In diesem Artikel beschreibe ich die Einrichtung einer Standort-zu-Standort VPN Verbindung mit IPSEC zwischen einem ISA Server 2006 Standard (Beta) und einer Cisco PIX 501.

Dieser Artikel basiert auf einer englischsprachigen Beta von ISA Server 2006, kann aber auch ohne Änderungen auf eine ISA Server 2004 Konfiguration angewendet werden.

Die Konfiguration für diesen Artikel sieht wie folgt aus:

ISA Server 2006 Konfiguration

Beginnen Sie die Konfiguration auf der ISA Server Seite. Starten Sie die ISA Server 2006-Verwaltungskonsole und navigieren zu "Virtual Private Networks (VPN)" und dann zur Registerkarte "Remote Sites".

Erstellen Sie jetzt ein neues Site-To-Site Netzwerk und vergeben Sie einen sprechenden Namen für das Netzwerk.

Das zu verwendende VPN-Protokoll ist IPSEC.

Die IP-Adresse des Remote VPN Gatewy ist die IP-Adresse 192.168.5.1 (externes Interface der Cisco PIX 501).
Die lokale VPN Gateway IP-Adresse ist die 192.168.5.100 (externes Interface vom ISA Server 2006).

Als Authentifizierungsmethode wird ein PreSharedKey verwendet. Verwenden Sie im Produktiveinsatz nicht diesen einfachen PreShared Key, sondern einen mindestens 22 Zeichen langen, komplexen und nach dem Zufallsprinzip generierten PreShared Key.

Als nächstes geben Sie den IP-Adressbereich des Netzwerkes hinter der Cisco PIX 501 an.

Überprüfen Sie noch einmal die Einstellungen des Assistenten und bestätigen dann die Erstellung des Remote Site to Site Netzwerkes.

Übernehmen Sie die Konfigurationsänderung indem Sie auf die Schaltfläche "Apply" klicken.

Im Aufgabenbereich der ISA Server 2006-Verwaltungskonsole können Sie auf "View IPSEC Policy" klicken um sich über die Konfiguration der IPSEC Phase I und Phase II zu informieren. Sie werden hier später noch eine Änderung vornehmen müssen.

IPSEC Phase I und Phase II Einstellungen

Der nächste Schritt ist die Erstellung einer Netzwerkregel zur Kommunikation zwischen Cisco PIX 501 und ISA Server 2006. Vergeben Sie einen sprechenden Namen für die Netzwerkregel.

Quelle ist INTERNAL, also das Netzwerk hinter ISA Server 2006.

Ziel ist das von dem Site-to-Site Wizard erstellte Netzwerk hinter der Cisco Pix.

Wählen Sie als Netzwerkverhältnis "Route" aus.

Lesen Sie die Zusammenfassung des Assistenten.

Übernehmen Sie die Konfigurationsänderung indem Sie auf die Schaltfläche "Apply" klicken.

Erstellen Sie eine Zugriffsregel welche den Zugriff aus dem internen Netzwerk zum Cisco PIX Netzwerk erlaubt. Da diese Zugriffregel nur in eine Richtung funktioniert, müssen Sie eine zweite Zugriffsregel erstellen, welche den Zugriff vom Cisco PIX Netzwerk zum ISA Server 2006 Netzwerk erlaubt.

Je nach Vertrauensverhältnis zwischen den beiden Netzwerken, erwägen Sie ein restriktiveres Zugriffsregelwerk.

Informationen zur Erstellung von Zugriffsregeln erhalten Sie hier.

Damit sind die Arbeiten auf ISA Server Seite (erst einmal) abgeschlossen. Sie müssen jetzt die Cisco PIX Seite konfigurieren.

Cisco PIX 501 Konfiguration

Starten Sie den Cisco PIX Device Manager.

Klicken Sie dann in der Menüleiste auf "Wizards" und wählen dort den "VPN Wizard" aus.

Die Art des VPN ist Site to Site. Das Interface ist "Outside" (das externe Interface bei Cisco PIX heißt "Outside", dass interne Interface "Inside").

