Toon posts:

[Cisco] PIX achter speed touch home

Pagina: 1
Acties:
  • 236 views sinds 30-01-2008
  • Reageer

Verwijderd

Topicstarter
Ik probeer een baby PIX achter een speed touch home ADSL modem aan de praat te krijgen maar tot nu toe zonder resultaat.
Het gaat om een basic ADSL abo van XS4ALL.
Je zou dus met pptp (pppoe) een tunnel naar het modem moeten kunnen opzetten om het publieke ip adres op de PIX te krijgen.
Zoals hieronder staat:

ip address outside <publiek ip adres /32> pppoe of ip address outside pppoe setroute

vpdn group Xs4all request dialout pppoe
vpdn group Xs4all localname loginnaam@xs4all.nl
vpdn group Xs4all ppp authentication pap
vpdn username loginnaam@xs4all.nl password **********

als je dan een show vpdn doet zie ik dit:
hostname(config)# sh vpdn
%No active L2TP tunnels
%No active PPTP tunnels
PPPoE Tunnel and Session Information (Total tunnels=1 sessions=0)
Tunnel id 0
time since change 490 secs
Remote MAC Address 00:00:00:00:00:00
0 packets sent, 0 received, 0 bytes sent, 0 received
Remote MAC is 00:00:00:00:00:00
Session state is PADI_SENT
Time since event change 4586 secs, interface outside
0 packets sent, 0 received, 0 bytes sent, 0 received

Mis ik nog iets?

  • Flyduck
  • Registratie: Juni 2001
  • Laatst online: 28-03-2025
ehrr volgens mij hoef je helemaal geen pppoe te gebruiken, maar use je gewoon ip address dhcp.
Verder heb je nergens een peer address staan,.. dat is toch 10.0.0.138 standaard als ik het goed heb

Zijn er mensen die deze regel lezen? Graag terugkoppeling gewenst (onopvallend)


Verwijderd

Topicstarter
Ik krijg van de dhcppool van het modem keurig een 10.0.0.x adres, maar zelfs als de global het publieke adres heeft wat is toebedeeld krijg ik geen internet verbinding.
Ik zie ook nergens een peer adres voorkomen in de vpdn config die cisco gebruikt bij pppoe configs. Zou alleen het doorgeven van username/password/localname moeten zijn.

Helaas gebruikt o.a. XS4all dit verekt fijn systeem wat gebaseerd is op username/password authenticatie ipv bijv rfc1483 of routed subnets :(

Nouja.. morgen SIP Spoof maar es uitproberen op een 510

  • Flyduck
  • Registratie: Juni 2001
  • Laatst online: 28-03-2025
Ok je moet idd wel PPPoE ism PPTP client gebruiken, ,.. ben ff wezen zoeken, ik vind het zelf ook wel interessant als dit werkt..

Idd is het die config die je boven beschrijft,.. dat @xs4all.nl moet trouwens zijn @xs4all-fast-adsl (ff voor de zekerheid!)

Ben wel benieuwd wat je voor info krijgt als je debugging aanzet

debug ppp negotiation
debug pppoe events

Zijn er mensen die deze regel lezen? Graag terugkoppeling gewenst (onopvallend)


  • pablo_p
  • Registratie: Januari 2000
  • Laatst online: 31-01 20:06
Ik heb hier naar alle tevredenheid een PIX draaien achter een alcatal modem. Ik werk met een gehacked modem, waar ik de route tabel van heb aangepast. Ik heb 4 interfaces in mijn zelfbouw pix, dus 4 netwerken. Ik heb eerst de 3 extra netwerken toegevoegd (kan via http of telnet), daarna route gewist via telnet (enige optie). Mijn route tabel:

[ip]=>rtlist
Destination Source Gateway Intf Mtrc
213.84.191.136/32 0.0.0.0/0 213.84.191.136 MXS 0
255.255.255.255/32 0.0.0.0/0 10.0.0.138 eth0 0
10.0.0.138/32 0.0.0.0/0 10.0.0.138 eth0 0
172.16.1.1/32 0.0.0.0/0 172.16.1.1 cip0 0
127.0.0.1/32 0.0.0.0/0 127.0.0.1 loop 0
10.0.0.0/24 0.0.0.0/0 10.0.0.138 eth0 1
10.50.0.0/24 0.0.0.0/0 10.0.0.1 eth0 1
10.25.0.0/24 0.0.0.0/0 10.0.0.1 eth0 1
10.100.0.0/24 0.0.0.0/0 10.0.0.1 eth0 1
172.16.1.0/24 0.0.0.0/0 172.16.1.1 cip0 1
0.0.0.0/0 10.0.0.81/0 213.84.191.136 MXS 0

Ik heb dus niet gekozen om mijn PIX te laten PAT-en, omdat dat security issues geeft met echo reply. Mijn PIX NAT of PAT nu niet, dus ik kan insecure verkeer veel preciezer blocken.
Ik heb ook vragen erbij of PPTP en PPPoE wel compatible is.

