Zum Inhalt wechseln


Foto

Problem mit Pixen(VPN)


  • Bitte melde dich an um zu Antworten
43 Antworten in diesem Thema

#16 Data1701

Data1701

    Board Veteran

  • 1.679 Beiträge

 

Geschrieben 29. März 2006 - 10:45

Yo, die Interfaces sind down.

interface ethernet1 no shutdown (Glaube ich)
interface ethernet0 no shutdown

Inside-Adresse der PIX: 192.168.30.1.

Nachdem die Interface nicht mehr down sind, kann man das PDM über Https://192.168.30.1 erreichen.

Deutsch bei Cisco, du scherzt. Eher nicht. Es gibt zwar ein paar Dokus, die sind aber handverlesen.

Gruß Data
MCSA 2000 - MCSE 2000 - MCSA 2003 - MCSE 2003 - CCNA pending

Die Ursache für 90% der Fehlermeldungen befindet sich 60cm vor dem Bildschirm - ISO/OSI Level 8 Error

#17 Pixer

Pixer

    Newbie

  • 35 Beiträge

 

Geschrieben 29. März 2006 - 10:54

Ich habe das jetzt mit dem shutdown so gemacht wie ihr das gesagt habt aber das bringt nichts.
Die beiden Pixen können sich nicht anpingen und nichts.
hättet ihr vielleicht noch mehr tipps????

Die Pix2 macht auch noch eine fehlermeldung wenn man sie neu startet.

Pix2>
Cannot select private key

liegt es vielleicht dadran?

#18 Data1701

Data1701

    Board Veteran

  • 1.679 Beiträge

 

Geschrieben 29. März 2006 - 11:17

Bist Du im enable-Modus.

Hast Conf T eingegeben ?

Cannot select private key

Könnte sein dass man einen neuen cryptokey generieren muss, aber zuerst sollten ja mal die Pixen erreichbar sein.

Hast Du eine IP aus dem gleichem Netz ?

Gruß Data

Nachtrag:

Versuch mal im enable Modus:

conf interface ethernet1 (Enter)
no shutdown

PS: Kommen Fehlermeldungen bei der Konfiguration hoch ?
MCSA 2000 - MCSE 2000 - MCSA 2003 - MCSE 2003 - CCNA pending

Die Ursache für 90% der Fehlermeldungen befindet sich 60cm vor dem Bildschirm - ISO/OSI Level 8 Error

#19 s21it21

s21it21

    Member

  • 166 Beiträge

 

Geschrieben 29. März 2006 - 11:30

Hallo,

Entschuldige bitte, aber ohne gute Englischkenntnisse und ohne gute PIX-Kenntnisse gleich ein VPN aufzubauen ist nicht ganz einfach und (so finde ich) der falsche Weg.

Du kannst nicht erwarten, dass Du hier Deine Konfig postest und sofort die Lösung bekommst. Ich weiss die Cisco-Dokus sind mühlselig, aber lies Dir das doch trotzdem mal durch. Die VPN-Dokus dazu (also für die PIX) sind sehr gut und sehr anschaulich erklärt. Gerdade die PIX ist ein teilweise eigenartiges Device und nicht ganz einfach zu bedienen. Um dann noch ein VPN (via CLI und ohne den beschxxx PDM) richtig zu machen (ohne die dazu benötigten Grundlagen zu haben) ist nicht sehr einfach.

Nimm das nicht persönlich, ich weiss in unserer Branche wird schnell einfach mal drauf los geklickt und probiert. Aber gerade bei VPNs und der PIX ist das der etwas falsche Weg.

Lade Dir mal die VPN-Howtos bei Cisco runter. Da wird auch das nötige Hintergrundwissen vermittelt. Und dann verstehst Du auch, warum das so konfiguriert wird. Das bring dir viel mehr, als einfach die fertige Lösung ins CLI reinzukopieren...Denn Troubleshooten solltest Du das ganze ja auch mal.

Um ein VPN auch sinnvoll zu analysieren mache Dich mit dem DEBUG Befehl vertraut. Gerade bei VPNs kommt es darauf an wo es hakt (Phase 1, 2) bzw. welche Log-Meldungen BEIDE Firewalls ausspucken.


