Toon posts:

PIX 506E - Cisco VPN client (outgoing) werkt niet *

Pagina: 1
Acties:
  • 801 views sinds 30-01-2008
  • Reageer

zondag 18 juni 2006 15:39

Acties:

Verwijderd

Topicstarter
Sinds een uur heb ik mijn Cisco Pix 506E aan mijn internet connectie hangen.
Ik kan op internet dus dat werkt prima! :)
Ook het downloaden van allerlei spul gaat zoals 't hoort.

Echter kan niemand nu meer mijn web/ftp server bereiken.
Logisch want in mijn oude gateway/firewall stond er een port forward naar mijn webserver.

Wie kan mij vertellen hoe ik dit erin kan zetten?
Heb dit al geprobeerd maar dat werkt helaas niet:

static (inside,outside) tcp interface 80 192.168.1.2 80 netmask 255.255.255.255
static (inside,outside) tcp interface 21 192.168.1.2 21 netmask 255.255.255.255

access-list port_fw permit tcp any interface outside eq 80
access-list port_fw permit tcp any interface outside eq 21

Ook kan ik nu geen VPN tunnel meer opzetten naar de zaak (dit wordt als alles goed werkt een permanente tunnel (tussen 2 506jes).
De firewall geeft dan deze melding:

305006: portmap translation creation failed for protocol 50 src inside:192.168.1.80 (mijn pc) dst outside:<IP WERK>

Weet iemand toevallig hoe ik dat laatste kan oplossen?
Firewall versie is: Cisco PIX 506E Firewall Version 6.3(3)

Daarnaast heb ik om een of andere reden nu een delay in het openen van websites, net of ie 2/3 secs moet zoeken voordat ie de site heeft gevonden. Mijn DNS server is m'n Domain Controller en die vraagt records die hij niet kent aan bij de DNS server van de ISP. (Daar aan is niks veranderd).

[ Voor 13% gewijzigd door Verwijderd op 18-06-2006 15:40 ]

zondag 18 juni 2006 15:45

Acties:
  • Mikey!
  • Registratie: Augustus 2001
  • Laatst online: 15:57

Mikey!

Zou je de configuratie van de 506 kunnen posten? Uiteraard zonder wachtwoorden en publieke IPadressen :)

Dat maakt het troubleshooten een stuk makkelijker, het probleem met de VPN tunnel zou bijvoorbeeld wel met je nat te maken kunnen hebben, maar je kan er zonder genoeg informatie niks over zeggen.

zondag 18 juni 2006 15:52

Acties:

Verwijderd

Topicstarter
Hierbij de config:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82

: Saved
: Written by enable_15 at 15:44:06.298 CEDT Sun Jun 18 2006
PIX Version 6.3(3)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
clock timezone CEST 1
clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
no names
access-list acl_inbound permit tcp any interface outside eq 80
access-list acl_inbound permit tcp any interface outside eq 21
access-list acl_inbound permit tcp any interface outside eq 1494
access-list acl_outbound permit ip 192.168.1.2 255.255.255.0 any
access-list acl_outbound permit ip 192.168.1.11 255.255.255.0 any
access-list acl_outbound permit ip 192.168.1.80 255.255.255.0 any
pager lines 24
logging on
logging timestamp
logging standby
logging console errors
logging monitor errors
logging buffered debugging
logging trap errors
logging history errors
logging facility 23
logging device-id hostname
logging host inside 192.168.1.2
icmp deny any echo outside
mtu outside 1500
mtu inside 1500
ip address outside dhcp setroute
ip address inside 192.168.1.1 255.255.254.0
ip audit info action alarm
ip audit attack action alarm
pdm location 192.168.1.10 255.255.255.255 inside
pdm location 192.168.1.80 255.255.255.255 inside
pdm location 192.168.1.2 255.255.255.255 inside
pdm logging warnings 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 192.168.0.0 255.255.254.0 0 0
static (inside,outside) tcp interface 80 192.168.1.2 80 netmask 255.255.255.255 0 0
static (inside,outside) tcp interface 21 192.168.1.2 21 netmask 255.255.255.255 0 0
static (inside,outside) tcp interface 1494 192.168.1.2 1494 netmask 255.255.255.255 0 0
access-group acl_inbound in interface outside
access-group acl_outbound in interface inside
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
ntp server 194.109.22.18 source outside
ntp server 194.109.20.18 source outside
http server enable
http 192.168.1.80 255.255.255.255 inside
http 192.168.1.2 255.255.255.255 inside
floodguard enable
sysopt connection permit-ipsec
sysopt ipsec pl-compatible
telnet 192.168.0.0 255.255.254.0 inside
telnet 192.168.1.0 255.255.255.0 inside
telnet timeout 5
ssh timeout 5
console timeout 5
terminal width 80

