Crear VPN ipsec entre cisco asa y Server firewall Linux

Pregunta respondida
Jul 1st, 2013
User Badges:

Hola buen dia


Esperando se encuentren de lo mejor posible, aver si me pueden ayudar, tengo ahorita un problema y no se como resolverlo, el caso es que ocupo crear una VPN IPsec site-to.site entre un cisco asa 5510 y un firewall en linux (Camaleon), el firewall en linux es donde se creo la vpn y solamente me mandaron este dato:


conn me_to_vpn

        left=%any

        right=201.168.xxx.xxx

        rightca="C=MX,S=JAL,L=GDL,O=empresa,OU=bu,

                 CN=Empresa,E=Email correspondiente"

        network=auto

        auto=start

        pfs=yes


mi problema es como crear del lado del asa 5510 la vpn ipsec para que se conecte con el otro lado que es el firewall en linux, si me pudieran ayudar por favor, muchas gracias.

Correct Answer by Julio Carvajal about hace 4 años 1 mes

Buenas Oscar,


Con esa informacion no te podemos ayudar,


Haria falta saber,


Cual es la IP remota del otro lado (Linux Firewall), que mecanismos de encryptacion, authenticacion, Hash, Diffie-hellman utilizan para Isakmp,

Para IPSec que mecanismos de encryptacion y authenticacion usan, Etc,


Espero que haya ayudado


Remember to rate all of the helpful posts.

For this community that's as important as a thanks.

Loading.
Correct Answer
Julio Carvajal Mar, 07/02/2013 - 22:04
User Badges:
  • Purple, 4500 points or more

Buenas Oscar,


Con esa informacion no te podemos ayudar,


Haria falta saber,


Cual es la IP remota del otro lado (Linux Firewall), que mecanismos de encryptacion, authenticacion, Hash, Diffie-hellman utilizan para Isakmp,

Para IPSec que mecanismos de encryptacion y authenticacion usan, Etc,


Espero que haya ayudado


Remember to rate all of the helpful posts.

For this community that's as important as a thanks.

oquevedo3mb Vie, 07/26/2013 - 09:53
User Badges:

muchas gracias por tu ayuda y perdona la tardansa.


las encriptaciones como tal me dijo el propietario del Firewall en Linux, no las tenia en mano, pero se opto mejor por cambiar ese firewall para meter otro cisco asa del mismo modelo.


pero ahora tengo otra dua con respecto a una de las configuraciones de ese sitio:


aver si me puedes ayudar o posteo otro tema, lo que pasa en ese sitio es que tienen un pool de ip 5 ips publicas, por donde tienen publicados varios servicios y servidores hacia internet, por lo que realize una configuracion seguiendo manuales y mi conocimiento sobre el tema ya que no soy ningun experto, como habia leido eso se hacia atravez de NAT estatico hacia cada una de las ip publicas, lo cual lo realize pero al momento de probar no me funcionan las demas direcciones, solamente una responde la cual es la que esta conectada el cable de red Outside.


me podrian ayudar a decirme que es lo que hace falta para que las demas ip respondan a las peticiones desde afuera de mi oficina.


esta es la configuracion.


: Saved

:

ASA Version 8.2(1)

!

hostname Site


names

name 192.168.220.26 Server_Xen_3mb

name 192.168.220.15 Xen_App_QTP

name 192.168.220.39 Xen_App_SIAC

!

interface Ethernet0/0

nameif wan

security-level 0

ip address 192.168.11.2 255.255.255.0

!

interface Ethernet0/1

nameif lan

security-level 100

ip address 192.168.220.9 255.255.255.0

!

interface Ethernet0/2

shutdown

no nameif

no security-level

no ip address

!

interface Ethernet0/3

shutdown

no nameif

no security-level

no ip address

!

interface Management0/0

nameif management

security-level 100

ip address 192.168.1.1 255.255.255.0

management-only

!

