hegl
-
Gesamte Inhalte
704 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von hegl
-
-
Sry, dass ich erst jetzt zum antworten komme.
Ein Neustart hilft manchmal Wunder :) :) :)
Nochmals danke für Eure Hilfe!
hegl
-
jupp, die Leitung war was länger...
Aber das ist es auch nicht, denn die Einstellungen der site-to-site bleiben ja nach wie vor unverändert!
-
Was soll mir das nun sagen?
-
Mehrere site-to-site und einer dynamischen config für Clients mit einem transform-set funktioniert einwandfrei. Sobald ich aber ein zweites transform-set nehme kann die site-to-site nach Ablauf ihrer lifetime die SA´s nicht mehr aushandeln. Vielleicht habe ich doch ein Fehler in meiner config???
crypto ipsec transform-set XYZ esp-3des esp-sha-hmac
crypto ipsec transform-set ABC esp-aes-256 esp-sha-hmac
crypto dynamic-map TEST 10 set transform-set ABC
crypto map KNAMAP 20 ipsec-isakmp
crypto map KNAMAP 20 match address acl_for_XYZ
crypto map KNAMAP 20 set peer X.X.X.X
crypto map KNAMAP 20 set transform-set XYZ
crypto map KNAMAP 20 set security-association lifetime seconds 3600 kilobytes 4608000
crypto map KNAMAP 65535 ipsec-isakmp dynamic TEST
crypto map KNAMAP client configuration address initiate
crypto map KNAMAP client configuration address respond
crypto map KNAMAP interface outside
isakmp enable outside
isakmp key ******** address X.X.X.X netmask 255.255.255.255
isakmp identity address
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash sha
isakmp policy 10 group 1
isakmp policy 10 lifetime 28800
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption aes-256
isakmp policy 20 hash sha
isakmp policy 20 group 2
isakmp policy 20 lifetime 3600
-
Jepp, im Prinzip stimmen wir ja überein :) , nur verstehen tue ich es trotzdem nicht, woher die Unterschiede stammen, denn wie schon gesagt, bei mir läuft´s bei der manuellen config auch ohne diesen Eintrag (version 6.3.5)
schau´n wir mal was passiert, wenn ich die site-to-site fertisch habe ;)
gruß
hegl
-
Erst einmal vielen Dank.
Kann es sein, dass Du die VPN´s mit dem PDM erstellt hast?
Gerade die Client-VPN´s bereiten mir Sorge. Die vom PDM erstellte config (siehe unten) sieht nämlich anders aus, als die in den CISCO samples:
crypto ipsec transform-set SRSWNSET esp-3des esp-md5-hmac
crypto dynamic-map outside_dyn_map 20 match address outside_cryptomap_dyn_20
crypto dynamic-map outside_dyn_map 20 set transform-set SRSWNSET
So wie ich es verstehe, ziehst Du über Zeile 2 die access-list an, für die client-access ermöglicht werden soll. Genau das macht der PDM bei mir auch, konfiguriert man das aber von Hand, kriegt man eins auf die Finger und der von mir schon beschriebene SA-Error kommt. Merkwürdigerweise funktioniert das nur, wenn man mit dem PDM den Tunnel generiert :mad: :mad: :mad:
Ich hab´s gerade im Lab nochmal nachvollzogen!!!
Meine manuelle config ist analog zu Deiner, wie geasgt, ausser der Zeile 2 und es läuft auch!!! Wozu ist dann Zeile 2 gut
Werde jetzt mal die site-to-site hinzufügen, testen und nochmal kurz fedback geben.
Gruß
hegl
-
Kommt drauf an was Du machen willst - feste IPs oder dynamische IPs oder gemischt.
Gruss
Markus
Zur Zeit sind die Anforderungen so, dass ich von 3 Sites mit fester IP auf eine PIX/VPN-Gateway zugreifen möchte. Ein Tunnel läuft zur Zeit auch reibungslos. Angedacht sind 2 weitere Tunnels, aber mit unterschiedlichen transform-set, z.B.
crypto ipsec transform-set abc esp-aes-256 esp-sha-hmac
crypto ipsec transform-set abc esp-3des esp-sha-hmac
Weiterhin teste ich gerade, auch VPN-Clients, also mit dynamischen IP´s zu konnektieren. Mein Problem dabei ist, dass ich zwar den Client-Zugriff konfiguriert bekomme (mit einem anderen transform-set), aber die site-to-site nach der SA-lifetime beim Aushandeln der neuen SA keine Übereinstimmung mehr findet.
Error: SA not accetable
Lösche ich die Client-Konfiguration wieder, ist die site-to-site sofort wieder altiv!
Bei CISCO habe ich bis jetzt nur etwas mit gleichen transform-set gefunden.
Durch die unterschiedlichen Anforderungen passt das aber nicht.
Wenn jemand einen Tipp hat, wäre ich sehr dankbar!!!