LG
Martin
-----------------------------
IT-Security-Consultant
Checkpoint, CiscoPIX,IDS/IPS (ISS),Radware
Penetration-Tests,etc.
Checkpoint-Zertifiziert

#20 Pixer

Pixer

    Newbie

  • 35 Beiträge

 

Geschrieben 29. März 2006 - 11:37

Internet-->Pix 1(192.168.30.1 inside)-->switch-->(192.168.20.1 outside)Pix2(192.168.1.1 inside)-->PC

so sind die Ip's.

#21 Data1701

Data1701

    Board Veteran

  • 1.679 Beiträge

 

Geschrieben 29. März 2006 - 11:54

Da kann ich s21it21 eigenlich nur recht geben.

Welche Kentnisse bringst Du denn mit Pixer. Ist Name Programm, wohl eher nicht ;) .

Hast Du schon eimal Ciscodevice konfiguriert ?

Gruß Data
MCSA 2000 - MCSE 2000 - MCSA 2003 - MCSE 2003 - CCNA pending

Die Ursache für 90% der Fehlermeldungen befindet sich 60cm vor dem Bildschirm - ISO/OSI Level 8 Error

#22 Pixer

Pixer

    Newbie

  • 35 Beiträge

 

Geschrieben 29. März 2006 - 12:41

Ich habe mit Cisco Routern gearbeitet. Aber ich habe das mit den vpns bis jetzt nur theoretisch gehabt.
ich kann ihn verstehen aber wenn jemand n Problem hab was ich lösen könnte würd ich ja acuh versuchen ihm zu helfen wenn ich zeit hät

#23 Wordo

Wordo

    Board Veteran

  • 3.213 Beiträge

 

Geschrieben 29. März 2006 - 12:57

Deine Infos sind halt relativ duerftig, und Eigeninitiative is auch eher n Fremdwort. Also was mit noch aufgefallen ist. Bei PIX1 ist Outsite IP dhcp setroute und bei PIX2 ist extern eine private IP (x.x.20.x). Wenn jetzt bei PIX1 extern x.x.30.x extern ist fehlt bei beiden ja das Default Gateway. Koennen sich den die PIXen gegenseitig pingen (ohne VPN)?

#24 Pixer

Pixer

    Newbie

  • 35 Beiträge

 

Geschrieben 29. März 2006 - 13:02

ne das mit dem ping klappt nicht. Ich habe keine ahnung warum ich hab mir mehrer konfigs im netz angesehen und da stand bei das klappt, alles ausprobiert aber nichts davon klappt bei mir.

#25 Data1701

Data1701

    Board Veteran

  • 1.679 Beiträge

 

Geschrieben 29. März 2006 - 13:16

Sind denn mitllerweile die Interface up ?

Router ungleich Firewall, was einige IOS bzw. PIX-OS-Befehle angeht.

Ich würde ersteinmal zusehen, dass die Pix übers PDM zu erreichen ist, bzw. alle Interface ab sind. Dann geht es weiter.

Ein paar Wort dürfen es schon mehr Pixer. Du hast eine Tastatur und bist der deutschen Sprache mächtig. Wie man in den Wald reinruft so schallt es auch wieder raus ;) .

Gruß Data
MCSA 2000 - MCSE 2000 - MCSA 2003 - MCSE 2003 - CCNA pending

Die Ursache für 90% der Fehlermeldungen befindet sich 60cm vor dem Bildschirm - ISO/OSI Level 8 Error

#26 s21it21

s21it21

    Member

  • 166 Beiträge

 

Geschrieben 29. März 2006 - 13:26

Hallo,

Ich helfe gerne. Aber wie schon gesagt wurde, Deine Angaben zum Fehlerbild sind recht wenig. Dein Post klingt eher so nach dem Mott "..ich will das...ich schaffe es nicht..bitte macht es mir..danke" (vielleicht habe ich Dich auch falsch verstanden).

Damit ich auch was produktives beitrage:

Schaue mal zu aller erst, dass sich die zwei Pixen OHNE VPN unterhalten (=pingen) können.

So wie Du das netzwerktechnisch aufbaust, würde ich das sowieso nicht machen.