[ Voor 10% gewijzigd door Verwijderd op 18-06-2006 16:09 ]

zondag 18 juni 2006 15:57

Acties:
  • SambalBij
  • Registratie: September 2000
  • Laatst online: 17:13

SambalBij

We're all MAD here

Je zegt dat je probeert de firewall open te zetten met een access-list genaamd port_fw.
Die zie ik in de config echter niet gebruikt worden...

In de config staat:
access-group acl_inbound in interface outside

wat dus betekend dat binnenkomend verkeer op de outside interface wordt gecontroleerd dmv de access-list 'acl_inbound'

Als je dus die poorten 21 en 80 aan die access-list hangt ipv aan die port_fw list dan zou het moeten werken :)

code:
1
2
3

access-list acl_inbound permit tcp any interface outside eq 80
access-list acl_inbound permit tcp any interface outside eq 21
access-list acl_inbound permit tcp any interface outside eq 1494

Sometimes you just have to sit back, relax, and let the train wreck itself

zondag 18 juni 2006 15:59

Acties:

Verwijderd

Topicstarter
Logisch. :)
Overheen gelezen.

Blijven dat issue van sites openen en VPN tunnel (RAS middels token) over.
Any idea's?

zondag 18 juni 2006 17:32

Acties:
  • Mikey!
  • Registratie: Augustus 2001
  • Laatst online: 15:57

Mikey!

Verwijderd schreef op zondag 18 juni 2006 @ 15:39:
Ook kan ik nu geen VPN tunnel meer opzetten naar de zaak (dit wordt als alles goed werkt een permanente tunnel (tussen 2 506jes).
De firewall geeft dan deze melding:

305006: portmap translation creation failed for protocol 50 src inside:192.168.1.80 (mijn pc) dst outside:<IP WERK>
Je zegt dat er een VPN tunnel is naar de zaak, maar daar zie ik nergens iets van terug in de configuratie. Of bedoel je een VPN Client tunnel die niet opgezet wil worden?

Is het <IP WERK> een publiek adres (Pix bijvoorbeeld) of een adres uit een priverange zoals 192.168.2.0/24?
Daarnaast heb ik om een of andere reden nu een delay in het openen van websites, net of ie 2/3 secs moet zoeken voordat ie de site heeft gevonden. Mijn DNS server is m'n Domain Controller en die vraagt records die hij niet kent aan bij de DNS server van de ISP. (Daar aan is niks veranderd).
Je zou kunnen proberen om 'fixup protocol dns maximum-length 512' te kunnen verwijderen, dit wil soms nog wel eens helpen.

zondag 18 juni 2006 20:23

Acties:

Verwijderd

Topicstarter
Mikey schreef op zondag 18 juni 2006 @ 17:32:
[...]

Je zegt dat er een VPN tunnel is naar de zaak, maar daar zie ik nergens iets van terug in de configuratie. Of bedoel je een VPN Client tunnel die niet opgezet wil worden?

