RemoteVPN bei PPPoE auf PIX 501 möglich?

[bnice]

Hallo,

hab mal wieder die kleine PIX für ein paar Tests rausgekramt.
Jetzt wollte ich VPN für Remote-Einwahl einrichten (egal ob Cisco, PPTP oder L2TP) und stolpere darüber, dass ich vpnd nicht auf dem gleichen Interface wie pppoe (also outside) einrichten kann?
Fehlermeldung:
"Can not enable vpdn on the same interface as PPPoE."
Ist das tatsächlich eine Beschränkung der PIX 501 oder lediglich eine Beschränkung des PDMs?
Feste IP wird in meinem Fall leider erst per PPPoE zugeteilt...

[blackbox]

Hi,

das verwundert mich jetzt - den ich habe div. mit Remote VPN laufen. Was hast du den für Release Stände ?

[bnice]

Hi,

folgende Releasestände sind drauf:

Code:

Cisco PIX Firewall Version 6.3(5)
Cisco PIX Device Manager Version 3.0(4)

Compiled on Thu 04-Aug-05 21:40 by morlee

pixfirewall up 18 hours 14 mins

Hardware:   PIX-501, 16 MB RAM, CPU Am5x86 133 MHz
Flash E28F640J3 @ 0x3000000, 8MB
BIOS Flash E28F640J3 @ 0xfffd8000, 128KB

0: ethernet0: address is 0008.21e6.96cb, irq 9
1: ethernet1: address is 0008.21e6.96cc, irq 10
Licensed Features:
Failover:                    Disabled
VPN-DES:                     Enabled
VPN-3DES-AES:                Enabled
Maximum Physical Interfaces: 2
Maximum Interfaces:          2
Cut-through Proxy:           Enabled
Guards:                      Enabled
URL-filtering:               Enabled
Inside Hosts:                10
Throughput:                  Unlimited
IKE peers:                   10

This PIX has a Restricted (R) license.

Ich muss mich allerdings korrigieren - Remote-Access über Cisco VPN Client lässt sich einrichten - nur PPTP oder L2TP scheitert!

[blackbox]

Hallo,

PPTP & L2TP klappen nicht mit PPPoE soweit ich weiss - hatte mich schon gewundert das IPSec nicht gehen sollte.

[bnice]

Zitat von blackbox Hallo, PPTP & L2TP klappen nicht mit PPPoE soweit ich weiss - hatte mich schon gewundert das IPSec nicht gehen sollte.

Hi,

gibt's irgendeinen akzeptablen Workaround dazu?
Beispielsweise SOHO-Router, der das PPPoE übernimmt, und die PIX dahinter?
Verkompliziert nur unnötigt die NAT-Konfig...

[blackbox]

Habe ich mich noch nie mit beschäftigt - da ich PPTP oder L2TP nie benutze. Die ASA soll es auch mit PPPoE können. Warum willst du das den benutzen ?

Gruss

[makana]

also ich hab eineige pixen mit dem selben IOs stand und es geht einfach nur probier mal den weg über die CLI der PDM ist ist der größte rotz seit erfindung des GUI im zusammenhang mit cisco.

[blackbox]

Der PDM ist sicherlich nicht die Erfinderung der Wahl - aber für 95% aller Leute die mit der Pix rumspielen reicht es vollkommen - und um sich mal "schnell" nen Überblick zu schaffen auch - klar tiefergreifendes nehme ich auch das CLI. Der ASDM bei der ASA hat sich ja auch verbessert - kann aber halt auch nicht alles.

Das ist immer das Problem von GUI´s - egal bei wem.

[bnice]

Zitat von blackbox Die ASA soll es auch mit PPPoE können. Warum willst du das den benutzen ? Gruss

War eine Anforderung vom Kunden -> kein Einsatz des Cisco-VPN-Clients. Habe das ganze dann aber über einen 1751 nachgebildet. (Und den Kunden anschließend doch vom VPN-Client überzeugen können)
Der PDM (in der alten Version) begeistert mich übrigens auch nicht. Der SDM beispielsweise ist auch deutlich weiter entwickelt, reicht mir i.d.R. aber auch nicht. Mehrere dynamische Crypto-Maps parallel (z.B. ein oder mehrere L2L-VPN mit dyn. IP und VPN-Clients) gehen auch nur über Keyrings, und die werden im SDM nicht unterstützt.