Converte a VPN Site-to-Site do PIX para o ASA 8.2

Navegue suas respostas
2

Eu tenho trabalhado na conversão de uma configuração de um PIX para um ASA 8.2, mas estou tendo alguns problemas com o site para fazer parte do vpn do site. O PIX tem um cliente VPN e site para site. Como algumas das configurações do site para o site cruzam a VPN do cliente, estou ficando confuso. Qualquer ajuda seria apperciated.

Belows são trechos de apenas os comandos VPN relacionados do PIX. 

access-list Remote_splitTunnelAcl permit ip 192.168.0.0 255.255.0.0 any 
access-list inside_outbound_nat0_acl permit ip any 192.168.0.160 255.255.255.240 
access-list inside_outbound_nat0_acl permit ip host Zenoss_OS NOC 255.255.255.0 
access-list inside_outbound_nat0_acl permit ip host SilverBack NOC 255.255.255.0 
access-list inside_outbound_nat0_acl permit ip host enoss_Hardware NOC 255.255.255.0 
access-list outside_cryptomap_dyn_20 permit ip any 192.168.0.160 255.255.255.240 
access-list outside_cryptomap_20 permit ip host Zenoss_OS NOC 255.255.255.0 
access-list outside_cryptomap_20 permit ip host SilverBack NOC 255.255.255.0 
access-list outside_cryptomap_20 permit ip host Zenoss_Hardware NOC 255.255.255.0 

ip local pool DHCP_Pool 192.168.0.161-192.168.0.174

nat (inside) 0 access-list inside_outbound_nat0_acl

sysopt connection permit-vpn
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac 
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac 
crypto dynamic-map outside_dyn_map 20 match address outside_cryptomap_dyn_20
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-DES-MD5
crypto map outside_map 20 ipsec-isakmp
crypto map outside_map 20 match address outside_cryptomap_20
crypto map outside_map 20 set peer 205.x.29.41
crypto map outside_map 20 set transform-set ESP-DES-SHA
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map client authentication LOCAL 
crypto map outside_map interface outside
isakmp enable outside
isakmp key KEY address 205.x.29.41 netmask 255.255.255.255 no-xauth no-config-mode 
isakmp nat-traversal 180
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption des
isakmp policy 20 hash md5
isakmp policy 20 group 2
isakmp policy 20 lifetime 86400
isakmp policy 40 authentication pre-share
isakmp policy 40 encryption des
isakmp policy 40 hash sha
isakmp policy 40 group 2
isakmp policy 40 lifetime 86400
vpngroup GHA_Remote address-pool DHCP_Pool
vpngroup GHA_Remote dns-server 192.168.0.11
vpngroup GHA_Remote wins-server 192.168.0.11
vpngroup GHA_Remote default-domain x.org
vpngroup GHA_Remote split-tunnel Remote_splitTunnelAcl
vpngroup GHA_Remote idle-time 1800
vpngroup GHA_Remote password KEY

Eu acho que o que estou realmente perguntando é se alguém pode converter a versão site a site desta configuração VPN para o ASA 8.2 para que eu possa compará-la com o que eu tenho. Eu preciso ter isso para que eu possa soltá-lo e trabalhar.

Também não parece que a política isakmp 40 está sendo usada, correto?

O seguinte comando é o único comando que não consigo inserir diretamente: 

crypto map outside_map 20 ipsec-isakmp

Eu recebo um comando ERROR:% Incomplete. Depois, vejo que preciso adicionar um "nome dinâmico do mapa dinâmico". Não sei ao certo qual mapa dinâmico preciso vincular a isso.

    
por evolvd 01.06.2011 / 15:03

1 resposta

3

Por que você está fazendo tudo isso manualmente? A Cisco oferece uma ferramenta de migração Pix para ASA. Execute sua configuração por meio disso e, em seguida, apenas verifique os resultados antes de colocá-los em produção (e pare de usar descriptografia. Use 3des ou aes).

EDITAR:
Desculpa. Já passou algum tempo desde que usei essa ferramenta de migração. Eu pensei que fosse o material da VPN. Veja como sua configuração deve ser. Havia um monte de coisas extras lá que você não precisa se você está apenas fazendo um site para outro, então eu tirei. Eu também coloquei você na criptografia 3des:

access-list inside_outbound_nat0_acl permit ip any 192.168.0.160 255.255.255.240
access-list inside_outbound_nat0_acl permit ip host Zenoss_OS NOC 255.255.255.0
access-list inside_outbound_nat0_acl permit ip host SilverBack NOC 255.255.255.0
access-list inside_outbound_nat0_acl permit ip host enoss_Hardware NOC 255.255.255.0
access-list outside_cryptomap_20 permit ip host Zenoss_OS NOC 255.255.255.0
access-list outside_cryptomap_20 permit ip host SilverBack NOC 255.255.255.0
access-list outside_cryptomap_20 permit ip host Zenoss_Hardware NOC 255.255.255.0

nat (inside) 0 access-list inside_outbound_nat0_acl

crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto map outside_map 20 match address outside_cryptomap_20
crypto map outside_map 20 set peer 205.x.29.41
crypto map outside_map 20 set transform-set ESP-3DES-SHA
crypto map outside_map interface outside
crypto isakmp enable outside
crypto isakmp policy 20
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 43200
tunnel-group 205.x.29.41 type ipsec-l2l
tunnel-group 205.x.29.41 ipsec-attributes
pre-shared-key KEY

    
por 01.06.2011 / 16:07

Tags

Reconectar uma conexão de área de trabalho remota após reinicializar o host As políticas de firewall não se aplicam a tentativas de ping / tracert?