Is het <IP WERK> een publiek adres (Pix bijvoorbeeld) of een adres uit een priverange zoals 192.168.2.0/24?
De VPN tunnel is er (nog) niet.
Op dit moment moet ik nog gebruik maken van een SecurID token i.c.m. de Cisco VPN Client op mijn pc & laptop. Zodra die tunnel er wel is, is dat token natuurlijk overbodig.
Moet alleen nog uitzoeken of de 192.168.1.0/255.255.254.0 range niet al ergens gebruikt wordt. Al vermoed ik van niet omdat we op werk de 172.x.x.x range gebruiken.
Je zou kunnen proberen om 'fixup protocol dns maximum-length 512' te kunnen verwijderen, dit wil soms nog wel eens helpen.
Heeft niet geholpen helaas.

maandag 19 juni 2006 20:12

Acties:

Verwijderd

Topicstarter
Heeft wellicht iemand nog een gouden tip voor mij omtrend het VPN probleem & 't DNS lookup-vertragings probleem?
Helaas er nog niks zinnigs over kunnen vinden op google, behalve dat je voor het VPN issue deze regel moet toevoegen:

sysopt connection permit-ipsec

Maar, ja die staat er dus al in.

woensdag 21 juni 2006 11:18

Acties:

Verwijderd

Topicstarter
Iemand?

woensdag 21 juni 2006 11:40

Acties:

Verwijderd

met je accesslist blokkeer je al het verkeer naar binnen toe, waaronder VPN.
Probeer eens
Voor PPTP:
port TCP 1723 (en willicht een port voor je token challenge)
Voor L2TP:
UDP 500 en UDP 1701

[ Voor 8% gewijzigd door Verwijderd op 21-06-2006 11:41 ]

woensdag 21 juni 2006 12:55

Acties:
  • Mikey!
  • Registratie: Augustus 2001
  • Laatst online: 15:57

Mikey!

Verwijderd schreef op woensdag 21 juni 2006 @ 11:40:
met je accesslist blokkeer je al het verkeer naar binnen toe, waaronder VPN.
Probeer eens
Voor PPTP:
port TCP 1723 (en willicht een port voor je token challenge)
Voor L2TP:
UDP 500 en UDP 1701
De PIX is een statefull-firewall, dit houdt in dat hij sessies die van binnenuit gestart worden automatisch terug doorlaat naar binnen. Als de TS een VPN Client tunnel zou initiëren van binnenuit, dan zou deze automatisch ook terug naar binnen mogen.

Zie het zo: op dit moment zou volgens jou DNS-requests niet naar binnen mogen (alleen http, ftp en poort 1494), maar toch kan de TS internetten :)
Helaas er nog niks zinnigs over kunnen vinden op google, behalve dat je voor het VPN issue deze regel moet toevoegen:

sysopt connection permit-ipsec

Maar, ja die staat er dus al in.
Sysopt connection permit-ipsec is benodigd voor het configureren van VPN tunnels of VPN Client access die wordt geterminate op de PIX zelf, dit is in jouw geval (nog) niet zo. Het commando verteld de PIX dat hij verbinding vanuit het niets (internet) kan verwachten op de outside op poorten 500 en 4500. Normaliter zou hij deze standaard tegenhouden, zie het verhaaltje hierboven, maar omdat het commando is geconfigureerd weet de PIX dat er mogelijk mensen aan komen kloppen met een VPN Client/Tunnel. Heb je btw al een andere DNSserver geprobeerd?

Wat betreft het VPN Client probleempje: staat er isakmp nat-traversal xxx geconfigureerd op de PIX van je werk? Ik neem aan van wel, maar als dit niet zo is kan de VPN Client niet goed inloggen als het achter een NATtend apparaat zit.

woensdag 21 juni 2006 23:05

Acties:

