Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN durchreichen auf 2. Pix

Mitglied: rs-schmid

rs-schmid (Level 1) - Jetzt verbinden

14.11.2007, aktualisiert 13:30 Uhr, 7509 Aufrufe, 3 Kommentare

Hallo,

wir haben 2 Pixen am laufen, eine Pix 501 und eine Pix 515E.
Die Pix 515E ist VPN-Server, die Pix 501 macht PPPoE (T-DSL) und hat auf ihrem outside die feste public IP.
Die zweite Pix 515E hat auf ihrem outside eine priv. IP und macht VPN-Server (pre-shared key)
Ich wollte auf der 501 via access-list und static das VPN auf das outside interface der 515E forwarden.
Welchen tcp bzw. upd Port muss ich forwarden ?
Muss ich auf der Pix 501 noch die route inside für das outside interface der Pix 515E eintragen?
Habe mal eine grobe Skizze vom Plan hochgeladen.
Die User sollen Remote Access mit Cisco VPN-Client machen können.

Die User müssen auf den Terminal-Server und bestimmte Workstations drauf kommen.

Würde das so funktionieren ?

Gruss Roland



47da084e4118971ce7b5a617b5552568-netwerkplan-ver - Klicke auf das Bild, um es zu vergrößern
Mitglied: aqui
14.11.2007 um 13:09 Uhr
Der Cisco VPN Client macht IPsec im ESP Modus mit NAT Traversal. Dafür musst du auf der 501 das ESP Protokoll aufmachen (Nummer 50), IKE mit Port UDP 500 und NAT-T mit UDP 4500.
Ob die PIX IPsec ESP allerdings dynamisch an unterschiedliche Clients über ihr NAT übertragen kann ist fraglich... Ggf. kann sie das auch nur immer mit einer Session zur Zeit... Versuch macht klu(ch)g oder die Cisco Hotline fragen....

Hier sind sonst ein paar Beispiele:
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/prod_configuratio ...

Eins wie man PPTP durchlässt, das sollte für IPsec ESP analog klappen (mit geänderten Ports natürlich )
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configur ...
Bitte warten ..
Mitglied: spacyfreak
14.11.2007 um 13:20 Uhr
sysopt connection permit-ipsec

Erlaubt eingehenden IPSEC Geschlechts-Verkehr der ansonsten von ner ACL geblockt wird.


Troubleshooting:

clear crypto IPSec sa
clear crypto isakmp sa

debug crypto IPSec
debug crypto isakmp

Das debug zeigt dir recht klar, wo es hängenbleibt, wenn es nicht läuft.
Auch die ACL hitcounts können zeigen, welche ACL es blockt, wenn es eine ACL blockt.

Nach dem debuggen den debug modus wieder deaktivieren!
Ich glaub das war

no debug all
Bitte warten ..
Mitglied: rs-schmid
14.11.2007 um 13:30 Uhr
danke für den Hinweis.
Theoretisch könnte ich ja auch die Pix 501 weglassen und die 515E PPPoE machen lassen und VPN-Server.
Angeblich soll das aber bei Cisco nicht gehen, PPPoE und VPN-Server auf einer PIX.
Wäre näturlich die einfachere Lösung, könnte ich mir das durchreichen sparen.

Gruss Roland
Bitte warten ..
Ähnliche Inhalte
Vmware
DVD Brenner an VM durchreichen
gelöst Frage von ioioioVmware2 Kommentare

Guten Tag Zusammen, ich würde gern wissen ob es möglich ist einer VM den im Host verbauten Brenner zur ...

Vmware

Alternative zum durchreichen eines Bandlaufwerks zur VM?

Frage von WindroidVmware

Hallo. Ich habe vor einen physikalischen Backup Server zu virtualisieren. An diesem Server ist momentan über SAS ein HP ...

Virtualisierung

Lizenzdongel an VirtualBox VM durchreichen?

Frage von GwaihirVirtualisierung10 Kommentare

Hallo zusammen, ich habe hier eine alte XP-Maschine, die ich gerade frisch mit VirtualBox virtualisiert habe. Dadrauf läuft eine ...

Virtualisierung

Serielle Schnittstellen durchreichen, Erfahrungen

gelöst Frage von WinuserVirtualisierung9 Kommentare

Hallo, ich stehe vor der Aufgabe, einen alten XP Rechner zu virtualisieren, der bisher zur Maschinensteuerung genutzt wurde. Dieser ...

Neue Wissensbeiträge
Microsoft

Neuigkeiten zu Server und Office 365 was läuft mit was und was nicht

Tipp von AlFalcone vor 2 StundenMicrosoft

Server Betriebssysteme auf dem die verschiedenen Offices nicht supported sind: • Office 365 ist und wird nicht supported auf Windows ...

Speicherkarten

Neuer Speicherkartentyp - zunächst nur für einzelne Huawei-Smartphones

Tipp von VGem-e vor 3 StundenSpeicherkarten

Servus, als ob das "Chaos" i.S. Speicherkarten noch nicht groß genug wäre?! Evtl. kommt dieser neue Kartentyp bald auch ...

Sicherheit

Diverse D-Link-Router durch drei Schwachstellen kompromittierbar

Information von kgborn vor 5 StundenSicherheit

Hat jemand D-Link-Router in Verwendung? Einige Modelle sind sicherheitstechnisch offen wie ein Scheunentor. Äußerst unschöne Sache, aber nichts neues ...

Hardware

100.000 Mikrotik-Router ungefragt von Hacker abgesichert

Information von 7Gizmo7 vor 20 StundenHardware1 Kommentar

Hallo zusammen, da hier ja öfters mal von Mikrotik gesprochen wird. Trotz Updates klafft eine Sicherheitslücke in Hundertausenden Mikrotik-Routern. ...

Heiß diskutierte Inhalte
Windows 10
Sysprep Fehler im Log kann nicht starten
Frage von grillinator95Windows 1022 Kommentare

Hallo, kann leider SYSPREP nicht mehr starten, Win10 64bit. Logfile sagt folgendes: 2018-10-17 13:44:56, Info SYSPRP 2018-10-17 13:44:56, Info ...

Debian
Linux debian 9 Installation
Frage von Green14Debian16 Kommentare

Hallo zusammen, ich habe mich ein wenig mit Debian auseinandergesetzt und möchte mir eine Standard-Installation als Grundlage für andere ...

Apple
MacBook Pro 2018 mit 8 GB oder 16 GB
Frage von SysAdm81Apple13 Kommentare

Hallo zusammen, ich steh vor der Überlegung mir ein MacBook Pro 13 (2018) zu kaufen. Bzgl. SSD habe ich ...

Outlook & Mail
Outlook schiebt Mails aus Posteingang sofort in den Papierkorb
Frage von hermesOutlook & Mail13 Kommentare

Hallo Outlook Fachleute, wir haben hier das Problem, dass Outlook 2010 alle ankommenden Mails seit zwei Tagen einfach in ...