11
Cisco Pix 501 Eays-VPN mit Split
Hallo an die Cisco Experten
Habe folgendes Problem!
In der Firma steht eine konfigurierte Cisco Pix mit Split-Tunnel-Group.
Auf der Client-Seite steht eine Pix 501. Die Verbindung wird mit Easy-VPN aufgebaut und funktioniert auch. Ich kann mit meinen Citrix-Clients auf drei Rechnern gleichzeitig arbeiten.
Wenn ich aber mit zwei Clients gleichzeitig Dateien vom Server laden möchte, wird der erste Download vom zweiten abgebrochen.
PS: bin ein Neuling in diesem Gebiet!!
Danke im Vorraus
In der Firma steht eine konfigurierte Cisco Pix mit Split-Tunnel-Group.
Auf der Client-Seite steht eine Pix 501. Die Verbindung wird mit Easy-VPN aufgebaut und funktioniert auch. Ich kann mit meinen Citrix-Clients auf drei Rechnern gleichzeitig arbeiten.
Wenn ich aber mit zwei Clients gleichzeitig Dateien vom Server laden möchte, wird der erste Download vom zweiten abgebrochen.
PS: bin ein Neuling in diesem Gebiet!!
Danke im Vorraus
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 153077
Url: https://administrator.de/contentid/153077
Printed on: April 19, 2024 at 03:04 o'clock
11 Comments
Latest comment
Hallo,
und das ganze sollen wir durch auslesen der Gaskugel ohne weitere Informationen erraten?
ein bisschen mehr Infos wie z.b. die Konfiguration der Pix, vorhandene Bandbreite und ähnliches wären schon ungemein hilfreich.
brammer
und das ganze sollen wir durch auslesen der Gaskugel ohne weitere Informationen erraten?
ein bisschen mehr Infos wie z.b. die Konfiguration der Pix, vorhandene Bandbreite und ähnliches wären schon ungemein hilfreich.
brammer
Hallo brammer,
hätte ja sein können das ihr gleich sagt „ diese Konstellation kann nicht funktionieren“
Hier unser Eckdaten:
Firma hat eine 2MB SDSL Leitung. Dort steht eine Cisco Pix515 auf der zwei VPN Gruppen
eingerichtet sind. Eine davon mit Split-Tunneling.
In der Zweigstelle sind wir auch über 2MB SDSL Leitung angebunden.
Und hier nun die Konfiguration der Pix-501
PIX Version 6.3(5)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password fgfbgfjhgjfzuj encrypted
passwd dz/fghgzgrhtj encrypted
hostname test
domain-name meinedomain
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside pppoe setroute
ip address inside 192.168.16.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm location 192.168.1.0 255.255.255.0 inside
pdm location 192.168.100.0 255.255.255.0 outside
pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 192.168.16.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh 192.168.1.0 255.255.255.0 inside
ssh timeout 25
console timeout 0
vpdn group pppoe_group request dialout pppoe
vpdn group pppoe_group localname meinisp
vpdn group pppoe_group ppp authentication pap
vpdn username Username password
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd auto_config outside
vpnclient server 89.xx.xx.xxx
vpnclient mode client-mode
vpnclient vpngroup Split password
vpnclient enable
terminal width 80
Cryptochecksum:f774de9c9ce81fcde24765afc26d2032
Gruß, serching
hätte ja sein können das ihr gleich sagt „ diese Konstellation kann nicht funktionieren“
Hier unser Eckdaten:
Firma hat eine 2MB SDSL Leitung. Dort steht eine Cisco Pix515 auf der zwei VPN Gruppen
eingerichtet sind. Eine davon mit Split-Tunneling.
In der Zweigstelle sind wir auch über 2MB SDSL Leitung angebunden.
Und hier nun die Konfiguration der Pix-501
PIX Version 6.3(5)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password fgfbgfjhgjfzuj encrypted
passwd dz/fghgzgrhtj encrypted
hostname test
domain-name meinedomain
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside pppoe setroute
ip address inside 192.168.16.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm location 192.168.1.0 255.255.255.0 inside
pdm location 192.168.100.0 255.255.255.0 outside
pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 192.168.16.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh 192.168.1.0 255.255.255.0 inside
ssh timeout 25
console timeout 0
vpdn group pppoe_group request dialout pppoe
vpdn group pppoe_group localname meinisp
vpdn group pppoe_group ppp authentication pap
vpdn username Username password
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd auto_config outside
vpnclient server 89.xx.xx.xxx
vpnclient mode client-mode
vpnclient vpngroup Split password
vpnclient enable
terminal width 80
Cryptochecksum:f774de9c9ce81fcde24765afc26d2032
Gruß, serching
Hi serching,
bitte folgende Auswertung posten:
Ausgabe des Kommandos 'sh ver | i Hosts'
Gezaehlte Eintraege aus dem Kommando 'sh arp'
MfG,
krachtor
bitte folgende Auswertung posten:
Ausgabe des Kommandos 'sh ver | i Hosts'
Gezaehlte Eintraege aus dem Kommando 'sh arp'
MfG,
krachtor
Hi krachtor,
folgende Ausgabe bekomme ich mit "sh arp"
test(config)# sh arp
inside 192.168.16.5 001b.fc92.8f64
inside 192.168.16.246 0030.1bbe.7c67
inside 192.168.16.111 0040.d06f.fe50
inside 192.168.16.6 000c.29bd.88fb
'sh ver | i Hosts' kennt die Pix nicht
Habe schon drei Pix501 gestestet. Eine ASA5505 mit Easy-VPN verhält sich ebenso.
