VPN Problem

[onedread 10]

Hi

 

Foglendes Problem ich hab einen neuen Tunnel für Mobile User angelegt. Die nur eine telnet session auf eine IP in unserem LAN ereichen sollen.

 

Ich kann mich auch anmelden das funktioniert ohne probleme

 

dann habe ich in die Access-liste VPN_NO_NAT permit tcp host 10.10.10.100 172.16.84.0 255.255.255.0 eq 23 hinzugefügt und mit nat (inside) 0 VPN_NO_NAT gebunden

 

weiters habe ich noch eine ACL VPN-PAL angelegt wo ich ebenfalls den oben angeführten befehl adaptiert habe.

 

das geht nicht

 

wenn ich aber bei entweder bei der VPN_NO_NAT oder VPN-PAL die permit ip host 10.10.10.100 172.16.84.0 255.255.255.0 hinzufüge kann ich es machen das will ich aber nicht ich will wirklich rein nur telnet und lpr durch den tunnel lassen was kann denn hier der Fehler sein bitte.

 

 

Im log ist gestanden wie nur die tcp acl gebunden waren

 

2007-03-28 17:50:30 Local7.Error 10.10.10.7 Mar 28 2007 17:38:51: %PIX-3-305005: No translation group found for tcp src outside:172.16.84.1/1645 dst daten:10.10.10.100/23

 

any ideas?

 

thx

onedread

[hegl 10]

Hi,

vor diesem Problem stehe ich eigentlich auch, habe es nur noch nicht geschafft, etwas zu testen. M.E. musst Du eine NAT-ACL und eine Policy-ACL konfigurieren. In der NAT-ACL sagst du, welche IP durch den Tunnel darf und mit der Policy-ACL sagtst Du dann, was die IP darf!

[onedread 10]

HI

 

ok das hast in der VPN_NO_NAT die an nat (inside) 0 VPN_NO_NAT gebunden wird, steht der Eintrag permit ip host 10.10.10.100 172.16.84.0 255.255.255.0

 

und dann leg ich noch eine ACL oder mach ich das mit der ACL die ich beim vpngroup split-tunnel mappe?

 

das ist eigentlich was ich nicht weiß

 

 

was macht eigentlich der Befhel split-tunnel beim vpngroup Befehl.

 

thx

onedread

[hegl 10]

laut command reference:

 

Use the vpngroup split-tunnel command to enable split tunneling on the PIX Firewall. Split tunneling

allows a remote VPN client or Easy VPN Remote device simultaneous encrypted access to the corporate

network and clear access to the Internet. Using the vpngroup split-tunnel command, specify the

access list name to which to associate the split tunnelling of traffic. With split tunnelling enabled, the

PIX Firewall downloads its local network IP address and netmask specified within the associated

access list to the VPN client or Easy VPN Remote device as part of the policy push to the client. In turn,

the VPN client or Easy VPN Remote device sends the traffic destined to the specified local PIX Firewall

network via an IPSec tunnel and all other traffic in the clear. The PIX Firewall receives the

IPSec-protected packet on its outside interface, decrypts it, and then sends it to its specified local

network.

If you do not enable split tunneling, all traffic between the VPN client or Easy VPN Remote device and

the PIX Firewall is sent through an IPSec tunnel. All traffic originating from the VPN client or Easy

VPN Remote device is sent to the PIX Firewall’s outside interface through a tunnel, and the client’s

access to the Internet from its remote site is denied.

Regardless of whether split tunneling is enabled, VPN clients and Easy VPN Remote devices negotiate

an IPSec tunnel to the PIX Firewall unit’s IP address with a netmask of 255.255.255.255.

[onedread 10]

HI

 

d.h. also das die access-liste beim nat 0 statement den vpn clients die route gibt. der split-tunnel sagt dann welcher traffic wohin verschlüsselt wird und welcher nicht. und dann brauch ich also noch eine weitere ACL die sagt was die Clients aus den VPN's dürfen und was nicht? Wohin muss ich dann diese ACL binden? Oder muss diese ACL nur vorhanden sein.?

 

onedread

[hegl 10]

So, ich habe mir gerade mal ein paar Minuten Zeit genommen und es getestet:

 

1. Du benötigst einen ACL für den Taffic im Tunnel

 

2. Für diese IP´s machst Du idealerweise auch ein NAT 0 mit entsprechender ACL

 

3. Willst Du nun Zugriffsregeln implementieren, machst Du eine weitere ACL, die Du mit der access-group auf das interface bindest.

 

4. Mit

vpn-group <group-name> split-tunnel <access-list>

sagst Du dann, dass nur für die unter 1. bzw. 2. beschriebene Traffic ein Tunnel erzeugt wird. Alles andere geht an Deinem Gateway unverschlüsselt seine Wege.

 

Du siehst in den Route Details der Statistic des VPN-Clients dann, für welche IP´s der Tunnel gilt.

[onedread 10]

HI

 

auf was für ein Interface soll ich bitte die ACL binden ich kann nur pro Interface eine ACL, bindne und die hab ich schon gebundne.

 

Also wenn ich nun eine ACL schreibe die den VPn Tunnel eine Zugriffsberechtigung gibt muss ich ich die dann ans inside oder outside tunnel binden?

 

Bzw. kann ich einfach der ACl die schon ans dementsprechnde Inside gebunden ist einfach mit der Regel adaptieren.

 

thx onedread

[hegl 10]

Du must halt die ACL so wählen, dass sie zu der access-group passt!

[onedread 10]

das versteh ich jetzt nicht ganz. kann ich die acl für die vpns nicht einfach zu der acl hinzufügen die schon am interface gebunden ist. achja und welche interface muss ich das aufm inside oder aufm outside machen und muss ich dann zuerst die ip's der vpn clients oder die ip von den lan clients angeben?

 

 

irgendwie hab ich auch bei cisco für sowas noch nichts gefunden.

 

ciao onedread

[hegl 10]

kann ich die acl für die vpns nicht einfach zu der acl hinzufügen die schon am interface gebunden ist.

 

jenau

 

achja und welche interface muss ich das aufm inside oder aufm outside machen und muss ich dann zuerst die ip's der vpn clients oder die ip von den lan clients angeben?

 

siehe dein früheres posting

 

 

Bzw. kann ich einfach der ACl die schon ans dementsprechnde Inside gebunden ist einfach mit der Regel adaptieren.

 

jenau

[onedread 10]

he hegl

 

hast du das nun schon bei der Konfig hinbekommen das nur bestimmter traffic durch darf?

 

bin leider noch nicht weit gekommen.

 

Noch ne Frage wenn ich mich per vpn anmelde bei meiner pix, mit welchem befehl kann ich freischalten das ich dann über ssh lokal auf die pix zugreifen darf, kann.

 

thx

onedread