VPN Client -> PIX 501

[wuestl 10]

Hallo zusammen,

 

bin hier echt am verzweifeln. Hab eine Cisco VPN-Client Software die auf einem XP Rechner auch wunderbar läuft. Jetzt ist nur das Problem, dass diese auf Windows Server 2003 nicht läuft. Ich habe bei mir im Netzwerk eine PIX 501 sitzen und angeblich kann ich auch diese anstatt der VPN-Client Software auf dem Rechner verwenden. Kann mir einer von Euch helfen, wie ich die PIX konfiguriere?! Habs auchg schon über EasyVPN in der PIX versucht, aber das läuft leider nicht ;(

 

Vielen Dank

Oli

[s21it21 10]

Guten Morgen!

 

Was willst Du??

 

Du willst vom Windows-2003 Server einen VPN-Tunnel aufbauen, der auf der 501er PIX terminiert? Verstehe ich Dich richtig?

 

Mm, ich bilde mir schon ein, dass der VPN-Client von Cisco schon auf einem Win2003-Server läuft! Du kannst aber auch statt ipsec, pptp verwenden. Dann brauchst Du keinen eigenen Client dafür.

 

Verwendest Du den PDM oder bist Du mit der CLI vertraut?

 

lg

Martin

[wuestl 10]

Guten Morgen Martin.

 

Danke erst einmal für Deine Antwort.

 

Das Szenario ist folgendes. Ich habe von einer Firma ein Programm, wo ich zuvor über die VPN Client 4.0.4 (D) Software eine VPN Verbindung herstellen muss und dann das Programm laufen lassen kann. Jetzt will ich nur dieses Programm auf einem 2003Server Standard laufen lassen, nur da kann ich die VPN Client Software nicht insatllieren kommt immer eine Fehlermeldung wegen MSI Installer oder so. Nach dem ich aber zwischen dem Server und dem Internet eine PIX501 hängen hab, dachte ich kann ich den VPN Client auch direkt in der PIX einrichten?!

 

Die Daten, die ich von der Firma mit der ich eine VPN Verbindung brauche, habe sind:

 

vpnclient server XX.XXX.XXX.XX

Vpnclient mode client-mode

Vpnclient vpngroup XXXXXXX password XXXXXXX

Vpnclient username ****** password *****

 

Wäre echt super, wenn Du mir helfen könntest, komme irgendwie gar nicht klar, mit der Sache :(

 

Bezüglich Deiner Frage PDM und CLI. Verwende den PDM, bin aber auch etwas mit CLI vertraut.

 

Schöne Grüße, und einen sonnigen schneearmen Tag ;)

Oli

[s21it21 10]

hello,

 

mm, ok. du willst also ein site2site von zwischen deiner 501er-pix und deren firewall haben, damit du dann im tunnel zwischen deinem win2003-server und denen dort eine verbindung herstellen kannst. richtig?

 

wenn dem so ist, dann hast du von dieser firma viel zu wenig infos bekommen.

 

für eine site2site-verbindung brauchst du infos wie firewall-ip der anderen seite ( + welches produkt wird verwendet), welche verschlüsselung, arbeitet man mit zertifikaten oder mit pre-shared-keys, welche lifetimes werden eingestellt und vor allem welche verbindungen werden über den tunnel dann geschalten (also welche traffic darf durch bzw. wer darf die verbindungen aufbauen) weiters ist immer interessant welches interne netz die dort verwenden. haben die nämlich das gleiche intern lan wie du, dann musst du naten. etc.

 

also so einfach ist das dann auch nicht.

 

den vpn-client kannst du auf der pix gar nicht installieren, wenn du das gemeint hast. du kannst eben "nur" die pix als vpn-endpunkt hernehmen (und das wird sehr oft so gemacht).

 

aber nochmal, der cisco vpn-client funktioniert unter win2003-server.

 

ACHTUNG: Solltest Du doch den VPN-Client auf Deinem Server zum Laufen bringen, dann musst Du achten, dass Deine PIX den VPN-Traffic komplett durchlässt und dass die VPN-Pakete auch wieder zurückfinden. Dafür wirst Du unter Umständen eine eigene pupIP für Deinen Server brauchen. Dieser Server muss dann über diese pupIP für den VPN-Traffic (unteranderem udp-500) aus dem Internet erreichbar sein!!!!

 

lg

martin