Gleichen Aufbau mit anderen Rechnern und IP-Bereich an einem anderen Standord getestet.
Immer das gleiche Ergebniss. Es ist nicht möglich zwei gleichzeitige Downloads zu starten.
Gruß, serching
folgende Ausgabe bekomme ich mit "sh arp"
test(config)# sh arp
inside 192.168.16.5 001b.fc92.8f64
inside 192.168.16.246 0030.1bbe.7c67
inside 192.168.16.111 0040.d06f.fe50
inside 192.168.16.6 000c.29bd.88fb
'sh ver | i Hosts' kennt die Pix nicht
Habe schon drei Pix501 gestestet. Eine ASA5505 mit Easy-VPN verhält sich ebenso.
Gleichen Aufbau mit anderen Rechnern und IP-Bereich an einem anderen Standord getestet.
Immer das gleiche Ergebniss. Es ist nicht möglich zwei gleichzeitige Downloads zu starten.
Gruß, serching
'sh ver | i Hosts' kennt die Pix nicht
Hi serching,
ach ja, max. Version 6.3(4)xxx kennt die Pipe noch nicht - sorry...
Bitte ein 'sh ver' absetzen und in die Zeile mit 'Hosts' posten.
Mit welchen unterschiedlichen Benutzernamen wird sich denn angemeldet?
MfG,
krachtor
Hallo krachtor,
" sh ver" zeigt folgende Ausgabe:
0: ethernet0: address is xxxxxxxxxxxxxxx, irq 9
1: ethernet1: address is xxxxxxxxxxxxxxx, irq 10
Licensed Features:
Failover: Disabled
VPN-DES: Enabled
VPN-3DES-AES: Enabled
Maximum Physical Interfaces: 2
Maximum Interfaces: 2
Cut-through Proxy: Enabled
Guards: Enabled
URL-filtering: Enabled
Inside Hosts: 10
Throughput: Unlimited
IKE peers: 10
This PIX has a Restricted (R) license.
Serial Number: xxxxxxxxxxxxx (xxxxxxxxxx)
Running Activation Key: xxxxxxxxxxxxxxxxxxxxxxxxxxx
Configuration has not been modified since last system restart.
Die User haben auf den Clients eine Batch in der Autostart womit die anmeldung
auf den Server mit Admin-Rechten erfolgt.
net use \\192.168.100.2 /USER:Administrator xxxx
Lokal arbeiten die User mit Admin-Rechten
Der Zugriff auf die Freigaben funktioniert ja auch mit allen Rechnern.
"sh vpnclient" zeigt diese Ausgabe:
DOWNLOADED DYNAMIC POLICY
Current Server : 89.xx.xxx.xxx
NAT addr : 192.168.101.82
PFS Enabled : No
Secure Unit Authentication Enabled : No
User Authentication Enabled : No
Split Networks : 192.168.100.0/255.255.255.0
Backup Servers : None
User1 verbindet sich z.B. mit dem Server \\192.168.100.2\tools\ und läd eine Datei herunter.
Wenn jetzt User2 über dern Dateimanage nur \\192.168.100.2 eingiebt und die Verbindung
aufgebaut wird, kickt er den Download von User1. Und umgekehrt genauso.
MfG, serching
" sh ver" zeigt folgende Ausgabe:
0: ethernet0: address is xxxxxxxxxxxxxxx, irq 9
1: ethernet1: address is xxxxxxxxxxxxxxx, irq 10
Licensed Features:
Failover: Disabled
VPN-DES: Enabled
VPN-3DES-AES: Enabled
Maximum Physical Interfaces: 2
Maximum Interfaces: 2
Cut-through Proxy: Enabled
Guards: Enabled
URL-filtering: Enabled
Inside Hosts: 10
Throughput: Unlimited
IKE peers: 10
This PIX has a Restricted (R) license.
Serial Number: xxxxxxxxxxxxx (xxxxxxxxxx)
Running Activation Key: xxxxxxxxxxxxxxxxxxxxxxxxxxx
Configuration has not been modified since last system restart.
Mit welchen unterschiedlichen Benutzernamen wird sich denn angemeldet?
Die User haben auf den Clients eine Batch in der Autostart womit die anmeldung
auf den Server mit Admin-Rechten erfolgt.
net use \\192.168.100.2 /USER:Administrator xxxx
Lokal arbeiten die User mit Admin-Rechten
Der Zugriff auf die Freigaben funktioniert ja auch mit allen Rechnern.