So ist es ein wenig einfacher (vor allem auch deswegen, weil das SEC-Modell der PIX etwas "eigen" ist --> sprich das interne LAN unterliegt einer höheren Security-Stufe als das externe. So wie DU das machst, könnten sich dann ganz andere Probleme ergeben (und das ist das was ich gemeint habe, schaue Dir die PIX mal grundsätzlich an und dann mache ein VPN). Aber egal.

Ich würde das so aufbauen:

Laptop 1 (simuliert fremdes LAN) ----- inside-PIX1-outside---------"INTERNET"-----outside-PIX2-inside------Laptop2 (simuliert eigenes LAN).

So schaue, dass das mal so funktioniert (ping von PIX1 nach PIX2 und UMGEKEHRT).
Dieser Aufbau ist viel realistischer als Deiner (=klassisches Site-to-Site-VPN).

Genau diese Teststellung entspricht auch den Vorraussetzungen der ganzen Cisco-DOKs.
Nun aktivierst Du den PDM (wie das geht kannst du in der quick-doku lesen).

So und JETZT kannst Du mit dem PDM ein simples Site-to-Site-VPN einrichten. Jetzt kannst Du Dir die Konfig via CLI anschauen und die Syntax studieren.

Wenn alles geklappt hat, kannst Du vom Laptop 1 den Laptop2 durchs VPN pingen!

Von dem aus kannst Du dann die gesamte Konfig an passen und erweitern.

So sehe ich das.

LG

Martin
-----------------------------
IT-Security-Consultant
Checkpoint, CiscoPIX,IDS/IPS (ISS),Radware
Penetration-Tests,etc.
Checkpoint-Zertifiziert

#27 Pixer

Pixer

    Newbie

  • 35 Beiträge

 

Geschrieben 29. März 2006 - 13:41

Die schnittstellen sind jetzt soweit richtig eingestellt. Der Aufbau wurde mir so vorgegeben. deine Lösung habe ich auch schon öfter gesehen und sie versucht auf meine abzuleiten das ging leider schief. Ich habe auch schon viel gegoogelt und in die unterlagen von cisco geschaut. wie gesagt ich habe es eigendlich gemacht wie die von cisco und denke das eher ein kleiner denkfehler vorhanden ist und nicht das ganze prinzip falsch.

mfg Pixer

#28 Data1701

Data1701

    Board Veteran

  • 1.679 Beiträge

 

Geschrieben 29. März 2006 - 13:44

Ich klinke mich aus Pixer.

Entweder Du schreibst etwas mehr zu Deinem Problem, oder Du bekommst keine Hilfe.

Die schnittstellen sind jetzt soweit richtig eingestellt



Was darf man denn darunter verstehen ?

Gruß Data
MCSA 2000 - MCSE 2000 - MCSA 2003 - MCSE 2003 - CCNA pending

Die Ursache für 90% der Fehlermeldungen befindet sich 60cm vor dem Bildschirm - ISO/OSI Level 8 Error

#29 Wordo

Wordo

    Board Veteran

  • 3.213 Beiträge

 

Geschrieben 29. März 2006 - 13:46

Beschreibe doch mal deine "Vorgaben"! Wuerde mich mal interessieren ...

#30 s21it21

s21it21

    Member

  • 166 Beiträge

 

Geschrieben 29. März 2006 - 14:20

Hallo,

Sorry, ohne genauere Fehlerbeschreibung kann Dir hier keiner helfen (oder es dauert sehr lange). Schreibe bitte mal geordnet was geht und was eben nicht.

1) Können sich die zwei Pixen pingen
2) Funktioniert der PDM schon? Wenn nein, welchen Fehler bekommst Du?
3) Welche Fehlermeldung bekommst DU beim VPN-Aufbau (den Du ja schon versucht hast)?
4) Hast Du debug/syslog-Meldungen für uns?

Sorry, aber Du gehst auch nicht zum Automechaniker und sagst, dass das Auto nicht fährt. Wie es sich verhält oder was passiert ist, sagst Du aber nicht.

LG
Martin
-----------------------------
IT-Security-Consultant
Checkpoint, CiscoPIX,IDS/IPS (ISS),Radware
Penetration-Tests,etc.
Checkpoint-Zertifiziert