Cisco ASA 5505 - kein VPN von INTERN nach EXTERN möglich
Hallo zusammen,
ich arbeite seit kurzer Zeit mit einer Cisco ASA 5505 in einem Testsystem....
nun ist mir aufgefallen, das es mir nicht möglich ist, einen gewöhnlichen PPTP VPN TUnnel von Intern nach Extern aufzubauen!
Ich kann weder im LOG noch in den Policies den Knackpunkt finden...
Von Intern nach Extern ist alles was "IP" angeht erlaubt!
Kann mir evtl. jemand weiter helfen?
Vielen Dank!
Ich kann weder im LOG noch in den Policies den Knackpunkt finden...
Von Intern nach Extern ist alles was "IP" angeht erlaubt!
Kann mir evtl. jemand weiter helfen?
Vielen Dank!
Please also mark the comments that contributed to the solution of the article
Content-Key: 152476
Url: https://administrator.de/contentid/152476
Printed on: April 24, 2024 at 23:04 o'clock
9 Comments
Latest comment
"show conf" oder "write term" das weiss doch mittlerweile jeder !
Du schreibst oben "...Von Intern nach Extern ist alles was "IP" angeht erlaubt!"
Das ist wie du ja selber vermutlich weisst bei PPTP nur die halbe Miete. Der PPTP Tunnel nurzt für die Nutzdaten das GRE Protokoll mit der IP Protokoll Nummer 47 !
Es reicht als nicht nur IP freizugeben sondern du musst auch GRE freigeben sonst geht kein PPTP durch die Firewall, logisch !!
Du schreibst oben "...Von Intern nach Extern ist alles was "IP" angeht erlaubt!"
Das ist wie du ja selber vermutlich weisst bei PPTP nur die halbe Miete. Der PPTP Tunnel nurzt für die Nutzdaten das GRE Protokoll mit der IP Protokoll Nummer 47 !
Es reicht als nicht nur IP freizugeben sondern du musst auch GRE freigeben sonst geht kein PPTP durch die Firewall, logisch !!
Mmmhhh, oben schreibst du das du GRE freigegebne hast !! Sieht man sich deine Konfig an stimmt das aber nicht denn du hast TCP 47 freigegeben. (static (inside,outside) tcp interface 47 DC 47)
Nochmals damit auch Anfänger es verstehen: GRE ist ein eigenständiges IP Protokoll (kein TCP !) mit der IP Protokoll Nummer 47. Cisco hat dafür auch eine eigene Protokolldefinition "gre".
http://de.wikipedia.org/wiki/Generic_Routing_Encapsulation_Protocol.
Da du also weiterhin nur TCP Port 47 freigegeben hast (was übrigens NI-FTP ist, siehe hier http://meineipadresse.de/html/ip-ports.php) wird den PPTP weiterhin nicht funktionieren !!
Ich bin gaaaanz ruhig dabei ! Vermutlich du aber nicht ?!
Nochmals damit auch Anfänger es verstehen: GRE ist ein eigenständiges IP Protokoll (kein TCP !) mit der IP Protokoll Nummer 47. Cisco hat dafür auch eine eigene Protokolldefinition "gre".
http://de.wikipedia.org/wiki/Generic_Routing_Encapsulation_Protocol.
Da du also weiterhin nur TCP Port 47 freigegeben hast (was übrigens NI-FTP ist, siehe hier http://meineipadresse.de/html/ip-ports.php) wird den PPTP weiterhin nicht funktionieren !!
Ich bin gaaaanz ruhig dabei ! Vermutlich du aber nicht ?!