"sh vpnclient" zeigt diese Ausgabe:
DOWNLOADED DYNAMIC POLICY
Current Server : 89.xx.xxx.xxx
NAT addr : 192.168.101.82
PFS Enabled : No
Secure Unit Authentication Enabled : No
User Authentication Enabled : No
Split Networks : 192.168.100.0/255.255.255.0
Backup Servers : None
User1 verbindet sich z.B. mit dem Server \\192.168.100.2\tools\ und läd eine Datei herunter.
Wenn jetzt User2 über dern Dateimanage nur \\192.168.100.2 eingiebt und die Verbindung
aufgebaut wird, kickt er den Download von User1. Und umgekehrt genauso.
MfG, serching
Hi serching,
es scheint kein Lizenz-Problem zu sein.
Ich sehe nur ein User- bzw. Crypto-Session-Problem im IPSec: 'User Authentication Enabled : No'
Ich konnte keinerlei User fuer ein IPSec-Login in der Config entdecken. Aber da scheint das Problem nicht zu liegen.
Ich kann jedoch auch das Netzwerk 192.168.101.x/y nicht zuordnen. Wird diese NAT-IP von der zentralen PIX in der Firma vorgegeben?
Ich vermute inzwischen, dass ein Rechte-Problem auf dem Server vorliegt, wenn das IPSec-VPN weiterhin bestehen bleibt.
Du solltest mal pruefen, ob in dem Fall weiterhin Daten ueber das VPN laufen ('sh crypto ipsec sa', nach 'encaps' und 'decaps' schauen).
Ansonsten hilft wahrscheinlich nur noch ein Sniffering auf Clients und Server.
MfG,
krachtor
es scheint kein Lizenz-Problem zu sein.
Ich sehe nur ein User- bzw. Crypto-Session-Problem im IPSec: 'User Authentication Enabled : No'
Ich konnte keinerlei User fuer ein IPSec-Login in der Config entdecken. Aber da scheint das Problem nicht zu liegen.
Ich kann jedoch auch das Netzwerk 192.168.101.x/y nicht zuordnen. Wird diese NAT-IP von der zentralen PIX in der Firma vorgegeben?
Ich vermute inzwischen, dass ein Rechte-Problem auf dem Server vorliegt, wenn das IPSec-VPN weiterhin bestehen bleibt.
Du solltest mal pruefen, ob in dem Fall weiterhin Daten ueber das VPN laufen ('sh crypto ipsec sa', nach 'encaps' und 'decaps' schauen).
Ansonsten hilft wahrscheinlich nur noch ein Sniffering auf Clients und Server.
MfG,
krachtor
Hallo krachtor,
die 192.168.101.xx kommt aus dem IP-Pool von der VPN-Gruppe "Split" (zentrale Pix515)
Welche Tools kannst Du mir für das Sniffering empfehlen?
Werde heute mal die Konfiguration der Pix515 aus der Zentrale posten.
Gruß, serching
die 192.168.101.xx kommt aus dem IP-Pool von der VPN-Gruppe "Split" (zentrale Pix515)
Welche Tools kannst Du mir für das Sniffering empfehlen?
Werde heute mal die Konfiguration der Pix515 aus der Zentrale posten.
Gruß, serching
Guten Morgen serching,
Standard-Tool: ethereal (Download unter http://www.ethereal.com/)
Ggf. koenntest Du auch auf der PIX selbst sniffern:
https://supportforums.cisco.com/docs/DOC-1222
http://security-planet.de/2005/07/26/cisco-pix-capturing-traffic/
MfG,
krachtor
Standard-Tool: ethereal (Download unter http://www.ethereal.com/)
Ggf. koenntest Du auch auf der PIX selbst sniffern:
https://supportforums.cisco.com/docs/DOC-1222
http://security-planet.de/2005/07/26/cisco-pix-capturing-traffic/
MfG,
krachtor
Hi krachtor,
das mit dem Sniffen konnte ich bis jetzt leider noch nicht testen. Habe mir nun eine Pix für L2L konfiguriert.
Werde diese morgen an der Aussenstelle mal testen.
Die Konfiguration der Pix515 aus der Zentrale beinhaltet zu viele Routen zu externen Dienstleistern. Deshalb
darf ich diese aus Sicherheitsgründen leider nicht posten.
MfG, seching
das mit dem Sniffen konnte ich bis jetzt leider noch nicht testen. Habe mir nun eine Pix für L2L konfiguriert.
Werde diese morgen an der Aussenstelle mal testen.
Die Konfiguration der Pix515 aus der Zentrale beinhaltet zu viele Routen zu externen Dienstleistern. Deshalb
darf ich diese aus Sicherheitsgründen leider nicht posten.
MfG, seching
Hallo krachtor,
habe es jetzt endlich geschaft. Die beiden Pixen sind jetzt per L2L verbunden und es giebt keine Probleme mehr.
Werde die anderen Aussenstellen jetzt auch so konfigurieren.
Das andere Problem werde ich nicht weiter verfolgen.
Danke für deine Hilfe!
Gruß, serching
habe es jetzt endlich geschaft. Die beiden Pixen sind jetzt per L2L verbunden und es giebt keine Probleme mehr.
Werde die anderen Aussenstellen jetzt auch so konfigurieren.
Das andere Problem werde ich nicht weiter verfolgen.
Danke für deine Hilfe!
Gruß, serching
