[cisco-ttl] bir cisco pix sorusu

From: YAVUZ TEMIZKAN (ytemizkan_at_inteltek.com.tr)
Date: Fri Nov 05 2004 - 10:10:27 GMT

  • Next message: Ozgur Guler: "Re: [cisco-ttl] bir cisco pix sorusu"

     

             Merhaba,
             
            Bir pix'te aynı interfaceden 2 ayrı tünel kurabiliyor muyuz? cisco.com sayfasını check ettim ve örnek bir konf. buldum ve bunu fw'umuza uyguladım.
             
            crypto ipsec transform-set aaa esp-des esp-md5-hmac
            crypto ipsec transform-set bbb esp-des esp-md5-hmac
            crypto map bbbrules 10 ipsec-isakmp
            crypto map bbbrules 10 match address 101
            crypto map bbbrules 10 set pfs group2
            crypto map bbbrules 10 set peer xxx.xxx.xxx.xxx
            crypto map bbbrules 10 set transform-set aaa
            crypto map bbbrules 30 ipsec-isakmp
            crypto map bbbrules 30 match address 130
            crypto map bbbrules 30 set peer yyy.yyy.yyy.yyy
            crypto map bbbrules 30 set transform-set bbb
            crypto map bbbrules interface outside
             
            Ancak bu konf'u yaptıktan sonra 10 no'lu yüksek privilege'li vpn çalışmaya devam etti ancak diğerini çalıştıramadık. Dahası makineyi restart ettiğimizde bu sefer ilk vpn de down oldu. 2. vpn ile ilgili tanımları silince düzeldi..
            karşıdaki cihaz Checkpoint bir FW. Aynı interfaceden tünel kurarken transform-set'lerin farklı mı olması gerekir?
             
            pix'in sh ver çıktısını da veriyorum:
             
            EApixAnkara# sh ver

            Cisco PIX Firewall Version 6.3(1)

            Cisco PIX Device Manager Version 3.0(1)

            

            Compiled on Wed 19-Mar-03 11:49 by morlee

            EApixAnkara up 42 mins 39 secs

            

            Hardware: PIX-515E, 64 MB RAM, CPU Pentium II 433 MHz

            Flash E28F128J3 @ 0x300, 16MB

            BIOS Flash AM29F400B @ 0xfffd8000, 32KB

            Encryption hardware device : IRE2141 with 2048KB, HW:1.0, CGXROM:1.9, FW:6.5

            0: ethernet0: address is 000d.bd3c.035f, irq 10

            1: ethernet1: address is 000d.bd3c.0360, irq 11

            2: ethernet2: address is 0005.5d18.37dc, irq 11

            3: ethernet3: address is 0005.5d18.37dd, irq 10

            4: ethernet4: address is 0005.5d18.37de, irq 9

            5: ethernet5: address is 0005.5d18.37df, irq 5

            Licensed Features:

            Failover: Enabled

            VPN-DES: Enabled

            VPN-3DES-AES: Disabled

            Maximum Interfaces: 6

            Cut-through Proxy: Enabled

            Guards: Enabled

            URL-filtering: Enabled

            Inside Hosts: Unlimited

            Throughput: Unlimited

             IKE peers: Unlimited

             This PIX has an Unrestricted (UR) license.

             Serial Number: 807320295 (0x301ebae7)

            Configuration last modified by enable_15 at 12:53:09.597 Turkey Fri Nov 5 2004

             

             

             
             



    This archive was generated by hypermail 2.1.5 : Fri Nov 05 2004 - 14:11:35 GMT