Verwijderd

Topicstarter
Mikey schreef op woensdag 21 juni 2006 @ 12:55:
De PIX is een statefull-firewall, dit houdt in dat hij sessies die van binnenuit gestart worden automatisch terug doorlaat naar binnen. Als de TS een VPN Client tunnel zou initiëren van binnenuit, dan zou deze automatisch ook terug naar binnen mogen.
Dat werkt dus helaas niet.
Ik kan de tunnel opzetten, maar vervolgens gaat er geen traffic doorheen.
Enkel ignored packages. Dit had ik voorheen niet.
Sysopt connection permit-ipsec is benodigd voor het configureren van VPN tunnels of VPN Client access die wordt geterminate op de PIX zelf, dit is in jouw geval (nog) niet zo. Het commando verteld de PIX dat hij verbinding vanuit het niets (internet) kan verwachten op de outside op poorten 500 en 4500. Normaliter zou hij deze standaard tegenhouden, zie het verhaaltje hierboven, maar omdat het commando is geconfigureerd weet de PIX dat er mogelijk mensen aan komen kloppen met een VPN Client/Tunnel. Heb je btw al een andere DNSserver geprobeerd?
Blijkbaar stond er in mijn DNS op de DC nog een forward naar 192.168.1.1 die eruit gehaald en dat hielp enorm! Dus de delays zijn nu weg, enkel het issue met de VPN nog.
Wat betreft het VPN Client probleempje: staat er isakmp nat-traversal xxx geconfigureerd op de PIX van je werk? Ik neem aan van wel, maar als dit niet zo is kan de VPN Client niet goed inloggen als het achter een NATtend apparaat zit.
In de PIX op werk staat:

isakmp nat-traversal 20

Het vreemde is dat voordat ik mijn PIX tussen m'n LAN en het internet hing ik prima kon inloggen met een VPN client. Sinds die er tussen hangt helaas niet meer. Maar wat het nou kan zijn?

donderdag 5 oktober 2006 15:48

Acties:

Verwijderd

Topicstarter
Heeft iemand nog wat tips omtrend het VPN probleem?

donderdag 5 oktober 2006 17:14

Acties:
  • Mikey!
  • Registratie: Augustus 2001
  • Laatst online: 15:57

Mikey!

Verwijderd schreef op donderdag 05 oktober 2006 @ 15:48:
Heeft iemand nog wat tips omtrend het VPN probleem?
Kan je een output/screenshot posten van de "ignored packets" die je krijgt? Misschien geeft dat wat nieuwe inzichten op de situatie :)

donderdag 5 oktober 2006 19:19

Acties:

Verwijderd

Topicstarter
Welk screenshot doe je precies op?
Iets vanuit de PIX? of vanuit de VPN Client?

vrijdag 6 oktober 2006 11:15

Acties:
  • Mikey!
  • Registratie: Augustus 2001
  • Laatst online: 15:57

Mikey!

Verwijderd schreef op woensdag 21 juni 2006 @ 23:05:
Ik kan de tunnel opzetten, maar vervolgens gaat er geen traffic doorheen.
Enkel ignored packages. Dit had ik voorheen niet.
Dit bedoelde ik :)

vrijdag 6 oktober 2006 21:47

Acties:

Verwijderd

Topicstarter
Die packets kan ik verder niet analyseren oid.
Enkel de VPN client laat bij de statistics tab een oplopend getal zien bij.
Voor dat getal staat enkel "Ignored Packets: xxxxx"

zaterdag 7 oktober 2006 09:17

Acties:
  • Koffie
  • Registratie: Augustus 2000
  • Laatst online: 18:03

Koffie

Koffiebierbrouwer

Braaimeneer

titel edit on request ;)

Tijd voor een nieuwe sig..

maandag 9 oktober 2006 14:17

Acties:
  • Mikey!
  • Registratie: Augustus 2001
  • Laatst online: 15:57

Mikey!

Ik ga vandaag nog een PIX 501 configureren naar aanleiding van de running-config die je in dit topic gepost hebt, zodat ik kan zien waar het misgaat.....en zo hopelijk ook een oplossing kan geven :)

maandag 9 oktober 2006 14:20

Acties:

Verwijderd

Topicstarter
top! ben erg benieuwd!

maandag 9 oktober 2006 14:39

Acties:
  • Mikey!
  • Registratie: Augustus 2001
  • Laatst online: 15:57

Mikey!

