubnet=172.23.3.0/24<br /> left=192.168.250.96<br /> leftsubnet=172.22.2.0/24<br /> esp=3des-md5-96<br /> keyexchange=ike<br /> authby=secret<br /> pfs=no<br /> auto=add<br /> <br /> include /etc/ipsec.d/examples/no_oe.conf<br /> /etc/ipsec.secrets<br /> 192.168.250.96 192.168.241.90 : PSK &quot;sauhund&quot;</div>

Thomas