Nadeel is wel dat ik dus op mijn alcatel modem zal moeten gaan portforwarden om met vpn te kunnen connecten naar mijn PIX. Ik heb pas drie weken VPN helemaal lekker aan de praat (vanaf wireless, wat een eigen seciurity zone is). Ik ga binnenkort een uitzoeken of ik met portforwarding VPN op poort 21 oid aan de praat kan krijgen (dan kan ik tenminste vanaf mijn werk naar thuis connecten). UDP 500 wordt geblokt en http/https/ftp gaat via proxy/ Telnet gaat direct :)

  • Flyduck
  • Registratie: Juni 2001
  • Laatst online: 28-03-2025
Ik was eigenlijk benieuwd of de TS dit nog voor elkaar heeft gekregen ;)

Zijn er mensen die deze regel lezen? Graag terugkoppeling gewenst (onopvallend)


Verwijderd

Topicstarter
Nee, helaas. :(
Met dhcp spoofing krijg ik geen stabiele connectie (vanaf een pc werkt het wel stabiel?) en SIP spoofing lukt vanwege de routering niet.
Er zit dus niets anders op om het via port forwarding te doen.

PIX kan alleen VPN afhandelen via UDP 500, voor VPN via TCP zul je het met een VPN Concentrator thuis moeten doen :)

  • PisPix
  • Registratie: Oktober 2003
  • Laatst online: 20:49
Ik zit met hetzelfde probleem. Is het niet mogelijk op een of andere manier de peer op te geven? Desnoods dmv MAC adres? Ik kreeg de sip/dhcp spoof ook niet aan de gang.

Zal morgen eens aan mijn pix guru collega vragen wat voor oplossingen er nog over zijn.

Raptortje. De pix kan tegenwoordig ook op udp 500 verkeer afhandelen. Je moet dan de laatste client downloaden, en de nieuwste pix software erop zetten (6.3.3).

  • PisPix
  • Registratie: Oktober 2003
  • Laatst online: 20:49
Zat nog even op de cisco site te zoeken en kwam op de volgende nuttige link:
http://www.cisco.com/en/U...pter09186a00800eb729.html

Kan er nog iets gedaan worden met de vpnclient server optie of is deze hier niet voor bedoelt?

  • PisPix
  • Registratie: Oktober 2003
  • Laatst online: 20:49
Ben nog even wat dieper op dit probleem in gegaan.

De alcatel heeft op de CLI ook een optie om iets met de control field te doen. Dit heeft weer te maken met de autodiscovery die op dit moment mislukt.

Vanavond ga ik het probleren met een Cisco 827 ADSL modem/router. Als laatste hoop heb ik dan ook nog een Allied data Copperjet 810. Als iemand toevallig nog info heeft mbt deze opzet, dan graag posten/mailen!

Verder om het met de alcatel aan de praat te krijgen ga ik proberen een 10.0.0.x adres op te geven, fixed voor de outside, en dan wel pppoe erachter, in de hoop dat het externe adres hier virtueel overheen komt te liggen.

  • raymonvdm
  • Registratie: December 2001
  • Laatst online: 30-06-2025
Kijk eens naar de sipspoof config is ongeveer gelijk aan dhcp spoof alleen dan statisch. Zo komt je externe ip direct aan je pix te hangen.

http://jp.dhs.org/~jp/510.html
http://www.jelmerbarhorst.com/

  • PisPix
  • Registratie: Oktober 2003
  • Laatst online: 20:49
De routering die voor SIP_SPOOF gebruikt wordt is naar mijn weten (heb zowel SIP als DHCP spoof geprobeerd) niet in een pix te krijgen, tenzij jij daar suggesties voor hebt?

  • raymonvdm
  • Registratie: December 2001
  • Laatst online: 30-06-2025
Geen succesties maar wat voor os zit er op die pix is dat ios ?

Zo ja dan moet zo`n route add toch wel mogelijk zijn. ? Eventueel searchen op cisco.

Dit is wat ik op cisco.com vind bij een van de pix voorbeeld files

route outside 0.0.0.0 0.0.0.0 209.165.200.225 1


Gebruik anders route ?

Dan zal hij vast meer info geven over dit commando

[ Voor 41% gewijzigd door raymonvdm op 21-10-2003 19:44 ]


  • PisPix
  • Registratie: Oktober 2003
  • Laatst online: 20:49
Ik heb het via een omweg kunnen doen... (zie andere post MXStream dsl + externe IP in Cisco PIX)

Ik heb eerst de outside interface een 10.0.0.138 adres gegeven, toen de routes toegevoegd, en daarna de outside interface weer op het externe ip adres gezet.

  • PisPix
  • Registratie: Oktober 2003
  • Laatst online: 20:49
Pagina: 1