Tot mijn grote verbazing kon ik meteen een VPN Client connectie opzetten naar andere een PIX ergens in Nederland. Is er een mogelijkheid om de configuratie van de PIX te wissen (write erase) en de configuratie er opnieuw in te plakken? Ik heb wel eens gemerkt dat dit wel eens wil helpen in 'vreemde gevallen' zoals deze :)

Hieronder staat de configuratie zoals hij op dit moment in de test-PIX zit:
pixfirewall# sh run
: Saved
:
PIX Version 6.3(5)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall
clock timezone CEST 1
clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
no names
access-list acl_inbound permit tcp any interface outside eq www
access-list acl_inbound permit tcp any interface outside eq ftp
access-list acl_inbound permit tcp any interface outside eq citrix-ica
access-list acl_outbound permit ip host 192.168.1.2 any
access-list acl_outbound permit ip host 192.168.1.11 any
access-list acl_outbound permit ip host 192.168.1.80 any
Je had hier een verkeerd subnet staan bij de hosts die je toegang wou verlenen tot het internet. Voor één enkele host gebruik je
- "host <ipadres>" óf
- "<ipadres> 255.255.255.255"
pager lines 24
icmp deny any echo outside
mtu outside 1500
mtu inside 1500
ip address outside dhcp setroute
ip address inside 192.168.1.1 255.255.254.0
ip audit info action alarm
ip audit attack action alarm
pdm location 192.168.1.10 255.255.255.255 inside
pdm location 192.168.1.80 255.255.255.255 inside
pdm location 192.168.1.2 255.255.255.255 inside
pdm logging warnings 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 192.168.0.0 255.255.254.0 0 0
static (inside,outside) tcp interface www 192.168.1.2 www netmask 255.255.255.255 0 0
static (inside,outside) tcp interface ftp 192.168.1.2 ftp netmask 255.255.255.255 0 0
static (inside,outside) tcp interface citrix-ica 192.168.1.2 citrix-ica netmask 255.255.255.255 0 0
access-group acl_inbound in interface outside
access-group acl_outbound in interface inside
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
ntp server 194.109.22.18 source outside
ntp server 194.109.20.18 source outside
http server enable
http 192.168.1.80 255.255.255.255 inside
http 192.168.1.2 255.255.255.255 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
sysopt ipsec pl-compatible
telnet 192.168.0.0 255.255.254.0 inside
telnet 192.168.1.0 255.255.255.0 inside
telnet timeout 5
ssh timeout 5
console timeout 5
dhcpd address 192.168.1.2-192.168.1.33 inside
dhcpd dns 212.115.192.193 212.115.192.195
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd enable inside
! Toegevoegd ivm mijn eigen luiheid om een vast IP in te stellen ;)
terminal width 80
Cryptochecksum:605cb927f390dba076c07a512dde35eb
: end
Ik heb een hogere softwareversie dan jouw PIX, desnoods wil ik de test-PIX wel even downgraden voor de volledigheid.
Edit: Ook met softwareversie 6.3(3) werkt de VPN Client naar een andere PIX gewoon.

[ Voor 1% gewijzigd door Mikey! op 09-10-2006 14:54 . Reden: Extra test gedaan ]

dinsdag 10 oktober 2006 15:01

Acties:

Verwijderd

Topicstarter
Heb die access-list nu ook goed gezet, maar helaas was dat het issue dus ook niet.
Zou het eventueel aan de PIX aan de andere kant kunnen liggen?
Ik zie namelijk wel het auth. request binnenkomen op de Radius server, maar verder kan de client dus niets.

Daar staat eigenlijk alleen dit in (wat van toepassing is op de VPN client):
PIX Version 6.3(5)
object-group service allowedradiusserver udp
port-object eq radius
port-object eq 1813
port-object eq 5500
object-group network subnets
network-object 192.168.100.0 255.255.255.0
access-list acl-in permit udp host 172.28.130.90 any object-group allowedradiusserver
access-list acl-in permit ip 172.28.130.0 255.255.254.0 object-group subnets
access-list vpn permit ip 172.28.130.0 255.255.254.0 192.168.100.0 255.255.255.0
access-list nonat permit ip 172.28.130.0 255.255.254.0 object-group subnets
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server RADIUS (inside) host 172.28.130.90 <PASSWORD> timeout 10
aaa-server LOCAL protocol local
aaa authentication include https outside 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 RADIUS
isakmp identity address
isakmp nat-traversal 20
vpngroup superteam address-pool dealer
vpngroup superteam dns-server 172.28.130.2 194.109.104.104
vpngroup superteam wins-server 172.28.130.2
vpngroup superteam default-domain domain.local
vpngroup superteam split-tunnel vpn
vpngroup superteam idle-time 1800
vpngroup superteam password <PASSWORD>

dinsdag 10 oktober 2006 15:53

Acties:
  • Mikey!
  • Registratie: Augustus 2001
  • Laatst online: 15:57

Mikey!

