Probléme de connexion VPN pix 515

[ludo15]

J'aimerais connecter les commerciaux en connection VPN sur le réseau de mon entreprise avec le client cisco vpn.

La connection au serveur VPN pix se passe sans problème, aprés un debug crypto ipsec et debug crypto isakmp tout semble correct une fois la connection établie je ne peux rien faire (pinger, accéder a mes fichiers ...) et le debug crypto engine pour tracer les paquets cryptés ne retourne rien.

Pourriez m'expliquer ce qui ne va pas dans ma config:


Building configuration...
: Saved
:
PIX Version 6.3(1)
interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 auto
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security50
enable password NuLKvvWGg.x9HEKO encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname Pix1
domain-name LAFAMOB
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
names
name 10.197.197.252 lafaproxy

access-list inside_outbound_nat0_acl permit ip 10.197.197.0 255.255.255.0 172.16.40.0 255.255.255.0
access-list outside_cryptomap_dyn_20 permit ip any 172.16.40.0 255.255.255.0


pager lines 24
logging buffered debugging
logging trap debugging
logging host inside 10.197.197.213
mtu outside 1500
mtu inside 1500
mtu dmz 1500
ip address outside x.x.x.x 255.255.255.248
ip address inside 10.197.197.7 255.255.255.0
ip address dmz 192.168.0.1 255.255.255.0
ip verify reverse-path interface outside
ip verify reverse-path interface inside
ip audit info action alarm
ip audit attack action alarm

ip local pool pool_vpn 172.16.40.1-172.16.40.254


pdm history enable
arp timeout 14400
global (outside) 1 62.23.118.236
global (dmz) 1 192.168.0.100-192.168.0.200

nat (inside) 0 access-list inside_outbound_nat0_acl


nat (inside) 1 10.197.197.0 255.255.255.0 0 0
nat (dmz) 1 192.168.0.0 255.255.255.0 0 0
static (dmz,outside) x.x.x.x 192.168.0.2 netmask 255.255.255.255 0 0
static (inside,dmz) 192.168.0.12 10.197.197.2 netmask 255.255.255.255 0 0
conduit permit tcp host x.x.x.x eq www any
conduit permit tcp host 192.168.0.12 host 192.168.0.2
route outside 0.0.0.0 0.0.0.0 x.x.x.x 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
http server enable
http 10.197.197.4 255.255.255.255 inside
http 10.197.197.142 255.255.255.255 inside
http 10.197.197.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable

sysopt connection permit-ipsec
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto dynamic-map outside_dyn_map 20 match address outside_cryptomap_dyn_20
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-MD5
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map interface outside

isakmp enable outside
isakmp identity address
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption 3des
isakmp policy 20 hash md5
isakmp policy 20 group 2
isakmp policy 20 lifetime 86400

vpngroup Commerciaux address-pool pool_vpn
vpngroup Commerciaux dns-server 10.197.197.4
vpngroup Commerciaux wins-server 10.197.197.216
vpngroup Commerciaux default-domain LAFAMOB
vpngroup Commerciaux idle-time 1800
vpngroup Commerciaux password ********

telnet 10.197.197.142 255.255.255.255 inside
telnet timeout 15
ssh timeout 5
console timeout 0
username administrateur password 7KKG/zg/Wo8c.YfN encrypted privilege 2
terminal width 80
Cryptochecksum:ad81f4ce55adb418167d8c3cda7c4a73
: end
[OK]


Edité par - ludo15 le 06 October 2003 10:51:27

Edité par - ludo15 le 06 January 2004 09:54:32

Edité par - ludo15 le 06 January 2004 09:55:33

[papaye]

Bonjour

Pour ce qui est de la configuration de votre pix, vous pouvez changer les choses suivantes dans votre section :

sysopt connection permit-ipsec
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto dynamic-map outside_dyn_map 20 match address outside_cryptomap_dyn_20
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-MD5
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map interface outside

par

sysopt connection permit-ipsec
crypto ipsec transform-set LAFA_transform esp-3des esp-sha-hmac
crypto dynamic-map LAFA_dyn_map 5 set transform-set LAFA_transform
crypto map LAFA_map 10 ipsec-isakmp dynamic LAFA_dyn_map
crypto map LAFA_map interface outside

et essayer de voir si cela fonctionne



Papaye

[ludo15]

