PPTP-tunnel over Cisco PIX501

ping je niet toevallig zonder de tunnel, en krijg je je dhcp lease wel via de tunnel

Maak je gebruik van een adsl verbinding en zet je de VPN tunnel door de firewall heen op, waardoor je verkeer rechtstreeks naar het internet gaat en gewoon door de firewall.

Verwijderd schreef op 14 augustus 2002 @ 12:03:
Geen Cisco-adepten aanwezig ?

A/ Op GOT wordt er NIET na een uurtje geschopt.
http://gathering.tweakers.net/forum/faq/forumgedrag#not-done <-- lezen
Voor PNS geldt na 24h schoppen zelfs niet want een topic zakt hier niet zo snel weg.
B/ Troubleshooting docs op cisco gelezen ?
Zoja wat heb je daar al van geprobeerd ?
Of wat voor andere dingen heb je al gedaan ?

Jaja, dit "probleem" had ik ook.
De oplossing is een route toe te voegen aan je pix firewall voor de vpnclients.

Dus als de pool voor je vpn-clients 10.10.10.* is en het externe adrez van je pix firewall bijvoorbeeld 195.200.200.1 is, dan wordt het commando:
route outside 10.10.10.0 255.255.255.0 195.200.200.1

Vanaf dat moment zou het moeten werken (als je inside server natuurlijk ook als def. gw de pix heeft....)

probeer het eens met de poorten 1723 en 47 doorgerout naar je vpn server.
Anders er ook nog even 137,138,139 erbij.
Als het werkt, dan afbouwen en dichtzetten.

Remc0 schreef op 14 augustus 2002 @ 17:20:
probeer het eens met de poorten 1723 en 47 doorgerout naar je vpn server.
Anders er ook nog even 137,138,139 erbij.
Als het werkt, dan afbouwen en dichtzetten.

poortje 1723 en 47 zullen wel openstaan, aangezien hij al wel een VPN connectie kan maken met die firewall,

wat is overigens de default gateway op de machine op het interne netwerk die je probeert te pingen? geen default gateway ingevuld, tja dan is het niet verwondelijk dat je geen reply terugkrijgt... het antwoord moet toch weer terug door die tunnel

Ok, je krijgt dus een ip-adres van de pool. Dat betekent dat de PPTP tunnel opgezet is. Nu de routering nog..

Heb je de sysopt connection permit-pptp al gegeven in de config?
Gebruik je ook nat op je PIX? Zo ja, hoe staat je nonat access-list? Maak je verder gebruik van access-lists? Hoe staan die en op welke interface is die gekoppeld?
En wat is de default gateway van de server die je probeert te benaderen. En
Heb je al een ordinaire telnet geprobeerd vanaf je pptp client naar de server? Op een poort waar je zeker van weet dat ie het doet. Wat gebeurt er als je tijdelijk een ftpserver op je pptp client plaatst en vervolgens ftp-ed vanaf je server naar je client?

Adhv kan je misschien al zien hoe of wat. Heb je alle stappen op dit document doorlopen?
http://www.cisco.com/warp/public/110/pptppix.html

Cisco kennis is op dit forum wel aktief, maar heeft vaak ook nog werk...

[ Voor 0% gewijzigd door Verwijderd op 14-08-2002 20:41 . Reden: vergeten voor sysopt vraag ]

Dat gaat niet. Dit kan je wel doen via SSH. Dan moet je op je outside interface SSH enablen. Daarna via SSH inloggen. (inlognaam: pix, wachtwoord: je reguliere wachtwoord)

Vergeet niet, dat iig t/m pixOS 6.2.1 een bug in de crypto map zit, je kan crypto maps alleen wijzigen vanaf de buitenkant, wanneer daar geen crypto map opzit. Zover ik nu weet, is dat alleen voor ipsec tunnels, maar wat gebeurt als je tijdelijk de crypto map niet uitzet, is dat er geen verkeer meer door de firewall heen gaat. Enige manier is om te reloaden of vanaf een intern adres erbij te gaan.

Als je \\server\share doet, moet je zorgen dat je vpdn ook een wins & nameserver heeft geconfigureerd. \\ipadres\share werkt wel zonder al te veel problemen.

Verder goed kijken naar je access-lists en je routeringen.

het lijkt erop dat je niet voorbij je firewall komt.
Of kan je wel 192.0.0.100 pingen?

Heb je het commando
sysopt connection permit-pptp
uitgevoerd?

Voorbeelden zijn lastig te maken, omdat er vrij veel mogelijkheden zijn. de manual heeft een goed voorbeeld:
ip local pool vpn_pool 192.9.1.1-192.9.1.100
vpdn group 1 accept dialin pptp
vpdn group 1 ppp authentication mschap
vpdn group 1 ppp encryption mppe auto required
vpdn group 1 client configuration address local vpn_pool
vpdn group 1 client configuration dns <je_interne_dns_server>
vpdn group 1 client configuration wins <je_interne_wins_server>
vpdn group 1 client authentication local
vpdn username <login> password <wachtwoord>
vpdn enable outside
access-list nonat permit ip 192.0.1.0 255.255.255.0 192.0.0.0 255.255.255.0
nat (inside) 0 access-list nonat
sysopt connection permit-pptp

Hou er wel rekening mee, dat afhankelijk van je pix OS je nog andere access-lists eventueel ook nog moet configureren.

Verwijderd schreef op 21 augustus 2002 @ 08:50:
Ik geraak er niet uit...
Dit is mijn configuratie :

Internet -> [80.x.x.x (router) 192.168.254.1] -> [192.168.254.2 (firewall) 192.0.0.100] -> intern netwerk (192.0.0.x)

De vpn-clients krijgen een adres uit de address-pool (192.0.1.1-20)

Ik krijg dus wel een ip-adres (192.0.1.1 bv.) , maar ik kan verder niets doen.
Ik kan wel pingen naar 192.168.254.2, maar verder geraak ik niet. \\ipadres\share werkt dus niet...

192.168.254.x en 192.0.0.x liggen in een ander subnet :

ip route add 192.0.0.0 255.255.255.0 192.168.254.2

Shares mounten zal je met een naam niet lukken zonder wins.