Wordo

Mich wuerde mal das Log auf der Linux interessieren, ist bestimmt FreeSwan oder OpenSwan.

Willst du die oeffentliche (echte?!) IP vom Rechner ansprechen oder ein NAT auf der PIX machen? Eine ACL und ne Route sollte da eigentlich reichen (PIX bin ich nicht so routiniert)

Das ist bestimmt SYBEX Spam! :P

Du musst die ACL 23 mit der externen IP erweitern mit der du verwalten willst. Aber erst auf dem line vty die access-group entfernen, ACL erweitern, schaun ob alles ok ist, dann wieder einfuegen. Gib mal "ip http secure-server" ein ... wenns geht, dann ein "write". Dann sollte schon dastehen "Activating SSH 1.99" blabla ...

conf t line vty 0 4 password <passwort> login exit

Heisst das nicht "ppp pap sent-username XXX password XXX" ? Mach mal ein: deb ppp auth deb ppp neg deb atm er deb atm ev deb pppoe er deb pppoe ev Dann "ter mon" Und posten bitte ...

Nene, du musst auf dem Netgear sagen er soll ein Portforwarding fuer die Ports UDP/500 und UDP/4500 auf die IP der PIX machen.

Dann kann er nur ausgehende Verbindungen damit handhaben. Dann mach mal UDP Port 500 und 4500 auf die PIX. Und dort muss NAT-Traversal aktiviert sein (bei 6.3.4 glaub ich Standard)

Hm, also der kann ipsec pass-through, aber in der Doku steht nicht viel. Kannst du beim Portforwarding nur TCP/UDP angeben oder auch noch mehr?

Poste doch mal bitte die Modellnummer von dem Ding ...

Oder sie stellen dir ein Zertifikat zur Verfuegung, aber dann haben die alles an der Backe ;)

Da bleibt doch die Skalierbarkeit der Zeritifikate auf der Strecke! Da kannst du auch PSK's nehmen. Nene, eine CA, die erstellt fuer alle Zertifikate und jeder Router vertraut dem Zertifikat von der einen CA. Fuer Feintuning kannste dann noch nur bestimmte CN's oder so zulassen (z.B. fuer oeffentliche CA's). Steht aber auch alles in dem Buch ;)

Ich glaub da ist ein Denkfehler drin. Du hast eine CA, die laeuft auf Windows. Dann hast du ne Linux mit eigenem Zertifikat und Root Zertifikat von der CA. Jetzt darf jeder, der von der CA ein signiertes Zertifikat hat ein VPN zur Linux aufbauen. Du musst da nix auf die Linux kopieren (von der Cisco).

conf t int atm0 pvc 8/48 -> dann die 2 Kommandos

Mach lieber nen debug auf der CLI, da bekommste mehr Infos als die paar Vorschlaege an was es denn liegen koennte .. EDIT: Siehst du den Client in den IIS Logs?

Du musst dem ATM0 noch die dialer Gruppe zuordnen. interface ATM0 no ip address no ip mroute-cache atm vc-per-vp 64 no atm ilmi-keepalive dsl operating-mode auto pvc 8/48 encapsulation aal5mux ppp dialer dialer pool-member 1 EDIT: Die letzten 2 Kommandos sind unterhalb von pvc 8/48 einzugeben

1/32 = Telekom DSL 8/35 = Arcor DSL

So laeufts ueber Telnet/SSH ...

Du kannst fuer Clients keinen match machen weil das transport ist und nicht tunnel. Probier das heut abend mal mit den keyrings und dem profile.

Hm ... gut, dann wuerd ich doch ein eigenes Profile und eigenen Keyring macht und ins Profile noch den PSK mit selbigen Peer wie dem match eintragen. Ansonsten siehts gut aus. Mach mal n debug auf isakmp, da muss doch dann der Fehler drinstehn.

Stimmt, aber muessen dann die Netze von Netgear und vpnclientpool nicht auch da rein? Machst du den debug vom "Client"-Cisco?

Du machst ein NAT auf eine Route MAP die vom SDM als IPSec deklariert wurde??? Also ... entweder alles per Hand, oder alles SDM. Und post doch bitte dann die GANZE config. Von mir aus schicks mir wenns nicht jeder sehen soll.

Link posten bitte :D

Also ich hab Standard, und er bietet mir es auch an den zu installieren, von daher sollte das eigentlich schon gehen. Aber Windows zaehlt nicht zu meinen Staerken.

Wozu ueberhaupt das Profil und den Keyring?