Gruß
hegl
-
Hallo,
ich versuche schon seit ein paar Tagen das ganze Thema VPN zu verstehen. Bei CISCO gibt´s auch jede Menge samples, aber meisst nicht das, was man sucht. Speziell möchte ich von einer PIX aus mehrere site-to-site-Verbindungen herstellen. Gelernt habe ich dabei, dass man nicht mehrere crypto maps auf einen interface binden kann.
Nun meine Frage: Wie konfiguriere ich also mehere site-to-site auf ein interface? Gilt die Lösung dann analog auch für VPN-Clients?
Thx
hegl
-
Hiernach sollte s klappen:
Aufpassen solltest Du, wenn die andere Seite keine PIX ist, dann kann es zu Problemen kommen. Standardmäßig schickt die PIX wohl ihren FQDN mit und nicht die IP, d.h. wenn die andere Seite die IP-Adresse verlangt muss Du diese noch in einem Befehl mitgeben:
isakmp identity address
oder das entsprechende Häkchen im PDM setzen!
-
Hallo,
ein Kunde soll Daten auf einen Server in einer DMZ ablegen. Da dieser Kunde aber über keine feste IP-Adresse verfügt, müste ich diesen speziellen Port für any erlauben.
Da ich dies so aber nicht konfigurieren möchte, suche ich eine andere Lösungsmöglichkeit. Ist es nicht möglich, so etwas über dyndns zu konfigurieren?
Thx
hegl
-
Hast Du eine andere Tabelle als ich oder musst Du nur die Fettfinger von der Brille putzen - in der Zeile 506/506E steht bei mir im letzten Feld unter "Logical Interfaces" eindeutig eine "2"?
Na klasse, habe mir vor ein paar Tagen den confguide vom o.g. link runtergeladen, und in dem steht "not supported"
Und wenn ich nun den link aufrufe steht ´ne 2 :eek: :eek: :eek:
gut dass wir drüber gesprochen haben :D
-
Sowas wollte ich eigentlich auch haben. Ich hab eine 501 die kann das nicht. Du kannst VLAN's einrichten und Ports zuweisen und einen Trunk einrichten. Damit kannst du auch wiederum die 506 um noch mehr Interfaces erweitern.
Fu
Deinen Ausführungen nach ist also das data sheet richtig und die Beschreibung im conf.guide falsch?
-
Weiss jemand was richtig ist?
In der Produktbeschreibung der 506-er steht, dass sie 2 VLAN´s unterstützt:
Im configuration guide CONF auf Seite 96, Tabelle 2-6 Abschnitt 2-34 steht unter logical interfaces : not supported
Weiss jemand etwas genaueres?
Oder werfe ich da etwas durcheinander? Was ich im Prinzip benötige, sind 3 verschiedene Netze: inside, outside, dmz
Thx
hegl
-
Es gibt tatsächlich auf deer PIX einen Befehl, wo man die dem peer die IP als identifyer mitgibt:
isakmp indentity address <ip-address>
Gruß
Helmut
-
hi,
kann dir nicht wirklich helfen, da ich das problem nicht kenne.
FQDN steht für "fully qualified domain name" vielleicht hilft dir ja das weiter
-xymos.
Nein, das hilft mir in der Tat nicht weiter, da ich eine Lösung für das Problem suche!!!
-
Hallo,
beim Versuch einer VPN-Verbindung zwischen einer PIX und einer Astaro (mehr weiss ich über die Büchse nicht) meldet die Astaro, dass sie die Verbindung nicht aufbauen kann, weil sie den FQDN statt der IP-Adresse der PIX erhält.
Wie löse ich das Problem?
Helmut
-
Hallo,
kann man access-list auf einer PIX mit mac-addressen koppeln?
Also, dass man nur bestimmte mac-address zulässt?
Auch würde mich interessieren, ob man auf einen DNS-Namen statt auf IP´s access-lists setzen kann. Wäre ganz sinnvoll, wenn man mit DHCP- oder Cluster-Adressen arbeiten muss.
Thx
Helmut
-
-
Hallo,
ist es möglich pptp-clients auf einer PIX zu konnektieren und gleichzeitig auch eine site-to-site ipsec-connection aufzubauen?
pptp läuft seit Urzeiten ohne Probleme, konfiguriere ich jetzt die site-to-site hinzu schießt diese mir meine durch access-lists erlaubten Verbindungen der pptp-clients ab. Soll heissen, der Tunnel via pptp wird aufgebaut, aber ich kann auf keine Ressource mehr zugreifen. Anbei meine conf - hoffentlich hat jemand eine Idee.
