Ayuda tunnel PIX

[Xern]

Buenas tardes a todos,

El otro día me encomendaron realizar en un cliente un tunnel ipsec entre un PIX ver. 6.3 de hace 10 años con un firewall watchguard.
Tengo el CCNA (un poco oxidado) y experiencia con dispositivos watchguard, dell, dlink, etc pero el encargo que me hicieron se me está atragantando bastante.
Solo consigo que me funcione el tunnel any-any. Cuando funciona, deja de funcionar el cliente vpn de cisco (conecta pero deniega cualquier tráfico).
Por otro lado, si intento filtrar que desde la vpn solo se puedan conectar a una máquina, a veces me deja de responder la ip pública y el debug me entra en bucle de acl incompleta.

Adjunto el show run del pix por si alguna alma caritativa me puede decir si he puesto alguna salvajada que me de todos estos errores:


pix-test# SH CONF
: Saved
: Written by enable_15 at 00:01:41.271 UTC Fri Jan 1 1993
PIX Version 6.3(3)
interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 auto
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security50
enable password /YkF3jFJJD3lD52G encrypted
passwd M0i.ccMTbS9Biy.W encrypted
hostname pix-test
domain-name pruebas.com
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol ils 389
fixup protocol pptp 1723
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
no fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
access-list 100 permit ip 192.168.0.0 255.255.0.0 192.168.0.0 255.255.0.0
access-list ping-out permit icmp any any
access-list ping-out deny udp any any eq tftp
access-list ping-out deny udp any any eq 135
access-list ping-out deny udp any any eq netbios-ns
access-list ping-out deny udp any any eq netbios-dgm
access-list ping-out deny tcp any any eq 69
access-list ping-out deny tcp any any eq 135
access-list ping-out deny tcp any any eq 445
access-list ping-out deny tcp any any eq 593
access-list ping-out deny udp any any eq 4665
access-list ping-out permit tcp any host 96.98.21.169 eq www
access-list ping-out permit tcp any host 96.98.21.169 eq https
access-list ping-out permit tcp any host 96.98.21.169 eq pop3
access-list ping-out permit tcp any host 96.98.21.169 eq smtp
access-list ping-out permit tcp any host 96.98.21.169 eq pptp
access-list ping-out permit tcp any host 96.98.21.169 eq 8080
access-list ping-out permit tcp any host 96.98.21.170 eq www
access-list ping-out permit tcp any host 96.98.21.170 eq https
access-list ping-out permit tcp any host 96.98.21.170 eq pop3
access-list ping-out permit tcp any host 96.98.21.170 eq smtp
access-list ping-out permit tcp any host 96.98.21.170 eq 8080
access-list ping-out permit tcp any host 96.98.21.171 eq www
access-list ping-out permit tcp any host 96.98.21.171 eq https
access-list ping-out permit tcp any host 96.98.21.171 eq pop3
access-list ping-out permit tcp any host 96.98.21.171 eq smtp
access-list ping-out permit tcp any host 96.98.21.171 eq 8080
access-list ping-out permit tcp any host 96.98.21.172 eq 6666
access-list LISTDMZ permit ip host 192.1.1.10 150.2.0.0 255.255.0.0
access-list LISTDMZ permit ip host 192.1.1.12 150.2.0.0 255.255.0.0
access-list LISTDMZ permit ip host 192.1.1.14 150.2.0.0 255.255.0.0
access-list LISTDMZ permit ip host 192.1.1.5 150.2.0.0 255.255.0.0
access-list inside permit ip host 192.168.0.46 any
access-list inside permit ip host 192.168.0.4 any
access-list inside permit ip host 192.168.0.5 any
access-list inside permit ip host 192.168.0.242 any
access-list inside permit ip host 192.168.0.243 any
access-list inside permit ip host 192.168.0.7 any
access-list inside permit ip any any
access-list inside permit ip host 192.168.1.115 any
access-list 110 permit ip 192.168.0.0 255.255.255.0 10.28.1.0 255.255.255.0 -- añadiada mia
access-list 110 permit ip 10.28.1.0 255.255.255.0 192.168.0.0 255.255.255.0 -- añadiada mia
paLISTDMZr lines 24
logging on
logging monitor debugging
logging buffered debugging
mtu outside 1500
mtu inside 1500
mtu dmz 1500
ip address outside 96.98.21.173 255.255.255.248
ip address inside 192.168.0.200 255.255.248.0 -- origimalmente me lo he encontrado así, pero realmente la red que se usa es 255.255.0.0
