Linux Schulungen: http://www.opensource-training.de  
 
Foren > VPN mit Linux > [racoon] Ersatzlösung für Cisco PIX: /32-Ziele
Navigation
Schulungen
Foren
  Allgemeines Forum
  Intrusion Detection
  VPN mit Linux
  Firewalling mit Linux
  SELinux/AppArmor
SELinux/AppArmor Buch
IDS-Buch
VPN-Buch
Firewall-Buch
Nachrichten
Vorträge/Tutorials
Artikel
Linux-Magazin Artikel
Anmelden / Daten ändern
Messen
Impressum
Serverspiegel
Zertifizierungen
GPG Public Key

Flavours
English
German

Search

Visitors
Besucher 1260502
Ansichten 1215
Online 0

[racoon] Ersatzlösung für Cisco PIX: /32-Ziele

Springe zu
Thema Verfasser Letzte Antwort
[racoon] Ersatzlösung für Cisco PIX: /32-Ziele Funk ( ---.dip.t-dialin.net) 17 Aug 2010 14:38
Ich möchte testweise eine Cisco-PIX-Lösung ersetzen und habe
folgendes Problem:

(Es gibt keine privaten Class-C-Netze, alles sind öffentlich
vergebene Subnetze)

Lokales Netz: 1.1.1.0/24
Local-VPN-Gateway: 1.1.2.127

Remote Hosts: 2.2.1.208/32, 2.2.1.222/32, 2.2.2.149/32
Remote-VPN-Gateway: 2.2.3.157

Wie kann ich dieses setup mit »racoon« nachbilden, wenn remote
kein /24 sondern nur einzelne Hosts definiert sind? Auf die
Gegenseite habe ich _keinen_ Einfluß, die Daten _müssen_ als
gegeben hingenommen werden. Ab und zu kommen auch Host hinzu
oder werden entfernt.

Die entsprechenden ACLs in der PIX-Konfiguration sehen so aus:

| VPN-Traffic
| access-list inside_outbound_nat0_acl permit ip host 1.1.1.203 host 2.2.2.126
| access-list inside_outbound_nat0_acl permit ip host 1.1.1.203 host 2.2.1.208
| access-list inside_outbound_nat0_acl permit ip host 1.1.1.203 host 2.2.1.222
|
| VPN-Gateways
| access-list outside_cryptomap_20 permit ip host 1.1.2.127 host 2.2.3.157
|
| VPN-Traffic-Encryption
| access-list outside_cryptomap_20 permit ip host 1.1.1.203 host 2.2.2.126
| access-list outside_cryptomap_20 permit ip host 1.1.1.203 host 2.2.1.208
| access-list outside_cryptomap_20 permit ip host 1.1.1.203 host 2.2.1.222

In der Datei "racoon.conf" müßten in eine 'sainfo' section
irgendwie statt eines Netzwerks mehrere Host-Definitionen. Wie
stellt man das an, wenn das überhaupt geht?
Ich hab's ohne weiteres Nachdenken mit mehreren 'sainfo'
section probiert, aber die überschreiben sich wohl und es
funktioniert dann jeweils nur mit dem letzen Eintrag.

Wenn racoon diese Funktionalität nicht bietet, geht das das
vllt. mit Strong/OpenSWAN?

Danke,
Lars

RE: [racoon] Ersatzlösung für Cisco PIX: /32-ZieleRalf ( ---.dip.t-dialin.net)17 Aug 2010 14:38
Mehrere sainfo Blöcke ;-)

Geht aber auch mit strongSwan: Mehrere Tunnel ;-)
Gruß,

Ralf

[ Zurück ] Um ein neues Thema hinzu zu fügen müssen sie eingeloggt sein.
Umfrage

Welche Distribution verwenden Sie?

 A) Fedora Core
 B) SuSE
 C) Debian
 D) Mandriva
 E) Red Hat Enterprise Linux
 F) SuSE Enterprise Linux
 G) Slackware
 H) Ubuntu
 I) Gentoo
 J) Andere


Latest News
17 Oct 2008: Neue Schulung: Netzwerküberwachung mit Nagio...
17 Oct 2008: Neue Schulung: Virtualisierung mit KVM
24 Sep 2008: Business-Online Messe in Münster
24 Sep 2008: Eröffnungskonferenz am 25. September 2008
28 Aug 2008: Zertifizierung nach LPIC-3
Weitere News...

Login
eMail


Passwort
© 2002-2005 Ralf Spenneberg, OpenSource Security, Germany