Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 4623 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site to Site with Cisco Group VPN

DavidRa
Can anyone point me to instructions for configuring a site to site VPN between a UTM (9.2) and an old-style Cisco VPN concentrator? The PIX firewalls called it "Easy VPN Remote" from what I've read, and the destructions for the 857 sort of indicate it's an IPSec 3DES+MD5 config.

Basically the credentials the customer has are a group name and password as well as a username and password. Under the hood I'm given to understand it's IPSec as above, so I'm hoping there is a possibility it will work.

There are instructions for configuring various Cisco devices here, if that helps anyone understand what I'm talking about - heck I'm not sure I understand myself!

Short version though is I can't see how to apply that group and user info to a Sophos UTM site to site VPN configuration. Any assistance (incl "you can't do that, boy") would be appreciated.


This thread was automatically locked due to age.
Parents
  • 0
    Thanks for the offer, BAlfson. Here's a heavily redacted, but consistent (e.g. {E} is always the same number) partial configuration from the customer's working Cisco.

    !
    crypto isakmp policy 10
    encr 3des
    hash md5
    authentication pre-share
    group 2
    !
    crypto isakmp policy 20
    hash md5
    authentication pre-share
    group 2
    crypto isakmp key PASSWORD1 address 202.{A}.{B}.137 no-xauth
    crypto isakmp key PASSWORD2 address 202.{C}.{D}.190 no-xauth
    crypto isakmp keepalive 30 5
    !
    !
    crypto ipsec transform-set baistransform esp-des esp-md5-hmac
    crypto ipsec transform-set high-encr-transform esp-3des esp-md5-hmac
    !
    crypto map cryptopeer 10 ipsec-isakmp
    description BAIS VPN
    set peer 202.{C}.{D}.190
    set transform-set baistransform
    match address 112
    crypto map cryptopeer 20 ipsec-isakmp
    description Sunrise VPN
    set peer 202.{A}.{B}.137
    set transform-set high-encr-transform
    match address 122
    !
    interface Loopback0
    ip address 172.{E}.{F}.9 255.255.255.255
    !
    interface Loopback1
    ip address 172.{G}.{H}.69 255.255.255.255
    !
    interface Vlan1
    description LAN
    ip address 172.{E}.{J}.254 255.255.255.0
    ip nat inside
    ip virtual-reassembly
    !
    interface Dialer0
    description Internet Network
    ip address negotiated
    ip nat outside
    ip virtual-reassembly
    crypto map cryptopeer
    !
    ip nat inside source route-map baisnat interface Loopback0 overload
    ip nat inside source route-map insnetnat interface Loopback1 overload
    ip nat inside source route-map internetnat interface Dialer0 overload
    !
    access-list 23 remark Permit vty access from NPH and LAN only
    access-list 23 permit 202.{R}.{S}.130
    access-list 23 permit 172.{E}.{J}.0 0.0.0.255
    access-list 23 permit 202.{K}.{L}.0 0.0.0.127
    access-list 101 remark Internet traffic overload on Dialer0
    access-list 101 deny   ip 172.{E}.{J}.0 0.0.0.255 10.{M}.0.0 0.0.255.255
    access-list 101 deny   ip 172.{E}.{J}.0 0.0.0.255 172.{N}.{O}.0 0.0.0.255
    access-list 101 deny   ip 172.{E}.{J}.0 0.0.0.255 192.{P}.{Q}.0 0.0.0.255
    access-list 101 permit ip 172.{E}.{J}.0 0.0.0.255 any
    access-list 111 remark BAIS traffic overload on Loopback0
    access-list 111 permit ip 172.{E}.{J}.0 0.0.0.255 192.{P}.{Q}.0 0.0.0.255
    access-list 112 remark BAIS Peer Crypto Access List
    access-list 112 permit ip host 172.E.F.9 192.{P}.{Q}.0 0.0.0.255
    access-list 121 remark Insnet traffic overload on Loopback1
    access-list 121 permit ip 172.{E}.{J}.0 0.0.0.255 10.{M}.0.0 0.0.255.255
    access-list 121 permit ip 172.{E}.{J}.0 0.0.0.255 172.{N}.{O}.0 0.0.0.255
    access-list 122 remark Insnet Peer Crypto Access List
    access-list 122 permit ip host 172.{G}.{H}.69 10.{M}.0.0 0.0.255.255
    access-list 122 permit ip host 172.{G}.{H}.69 172.{N}.{O}.0 0.0.0.255
    no cdp run
    !
    route-map internetnat permit 3
    match ip address 101
    !
    route-map baisnat permit 1
    match ip address 111
    !
    route-map insnetnat permit 2
    match ip address 121
    !
    !
    end
    If there looks to be anything missing (I was quite brutal in my slashing and burning of the "secrets" in the config) please let me know.
Reply
  • 0
    Thanks for the offer, BAlfson. Here's a heavily redacted, but consistent (e.g. {E} is always the same number) partial configuration from the customer's working Cisco.