Merci Papaye
mais cela ne fonctionne toujours pas, le debug de la connexion du client VPN cisco me dit que je suis connecté au Pix et me retourne une fenêtre pour m'identifier sur le domaine.
Je rentre les infos et il me retourne un message du type controleur de domaine introuvable.
Ceci est normal car je n'arrive pas à pinger mon controlleur...
Quelqu'un à une idée ?



Edité par - ludo15 le 10 October 2003 16:58:12

[papaye]

Bonjour

C'est probablement un probleme d'access-list à ce niveau...

En gardant la conf dont je parlais, essayez de supprimer la ligne :

access-list outside_cryptomap_dyn_20 permit ip any 172.16.40.0 255.255.255.0

et de ne garder que

access-list inside_outbound_nat0_acl permit ip 10.197.197.0 255.255.255.0 172.16.40.0 255.255.255.0

de rajouter ensuite aussi

access-list acl_outside deny ip any any
access-list acl_inside permit ip any any

access-group acl_outside in interface outside
access-group acl_inside in interface inside

enfin d'eviter d'utiliser la commande conduit et de plutot la remplacer par la commande access-list surtout sur un pix 6.3.1, c'est mieux

Pourriez vous aussi me preciser votre version de vpn client cisco et comment vous l'avez configuré ?

ne perdez pas courage...ça va marcher

papaye

[ludo15]

Mon client VPN est le CISCO VPN Client 4.0.2
La configuration:
host: adresse publique du firewall.
Group Authenticate: le groupe défini dans le PIX, ici commerciaux
Transport: IPSEC UDP
Allow LAN Access

Papaye petite question,commment supprimer mes conduit?

conduit permit tcp host x.x.x.x eq www any //permet à tout les client utilisant le protocole http de se connecter au serveur WEB sur la DMZ
conduit permit tcp host 192.168.0.12 host 192.168.0.2 //permettre au serveur Web sur la DMZ s'acceder au serveur SQL qui en interne à l'adresse 10.197.197.2

Merci




Edité par - ludo15 le 13 October 2003 09:20:31

Edité par - ludo15 le 13 October 2003 09:22:18

Edité par - ludo15 le 13 October 2003 09:22:57

Edité par - ludo15 le 13 October 2003 09:24:27

Edité par - ludo15 le 06 January 2004 09:56:13

[papaye]

Bonjour

Si vous avez mis en place les lignes dont je parlais au post precedent, rien de plus simple

dans votre cas le :

conduit permit tcp host 62.23.118.235 eq www any

devient

access-list acl_outside permit tcp any host 62.23.118.235 eq www

ceci permet à toutes les machines sur l'outside d'acceder au serveur 62.23.118.235 situé sur la dmz via http

meme etat d'esprit pour le second conduit.

Pour ce qui est de votre vpn, le client semble bien configuré...

reprenons la conf

access-list acl_inside permit ip any any
access-list inside_outbound_nat0_acl permit ip 10.197.197.0 255.255.255.0 172.16.40.0 255.255.255.0
ok


ip local pool pool_vpn 172.16.40.1-172.16.40.254
ok

nat (inside) 0 access-list inside_outbound_nat0_acl
ok

Bon si je compare avec une de mes conf qui fonctionne en production, ça devrait aller normalement...


sysopt connection permit-ipsec
no sysopt route dnat
crypto ipsec transform-set LAFA_transform esp-3des esp-sha-hmac
crypto dynamic-map LAFA_dyn_map 5 set transform-set LAFA_transform
crypto map LAFA_map 10 ipsec-isakmp dynamic LAFA_dyn_map
crypto map LAFA_map interface outside

arf je crois qu'il manque quelque chose là...rajoutez la commande en gras

isakmp enable outside
isakmp identity address
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption 3des
isakmp policy 20 hash md5
isakmp policy 20 group 2
isakmp policy 20 lifetime 86400

vpngroup Commerciaux address-pool pool_vpn
vpngroup Commerciaux dns-server 10.197.197.4
vpngroup Commerciaux wins-server 10.197.197.216
vpngroup Commerciaux default-domain LAFAMOB
vpngroup Commerciaux idle-time 1800
vpngroup Commerciaux password ********

ok

Alors ben là si ça marche po...grrrr, mais ça va marcher, n'est ce pas ?

