Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 4620 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site to Site with Cisco Group VPN

DavidRa
Can anyone point me to instructions for configuring a site to site VPN between a UTM (9.2) and an old-style Cisco VPN concentrator? The PIX firewalls called it "Easy VPN Remote" from what I've read, and the destructions for the 857 sort of indicate it's an IPSec 3DES+MD5 config.

Basically the credentials the customer has are a group name and password as well as a username and password. Under the hood I'm given to understand it's IPSec as above, so I'm hoping there is a possibility it will work.

There are instructions for configuring various Cisco devices here, if that helps anyone understand what I'm talking about - heck I'm not sure I understand myself!

Short version though is I can't see how to apply that group and user info to a Sophos UTM site to site VPN configuration. Any assistance (incl "you can't do that, boy") would be appreciated.


This thread was automatically locked due to age.
  • 0
    This sounds like it might call for you to configure the 'Cisco™ VPN Client' in 'Remote Access'.  Any luck with that?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    David I've been wondering the same thing myself.  From what I can tell theres no way to do Cisco md5-3des group VPN with Cisco and UTM.   The UTM Cisco VPN Client is UTM inbound functionality that doesn't support group based VPN with "Crisco"..  I'd love to know how to do it because I'd really like to drop the UTM in place at several of my clients with configured Group Based VPN's and not have to reconfigure the ASA's..  looks to be not happenin' tho...
  • 0
    TheEther, can you post a sample of the VPN configuration on the Cisco side?  Instead of completely blanking them, please obfuscate the IPs and domains like 123.x.y.13, 10.x.y.1 and domain.com.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Thanks for the offer, BAlfson. Here's a heavily redacted, but consistent (e.g. {E} is always the same number) partial configuration from the customer's working Cisco.

    !
    crypto isakmp policy 10
    encr 3des
    hash md5
    authentication pre-share
    group 2
    !
    crypto isakmp policy 20
    hash md5
    authentication pre-share
    group 2
    crypto isakmp key PASSWORD1 address 202.{A}.{B}.137 no-xauth
    crypto isakmp key PASSWORD2 address 202.{C}.{D}.190 no-xauth
    crypto isakmp keepalive 30 5
    !
    !
    crypto ipsec transform-set baistransform esp-des esp-md5-hmac
    crypto ipsec transform-set high-encr-transform esp-3des esp-md5-hmac
    !
    crypto map cryptopeer 10 ipsec-isakmp
    description BAIS VPN
    set peer 202.{C}.{D}.190
    set transform-set baistransform
    match address 112
    crypto map cryptopeer 20 ipsec-isakmp
    description Sunrise VPN
    set peer 202.{A}.{B}.137
    set transform-set high-encr-transform
    match address 122
    !
    interface Loopback0
    ip address 172.{E}.{F}.9 255.255.255.255
    !
    interface Loopback1
    ip address 172.{G}.{H}.69 255.255.255.255
    !
    interface Vlan1
    description LAN
    ip address 172.{E}.{J}.254 255.255.255.0
    ip nat inside
    ip virtual-reassembly
    !
    interface Dialer0
    description Internet Network
    ip address negotiated
    ip nat outside
    ip virtual-reassembly
    crypto map cryptopeer
    !
    ip nat inside source route-map baisnat interface Loopback0 overload
    ip nat inside source route-map insnetnat interface Loopback1 overload
    ip nat inside source route-map internetnat interface Dialer0 overload
    !
    access-list 23 remark Permit vty access from NPH and LAN only
    access-list 23 permit 202.{R}.{S}.130
    access-list 23 permit 172.{E}.{J}.0 0.0.0.255
    access-list 23 permit 202.{K}.{L}.0 0.0.0.127
    access-list 101 remark Internet traffic overload on Dialer0
    access-list 101 deny   ip 172.{E}.{J}.0 0.0.0.255 10.{M}.0.0 0.0.255.255
    access-list 101 deny   ip 172.{E}.{J}.0 0.0.0.255 172.{N}.{O}.0 0.0.0.255
    access-list 101 deny   ip 172.{E}.{J}.0 0.0.0.255 192.{P}.{Q}.0 0.0.0.255
    access-list 101 permit ip 172.{E}.{J}.0 0.0.0.255 any
    access-list 111 remark BAIS traffic overload on Loopback0
    access-list 111 permit ip 172.{E}.{J}.0 0.0.0.255 192.{P}.{Q}.0 0.0.0.255
    access-list 112 remark BAIS Peer Crypto Access List
    access-list 112 permit ip host 172.E.F.9 192.{P}.{Q}.0 0.0.0.255
    access-list 121 remark Insnet traffic overload on Loopback1
    access-list 121 permit ip 172.{E}.{J}.0 0.0.0.255 10.{M}.0.0 0.0.255.255
    access-list 121 permit ip 172.{E}.{J}.0 0.0.0.255 172.{N}.{O}.0 0.0.0.255
    access-list 122 remark Insnet Peer Crypto Access List
    access-list 122 permit ip host 172.{G}.{H}.69 10.{M}.0.0 0.0.255.255
    access-list 122 permit ip host 172.{G}.{H}.69 172.{N}.{O}.0 0.0.0.255
    no cdp run
    !
    route-map internetnat permit 3
    match ip address 101
    !
    route-map baisnat permit 1
    match ip address 111
    !
    route-map insnetnat permit 2
    match ip address 121
    !
    !
    end
    If there looks to be anything missing (I was quite brutal in my slashing and burning of the "secrets" in the config) please let me know.
  • 0
    I think the issue is selecting the XUATH Client mode in the 'Advanced' section of the Remote Gateway definition.  Use the Group Password as the PSK, and the user credentials in XAUTH:



    I'm guessing that 86400 (1440 minutes in the Cisco) and "Group 2" are the changes needed to the default 3DES policy:



    Any luck with this approach?  If not, then try again with Dead Peer Detection disabled.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Will give it a shot (though it may not be for a week or two, the customer is attempting to procure a new link as well as a new UTM and router). Getting a test VPN for this provider is apparently impossible, which is really annoying.
Unfiltered HTML