ip address dmz 192.1.1.200 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
ip local pool vpnlocal2 192.168.1.200-192.168.1.232
pdm location 111.111.0.0 255.255.255.0 inside
pdm location 192.168.0.4 255.255.255.255 inside
pdm location 192.168.0.5 255.255.255.255 inside
pdm location 192.168.0.0 255.255.0.0 inside
pdm location 88.2.136.124 255.255.255.255 outside
pdm location 192.168.0.7 255.255.255.255 inside
pdm location 192.168.2.167 255.255.255.255 inside
pdm location 196.168.2.167 255.255.255.255 outside
pdm location 192.168.1.115 255.255.255.255 inside
pdm history enable
arp timeout 14400
global (outside) 1 interface
global (outside) 2 96.98.21.169
nat (inside) 0 access-list 100
nat (inside) 0 access-list 110 -- añadiada mia
nat (inside) 2 192.168.0.4 255.255.255.255 0 0
nat (inside) 1 192.168.0.0 255.255.0.0 0 0
nat (dmz) 0 access-list LISTDMZ
static (inside,outside) 96.98.21.169 192.168.0.4 netmask 255.255.255.255 0 0
static (inside,outside) 96.98.21.171 192.168.0.7 netmask 255.255.255.255 0 0
static (inside,outside) 96.98.21.170 192.168.0.5 netmask 255.255.255.255 0 0
static (inside,outside) 96.98.21.172 192.168.1.115 netmask 255.255.255.255 0 0
access-group ping-out in interface outside
access-group inside in interface inside
route outside 0.0.0.0 0.0.0.0 96.98.21.174 1
route inside 111.111.0.0 255.255.255.0 192.168.0.250 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
http server enable
http 192.168.0.0 255.255.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
crypto ipsec transform-set VPN esp-3des esp-md5-hmac
crypto ipsec transform-set GOAL esp-des esp-md5-hmac
crypto ipsec transform-set VPNNEW esp-3des esp-sha-hmac -- añadiada mia
crypto dynamic-map dynmap 1 set transform-set VPN
crypto dynamic-map dynmapdes 2 set transform-set GOAL
crypto map vpnmap 1 ipsec-isakmp dynamic dynmap
crypto map vpnmap 10 ipsec-isakmp
crypto map vpnmap 10 match address LISTDMZ
crypto map vpnmap 10 set peer 212.171.22.215
crypto map vpnmap 10 set transform-set VPN
crypto map vpnmap 11 ipsec-isakmp -- añadiada mia
crypto map vpnmap 11 match address 110 -- añadiada mia
crypto map vpnmap 11 set peer 212.179.12.124 -- añadiada mia
crypto map vpnmap 11 set transform-set VPNNEW -- añadiada mia
crypto map vpnmap 11 set security-association lifetime seconds 360 kilobytes 8192 -- añadiada mia
crypto map vpnmap interface outside
isakmp enable outside
isakmp key ******** address 212.171.22.215 netmask 255.255.255.255
isakmp key ******** address 212.179.12.124 netmask 255.255.255.255 -- añadiada mia
isakmp identity address
isakmp policy 1 authentication pre-share
isakmp policy 1 encryption 3des
isakmp policy 1 hash md5
isakmp policy 1 group 2
isakmp policy 1 lifetime 1800
isakmp policy 2 authentication pre-share
isakmp policy 2 encryption des
isakmp policy 2 hash md5
isakmp policy 2 group 2
isakmp policy 2 lifetime 1800
isakmp policy 3 authentication pre-share
isakmp policy 3 encryption 3des
isakmp policy 3 hash md5
isakmp policy 3 group 2
isakmp policy 3 lifetime 86400
isakmp policy 4 authentication pre-share -- añadiada mia
isakmp policy 4 encryption des -- añadiada mia
isakmp policy 4 hash sha -- añadiada mia
isakmp policy 4 group 1 -- añadiada mia
isakmp policy 4 lifetime 86400 -- añadiada mia
vpngroup vpnmovil address-pool vpnlocal2
vpngroup vpnmovil dns-server 192.168.0.242
vpngroup vpnmovil default-domain pruebas.com
vpngroup vpnmovil idle-time 1800
vpngroup vpnmovil password ********
telnet 192.168.0.0 255.255.0.0 inside
telnet timeout 5
ssh 88.2.136.124 255.255.255.255 outside
ssh 84.124.26.122 255.255.255.255 outside
ssh timeout 5
console timeout 0
terminal width 80









Saludos y gracias de antemano
Xern

[mariano]

Hola Xern.
No entendi bien que hace la acl 100.
La config en general la veo medio confusa. ACLs y demas.

Te dejo una prueba que hice de conectar un pix501 con un par de equipos para ver que no haya problemas de compatibilidad al levantar la VPN. Con esta config base funciono todo bien.
Fijate si con esta config te funciona y anda agregando/editando de a uno los permisos que necesites.