papaye

[ludo15]

Voila la nouvelle config. Ce pendant ca me fait la même chose je commmence à desespérer

Building configuration...
: Saved
:
PIX Version 6.3(1)
interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 auto
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security50
enable password NuLKvvWGg.x9HEKO encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname Pix1
domain-name LAFAMOB
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
names
name 10.197.197.252 lafaproxy

access-list inside_outbound_nat0_acl permit ip 10.197.197.0 255.255.255.0 172.16.40.0 255.255.255.0
access-list acl_outside permit tcp any host x.x.x.x eq www
access-list acl_outside deny ip any any
access-list acl_inside permit ip any any
access-list dmz_access_in permit tcp host 192.168.0.2 host 192.168.0.12


pager lines 24
logging buffered debugging
logging trap debugging
logging host inside 10.197.197.213
mtu outside 1500
mtu inside 1500
mtu dmz 1500
ip address outside x.x.x.x 255.255.255.248
ip address inside 10.197.197.7 255.255.255.0
ip address dmz 192.168.0.1 255.255.255.0
ip verify reverse-path interface outside
ip verify reverse-path interface inside
ip verify reverse-path interface dmz
ip audit info action alarm
ip audit attack action alarm
ip local pool pool_vpn 172.16.40.1-172.16.40.254
pdm location 10.197.197.4 255.255.255.255 inside
pdm location 10.197.197.142 255.255.255.255 inside
pdm location 192.168.0.2 255.255.255.255 dmz
pdm location 10.197.197.213 255.255.255.255 inside
pdm location lafaproxy 255.255.255.255 inside
pdm location 10.197.197.2 255.255.255.255 inside
pdm location 10.197.197.0 255.255.255.255 inside
pdm location x.x.x.x 255.255.255.255 dmz
pdm history enable
arp timeout 14400
global (outside) 1 62.23.118.236
global (dmz) 1 192.168.0.100-192.168.0.200

nat (inside) 0 access-list inside_outbound_nat0_acl

nat (inside) 1 10.197.197.0 255.255.255.0 0 0
nat (dmz) 1 192.168.0.0 255.255.255.0 0 0
static (dmz,outside) x.x.x.x 192.168.0.2 netmask 255.255.255.255 0 0
static (inside,dmz) 192.168.0.12 10.197.197.2 netmask 255.255.255.255 0 0

access-group acl_outside in interface outside
access-group acl_inside in interface inside
access-group dmz_access_in in interface dmz

route outside 0.0.0.0 0.0.0.0 62.23.118.233 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
http server enable
http 10.197.197.4 255.255.255.255 inside
http 10.197.197.142 255.255.255.255 inside
http 10.197.197.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable

sysopt connection permit-ipsec
crypto ipsec transform-set LAFA_transform esp-3des esp-sha-hmac
crypto dynamic-map LAFA_dyn_map 5 set transform-set LAFA_transform
crypto map LAFA_map 10 ipsec-isakmp dynamic LAFA_dyn_map
crypto map LAFA_map interface outside

isakmp enable outside
isakmp identity address
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption 3des
isakmp policy 20 hash md5
isakmp policy 20 group 2
isakmp policy 20 lifetime 86400

vpngroup Commerciaux address-pool pool_vpn
vpngroup Commerciaux dns-server 10.197.197.4
vpngroup Commerciaux wins-server 10.197.197.4
vpngroup Commerciaux default-domain LAFAMOB
vpngroup Commerciaux idle-time 1800
vpngroup Commerciaux password ********

telnet 10.197.197.142 255.255.255.255 inside
telnet timeout 15
ssh timeout 5
console timeout 0
username administrateur password 7KKG/zg/Wo8c.YfN encrypted privilege 2
terminal width 80
Cryptochecksum:9d31757dd9d7bd427b0172735ad3350b
: end
[OK]

Pour la commande no sysopt route dnat impossible le pix me retourne "The sysopt route dnat option has been deprecated"
Est-ce que le problème ne viendrai pas du routeur?



