Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Pix 501 VPN Problem im Home Office

Mitglied: rs-schmid

rs-schmid (Level 1) - Jetzt verbinden

24.05.2008 um 22:10 Uhr, 3534 Aufrufe

Hallo,

ich stehe gerade auf dem Schlauch.
Will in meinem Home Office den Zugriff von remote ermöglichen.
Netzwerk sieht im groben so aus, ein Linksys DSL Router macht die Internet Einwahl, so daß ich surfen kann. Das Linksys Teil macht VPN-Passthrough und reicht den VPN Traffic an die dahinter liegende Pix 501 weiter.
Verbinde ich mich nun von einem anderem Standort mit dem Cisco VPN Client so klappt der Tunnelaufbau, bekomme eine IP aus dem pool und das gewollte LAN (LAN hinter der Pix) steht in secured routes im client.
User Authentifizierung funktioniert lokal über die Pix, keine Radius Server oder ähnliches.
Soweit so gut. Will ich aber jetzt auf ein Host im LAN zugreifen kommt es zum Fehler.
Für mich sieht meine Config gut, die 2. vpngroup gibts nur weil ich herum probiert habe.

Sieht jemand den Fehler, liegt es eventuell am nat0?

Gruss Roland

Poste mal meine Config (mit Bild):
01.
: Saved 
02.
: Written by enable_15 at 20:25:35.394 UTC Sat May 24 2008 
03.
PIX Version 6.3(5) 
04.
interface ethernet0 auto 
05.
interface ethernet1 100full 
06.
nameif ethernet0 outside security0 
07.
nameif ethernet1 inside security100 
08.
enable password xxxxxxxxxxxxxxx encrypted 
09.
passwd xxxxxxxxxxxxxx encrypted 
10.
hostname pix501 
11.
domain-name pix.tux 
12.
fixup protocol dns maximum-length 512 
13.
fixup protocol ftp 21 
14.
fixup protocol h323 h225 1720 
15.
fixup protocol h323 ras 1718-1719 
16.
fixup protocol http 80 
17.
fixup protocol ils 389 
18.
fixup protocol rsh 514 
19.
fixup protocol rtsp 554 
20.
fixup protocol sip 5060 
21.
fixup protocol sip udp 5060 
22.
fixup protocol skinny 2000 
23.
fixup protocol smtp 25 
24.
fixup protocol sqlnet 1521 
25.
fixup protocol tftp 69 
26.
names 
27.
access-list acl-inside permit ip any any  
28.
access-list acl-outside permit ip 192.168.20.0 255.255.255.240 192.224.218.64 255.255.255.224  
29.
access-list acl-outside permit tcp 192.168.20.0 255.255.255.240 192.224.218.64 255.255.255.224  
30.
access-list acl-outside permit ip 192.168.20.0 255.255.255.240 interface inside  
31.
access-list vpn-schmid_splitTunnelAcl permit ip 192.224.218.64 255.255.255.224 any  
32.
access-list inside_outbound_nat0_acl permit ip 192.224.218.64 255.255.255.224 192.168.20.0 255.255.255.240  
33.
access-list outside_cryptomap_dyn_20 permit ip any 192.168.20.0 255.255.255.240  
34.
access-list vpn-schmid2_splitTunnelAcl permit ip 192.224.218.64 255.255.255.224 any  
35.
access-list outside_cryptomap_dyn_40 permit ip any 192.168.20.0 255.255.255.240  
36.
pager lines 24 
37.
logging on 
38.
mtu outside 1500 
39.
mtu inside 1500 
40.
ip address outside 192.168.80.30 255.255.255.224 
41.
ip address inside 192.224.218.65 255.255.255.224 
42.
ip verify reverse-path interface outside 
43.
ip verify reverse-path interface inside 
44.
ip audit info action alarm 
45.
ip audit attack action alarm 
46.
ip local pool pool-schmid 192.168.20.1-192.168.20.10 
47.
pdm location 192.224.218.66 255.255.255.255 inside 
48.
pdm location 192.224.218.67 255.255.255.255 inside 
49.
pdm location 192.224.218.87 255.255.255.255 inside 
50.
pdm location 192.224.218.70 255.255.255.255 inside 
51.
pdm logging informational 100 
52.
pdm history enable 
53.
arp timeout 14400 
54.
global (outside) 1 interface 
55.
nat (inside) 0 access-list inside_outbound_nat0_acl 
56.
nat (inside) 1 0.0.0.0 0.0.0.0 0 0 
57.
access-group acl-outside in interface outside 
58.
access-group acl-inside in interface inside 
59.
route outside 0.0.0.0 0.0.0.0 192.168.80.1 1 
60.
timeout xlate 0:05:00 
61.
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 
62.
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 
63.
timeout sip-disconnect 0:02:00 sip-invite 0:03:00 
64.
timeout uauth 0:05:00 absolute 
65.
aaa-server TACACS+ protocol tacacs+  
66.
aaa-server TACACS+ max-failed-attempts 3  
67.
aaa-server TACACS+ deadtime 10  
68.
aaa-server RADIUS protocol radius  
69.
aaa-server RADIUS max-failed-attempts 3  
70.
aaa-server RADIUS deadtime 10  
71.
aaa-server LOCAL protocol local  
72.
http server enable 
73.
http 192.224.218.66 255.255.255.255 inside 
74.
http 192.224.218.67 255.255.255.255 inside 
75.
http 192.224.218.70 255.255.255.255 inside 
76.
no snmp-server location 
77.
no snmp-server contact 
78.
snmp-server community public 
79.
no snmp-server enable traps 
80.
floodguard enable 
81.
sysopt connection permit-ipsec 
82.
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac  
83.
crypto dynamic-map outside_dyn_map 20 match address outside_cryptomap_dyn_20 
84.
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-MD5 
85.
crypto dynamic-map outside_dyn_map 40 match address outside_cryptomap_dyn_40 
86.
crypto dynamic-map outside_dyn_map 40 set transform-set ESP-3DES-MD5 
87.
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map 
88.
crypto map outside_map client authentication LOCAL  
89.
crypto map outside_map interface outside 
90.
isakmp enable outside 
91.
isakmp policy 20 authentication pre-share 
92.
isakmp policy 20 encryption 3des 
93.
isakmp policy 20 hash md5 
94.
isakmp policy 20 group 2 
95.
isakmp policy 20 lifetime 86400 
96.
vpngroup vpn-schmid address-pool pool-schmid 
97.
vpngroup vpn-schmid dns-server 80.242.134.56 80.242.134.56 
98.
vpngroup vpn-schmid split-tunnel vpn-schmid_splitTunnelAcl 
99.
vpngroup vpn-schmid idle-time 1800 
100.
vpngroup vpn-schmid password xxxxxxxxx 
101.
vpngroup vpn-schmid2 address-pool pool-schmid 
102.
vpngroup vpn-schmid2 dns-server 80.242.134.56 
103.
vpngroup vpn-schmid2 split-tunnel vpn-schmid2_splitTunnelAcl 
104.
vpngroup vpn-schmid2 idle-time 1800 
105.
vpngroup vpn-schmid2 password xxxxxxxxxxxxxx 
106.
telnet timeout 5 
107.
ssh timeout 5 
108.
console timeout 0 
109.
dhcpd lease 3600 
110.
dhcpd ping_timeout 750 
111.
dhcpd auto_config outside 
112.
username roland password xxxxxxxxxx encrypted privilege 15 
113.
username roland2 password xxxxxxxxxxx encrypted privilege 15 
114.
terminal width 80 
115.
Cryptochecksum:xxxxxxxxxxx 
116.
: end
c27c46ce47d01237d1284ee226b9382f-netzwerk - Klicke auf das Bild, um es zu vergrößern
Ähnliche Inhalte
Router & Routing

