dkemper 10 Geschrieben 22. August 2004 Melden Teilen Geschrieben 22. August 2004 Hallo zusammen! Ich habe da so ein kleines Problem mit unsere CISCO PIX 515E Firewall: Hinter dieser Firewall befinden sich mehrere Windows 2003 VPN Server mit denen sich unsere Clients und Notebooks der Aussendienstler für eine SQL Datenbankreplikation verbinden sollen. Die Verbindung zu den Servern wird auch bis zu dem Zeitpunkt einwandfrei hergestellt, bis das Kennwort und der Benutzername verifiziert werden soll. Dabei meldet der Client dann, den Fehler 721: 721 Die Verbindung konnte nicht hergestellt werden, weil der Remotecomputer die Verbindungsanforderung nicht beantwortet hat. Versuchen Sie Folgendes: Überprüfen Sie, ob das Modem funktionsbereit ist. Weitere Informationen finden Sie unter Problembehandlung bei Modems. Vergewissern Sie sich, dass TCP/IP installiert und für diese Verbindung ordnungsgemäß konfiguriert ist. Weitere Informationen finden Sie unter Verwenden von PPP für Internetverbindungen. Für diese Verbindung ist möglicherweise ein Terminalfenster erforderlich. Weitere Informationen zum Aktivieren eines Terminalfensters finden Sie unter So verwenden Sie das Terminalfenster zum Anmelden an einem Remotecomputer. Vergewissern Sie sich beim Versuch, eine Verbindung zu einem virtuellen privaten Netzwerk (VPN) herzustellen, dass der Hostname oder die IP-Adresse des Zielservers stimmen; versuchen Sie erneut, die Verbindung herzustellen. Zum Überprüfen dieser Informationen klicken Sie mit der rechten Maustaste auf die Verbindung, klicken Sie auf Eigenschaften, und gehen Sie die Informationen auf der Registerkarte Allgemein durch. Diese ganzen Einstellungen habe ich geprüft und konnte keine Fehler feststellen. Ausserdem funktioniert ja auch die Verbindung zu den Server über das interne Netz was ja die korrekte Funktion der Server darstellt. Das einzige was ich mir vorstellen könnte ist, daß der Server die Verbindung annimmt und auch auf die Authentifizierungsanforderung antworten möchte, diese Antwort aber von der Firewall aufgrund von irgendwelchen geblockten Ports verhindert. Ich habe bisher folgende Ports freigeschaltet (es soll PPTP verwendet werden): - 47 GRE - 1723 PPTP - 464 LDAP (für die Active Directory anfrage) - 389 Kerberos (für die Authentifierung mit AD) Eigentlich sind die Ports 464 und 389 ja überflüssig da ja MS CHAP v2 verwendet wird. Allerdings weiss ich auch nicht welche Ports von MS CHAP (v2) verwendet werden. Hat vielleicht von euch noch jemand Ahnung woran der Fehler liegen könnte??? Danke und Gruss Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 22. August 2004 Melden Teilen Geschrieben 22. August 2004 Zieh gir 'mal folgenden Link rein, vielleicht hilft's http://www.mcseboard.de/showthread.php?s=&threadid=40058 Zitieren Link zu diesem Kommentar
dkemper 10 Geschrieben 22. August 2004 Autor Melden Teilen Geschrieben 22. August 2004 Original geschrieben von Velius Zieh gir 'mal folgenden Link rein, vielleicht hilft's http://www.mcseboard.de/showthread.php?s=&threadid=40058 danke für den tip. ich werd direkt mal austesten ob ich irgendwelche einstellungen davon übernehmen kann. ich verstehe nur nicht warum 88 als kerberos port nummer angegeben ist... Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 22. August 2004 Melden Teilen Geschrieben 22. August 2004 Du sagst, es sind mehrere VPN-server dahinter. Bist du denn sicher, dass die PIX korrekt konfiguriert ist? BTW: Ausser 1723 TCP und GRE brauchst du rein gar nichts freischalten, nur richtig auf der PIX konfigurieren. grizzly999 Zitieren Link zu diesem Kommentar
Blacky_24 10 Geschrieben 22. August 2004 Melden Teilen Geschrieben 22. August 2004 Kannst Du hier die Konfig der PIX posten (Passwörter und öffentliche IP-Adressen unkenntlich machen - aber bitte so dass man den Sinn dahinter noch sieht). Gruss Markus Zitieren Link zu diesem Kommentar