Edité par - ludo15 le 06 January 2004 09:57:28

[papaye]

Bonjour

La configuration est presque parfaite, il faut juste changer le numero d'isakmp policy qui est actuellement à 20. En effet il faut le passer à 10 pour appliquer la regle au bon endroit, ce qui donne:

isakmp enable outside
isakmp identity address
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400

Pour ce qui est de la commande no sysopt route dnat, en effet elle ne fonctionne plus sur l'ios 6.3.1. Autant pour moi, toutefois ceci ne doit pas gener la connection vpn.

A ce stade, la conf du pix doit etre bonne. Refaites un essai...puis si cela ne fonctionne toujours pas alors peut etre que le probleme vient du routeur. Toutefois, si vous arrivez à vous connecter au pix et à negocier la securité, je doute qu'il soit en cause, mais je n'en suis pas sur!

Je n'ai pas une grande experience sur les interfaces ATM, je ne pourrais donc pas vous dire si la conf est bonne ou pas. Toutefois, verifiez que votre client est sur une plage d'adresse autorisée sur votre routeur et que c'est bien en ip que vous autorisez le trafique ( on sait jamais !!! ). De plus si vous n'avez pas de probleme par ailleurs lorsque vous faites du nat au travers du pix alors la conf du routeur doit etre bonne.


En esperant que ça marche cette fois ci !

amicalement

papaye

[papaye]

Bonjour

Apres une longue reflexion, il m'est revenu à l'esprit quelques souvenirs dont un qui je pense est une solution. Il m'est arrivé de configurer des pix qui n'acceptent pas le client vpn 4.0.2 (a,b,c ou d). Par contre cela fonctionnais tres bien avec un client 3.5.1 !!!

Aller savoir pourquoi...je me pose toujours la question à l'heure actuelle.

Donc, faites un essai avec ce type de client, et qui sait...Bon je sais que question faille de securité et autres mises à jour ce n'est pas la solution, mais deja si cela marche avec un 3.5.1 et bien le probleme prendra une toute autre tournure...

papaye

[ludo15]

Bonjour,
Merci pour tous Papaye mais ca mache toujours pas
Je cherche au niveau du routeur car j'ai plus idée pour le firewall
Je me demande si ca viendrai pas de cette ligne
access-list 101 deny ip 172.16.0.0 0.15.255.255 any

[overaga]

Bonjour,

J'ai été confronté exactement au même problème !
Mais par contre en redescendant du client vpn 4.0.1 vers le client 3.5.1 plus de problème.

Voilà juste pour la petite info...
Par contre c'est quand même assez embettant de pas pouvoir passer le 4.0.1 car le 3.5.1 ne gére l'encryption aes 256bits.....


Salutations

[papaye]

Bonjour

Apres avoir contacté le support web cisco pro, une solution pour faire tourner un vpn. A partir de la version 3.6.x le mix sha md5 n'est plus autorisé dans la conf du vpn, il faut donc mettre maintenant la conf suivante, ça marche avec les 4.x.x sur pc, j'ai testé :

crypto ipsec transform-set LAFA_transform esp-3des esp-sha-hmac

par

crypto ipsec transform-set LAFA_transform esp-3des esp-md5-hmac

et conserver :

isakmp policy 10 hash md5

pour faire correspondre les digest.

A titre d'information, en mettant en route le debug sur le client vpn pour les politique IKE ( position high ), et en ayant le mix sha md5, avec un client au dessus de la version 3.5.1 on obtient le message d'erreur suivant :

Sev=Warning/3 IKE/0xA300004B
Received a NOTIFY message with an invalid protocol id(0)

la reponse du support :

transform-set ciml_transform is using SHA for hashing, and your isakmp policy is using MD5. Try setting both to the same

et

The combination of DES and SHA is not supported in the later versions of the VPN client. Select either DES & MD5 or 3DES & SHA for the transform set.