Het lijkt mij ook dat het probleem aan de 'andere' kant ligt. Werken andere VPN Cliënts wel in combinatie met de RADIUS server?

Zo niet:
Is er een mogelijkheid om een VPN Cliënt request vanaf je eigen publieke IPadres te laten authenticeren dmv de locale database ipv de RADIUS server? Puur even om een eventueel probleem met de RADIUS server uit te sluiten :)

Anders moeten we even verder zoeken (8>

[ Voor 29% gewijzigd door Mikey! op 10-10-2006 15:54 ]

dinsdag 10 oktober 2006 16:08

Acties:

Verwijderd

Topicstarter
Wanneer ik mijn Cisco PIX er tussenuit haal (dus mijn laptop direct aan m'n modem hang) kan ik prima verbinding maken via de VPN Client.
Dit doen andere gebruikers ook en werkt dus prima.

Met pix werkt het dus niet, zonder wel.
Het authenticatie gedeelte gaat ook prima, dat kun je ook terug zien in de logs van de radius server.
Ik krijg ook netjes een IP van de remote PIX uit de 192.168.100.0 pool.
Maar verkeer gaat er vervolgens niet over de tunnel.

dinsdag 10 oktober 2006 16:19

Acties:
  • Mikey!
  • Registratie: Augustus 2001
  • Laatst online: 15:57

Mikey!

Verwijderd schreef op dinsdag 10 oktober 2006 @ 16:08:
Wanneer ik mijn Cisco PIX er tussenuit haal (dus mijn laptop direct aan m'n modem hang) kan ik prima verbinding maken via de VPN Client.
Dit doen andere gebruikers ook en werkt dus prima.

Met pix werkt het dus niet, zonder wel.
Het authenticatie gedeelte gaat ook prima, dat kun je ook terug zien in de logs van de radius server.
Ik krijg ook netjes een IP van de remote PIX uit de 192.168.100.0 pool.
Maar verkeer gaat er vervolgens niet over de tunnel.
Ah, ik dacht eigenlijk dat de gehele tunnel niet opgebouwd wilde worden :P

Begint de pool daadwerkelijk met 192.168.100.0? Als dit zo is dan krijgt de eerste VPN Cliënt die inlogt het ipadres 192.168.100.0.....dat is een netwerkadres, géén ipadres. Kleine kans dat dit het is, maar het is het vermelden waard hé :)

Een andere optie is het verwijderen van het volgende commando:
code:
1

sysopt connection permit-ipsec


Werkt dit (nog) niet, dan kunnen we even proberen om ESP-verkeer naar binnentoe te laten:
code:
1

access-list acl_inbound permit esp <publiek ip werk> <subnet werk> any

[ Voor 16% gewijzigd door Mikey! op 10-10-2006 16:31 . Reden: Wat nieuwe opties erbij geplaatst ]

dinsdag 10 oktober 2006 16:39

Acties:

Verwijderd

Topicstarter
Neuh, die begint bij 1
Regeltje:
ip local pool dealer 192.168.100.1-192.168.100.254

die commando's moeten die op mijn pix of die van 't werk aangepast worden?

dinsdag 10 oktober 2006 16:51

Acties:
  • Mikey!
  • Registratie: Augustus 2001
  • Laatst online: 15:57

Mikey!

Verwijderd schreef op dinsdag 10 oktober 2006 @ 16:39:
Neuh, die begint bij 1
Regeltje:
ip local pool dealer 192.168.100.1-192.168.100.254

die commando's moeten die op mijn pix of die van 't werk aangepast worden?
Op jouw pix alstjeblieft, anders werkt geeneen tunnel meer op de pix van je werk :)
Pagina: 1
Reageer