Configuration de base d'un Cisco Pix

From Deimos.fr / Bloc Notes Informatique
Jump to: navigation, search

1 Les Bases du Cisco

1.1 Introduction

En graphique c'est pas bien sorcié, mais en ligne de commande ouille ouille ouille maman, le Pix(ou ;-)) est chaud à configurer !

C'est du Cisco, donc c'est des commandes propriétaires mais avec un brin d'Unix. Par exemple la commande grep fonctionne :-)

Allez, c'est parti. Connexion et demande de mot de passe.

1.2 Les bases

  • Passons en mode enable pour avoir la partie admin :
en
  • Ensuite un show running-config pour voir la configuration en cours :
sh run
  • Une fois que l'on a vu et que l'on est décidé à rajouter quelquechose, on fait un configure terminal :
conf t
  • Pour quitter le mode en cours, c'est :
Ctrl+z ou exit
  • On est sûr de soit ? Alors on enregistre dans la mémoire (write memory):
wr m

1.3 Commandes d'ajout et suppression

  • Pour ajouter une régle nat par exemple, reprenez les autres lignes existantes, puis copier / coller :
static (dmz,outside) tcp 193.252.19.3 2099 SRV-FRONT 2099 netmask 255.255.255.255 0 0
  • Pour Suprrimer celle-ci :
no static (dmz,outside) tcp 193.252.19.3 2099 SRV-FRONT 2099 netmask 255.255.255.255 0 0

1.4 Ajouter un User Admin

Pour ajouter une personne admin du Cisco : 

username login password pass privilege 15

1.5 Créer un Pool d'adresse pour le client

Voici un exemple de création d'un pool d'adresses pour un accès client : 

name IP_DU_CLIENT VANLANSCHOT_TEST
name IP_DU_CLIENT VANLANSCHOT_PROD
object-group network VANLANSCHOT_RANGE
 network-object VANLANSCHOT_TEST 255.255.255.255
 network-object VANLANSCHOT_PROD 255.255.255.255
access-list radianz_access_in permit tcp object-group VANLANSCHOT_RANGE host IP_SERVER_LOCAL eq 9024
pdm location VANLANSCHOT_TEST 255.255.255.255 radianz
pdm location VANLANSCHOT_PROD 255.255.255.255 radianz
route radianz VANLANSCHOT_TEST 255.255.255.255 IP_PASSERELLE 1
route radianz VANLANSCHOT_PROD 255.255.255.255 IP_PASSERELLE 1

2 Le VPN

2.1 Introduction

Pour créer un VPN, il faut :

  • L'IP distante de la personne ainsi que son adresse IP locale/réseau local par laquelle il se connectera.
  • Demande à la personne si elle veut le système de clé partagée (pre-shared key) ?
  • Donne ce type d'encryption : DES-MD5 - Group 2

2.2 Création

# Access List
# Mettre les IP locales du client
access-list inside_outbound_nat0_acl permit ip host OUR_LOCAL_IP host CLIENT_LOCAL_IP
access-list outside_cryptomap_240 permit ip host OUR_LOCAL_IP host CLIENT_LOCAL_IP

# IPSec Encryption
#crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac 
 
# Crypto Map Configuration 
# This is the line that reads the policy
# Voir si 240 existe, sinon mettre +
crypto map outside_map 240 ipsec-isakmp
crypto map outside_map 240 match address outside_cryptomap_240
#crypto map outside_map 240 set pfs group2
crypto map outside_map 240 set peer IP_ROUTEUR_CLIENT
crypto map outside_map 240 set transform-set ESP-3DES-MD5
#crypto map outside_map 240 set security-association lifetime seconds 86400 kilobytes 10000
#crypto map outside_map interface outside

# ISAKMP Pre-Shared Key
# Mettre la clef partagée ici
#isakmp enable outside
isakmp key PRE-SHARED KEY address IP_ROUTEUR_CLIENT netmask 255.255.255.255 no-xauth no-config-mode 
#isakmp identity address

# ISAKMP Encryption
# A rajouter si inexistant
isakmp policy 160 authentication pre-share
isakmp policy 160 encryption 3des
isakmp policy 160 hash md5
isakmp policy 160 group 2
isakmp policy 160 lifetime 86400

Dans le cas où il y a conflit entre les réseaux il peut être nécessaire de NATer notre réseau. Pour cela, ne pas créer l'access-list inside_outbound_nat0_acl mais ajouter les lignes suivantes : 

access-list nat_to_customer permit ip host OUR_LOCAL_IP host CLIENT_LOCAL_IP
static (inside,outside) OUR_NATED_IP access-list nat_to_customer 0 0

2.3 Activer le debug pour le VPN

debug crypto isakmp

debug crypto ipsec

Ajouter " 2 " en fin de ligne pour augmenter le niveau de debug

Attention, il faut veiller à désactiver le mode debug qui prend des ressources. 

no debug crypto isakmp

no debug crypto ipsec

2.4 Fermer une connexion VPN

Entrer dans le mode configuration et exécuter la commande suivante : 

clear crypto sa peer ip_address_of_the_remote_host
Retrieved from "https://wiki.deimos.fr/index.php?title=Configuration_de_base_d%27un_Cisco_Pix&oldid=2501"