    !
    crypto isakmp policy 10
    encr 3des
    hash md5
    authentication pre-share
    group 2
    !
    crypto isakmp policy 20
    hash md5
    authentication pre-share
    group 2
    crypto isakmp key PASSWORD1 address 202.{A}.{B}.137 no-xauth
    crypto isakmp key PASSWORD2 address 202.{C}.{D}.190 no-xauth
    crypto isakmp keepalive 30 5
    !
    !
    crypto ipsec transform-set baistransform esp-des esp-md5-hmac
    crypto ipsec transform-set high-encr-transform esp-3des esp-md5-hmac
    !
    crypto map cryptopeer 10 ipsec-isakmp
    description BAIS VPN
    set peer 202.{C}.{D}.190
    set transform-set baistransform
    match address 112
    crypto map cryptopeer 20 ipsec-isakmp
    description Sunrise VPN
    set peer 202.{A}.{B}.137
    set transform-set high-encr-transform
    match address 122
    !
    interface Loopback0
    ip address 172.{E}.{F}.9 255.255.255.255
    !
    interface Loopback1
    ip address 172.{G}.{H}.69 255.255.255.255
    !
    interface Vlan1
    description LAN
    ip address 172.{E}.{J}.254 255.255.255.0
    ip nat inside
    ip virtual-reassembly
    !
    interface Dialer0
    description Internet Network
    ip address negotiated
    ip nat outside
    ip virtual-reassembly
    crypto map cryptopeer
    !
    ip nat inside source route-map baisnat interface Loopback0 overload
    ip nat inside source route-map insnetnat interface Loopback1 overload
    ip nat inside source route-map internetnat interface Dialer0 overload
    !
    access-list 23 remark Permit vty access from NPH and LAN only
    access-list 23 permit 202.{R}.{S}.130
    access-list 23 permit 172.{E}.{J}.0 0.0.0.255
    access-list 23 permit 202.{K}.{L}.0 0.0.0.127
    access-list 101 remark Internet traffic overload on Dialer0
    access-list 101 deny   ip 172.{E}.{J}.0 0.0.0.255 10.{M}.0.0 0.0.255.255
    access-list 101 deny   ip 172.{E}.{J}.0 0.0.0.255 172.{N}.{O}.0 0.0.0.255
    access-list 101 deny   ip 172.{E}.{J}.0 0.0.0.255 192.{P}.{Q}.0 0.0.0.255
    access-list 101 permit ip 172.{E}.{J}.0 0.0.0.255 any
    access-list 111 remark BAIS traffic overload on Loopback0
    access-list 111 permit ip 172.{E}.{J}.0 0.0.0.255 192.{P}.{Q}.0 0.0.0.255
    access-list 112 remark BAIS Peer Crypto Access List
    access-list 112 permit ip host 172.E.F.9 192.{P}.{Q}.0 0.0.0.255
    access-list 121 remark Insnet traffic overload on Loopback1
    access-list 121 permit ip 172.{E}.{J}.0 0.0.0.255 10.{M}.0.0 0.0.255.255
    access-list 121 permit ip 172.{E}.{J}.0 0.0.0.255 172.{N}.{O}.0 0.0.0.255
    access-list 122 remark Insnet Peer Crypto Access List
    access-list 122 permit ip host 172.{G}.{H}.69 10.{M}.0.0 0.0.255.255
    access-list 122 permit ip host 172.{G}.{H}.69 172.{N}.{O}.0 0.0.0.255
    no cdp run
    !
    route-map internetnat permit 3
    match ip address 101
    !
    route-map baisnat permit 1
    match ip address 111
    !
    route-map insnetnat permit 2
    match ip address 121
    !
    !
    end
    If there looks to be anything missing (I was quite brutal in my slashing and burning of the "secrets" in the config) please let me know.
Children
No Data
Unfiltered HTML