Por lo que veo es un equipo que no esta en produccion asi que te diria que lo borres a default y arranques de cero.
Por otro lado te aconsejo que aca en esta pagina o cualquiera, no pongas IPs ni ningun dato por seguridad. Te diria que edites lo que pusiste arriba.

PIX501

Código:

interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
hostname pix

sysopt connection permit-ipsec
isakmp enable outside

access-list NONAT permit ip 192.1.2.0 255.255.255.0 192.168.128.0 255.255.255.0

ip address outside x.x.x.x x.x.x.x
ip address inside 192.1.2.2 255.255.255.0

ip local pool VPN-POOL 192.168.128.1-192.168.128.254

global (outside) 1 interface
nat (inside) 0 access-list NONAT
nat (inside) 1 0.0.0.0 0.0.0.0 0 0

crypto ipsec transform-set AES-SHA esp-aes esp-sha-hmac
crypto ipsec transform-set 3DES-SHA esp-3des esp-sha-hmac

crypto dynamic-map DYNMAP 10 set transform-set AES-SHA 3DES-SHA
crypto dynamic-map DYNMAP 10 set security-association lifetime seconds 14400

crypto map VPNMAP 10 ipsec-isakmp dynamic DYNMAP
crypto map VPNMAP client authentication LOCAL
crypto map VPNMAP interface outside

isakmp policy 10 authentication pre-share
isakmp policy 10 encryption aes
isakmp policy 10 hash sha
isakmp policy 10 group 2
isakmp policy 10 lifetime 43200

isakmp policy 20 authentication pre-share
isakmp policy 20 encryption 3des
isakmp policy 20 hash sha
isakmp policy 20 group 2
isakmp policy 20 lifetime 43200

vpngroup p-p address-pool VPN-POOL
vpngroup p-p default-domain dominio.com
vpngroup p-p idle-time 1200
vpngroup p-p password cisco123

console timeout 0
username **** password ******* privilege 15

Cuando lo pruebes conta como te fue.
Salu2

[Xern]

Buenas,
de antemano muchas gracias por la ayuda
yo tampoco entendí que es lo que hacia, ya que ese tráfico al estar en la misma red se tendria que enrutar en capa 2.
Aparte de las lineas que he puesto como mias, el resto ya me lo encontré así.
Realmente el pix está en producción, con lo que a priori no puedo hacer un reset y regenerar la configuración (en principio solo fuí para crear el túnel y me encontré con todo esto).
Del tema de nombres e ips, están todas cambiadas por temas de seguridad.

de todas formas me da la impresión que es un problema con el nat (inside), la mascara de la ip interna que no coincide con la que realmente se usa en la rer ( el pix tiene 255.255.248.0 y en la red LAN tienen definida la 255.255.0.0) y las ACL.
Para rematar, al querer hacer un access-list XX permit ip 10.28.1.0 255.255.255.0 host 192.168.0.5 me permitia introducirla pero habilitando el debug me daba un error continuo de acl incompleta.
No se, todo es muy raro

[mariano]

Tenes posibilidad de hacerlo fuera de horario para poder ponerlo a default. Esta muy desprolijo me da la sensacion y te va a costar mucho mas hacerlo asi que hacerlo de cero.
Las ACL tienen lineas de mas y cosas asi que aunque no jodan ensucian.
De utlima guardas un backup de la config para restaurar y listo.
Empeza por sacar esta linea

Código:

nat (inside) 0 access-list 100

Tenes dos nat 0 con ACL distintas al pedo ya que como vos decis estas tunelizando trafico a la misma red que se haria en capa2 y ahi se hace bardo me parece.
Si podesprimero anda sacando las cosas que estan de mas, como ese nat0 los deny que sobran en las acl, etc. si ves que tocas algo y te llaman urgente que se cayo todo ya sabes que tocaste al menos :P
pero de esa manera lo dejas lo mas limpio posible.
La autenticacion del cliente vpn es por la base de datos local?
Me tengo que ir cuando vengo lo miro mas en detalle
Salu2

[Xern]

Buenos días Mariano,
estoy completamente de acuerdo contigo que hay acls que sobran; me da la impresión que han ido añadiendo ACL medio improvisando.
El tema del nat si que he sido yo que lo he puesto mal,

nat (inside) 0 access-list 100
nat (inside) 0 access-list 110 -- añadiada mia

iba alternando estas 2 lineas, ya que 2 nat inside 0 no me dejaba,
lo que si que hacia era cambiar uno de los nat inside 0 por nat inside 4.

La autenticación de la vpn va directamente en local
vpngroup vpnmovil password ********

[mariano]

Claro, lo que pasa es que me da la sensacion que queres poner dos redes remotas con el mismo rango de red y tunelizarlas en el nat0 sino no entiendo. Esto te puede joder tambien.