In opvolging van mijn topic om IP-adressen uit een vpn-dchp-pool maar met 1 host te laten communiceren ben ik opnieuw begonnen. Het probleem is echter alleen groter geworden omdat ik nu helemaal niets meer kan pingen achter de PIX wanneer ik connect via de VPN.
Tot mijn spijt moet ik helaas de config posten, iets wat ik liever niet doe omdat ik het zelf uit wil zien te vinden. Helaas is het niet anders, bij deze staat mijn super-basic config hier onder.
Ik maak dus verbinding met een Cisco client naar de PIX, dit werkt prima en ik krijg een IP uit de DCHP-pool voor deze VPN-groep vpn-test. Hierna komt het probleem, ik heb een nat0 die volgens mij werkt voor alle interne IP's maar ik denk dat ik een nat0 voor de VPN toch mis. Hoewel ik hier ook bij Cisco naar gezocht hebt krijg ik altijd een melding nat de rule al bestaat wanneer ik een nat0 toe wil voegen voor de VPN, ik heb namelijk al een 0.0.0.0 0.0.0.0 nat0.
Het viel me op met een eerdere config dat ik met 192.168.10.53 uit de dhcp-pool wel kon pingen naar de interne hosts en de PIX intern, met alle andere adressen uit de pool niet.
Het is me dus even letterlijk een raadsel waarom ik niets binnen mijn VPN kan met welke acl ik ook toepas.
Wat doe ik fout, ik zou het graag willen analyseren aan de hand wat opvolgende vragen.
Tot mijn spijt moet ik helaas de config posten, iets wat ik liever niet doe omdat ik het zelf uit wil zien te vinden. Helaas is het niet anders, bij deze staat mijn super-basic config hier onder.
Ik maak dus verbinding met een Cisco client naar de PIX, dit werkt prima en ik krijg een IP uit de DCHP-pool voor deze VPN-groep vpn-test. Hierna komt het probleem, ik heb een nat0 die volgens mij werkt voor alle interne IP's maar ik denk dat ik een nat0 voor de VPN toch mis. Hoewel ik hier ook bij Cisco naar gezocht hebt krijg ik altijd een melding nat de rule al bestaat wanneer ik een nat0 toe wil voegen voor de VPN, ik heb namelijk al een 0.0.0.0 0.0.0.0 nat0.
Het viel me op met een eerdere config dat ik met 192.168.10.53 uit de dhcp-pool wel kon pingen naar de interne hosts en de PIX intern, met alle andere adressen uit de pool niet.
Het is me dus even letterlijk een raadsel waarom ik niets binnen mijn VPN kan met welke acl ik ook toepas.
Wat doe ik fout, ik zou het graag willen analyseren aan de hand wat opvolgende vragen.
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
| PIX Version 6.3(5) interface ethernet0 100full interface ethernet1 100full nameif ethernet0 outside security0 nameif ethernet1 inside security100 enable password xxxxxxxxxxx encrypted passwd encrypted hostname firewall domain-name myhostname.com fixup protocol dns maximum-length 512 fixup protocol ftp 21 fixup protocol h323 h225 1720 fixup protocol h323 ras 1718-1719 fixup protocol http 80 fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol sip 5060 fixup protocol sip udp 5060 fixup protocol skinny 2000 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol tftp 69 names access-list inside_outbound_nat0_acl permit ip any 192.168.10.48 255.255.255.248 access-list outside_cryptomap_dyn_20 permit ip any 192.168.10.48 255.255.255.248 access-list vpn-test_splitTunnelAcl permit ip host 192.168.10.0 any pager lines 24 mtu outside 1500 mtu inside 1500 ip address outside xxx.xxx.xxx.123 255.255.255.0 ip address inside 192.168.10.254 255.255.255.0 ip audit info action alarm ip audit attack action alarm ip local pool vpn-test-pool 192.168.10.51-192.168.10.55 no failover failover timeout 0:00:00 failover poll 15 no failover ip address outside no failover ip address inside pdm history enable arp timeout 14400 global (outside) 1 interface nat (inside) 0 access-list inside_outbound_nat0_acl nat (inside) 1 0.0.0.0 0.0.0.0 0 0 route outside 0.0.0.0 0.0.0.0 xxx.xxx.xxx.123 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout sip-disconnect 0:02:00 sip-invite 0:03:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server TACACS+ max-failed-attempts 3 aaa-server TACACS+ deadtime 10 aaa-server RADIUS protocol radius aaa-server RADIUS max-failed-attempts 3 aaa-server RADIUS deadtime 10 aaa-server LOCAL protocol local http server enable http xxx.xxx.xxx.xxx 255.255.255.255 outside no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps floodguard enable sysopt connection permit-ipsec crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto dynamic-map outside_dyn_map 20 match address outside_cryptomap_dyn_20 crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-SHA crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map crypto map outside_map interface outside isakmp enable outside isakmp policy 20 authentication pre-share isakmp policy 20 encryption 3des isakmp policy 20 hash sha isakmp policy 20 group 2 isakmp policy 20 lifetime 86400 vpngroup vpn-test address-pool vpn-test-pool vpngroup vpn-test split-tunnel vpn-test_splitTunnelAcl vpngroup vpn-test idle-time 1800 vpngroup vpn-test password ******** telnet timeout 5 ssh timeout 5 console timeout 0 terminal width 80 Cryptochecksum:xxxxxxxxxxxxxxxxxxxx : end |
