Toon posts:

[VPN] PPTP Passtrough op Netscreen 5 GT

Pagina: 1
Acties:

woensdag 7 december 2005 17:26

Acties:
  • enveekaa
  • Registratie: September 2003
  • Laatst online: 24-04 18:54

enveekaa

Topicstarter
Ik wil graag 'inbellen' op een Remote Access server die achter een Netscreen 5 GT staat. Nu heb ik dus TCP/1723 doorgegooid naar de Remote Access server, maar dat werkt niet helemaal -- er komt wel een verbinding maar die blijft steken bij het controleren van naam en wachtwoord.
Ik kan me bijna niet voorstellen dat de Netscreen 5 GT geen vpn passtrough heeft... maar heb de functie tot nu toe niet kunnen vinden.

Even wat relevante informatie
Netscreen 5 GT met ScreenOS 5.0.0r8.1 (heeft het externe IP)
Windows 2000 Server Standard als Remote Access server

Is er iemand die dit voor elkaar heeft of weet hoe het moet ?

[ Voor 3% gewijzigd door enveekaa op 07-12-2005 17:27 ]

woensdag 7 december 2005 17:28

Acties:

Verwijderd

Dit komt waarschijnlijk doordat GRE niet doorgelaten wordt. Waarschijnlijk moet je net als bij een cisco pix een statische NAT mapping maken van een publiek vrij ip-adres naar het adres van je vpn server. Alternatief is natuurlijk gewoon inbellen op de netscreen zelf. Of misschien dat je GRE op de netscreen wel kunt forwarden naar je server maar dat weet ik zo 123 niet... ;)

[ Voor 17% gewijzigd door Verwijderd op 07-12-2005 17:28 ]

woensdag 7 december 2005 17:31

Acties:
  • enveekaa
  • Registratie: September 2003
  • Laatst online: 24-04 18:54

enveekaa

Topicstarter
De Netscreen kan GRE forwarden ja, maar ook dit helpt niet. En GRE hoeft voor PPTP volgens mij niet te worden geforward.

In de logs van de Netscreen zie ik vanaf Untrust naar Trust een PPTP connectie.. maar die timed out.. helaas..

Is het mogelijk dat de Netscreen het verkeer van Trust naar Untrust (dus van Remote Access server naar de client) niet doorlaat? Er staat een policy in voor Trust naar Untrust en die staat op ANY.

[ Voor 58% gewijzigd door enveekaa op 07-12-2005 17:48 ]

woensdag 7 december 2005 20:58

Acties:
  • enveekaa
  • Registratie: September 2003
  • Laatst online: 24-04 18:54

enveekaa

Topicstarter
Ik heb een goede beschijving gevonden hoe je PPTP verkeer kan toelaten van Trust naar Untrust, toch kom ik er niet helemaal uit.

Ik loop vast bij stap 6, ik moet daar een ip-range invullen die in subnest past van de Untrust interface, het externe ip.. dat snap ik niet, ik zie iets over het hoofd denk ik???

Ik heb al meerdere combi's geprobeerd, maar ik kan echt alleen in de range van mijn extere ip blijven.. vreemd genoeg.

Duwtje in de rug!! :)


Situatie schets


213.100.100.3 (untrust interface netscreen/publieke ip -- adres is verzonnen :*))
10.64.1.2 (trust interface/lokaal ip)

10.54.1.1 (windows 2000 server / vpn server)

[ Voor 29% gewijzigd door enveekaa op 07-12-2005 21:13 ]

woensdag 7 december 2005 22:39

Acties:
  • Taigu
  • Registratie: Februari 2002
  • Laatst online: 25-04 08:52

Taigu

Die handleiding gaat van trust naar untrust, terwijl jij van untrust naar trust wilt. Maarreh, waarom wil je in godsnaam een PPTP VPN door een Netscreen heen ? Waarom gebruik je het apparaat niet als VPN endpoint ? Op die manier kun je veiligere VPN's creeeren. Deze had je al gevonden ?

[ Voor 19% gewijzigd door Taigu op 07-12-2005 22:42 ]

Cling to truth and it turns into falsehood. Understand falsehood and it turns into truth.

donderdag 8 december 2005 10:29

Acties:
  • enveekaa
  • Registratie: September 2003
  • Laatst online: 24-04 18:54

enveekaa

Topicstarter
Ja van Untrust naar Trust gaat wel goed, ik krijg namelijk wel verbinding, maar bij het controleren van naam en wachtwoord gaat het mis, het lijkt erop dat de Remote Access server dus geen PPTP zut naar buiten kan sturen, wat dat documentje ook aangeeft.. ;) En dat documentje wat jij aangeeft heb ik inderdaad ook door zitten lezen.. maar er staat dus 1.1.1.1 dat moet ik dus vervangen door een andere range, welke is me niet duidelijk...