ftp mode passive

clock timezone CST -6

clock summer-time CDT recurring 1 Sun Apr 2:00 last Sun Oct 2:00

dns domain-lookup wan

dns server-group DNS_LAN

name-server 192.168.220.4

name-server 192.168.220.9

dns server-group DefaultDNS

name-server 200.56.224.11

name-server 200.56.233.11

object-group service Xen_App tcp

port-object eq 2598

port-object eq 3389

port-object eq 82

port-object eq citrix-ica

object-group service xen_app_SIAC tcp

port-object eq 1495

port-object eq 82

access-list wan_11_2 extended permit tcp any interface wan object-group Xen_App

access-list wan_access_in extended permit tcp any interface wan object-group Xen_App

access-list wan_access_in extended permit tcp any host 192.168.11.8 object-group Xen_App

access-list wan_access_in extended permit tcp any host 192.168.11.5 object-group xen_app_SIAC

pager lines 24

logging asdm informational

mtu wan 1500

mtu lan 1500

mtu management 1500

no failover

icmp unreachable rate-limit 1 burst-size 1

no asdm history enable

arp timeout 14400

global (wan) 1 interface

nat (lan) 1 0.0.0.0 0.0.0.0

static (lan,wan) tcp interface 82 Server_Xen_3mb www netmask 255.255.255.255

static (lan,wan) tcp interface 3389 Server_Xen_3mb 3389 netmask 255.255.255.255

static (lan,wan) tcp interface 2598 Server_Xen_3mb 2598 netmask 255.255.255.255

static (lan,wan) tcp 192.168.11.8 82 Xen_App_QTP www netmask 255.255.255.255

static (lan,wan) tcp 192.168.11.8 3389 Xen_App_QTP 3389 netmask 255.255.255.255

static (lan,wan) tcp 192.168.11.5 82 Xen_App_SIAC www netmask 255.255.255.255

static (lan,wan) tcp 192.168.11.5 1495 Xen_App_SIAC citrix-ica netmask 255.255.255.255

static (lan,wan) tcp 192.168.11.8 2598 Xen_App_QTP 2598 netmask 255.255.255.255

static (lan,wan) tcp 192.168.11.8 citrix-ica Xen_App_QTP citrix-ica netmask 255.255.255.255

static (lan,wan) tcp interface citrix-ica Server_Xen_3mb citrix-ica netmask 255.255.255.255

access-group wan_access_in in interface wan

route wan 0.0.0.0 0.0.0.0 192.168.11.1 1

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02

timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00

timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00

timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute

timeout tcp-proxy-reassembly 0:01:00

dynamic-access-policy-record DfltAccessPolicy

aaa authentication ssh console LOCAL

http server enable

http 192.168.1.0 255.255.255.0 management

http 192.168.220.0 255.255.255.255 lan

no snmp-server location

no snmp-server contact

snmp-server enable traps snmp authentication linkup linkdown coldstart

crypto ipsec security-association lifetime seconds 28800

crypto ipsec security-association lifetime kilobytes 4608000

telnet timeout 5

ssh 192.168.11.0 255.255.255.0 wan

ssh timeout 5

ssh version 2

console timeout 0

dhcpd address 192.168.1.2-192.168.1.254 management

dhcpd enable management

!

threat-detection basic-threat

threat-detection statistics access-list

no threat-detection statistics tcp-intercept

webvpn

username root password xC3J10p4jQdnEqWE encrypted

!

class-map global-class

match default-inspection-traffic

!

!

policy-map type inspect dns preset_dns_map

parameters

  message-length maximum 512

policy-map global-policy

class global-class

  inspect dns preset_dns_map

  inspect esmtp

  inspect ftp

  inspect h323 h225

  inspect h323 ras

  inspect icmp

  inspect netbios

  inspect rsh

  inspect rtsp

  inspect sip

  inspect skinny

  inspect sqlnet

  inspect sunrpc

  inspect tftp

  inspect xdmcp

!

service-policy global-policy global

prompt hostname context

Cryptochecksum:6c787bdcae896d2dacc623824f5634e7

: end


Agradesco su Ayuda.

Julio Carvajal Vie, 07/26/2013 - 17:51
User Badges:
  • Purple, 4500 points or more

Buenas Oscar,


La configuracion esta bien, parece un problema de ARP.


Solucion:

Es posible que el ISP meta entradas estaticas hacia esas ips apuntando a la mac de la interface del outside del asa?

Si la respuesta es si ve por ello,




Saludos



For Networking Posts check my blog at http://www.laguiadelnetworking.com/category/english/



Julio Carvajal Segura