culan

Hatte schon gesucht aber nichts großartig gefunden. PS: oder wie ich eine Alte konfig komplett zurücksichere?

Hallo Leutz, brauche dringent Hilfe, kann die PIX nicht komplett Reseten.... Ich muß aber die Ganzen VPN geschichten von der FW löschen per Console (SSH), da das Webinterface nicht mehr funktioniert. Gibt es da irgendwelche Doku drüber, wie man Cryptomaps & isakmp sachen runterschmeißt ? Gruß Culan

>>Wie ist denn die Netzwerktopologie? Alles IPv4 hier ist ein 10.200.x.x Netz, auf der anderen Seite ein 10.20er oder 10.30er oder 10.40er... aber soweit bin ich noch nicht ich brauche diesen Connect zur anderen FW über die PIX... und das dieses nur an der PIX liegt ist eindeutig... >>Auf welchem Rechner wird der IPSEC-Tunnel geöffnet? auf einen Lokalen mit der IP-Adresse 10.200.20.11 oder 12 (DHCP) >>Wo sitzt das NAT-Gateway? auf der FW (PIX) >>Welche Hardware lauscht am anderen Tunnelende? Das weiß ich nicht einmal, Interessiert mich auch nicht wirklich.... >>Hast du Zugriff auf die Logfiles am Tunnelende? Nein, komme ich auchnicht einmal ran... leider >>Du weist wie IPSEC arbeitet? Vieleicht nicht Hundert Pro aber war da nicht etwas auf der 3 Protokoll ebene ??? >>Du weist, das IPSEC und NAT auf Kriegsfuß stehen? Ja leider... deswegen habe ich ja das Problem... Dazu muß ich sagen, das ich das erstemal mit einer PIX in berührung gekommen bin... >>NAT Traversal ist dir ein Begriff? und wie schalte ich es ein auf der PIX?

Die PIX soll nicht der Client sein... der Soll die IPSec Pakete ja nur vernünftig Routen... Hier die entsprechenden Auszüge aus der config. # Service Group Mail object-group service Mail tcp port-object eq smtp port-object eq https // Für WebAccess # Die angeblichen Ports für das VPN object-group service Checkpoint tcp-udp port-object range 264 264 port-object range 500 500 port-object range 2764 2764 access-list outside_access_in permit tcp any interface outside object-group Mail access-list inside_outbound_nat0_acl permit ip any 10.200.xxx.xxx 255.255.255.224 access-list inside_outbound_nat0_acl permit ip any 10.200.xxx.xxx 255.255.255.240 access-list inside_access_in permit tcp any any access-list inside_access_in permit udp host Server01 any eq domain access-list inside_access_in permit icmp any any access-list outside_cryptomap_dyn_20 permit ip any 10.200.xx.xxx 255.255.255.240

Stimmt habe einen Denkfehler gemacht.... es wird nur durch die PIX die Interne IP unbebogen und dann kommt der Connect schon. Der VPN Client unterstützt das NAT-GW IPSEC Das Ergebniss des Logs ist leer, weil so gut wie garnichts mitgeloogt wird. -------------------------------------------- Aber jetzt nochmal zum Verständnis: Ich will über die PIX eine VPN-Verbindung ( über IPSec ) zu einer anderen Netzwerk herstellen, um dort auf die Server und die Clients mit einem Remotetool zu kommen. Die VPN-Verbindung funktioniert wenn ich mich außerhalb des Netzes hänge (Natürlich mit einer Offiziellen IP).Nur über die FW funktioniert die VPN verbindung nicht. Was muß ich auf der FW bitte einstellen damit dieses Funktioniert?

Ja mache ich, aber durch das NAT wird ja die IPadresse nach außen hin umgbogen und es ist dann keine 10er adresse mehr. Es muß an irgendeine Einstellung an der PIX liegen jedenfalls meiner Meinung nach.

Hallo Leutz, ich brauche einen ansatz woran es lieben kann. Hard und Software: Cisco PIX Firewall Version 6.3(3) Cisco PIX Device Manager Version 3.0(1) Hardware: PIX-501 VPN -Client: CheckPoint NGXR60 Connect über IPSEC Problemstellung: ich soll aus dem internen 10.x.x.x netz eine VPN-Verbindung über die PIX FW zu einen anderen Netzwerk machen. Wenn ich die Verbindung mit einer Externen IP-adresse iniziiert Funktioniert es wunderbar. Habe ich aber eine Interne IP (z.B. 10.200.x.x), bekomme ich nicht mal ein Connect Zustande. Versuch: habe auch von dieser internen zu der anderen FW(IP-Adresse) alles freigeschaltet (allow all) und trotzdem möchte der VPN-Client sich nicht Connecten. Mir ist klar das es an dem doppelten NAT(ten) beziehungsweise an der Paketgröße liegen muß. Hat irgendjemand noch eine Idee wo ich ansetzen kann dieses Problem zu beheben? Gruß Culan