PIX501 und VPN

[Stephan-Wild 10]

Hallo Gemeinde,

 

Ich habe eine PIX501 (6.3(4)) als VPN-Gateway zugelegt. Vor der PIX hängt ein Netgear Router, der mich ins Internet bringt und vorallem DynDNS kann. Ich habe die PIX jetzt soweit konfiguriert, dass eine VPN-Einwahl möglich ist (zumindest von intern). Jetzt habe ich in dem Netgear Portforwading mit den Ports 1701, 1723, 500, 10000, 50 auf die PIX aktiviert. Ich bekomme aber keinen VPN-Tunnel über den Cisco VPN-Client zustande hat jemand einen Tip für mich?

 

Gruß

 

 

Stephan

[hegl 10]

Du musst ESP (Protokoll-Nr. 50) und ISAKMP (UDP/500) erlauben, dann sollte es klappen.

Nutzt Du AH (Protokoll-Nr. 51) musst Du auch dieses freischalten.

[mturba 10]

Und wenn du NAT-Traversal verwendest, solltest du auch noch udp/4500 freischalten... beachte bitte, dass für ESP tatsächlich IP-Protokoll Nr. 50 freigeschaltet werden muss, nicht etwa tcp/50 oder udp/50. Bei günstigeren Routern findet man diese Funktionalität meist unter dem Begriff IPSec-Passthrough.

[Stephan-Wild 10]

Hallo danke für die Antworten.

Ich habe leider keine Einstellung im Netgear gefunden, in dem Ich IP port 50 freischalten kann. Leider klappt das immer noch nicht :-((

 

Stephan

 

Edit:

Hier die Fehlermeldung, die der Client (nur von extern) ausgibt:

 

15 16:57:17.359 12/18/06 Sev=Warning/3 IKE/0xE3000056

The received HASH payload cannot be verified

 

16 16:57:17.359 12/18/06 Sev=Warning/2 IKE/0xE300007D

Hash verification failed... may be configured with invalid group password.

 

17 16:57:17.359 12/18/06 Sev=Warning/2 IKE/0xE3000099

Failed to authenticate peer (Navigator:904)

 

18 16:57:17.359 12/18/06 Sev=Warning/2 IKE/0xE30000A5

Unexpected SW error occurred while processing Aggressive Mode negotiator:(Navigator:2202)

 

Was sagt mir das ?

 

 

Stephan

[Wordo 11]

Poste doch mal bitte die Modellnummer von dem Ding ...

[Stephan-Wild 10]

Die PIX ist ne 501 (6.3(4))

und der Netgear ist ein WRG614v4

 

Stephan

[Wordo 11]

Hm, also der kann ipsec pass-through, aber in der Doku steht nicht viel. Kannst du beim Portforwarding nur TCP/UDP angeben oder auch noch mehr?

[Stephan-Wild 10]

Weder noch. Ich kann nur die Portnummer auf eine bestimmte IP zu forwarden.

 

Stephan

[Wordo 11]

Dann kann er nur ausgehende Verbindungen damit handhaben. Dann mach mal UDP Port 500 und 4500 auf die PIX. Und dort muss NAT-Traversal aktiviert sein (bei 6.3.4 glaub ich Standard)

[Stephan-Wild 10]

Entschuldige bitte,

Ich bin erst am Anfang mit Cisco Firewall. Wie schalte ich die Ports frei?

[Wordo 11]

Nene, du musst auf dem Netgear sagen er soll ein Portforwarding fuer die Ports UDP/500 und UDP/4500 auf die IP der PIX machen.

[Stephan-Wild 10]

Entschuldige die späte Antwort,

Die Ports sind frei. ich kann aber dem Netgear nicht sagen, dass IP Port 50 ebenfalls auf die PIX geforwarded werden soll.

[mturba 10]

Hab mir grad mal die Anleitung zum WGR614v4 durchgelesen, der scheint kein IPSec-Passthrough zu unterstützen. Von Netgear als Lösung vorgeschlagen wird folgendes:

 

Disable SPI Firewall

Normally, this option should be Enabled, so that your local network will be protected by the

Stateful Packet Inspection (SPI) firewall included in the WGR614 v4. However, certain

communications functions like VPN may require turning off the SPI feature.

 

Na, ob das so sinnvoll ist... prinzipiell sollte es aber auch mit Nat-Traversal funktionieren, wenn du udp/500 und udp/4500 zur PIX forwardest sowie entsprechend beim VPN-Client "Transparent Tunneling (IPSec over UDP)" konfigurierst.