access-list nonat permit ip 172.16.16.0 255.255.255.0 10.10.10.0 255.255.255.0
access-list nonat permit ip host 172.16.16.200 10.11.11.240 255.255.255.248
ip local pool pptp-pool 10.10.10.1-10.10.10.99
nat (inside) 0 access-list nonat
sysopt connection permit-ipsec
sysopt connection permit-pptp
crypto ipsec transform-set hallo esp-3des esp-sha-hmac
crypto map toXYZ 20 ipsec-isakmp
crypto map toXYZ 20 match address nonat
crypto map toXYZ 20 set peer x.x.x.x
crypto map toXYZ 20 set transform-set hallo
crypto map toXYZ 20 set security-association lifetime seconds 3600 kilobytes 4608000
crypto map toXYZ interface outside
isakmp enable outside
isakmp key ******** address x.x.x.x netmask 255.255.255.255
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash sha
isakmp policy 10 group 1
isakmp policy 10 lifetime 14400
vpdn group 1 accept dialin pptp
vpdn group 1 ppp authentication pap
vpdn group 1 ppp authentication chap
vpdn group 1 ppp authentication mschap
vpdn group 1 client configuration address local pptp-pool
vpdn group 1 client configuration dns 172.16.16.182
vpdn group 1 client configuration wins 172.16.16.200
vpdn group 1 client authentication aaa AuthInbound
vpdn group 1 pptp echo 300
vpdn enable outside
Gruß
hegl
-
Hi Thomas,
Du hast in der Tat was falsch verstanden, das nat-traversal wird auf der zentralen PIX konfiguriert und nicht auf der, die den DSL-Router ersetzt!
Gruß
Helmut
-
Ich würde sage, dass der "Standard-DSL" Router NAT-Traversal unterstützt....
Grüsse
Thomas
Hi Thomas,
die PIX unterstützt sehr wohl nat-traversal, meine Frage geht dahin, warum ich auf der Remote-PIX den Befehl eintragen muss, wenn ich vorher auch durch eine PIX ins Netz gehe. Es sieht so aus, als wäre das nat eines Standrad-DSL-Routers anders als das einer PIX
Gruß und Danke
Helmut
-
Wie Du hast eine Intel-Karte ?
Bei den aktuellen Wireless-Treibern gibt es wohl ein Problem. Lade Die mal eine aktuelle Version runter.
-Zahni
Hallo,
Treiber und Updates sind aktuell !
Es scheint sich zu bewahrheiten, dass der Windows-Client bei abgeschaltetem SSID-Broadcast des WLAN-Routers keine Verbindung mehr aufbauen kann. Der Intel-eigene Client funktioniert aber mit und ohne Broadcast !
Also, wieder was dazu gelernt :)
-
Hallo zusammen,
bin gerade auf den Befehl nat-traversal gestossen.
Ich hatte das Problem, dass ich als HomeOfficeUser über einen DSL-Router mit meinem IP-Sec-Client eine Verbindung zu dem Firmen-VPN-Gateway (PIX 500er Series) aufbauen und die freigegeben Ressourcen nutzen kann, mit dem gleichen Rechner hinter einer anderen PIX zwar die VPN-Verbindung zu Stande kam, ich aber auf keine Ressource zugreifen konnte. Nach Konfiguration von nat-traversal auf dem VPN-Gateway läuft dies jetzt auch.
Durch googeln habe ich einiges über den Befehl rausbekommen, klar ist mir aber immer noch nicht, warum es hinter einem "Standard-DSL-Router" ohne nat-traversal funktioniert, hinter einer anderen Firewall - hier auch eine PIX - eben nur mit dem Befehl.
Nach meinem Verständnis mache ich sowohl über den DSL-Router, als auch über die PIX natting, da ich hinter beiden private Netze habe. Offensichtlich scheint es da aber doch einen Unterschied zu geben - welchen???
-
Habe sowohl SP2 und das angesprochene Update bereits installiert :mad:
Ein Kollege meinte jetzt schon mal gehört zu haben, dass der Windows-Client ohne den SSID nicht auskommt. Kann das jemand bestätigen?
Werde auf jeden Fall mal den IntelPro-Client testen - schau´n wir mal.
Helmut
PIX, dhcprelay mit vpn
in Cisco Forum — Allgemein
Geschrieben
Hallo,
hat schon mal jemand erfolgreich versucht die dhcprelay-Funktion der PIX zu konfigurieren?
Ziel ist es, aus dem LAN (direkt am interface inside) eine Adresse eines DHCP-Servers zu erhalten, der in einer anderen Lokalität steht und über eine site-to-site Verbindung zu erreichen sein soll. Beim dhcp-request wird der Tunnel auch aufgebaut, am anderen vpn-peer kommt aber der request schon nicht an. Angeblich soll das Problem mit der Version 6.3.5 behoben sein, aber funktionieren tut es bei mir nicht. Folgende Befehle habe ich verwendet:
access-list 100 permit ip A.B.C.D SUBNET host DHCP-SERVER
dhcprelay server DHCP-SERVER outside
dhcprelay enable inside
dhcprelay timeout 30
Ein ping mit einer statischen IP auf den DHCP-Server klappt - also Tunnel und Routen scheinen ok zu sein.
Für einen Tipp wäre ich dankbar.
hegl