dkemper 10 Geschrieben 22. August 2004 Autor Melden Teilen Geschrieben 22. August 2004 Original geschrieben von Blacky_24 Kannst Du hier die Konfig der PIX posten (Passwörter und öffentliche IP-Adressen unkenntlich machen - aber bitte so dass man den Sinn dahinter noch sieht). Gruss Markus klar. hier die config. ich habe die ip-adressen, passwörter und hostnamen abgeändert. ich denke aber das mit der config auf jeden fall noch was anzufangen sein müsste. pix515e# sh ru : Saved : PIX Version 6.3(3) interface ethernet0 auto interface ethernet1 auto nameif ethernet0 outside security0 nameif ethernet1 inside security100 enable password xxxxxxxxxxxxxx encrypted passwd xxxxxxxxxxxx encrypted hostname pixfirewall domain-name local.lan fixup protocol dns maximum-length 1500 fixup protocol ftp 21 fixup protocol h323 h225 1720 fixup protocol h323 ras 1718-1719 fixup protocol http 80 fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol sip 5060 fixup protocol sip udp 5060 fixup protocol skinny 2000 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol tftp 69 names access-list outside-acl permit tcp any any eq www access-list outside-acl permit tcp any any eq 3389 access-list outside-acl permit tcp any any eq 47 access-list outside-acl permit tcp any any eq 464 access-list outside-acl permit tcp any any eq ldap access-list outside-acl permit tcp any any eq pptp access-list outside-acl permit tcp any any eq https access-list outside-acl permit tcp any any eq 8333 access-list outside-acl permit tcp any any eq 902 access-list outside-acl permit tcp any any eq 500 access-list outside-acl permit tcp any any eq 50 access-list inside-acl permit tcp any any eq www access-list inside-acl permit tcp any any eq 3389 access-list inside-acl permit tcp any any eq 47 access-list inside-acl permit tcp any any eq 464 access-list inside-acl permit tcp any any eq ldap access-list inside-acl permit tcp any any eq pptp access-list inside-acl permit tcp any any eq https access-list inside-acl permit tcp any any eq 8333 access-list inside-acl permit tcp any any eq 902 access-list inside-acl permit tcp any any eq 50 access-list inside-acl permit tcp any any eq 500 pager lines 24 mtu outside 1500 mtu inside 1500 ip address outside 192.203.62.238 255.255.255.240 ip address inside 10.1.50.254 255.255.255.0 ip audit info action alarm ip audit attack action alarm pdm location 10.1.50.1 255.255.255.255 inside pdm location 10.1.50.4 255.255.255.255 inside pdm location 10.1.50.8 255.255.255.255 inside pdm location 10.1.50.10 255.255.255.255 inside pdm location 10.1.50.12 255.255.255.255 inside pdm location 10.1.50.23 255.255.255.255 inside pdm history enable arp timeout 14400 static (inside,outside) 192.203.62.237 10.1.50.1 netmask 255.255.255.255 0 0 static (inside,outside) 192.203.62.226 10.1.50.4 netmask 255.255.255.255 0 0 static (inside,outside) 192.203.62.227 10.1.50.23 netmask 255.255.255.255 0 0 static (inside,outside) 192.203.62.231 10.1.50.8 netmask 255.255.255.255 0 0 static (inside,outside) 192.203.62.232 10.1.50.10 netmask 255.255.255.255 0 0 static (inside,outside) 192.203.62.228 10.1.50.12 netmask 255.255.255.255 0 0 access-group outside-acl in interface outside access-group inside-acl in interface inside conduit permit icmp any any route outside 0.0.0.0 0.0.0.0 192.203.62.225 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server RADIUS protocol radius aaa-server LOCAL protocol local http server enable http 10.1.50.0 255.255.255.0 inside no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps floodguard enable sysopt connection permit-ipsec sysopt connection permit-pptp sysopt connection permit-l2tp sysopt ipsec pl-compatible telnet timeout 5 ssh timeout 5 console timeout 0 terminal width 80 Cryptochecksum:0037cc7f0ef0d537d34a9c18fe90e001 : end schon mal vielen dank und gruss... Zitieren Link zu diesem Kommentar
Dr.Verpeilung 10 Geschrieben 2. September 2004 Melden Teilen Geschrieben 2. September 2004 Original geschrieben von dkemper klar. hier die config. ich habe die ip-adressen, passwörter und hostnamen abgeändert. ich denke aber das mit der config auf jeden fall noch was anzufangen sein müsste. access-list outside-acl permit tcp any any eq 47 access-list inside-acl permit tcp any any eq 47 ist doch ganz klar warum das nicht funktioniert... gre verwendet nicht tcp als protokoll sondern ip... also tippe erstmal no access-list outside-acl permit tcp any any eq 47 no access-list inside-acl permit tcp any any eq 47 um die falschen access-listen zu löschen... dann tippe access-list outside-acl permit ip any any eq 47 access-list inside-acl permit ip any any eq 47 um die neuen access listen hinzuzufügen... dann sollte es laufen. der rest ist auf jeden fall korrekt eingerichtet... port 389 und 464 kann auch raus... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.