Toon posts:

VOIP probleem met VPN (Cisco)

Pagina: 1
Acties:

woensdag 14 september 2005 10:03

Acties:

Verwijderd

Topicstarter
hallo iedereen,

Ik heb een probleem met onze VOIP centrale. We hebben hier een VOIP centrale (Swyxit) die we lokaal gebruiken, maar we hebben ook twee thuisgebruikers die via een VPN verbinding maken met de zaak en dan met de VOIP server.

Deze VPN wordt verzorgd door een Cisco PIX 506E. Nu gaat het mis als de twee thuisgebruikers elkaar bellen. Want dan krijgen ze geen spraak over de lijn. Ook kunnen ze elkaar niet pingen of wattan ook (kheb ff RDP geprobeerd maar dat werkt niet). De thuisgebruikers kunnen verder wel alles bereiken op het netwerk.

Ik denk dus dat de thuisgebruikers niet over de tunnel van een ander kunnen. Weet iemand hier iemand de oplossing voor??

Ik heb al zitten googelen en de site van Cisco afgezocht maar daar wordt ik niet veel wijzer van.

Alvast bedankt,

woensdag 14 september 2005 10:06

Acties:
  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 25-04 11:59

TrailBlazer

Karnemelk FTW

klinkt als een probleem met je firewall rules

woensdag 14 september 2005 10:07

Acties:

Verwijderd

Topicstarter
dat idee had ik ook, maar hoe los ik dit op?

Heb je anders me config nodig?

maandag 31 oktober 2005 14:49

Acties:

Verwijderd

Topicstarter
iemand nog suggesties??

maandag 31 oktober 2005 21:52

Acties:
  • MeatGrinder
  • Registratie: Juni 2000
  • Laatst online: 03-10-2025

MeatGrinder

Dit is een beperking van de PIX architectuur, inkomende verkeer op een bepaalde interface kan nooit via diezelfde interface weer naar buiten gerouteerd worden. Dat is echter wel wat je hier nodig hebt.

maandag 31 oktober 2005 23:56

Acties:

Verwijderd

Just curious, Kan iemand binnen het LAN wel naar 1 van de 2 vpn gebruikers "bellen" ?

dinsdag 1 november 2005 09:29

Acties:
  • teigetjuh
  • Registratie: September 2000
  • Niet online

teigetjuh

MeatGrinder schreef op maandag 31 oktober 2005 @ 21:52:
Dit is een beperking van de PIX architectuur, inkomende verkeer op een bepaalde interface kan nooit via diezelfde interface weer naar buiten gerouteerd worden. Dat is echter wel wat je hier nodig hebt.
VPN-tunnels worden als aparte interfaces gezien. Dit mag ds niet het probleem zijn. Hetzelfde verhaal gaat trouwens op voor VLAN's. De fysieke interface maakt dus niet uit, mocht je dat bedoelen...

Gaat pingen tussen 1 gebruiker en het kantoor wel? Als dat wel gaat, zou het handig zijn om een stuk relevante config te zien, firewall-rules en VPN-tunnels. Uiteraard wel ff de keys en ip-adressen weghalen.
Maken de gebruikers trouwens gebruik van 1 tunnel die ze delen? Of gebruiken ze twee tunnels met elk hun eigen ip-reeks?

dinsdag 1 november 2005 13:44

Acties:

Verwijderd

Topicstarter
alvast bedankt voor alle reactie.

"Just curious, Kan iemand binnen het LAN wel naar 1 van de 2 vpn gebruikers "bellen" ?"

Dit gaat wel goed.


Gaat pingen tussen 1 gebruiker en het kantoor wel?

Een thuis gebruiker kan inderdaad wel de server op kantoor pingen maar ik kan vanaf de server niet het ip die de remote client krijgt niet pingen.

dinsdag 1 november 2005 13:54

Acties:

Verwijderd

Topicstarter
Alvast bedankt voor alle reacties tot nu toe

Hierbij de config.

De ipaddressen heb ik veranderd dus de onderstaande kloppen niet. En ik heb zelf ook een beetje zitten spelen met dat ding dus het kan zijn dat er soms wat rare regels in staan.

PIX Version 6.3(3)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
access-list VODTEST_splitTunnelAcl permit ip 192.168.2.0 255.255.255.0 any
access-list inside_outbound_nat0_acl permit ip 192.168.2.0 255.255.255.0 192.168.1.128 255.255.255.128
access-list inside_outbound_nat0_acl permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.128
access-list outside_cryptomap_dyn_60 permit ip any 192.168.2.0 255.255.255.128
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside 10.0.0.181 255.0.0.0
ip address inside 192.168.2.254 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
ip local pool vodtest 192.168.2.50-192.168.2.75
pdm location 192.168.2.160 255.255.255.255 inside
pdm location 192.168.2.128 255.255.255.128 outside
pdm location 192.168.2.75 255.255.255.255 inside
pdm location 192.168.2.50 255.255.255.255 outside
pdm location 192.168.2.1 255.255.255.255 inside
pdm history enable
arp timeout 14400
global (outside) 10 10.0.0.182-10.0.0.188 netmask 255.0.0.0
nat (inside) 0 access-list inside_outbound_nat0_acl
nat (inside) 10 0.0.0.0 0.0.0.0 0 0
route outside 0.0.0.0 0.0.0.0 10.0.0.180 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-MD5
crypto dynamic-map outside_dyn_map 40 set transform-set ESP-3DES-MD5
crypto dynamic-map outside_dyn_map 60 match address outside_cryptomap_dyn_60
crypto dynamic-map outside_dyn_map 60 set transform-set ESP-3DES-MD5
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map interface outside
isakmp enable outside
isakmp nat-traversal 20
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption 3des
isakmp policy 20 hash md5
isakmp policy 20 group 2
isakmp policy 20 lifetime 86400
vpngroup VODTEST address-pool vodtest
vpngroup VODTEST dns-server 192.168.2.1
vpngroup VODTEST wins-server 192.168.2.1
vpngroup VODTEST default-domain test
vpngroup VODTEST split-tunnel VODTEST_splitTunnelAcl
vpngroup VODTEST idle-time 1800
ssh timeout 5
terminal width 80

dinsdag 1 november 2005 19:01

Acties:
  • MeatGrinder
  • Registratie: Juni 2000
  • Laatst online: 03-10-2025

MeatGrinder

teigetjuh schreef op dinsdag 01 november 2005 @ 09:29:
[...]
VPN-tunnels worden als aparte interfaces gezien. Dit mag ds niet het probleem zijn.
Nope, dat is niet het geval op een PIX. Een pakket dat binnenkomt op een interface van een PIX, kan niet via dezelfde interface die PIX verlaten. VPN clients verbonden met een PIX kunnen dus NIET onderling communiceren via diezelfde PIX.

Vanaf PIX OS 7 zijn hier wel mogelijkheden voor, maar de hardware van de topicstarter ondersteunt helaas geen PIX OS 7.

VLAN interfaces op een PIX gedragen zich overigens gewoon als een extra physieke interface, het is dus wel mogelijkheid om verkeer uit te wisselen tussen twee VLAN interfaces die geconfigureerd zijn op dezelfde physieke interface. Maar ook daar wordt de topicstarter niets wijzer van.
Pagina: 1
Reageer