VPN-Client Problem vom Internen Netz

[culan]

Hallo Leutz,
ich brauche einen ansatz woran es lieben kann.


Hard und Software:
Cisco PIX Firewall Version 6.3(3)
Cisco PIX Device Manager Version 3.0(1)
Hardware: PIX-501

VPN -Client:
CheckPoint NGXR60
Connect über IPSEC

Problemstellung:
ich soll aus dem internen 10.x.x.x netz eine VPN-Verbindung über die PIX FW zu einen anderen Netzwerk machen.

Wenn ich die Verbindung mit einer Externen IP-adresse iniziiert Funktioniert es wunderbar.
Habe ich aber eine Interne IP (z.B. 10.200.x.x), bekomme ich nicht mal ein Connect Zustande.

Versuch: habe auch von dieser internen zu der anderen FW(IP-Adresse) alles freigeschaltet (allow all) und trotzdem möchte der VPN-Client sich nicht Connecten.

Mir ist klar das es an dem doppelten NAT(ten) beziehungsweise an der Paketgröße liegen muß.

Hat irgendjemand noch eine Idee wo ich ansetzen kann dieses Problem zu beheben?

Gruß Culan

[mtf]

Hallo Culan

Machst du die Verbindung über das Internet?
Auf dem Internet wird ja bekanntlicherweise das 10er Netz nicht geroutet!

Gruss mtf

[culan]

Zitat von mtf Machst du die Verbindung über das Internet? Auf dem Internet wird ja bekanntlicherweise das 10er Netz nicht geroutet!

Ja mache ich, aber durch das NAT wird ja die IPadresse nach außen hin umgbogen und es ist dann keine 10er adresse mehr. Es muß an irgendeine Einstellung an der PIX liegen jedenfalls meiner Meinung nach.

[Wordo]

Was fuer ein doppeltes NAT? Dein Beschreibung ist schon ein bisschen wirr. Unterstuetzt denn Client und Server ein NAT-Gateway dazwischen? Welchen Port/Protokoll benutzt denn der Client (Telnet vom Client auf denn Port wenn TCP). Schau mal in der PIX mit "sh logg" ob da was geblockt wird.

[culan]

Zitat von Wordo Was fuer ein doppeltes NAT?

Stimmt habe einen Denkfehler gemacht....
es wird nur durch die PIX die Interne IP unbebogen und dann kommt der Connect schon.

Zitat von Wordo Unterstuetzt denn Client und Server ein NAT-Gateway dazwischen?

Der VPN Client unterstützt das NAT-GW

Zitat von Wordo Welchen Port/Protokoll benutzt denn der Client (Telnet vom Client auf denn Port wenn TCP).

IPSEC

Zitat von Wordo Schau mal in der PIX mit "sh logg" ob da was geblockt wird.

Das Ergebniss des Logs ist leer, weil so gut wie garnichts mitgeloogt wird.

--------------------------------------------
Aber jetzt nochmal zum Verständnis:
Ich will über die PIX eine VPN-Verbindung ( über IPSec ) zu einer anderen Netzwerk herstellen, um dort auf die Server und die Clients mit einem Remotetool zu kommen.

Die VPN-Verbindung funktioniert wenn ich mich außerhalb des Netzes hänge (Natürlich mit einer Offiziellen IP).Nur über die FW funktioniert die VPN verbindung nicht. Was muß ich auf der FW bitte einstellen damit dieses Funktioniert?

[Wordo]

Wie waere es wenn du mal die entsprechenden stellen deiner Konfiguration postest? Kann ja nur an ner ACL liegen. In 6.3.3 gibts glaub ich auch paar Bugs wegen VPN, aber nur wenn die PIX der Client ist ..

[culan]

Die PIX soll nicht der Client sein... der Soll die IPSec Pakete ja nur vernünftig Routen...
Hier die entsprechenden Auszüge aus der config.

Code:

# Service Group Mail
object-group service Mail tcp
  port-object eq smtp
  port-object eq https // Für WebAccess

# Die angeblichen Ports für das VPN
object-group service Checkpoint tcp-udp
  port-object range 264 264
  port-object range 500 500
  port-object range 2764 2764
access-list outside_access_in permit tcp any interface outside object-group Mail 
access-list inside_outbound_nat0_acl permit ip any 10.200.xxx.xxx 255.255.255.224 
access-list inside_outbound_nat0_acl permit ip any 10.200.xxx.xxx 255.255.255.240 
access-list inside_access_in permit tcp any any 
access-list inside_access_in permit udp host Server01 any eq domain 
access-list inside_access_in permit icmp any any 
access-list outside_cryptomap_dyn_20 permit ip any 10.200.xx.xxx 255.255.255.240

[loki42]

Halloele,

alles ein bischen wenig Informationen.
Wie ist denn die Netzwerktopologie?
Auf welchem Rechner wird der IPSEC-Tunnel geöffnet?
Wo sitzt das NAT-Gateway?
Welche Hardware lauscht am anderen Tunnelende?
Hast du Zugriff auf die Logfiles am Tunnelende?

Du weist wie IPSEC arbeitet?
Du weist, das IPSEC und NAT auf Kriegsfuß stehen?
NAT Traversal ist dir ein Begriff?

mfG

loki42

[culan]

>>Wie ist denn die Netzwerktopologie?
Alles IPv4 hier ist ein 10.200.x.x Netz, auf der anderen Seite ein 10.20er oder 10.30er oder 10.40er...
aber soweit bin ich noch nicht ich brauche diesen Connect zur anderen FW über die PIX...
und das dieses nur an der PIX liegt ist eindeutig...

>>Auf welchem Rechner wird der IPSEC-Tunnel geöffnet?
auf einen Lokalen mit der IP-Adresse 10.200.20.11 oder 12 (DHCP)

>>Wo sitzt das NAT-Gateway?
auf der FW (PIX)

>>Welche Hardware lauscht am anderen Tunnelende?
Das weiß ich nicht einmal, Interessiert mich auch nicht wirklich....

>>Hast du Zugriff auf die Logfiles am Tunnelende?
Nein, komme ich auchnicht einmal ran... leider

>>Du weist wie IPSEC arbeitet?
Vieleicht nicht Hundert Pro aber war da nicht etwas auf der 3 Protokoll ebene ???

>>Du weist, das IPSEC und NAT auf Kriegsfuß stehen?
Ja leider... deswegen habe ich ja das Problem...
Dazu muß ich sagen, das ich das erstemal mit einer PIX in berührung gekommen bin...

>>NAT Traversal ist dir ein Begriff?
und wie schalte ich es ein auf der PIX?