Keine PDM-Konfiguration meiner guten alten pix 501

Frage von rabo001Router & Routing1 Kommentar

Hallo, ich weis es ist ein Uraltteil aber ich möchte sie weiter nutzen meine pix501. Nur jetzt gibt es ...

Router & Routing

Anbindung Home-Office VPN PfSense nur bestimmte Ports

gelöst Frage von the-buccaneerRouter & Routing3 Kommentare

Moin! Ein Kunde möchte gerne einen Heimarbeitsplatz einrichten. Ich plane, die Anbindung überVPN mit PfSense (oder OPNSense) am Standort ...

Off Topic

Systemadministrator: Arbeiten im Home Office

gelöst Frage von honeybeeOff Topic11 Kommentare

Hallo, da es mich interessieren würde, eine Frage: Gibt es überhaupt Systemadministratoren, die ausschließlich im Home Office arbeiten? Wenn ...

Weiterbildung

Jobmöglichkeiten im Home Office

gelöst Frage von honeybeeWeiterbildung4 Kommentare

Hallo, bin zurzeit beruflich als Admin tätig. Da ich später mal im Ausland leben und von dort aus über ...

Neue Wissensbeiträge
Sicherheit

Oracle gibt kritische Updates für diverse Produkte frei (16. Oktober 2018)

Information von kgborn vor 3 StundenSicherheit

Oracle hat zum 16. Oktober 2018 eine ganze Reihe an kritischen Updates für seine Produkte freigegeben. Eine Kurzübersicht mit ...

Windows 10
FYI: Fristen beim Windows 10 Downgrade-Recht
Information von kgborn vor 3 StundenWindows 10

Möglicherweise ist das bei euch bekannt - ich habe es gerade aus einem Newsletter eines OEMs herausgefischt. Beim Downgrade-Recht ...

CMS
Freie Wähler Bayern MySQL PW online
Information von sabines vor 6 StundenCMS3 Kommentare

Die Typo3 Installation der Freien Wähler Bayern scheint wohl längere Zeit nicht mehr angefasst und/oder fehlkonfiguriert zu sein. Nach ...

Sicherheit
Adminrechte dank Bug in Intel HD Graphics Treiber
Information von DerWoWusste vor 1 TagSicherheit

Intel HD graphics 4200 und neuer (4400, 4600 520,530,620, 630,) sind auf jeden Fall betroffen und bereinigte Treiber sind ...

Heiß diskutierte Inhalte
Debian
Linux debian 9 Installation
Frage von Green14Debian15 Kommentare

Hallo zusammen, ich habe mich ein wenig mit Debian auseinandergesetzt und möchte mir eine Standard-Installation als Grundlage für andere ...

Internet
Ist diese URL denkbar (Syntax)?
gelöst Frage von departure69Internet15 Kommentare

Hallo. Der Sohn eines Arbeitskollegen hat im Gymnasium EDV-Unterricht. Leider hat er in der letzten Klassenarbeit einen Fünfer geschrieben. ...

Windows Netzwerk
Gruppenrichtlinie für einen PC deaktivieren
gelöst Frage von Florian961988Windows Netzwerk14 Kommentare

Hallo, kleines Problem und immoment finde ich dazu keine Lösung oder mir fällt nicht ein, wie ich es suche ...

Festplatten, SSD, Raid
LSI 9361 Controller, versehentlich virtual Drive am Controller gelöscht
Frage von pixel24Festplatten, SSD, Raid12 Kommentare

Hallo zusammen, gibt es hier einen Experten der sich gut mit LSI MegaRAID auskennt? Ich habe versehentlich im Controller-BIOS ...