Die Peer IP Adresse ist die 192.168.5.100 (die IP Adresse des externen Interface von ISA Server 2006). Geben Sie den gleichen PreShared Key wie bei auf der ISA Server Seite an.

Ändern Sie die IKE Policy bei "Authentication" von MD5 auf SHA.

Ändern Sie auch hier die "Authentication" auf SHA.

Auf der folgenden Konfigurationsseite geben Sie die den Netzwerkbereich hinter der Cisco PIX an und fügen den IP Adressbereich dann der Selektion hinzu.

Jetzt müssen Sie den IP-Adressbereich des Netzwerkes hinter dem ISA Server 2006 angeben. Füge Sie den IP Adressbereich der Selektion hinzu.

Bei der ersten Ausführug des VPN Wizard im PDM wird ein entsprechendes Netzwerkobjekt erstellt. Bestätigen Sie die Meldung mit "OK".

Geben Sie jetzt einen aussagekräftigen Namen für das Remote Netzwerk an.

Erstellen Sie als nächstes eine statische Route, damit die Cisco Pix das Remote Netzwerk hinter ISA Server 2006 erreichen kann. Die Gateway IP-Adresse ist die externe IP-Adresse des ISA Server 2006.

Die folgende Meldung das VPN-Wizard können Sie ignorieren und durch Klicken der Schaltfläche "Finish" beenden.

Klicken Sie auf die Schaltfläche "Finish".

Vergessen Sie nicht, nach abschließender Konfiguration der Standort-zu-Standort VPN Verbindung die Konfiguration zu speichern.

Die Konfiguration der Site to Site Verbindung an der Cisco PIX ist damit auch abgeschlossen. Zum Abschluss müssen Sie jetzt nur noch auf ISA und PIX Seite einige IPSEC-Einstellungen verändern, damit beide Gateways miteinander kommunizieren kann.

Notwendige Änderungen auf PIX Seite:

Main Mode (IKE) = IKE SA Lifetime auf 28.800 ändern
Quick Mode (IPSEC) = PFS aktivieren, SA Lifetime und Datenmenge ändern

Klicken Sie dazu im PDM auf "Configuration" - "IPSEC" - "Tunnel Policy" und editieren die vorhandene Policy

Tunnel Policy (IPSEC) vorher

Tunnel Policy (IPSEC) nachher

Nehmen Sie folgende Änderungen vor:
SA Lifetime = 100000 Kilobytes
SA Lifetime = 01 00 00 Stunden
Enable Perfect Forwarding Secrecy aktivieren

Nehmen Sie dann noch in den IKE Policies eine Lifetime Änderung vor.

IKE Policy vorher

IKE Policy nachher

Nehmen Sie folgende Änderung vor:
Lifetime = 28800 seconds

Änderungen auf ISA Server Seite

Zum Schluss müssen Sie noch eine Änderungen auf ISA Server 2006 Seite vornehmen. Um die Phase II IPSEC Einstellungen auf beiden Systemen abzugleichen, müssen Sie in der ISA Server 2006-Verwaltungskonsole unter den "Session Key settings" noch festlegen, dass alle 100000 Bytes KBytes ein neuer Schlüssel generiert wird.

Navigieren Sie dazu zum Knoten "Virtual Private Networks (VPN)" und klicken dann im Aufgabenbereich auf "Remote Sites" und editieren die vorhandene Site to Site Verbindung mit dem Namen "PIXNET". Klicken Sie dann auf die Registerkarte "Connections" und dort auf die Registerkarte "Phase II" und nehmen die entsprechende Einstellung vor.

Übernehmen Sie die Konfigurationsänderung indem Sie auf die Schaltfläche "Apply" klicken.

Verbindungstest

Testen Sie jetzt die Standort-zu-Standort Verbindung von beiden Windows XP Maschinen mit einem Ping. Die Verbindung sollte erfolgreich hergestellt werden.

Stand: Friday, 28. August 2009/MG. - http://www.it-training-grote.de