[Pix PPTP thuiswerkers] Advies gevraagd

Probleem: Kan geen verbinding maken met shares op fileserver en Exchange na opzetten van pptp verbinding met de PIX 515e firewall.

Netwerk:

(internet)
|
|
---------
Pix firewall, ipbuiten: 213.*.*.1, ipbinnen: 172.16.0.1
----------
|
|
|
------
switch
--------------------------
| | |
| | |
| | |
--------- --------- ---------
server1 server2 server3
--------- --------- ---------
| |
| |
| |
-----------------------
switch
-------
|
|
(LAN NETWERK) (10.1.0.0/24)


Server1 (exchange, dhcp, dns) heeft: ipbuiten: 172.16.0.2
(krijgt van pix middels nat ook 213.*.*.2)

Server2 (files, iis etc) heeft: ipbuiten: 172.16.0.3
(krijgt van pix middels nat ook 213.*.*.3)

Server3 (overig) heeft: ipbuiten: 172.16.0.4
(krijgt van pix middels nat ook 213.*.*.4)


Situatie:
Wanneer ik een pptp verbinding met de pix op zet kan ik alleen de servers bereiken op het 213. etc adres dat ze van de pix krijgen. De private ipadressen kan ik niet bereiken, van deze zelfde servers. ook kan een thuisgebruiker op deze manier zijn outlook niet gebruiken en zijn shares op de fileserver niet aan. (tenzij hij de instellingen van outlook etc iedere keer gaat wijzigen maar dat wil ik niet).

Gewenst:
Op het moment dat de thuiswerker een pptp verbinding met de pix op zet kan hij direct outlook gebruiken en de shares op de fileserver aan.

Oplossing:
Geen idee... Hier een stukje pix config om het een en ander te verduidelijken (bepaalde info is afgeschermt)

nat (inside) 0 access-list 101
static (inside,outside) 213.*.*.* server1 netmask 255.255.255.255 0 0
static (inside,outside) 213.*.*.* server2 netmask 255.255.255.255 0 0
static (inside,outside) 213.*.*.* server3 netmask 255.255.255.255 0 0
static (inside,outside) server1 213.*.*.* netmask 255.255.255.255 0 0
static (inside,outside) server2 213.*.*.* netmask 255.255.255.255 0 0
static (inside,outside) server3 213.*.*.* netmask 255.255.255.255 0 0
conduit permit icmp any any
access-group 101 in interface outside
route outside 0.0.0.0 0.0.0.0 213.*.*.* 1

access-list 101 permit tcp any host 213.*.*.* eq smtp
access-list 101 permit tcp any host 213.*.*.* eq www
access-list 101 permit tcp any host 213.*.*.* eq 2112
access-list 101 permit tcp any host 213.*.*.* eq 1723
access-list 101 permit gre any host 213.*.*.*


Graag jullie advies.. wat is gebruikelijk in dit soort situaties wanneer er een pptp verbinding met de pix opgezet moet worden, en de servers een buiteninterface en binneninterface hebben?

Alvast bedankt voor de reacties.

edit:

Voor de pptp users is er een pool gereserveerd in de 172.17.0.0 range.

Ik verwacht niet dat het aan mijn accessrules ligt omdat:

Ik zowieso geen acl geconfigureerd heb voor de pptp users maar ik wel de servers kan bereiken op alle mogelijke manieren als ik een pptp verbinding opzet. Ik vermoed dat de pix automatisch toegang geeft tot de lanside op het moment dat je een vpn verbinding configureerd. Ik kan bijvoorbeeld wel vnc'en naar de servers, maar dan alleen op de internet ipadressen en niet op de private ipadressen. (andere mensen mogen van buitenaf natuurlijk niet vnc'en naar deze servers).


Hier de vpn config:


vpdn group 1 accept dialin pptp
vpdn group 1 ppp authentication pap
vpdn group 1 ppp authentication chap
vpdn group 1 ppp authentication mschap
vpdn group 1 client configuration address local pptp-pool
vpdn group 1 client authentication local
vpdn username **** password ****
vpdn enable outside

Ik heb overigens wel geprobeerd om een access-list rule aan te maken voor de pptp pool:

access-list 101 permit ip 172.17.0.0 255.255.255.0 any
maar dit had geen effect.

[ Voor 11% gewijzigd door Verwijderd op 29-12-2003 16:57 ]

igmar schreef op 29 december 2003 @ 17:41:
[...]


Is de pptp-pool 172.x adressen ? Ik zou een pool maken in de IP range van je lokale LAN, dat spaart veel gezeik met routing, gateways en ACL's.


[...]

pptp pool is inderdaad anders als het lan. Dit heeft echter wel mijn voorkeur, maar ik zal je tip gebruiken om een pooltje in hetzelfde subnet te defieren.


Ik zie een aantal 'problemen' :

1) De PIX routeert niet.
2) Je server moeten weten hoe ze 172.x moeten bereiken, dus je moet de PIX dan als gateway zetten. Ik heb zelf de config (wel met IPSEC, maar verder hetzelfde) uitgerust met een IP range uit het lokale LAN.

1) De pix lijkt wel goed te routeren want ik kan wel de servers bereiken op hun non-private ip-adressen. Vanuit de servers kan ik ook mijn virtual vpn ip pingen zie ik nu.
2) Ik heb een statische route aangemaakt daarvoor. De lan tip zal ik morgen even nagaan. Alvast bedankt!!

Het probleem is nog niet opgelost. Heb zojuist een pptp pool aangemaakt met ipadressen uit hetzelfde subnet als dat ik tussen de pix en de servers in gebruik maar dit heeft geen effect gehad.. Ik kan de servers nog steeds alleen maar bereiken op de 213 adressen en niet op de 172.16 adressen.

ik denk dat je bedoelt:

access-list 101 permit ip 172.16.0.0 255.255.255.0 any

deze rule heb ik al geprobeerd maar dit werkt niet. Ook nu is dit geen oplossing (heb het nogmaals geprobeerd).

ik zie hier een rule staan: no sysopt route dnat

Zou dat er iets mee te maken kunnen hebben?

edit: Nog even een gedachte.. Kan het zijn dat vpn'en en static nat gewoon niet goed samen gaat met cisco pix 515e en dat hier uberhaupt geen oplossing voor te bedenken is?

[ Voor 23% gewijzigd door Verwijderd op 30-12-2003 12:41 ]