Ik heb er ook aan zitten denken om de Netscreen als endpoint te gebruiken maar dan ben ik verplicht een l2tp connectie op te zetten en dus een 3rd party dialer te gebruiken..

[ Voor 18% gewijzigd door enveekaa op 08-12-2005 10:30 ]

donderdag 8 december 2005 10:35

Acties:
  • Arnout
  • Registratie: December 2000
  • Laatst online: 20:23

Arnout

Naam/wachtwoord controle houd ook in dat er naar GRE overgeschakelt wordt, het lijkt me dat het nog steeds aan het forwarden van GRE ligt. Let er goed op dat dit ook aan client-side mis kan gaan.

Ik heb ook ooit een keer moeten troubleshooten, ging ook op naam/wachtwoord mis, na een TCPdump zag ik dat dat gebeurde bij overschakelen naar GRE, wat bleek, gebruiker had 2x NAT (dus 2 routers) achter elkaar geschakeld. Prima om lekker traag te internetten, maar niet geschikt voor VPN.

donderdag 8 december 2005 12:42

Acties:
  • enveekaa
  • Registratie: September 2003
  • Laatst online: 24-04 18:54

enveekaa

Topicstarter
Ok dankje, ik ga dan eens kijken of en zo ja waar de GRE zut vast zou kunnen lopen.

Van trust naar untrust staat in iedergeval op ANY, misschien is er weer een aparte procedure voor GRE, maar volgens mij valt dat onder PPTP (volgens de handleiding). PPTP is natuurlijk tcp/1723 en GRE ip magoe..

Effe checken :)

donderdag 8 december 2005 12:44

Acties:
  • Taigu
  • Registratie: Februari 2002
  • Laatst online: 25-04 08:52

Taigu

enveekaa schreef op donderdag 08 december 2005 @ 10:29:
Ja van Untrust naar Trust gaat wel goed, ik krijg namelijk wel verbinding, maar bij het controleren van naam en wachtwoord gaat het mis, het lijkt erop dat de Remote Access server dus geen PPTP zut naar buiten kan sturen, wat dat documentje ook aangeeft.. ;) En dat documentje wat jij aangeeft heb ik inderdaad ook door zitten lezen.. maar er staat dus 1.1.1.1 dat moet ik dus vervangen door een andere range, welke is me niet duidelijk...


Ik heb er ook aan zitten denken om de Netscreen als endpoint te gebruiken maar dan ben ik verplicht een l2tp connectie op te zetten en dus een 3rd party dialer te gebruiken..
1.1.1.1 is een van je beschikbare externe IP adressen die je kan gebruiken om het verkeer me te NAT'en. Je moet dan wel extra publieke IP's beschikbaar hebben. Ik zie het probleem van een 3rd party vpn client niet zo aangezien je daarmee een veel veiligere IPSec vpn op kan zetten. Hier nog wat extra info over DIP'pen.

[ Voor 7% gewijzigd door Taigu op 08-12-2005 12:48 ]

Cling to truth and it turns into falsehood. Understand falsehood and it turns into truth.

donderdag 8 december 2005 18:54

Acties:
  • enveekaa
  • Registratie: September 2003
  • Laatst online: 24-04 18:54

enveekaa

Topicstarter
Ok, dus zonder extra extern ip is het gewoon niet mogelijk??? :/

Ik ga een 3rd party dailer heroverwegen, is inderdaad geen gekke opzet. :*)

donderdag 8 december 2005 20:05

Acties:
  • Taigu
  • Registratie: Februari 2002
  • Laatst online: 25-04 08:52

Taigu

Inderdaad, uit de ns help:
Important: Be sure to exclude the following IP addresses from a DIP pool:
– The WebUI management IP address
– The interface and gateway IP addresses
– Any Virtual IP (VIP) and Mapped IP (MIP) addresses
Edit: Je kan het enkel realiseren door DIP of MIP, voor beiden heb je een publiek subnetje nodig.

[ Voor 17% gewijzigd door Taigu op 08-12-2005 22:35 ]

Cling to truth and it turns into falsehood. Understand falsehood and it turns into truth.

donderdag 8 december 2005 22:09

Acties:
  • vliegjong
  • Registratie: Januari 2003
  • Laatst online: 08-08-2017

vliegjong

Bump!

BTW..

Fluiste..

OS 5.3R1 is uit... ';)

Ik ben een Nerd, jij ook? Dan zijn er namelijk 10 toffe mensen :)

Pagina: 1
Reageer