Pour le probleme de l'access-list supprimez la et voyez ce que cela donne, en effet il n'est pas bon de placer ce genre d'interdictions en amont du pix.

papaye

[papaye]

Re

Une derniere info pour resoudre le probleme d'impossibilité de ping et autre, voici un article cisco :

Common PIX-to-VPN Client Issues
This following sections address common problems encountered with configuring PIX to IPSec using VPN Client 3.x. The sample configurations for the PIX are based on version 6.x.

Traffic Does Not Flow After the Tunnel Is Established - Cannot Ping Inside the Network Behind PIX
This is a common problem associated with routing. Ensure that the PIX has a route for networks which are on the inside and not directly connected to the same subnet. Also, the inside network should have a route back to the PIX for the addresses in the client address pool.

An example is shown below.


!--- Address of PIX inside interface.

ip address inside 10.1.1.1 255.255.255.240

!---Route to the networks which are on the inside segment,
!--- the next hop is the router on the inside.

route inside 172.16.0.0 255.255.0.0 10.1.1.2 1

!---Pool of address defined on PIX from which it assigns addresses
!--- to the VPN Client for the IPSec session

ip local pool mypool 10.1.2.1-10.1.2.254

!--- On the internal router if the default gateway is not
!--- the PIX inside interface, then the router should have route
!--- for 10.1.2.0/24 network with next hop as the PIX inside interface
!--- (as in Cisco IOS routers).

ip route 10.1.2.0 255.255.255.0 10.1.1.1

papaye

[ludo15]

Bonjour et MERCI Papaye,
Toute ses infos sont trés précieuse merci de t'être renseigné sur le sujet
En ce qui concerne le 1er message j'ai fait le debug au niveau du client -> Bien vu
Pour le deuxième message j'ai un peu de mal pour identifier toute ces adresses

A quoi correspond la ligne route inside
172.16.0.0 255.255.0.0 10.1.1.2 1
Quel réseau correspond à 172.16.0.0 et qui est 10.1.1.2?

En ce qui concerne ip route 10.1.2.0 255.255.255.0 10.1.1.1 pourquoi cette ligne?

PS:Toi qui à l'air de maitriser en ce moment j'essai d'utiliser le PDM pour faire du monitoring cependant cela me rempli ma conf de ligne:
pdm location 10.197.197.4 255.255.255.255 inside
Comment l'eviter?

Merci encore pour tout


Edité par - ludo15 le 06 November 2003 09:02:53

[papaye]

Bonjour

L'exemple semble mettre en jeu un routeur interne. Par contre je n'ai pas fouillé plus longuement et cherché à comprendre cette topologie. En effet il est bien dit dans l'exemple que sur l'inside on a :

route inside 172.16.0.0 255.255.0.0 10.1.1.2 1

ce qui veut dire en d'autres termes que le pix envoi tous les paquets destiné au reseau 172.16.0.0 au travers de l'interface du routeur situé en 10.1.1.2 avec un metric de 1.

Donc, desolé d'avoir mis ça, car ce n'est pas exactement la meme topologie que celle sur laquelle on travail! (peut etre que cela servira à quelqu'un d'autre ! )

Je vais me rattraper pour la seconde partie. En ce qui concerne le monitoring du pix par le pdm, pour se debarrasser des pdm location... il faut faire un clear pdm.

Par contre je n'utilise pas le pdm pour monitorer le pix, le mieu c'est :

1 si on a de l'argent, voir le logiciel cisco works
2 si on en a pas, ou qu'on veut pas en depenser, utiliser MRTG, qui fournit toutes sortes de graphiques ( flux sur interfaces à 24h, 1 semaine, 1 mois, 1 ans ..., occupation de CPU, Round robbin database afin d'avoir un historique sur de longues periodes).

MRTG existe pour windows et linux, et se parametre tres facilement.

le lien de depart :

http://www.mrtg.org

papaye