Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst VPN geht nicht von jedem Standort

Mitglied: rs-schmid

rs-schmid (Level 1) - Jetzt verbinden

08.06.2008, aktualisiert 18.10.2012, 4381 Aufrufe, 4 Kommentare

Hallo,

wir haben in einer Filiale eine Pix 501, zu der sich Mitarbeiter via Cisco VPN Client verbinden.
(Die Verbindung wird nicht von der Zentrale aufgebaut)
Diese starten den Remote Desktop und sind verbunden zu z.B. einem Server hinter der Pix 501.

Jetzt kommt mein Problem.
Verbinde ich mich von der Zentrale via Cisco VPN Client zur besagten Filiale klappt zwar der Tunnelaufbau, aber es ist keine rpd Sitzung möglich, es geht kein Traffic durch den Tunnel.
In der Zentrale sitzen die Clients (PCs) hinter einer Pix 515E.
Welche access-list oder was blockt den Traffic bei der Pix 515E ?
Von jedem anderem (bis jetzt ausprobiertem) Standort klappt die VPN Verbindung und der Traffic via rdp zur Pix501 einwandfrei ?

Auf der Pix 515E bypass ipsec traffic aktiviert. Muss ich die rdp Sitzungen explizit zulassen?

Gruss Roland
Mitglied: aqui
09.06.2008, aktualisiert 18.10.2012
Cisco nutzt IPsec im ESP Modus. Vermutlich lässt eure lokale Access Liste kein Port Forwarding von UDP 500 (IKE Protokoll) und von ESP (Protokoll Nummer 50) durch. Dadurch wird eine IPsec (ESP) Verbindung dann geblockt und es kommt kein VPN zustande.

Es ist auch vollkommener Unsinn mit einem Client hinter der 515er einen VPN Tunnel aufzubauen.
Sinnvoller ist es logischerweise die beiden PIXen eine VPN Verpindung zwischen den Netzen (Znetrale/Filiale) herstellen zu lassen. Dann kannst du dir diese überflüssige und auch unsinnige Frickelei mit einem Client hinter einer FW sparen, denn dieser Tunnel arbeitet wie eine Standverbindung zur Filiale.
So ein Szenario ist ja auch der tiefere Sinn von VPN Tunnels !
Wenn man 2 PIXen hat lässt man diese den VPN Tunnel aufbauen und hat so eine transparent Netzkopplung permanent.

VPN Einwahl macht nur Sinn für einzelene Clients in diesem Umfeld, wie die oben zitierten mobilen Mitarbeiter !!

Die entsprechende PIX Konfig für die VPN Netzkopplung findest du hier:

https://www.administrator.de/forum/trunking%2c-link-aggregation-89229.ht ...
bzw. ganz detailiert hier:

http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configur ...
Bitte warten ..
Mitglied: rs-schmid
09.06.2008 um 21:19 Uhr
Es ist auch vollkommener Unsinn mit einem Client hinter der 515er einen VPN Tunnel aufzubauen.

Hallo,

ja, gebe Dir recht, aber mein Beispiel von der Zentrale und der Filiale war unvollständig.
Die Filiale ist quasi meine Nebenerwerbstätigkeit, und ich möchte die beiden Netze nicht koppeln.
Ich will nur für mich den remote Zugriff haben. (hinter der Pix 515)

Das heisst ich muss den UPD Port 500 und ESP auf den Client von dem ich VPN haben will forwarden und natürlich per access-list erlauben und dann gehts ?

Oder gibts da noch ne andere Möglichkeit ?

Gruss Roland
Bitte warten ..
Mitglied: aqui
11.06.2008 um 11:02 Uhr
Nein, eine andere Möglichkeit gibt es nicht ! Es ist aber der richtige Weg. Port Weiterleitung von UDP 500, UDP 4500 und ESP auf die lokale IP des Clients und FW Ports entsprechend freigeben !
Bitte warten ..
Mitglied: rs-schmid
16.06.2008 um 21:25 Uhr
ich habe das jetzt so gelöst:

nat-traversal eingeschaltet
isakmp nat-traversal

und ESP auf dem outside interface erlaubt.
access-list acl-name permit esp any any
access-group acl-name in interface outside

die Forwarding Geschichte wurde dadurch überflüssig, so geht es nun auf jedem Client hinter der Pix

danke für die Tipps

Gruss Roland
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Routing über VPN zu 2 Standorten
Frage von OF2697Router & Routing8 Kommentare

Hallo zusammen, ich habe eine Frage bezgl. Routing. Ich habe zwei Standorte per VPN über die beiden Router miteinander ...

Router & Routing

Drei Standorte über VPN miteinander Verbinden

gelöst Frage von Diamond72Router & Routing53 Kommentare

Hallo zusammen, ich möchte gerne drei Standorte netzwerktechnisch per VPN miteinander verbinden, sodass alle drei Standorte in einem Netzwerk ...

LAN, WAN, Wireless

VPN zwischen zwei Standorten und unterschiedlichen Routern

gelöst Frage von Welly92LAN, WAN, Wireless15 Kommentare

Hallo liebe Administrator-Gemeinde, nach langem wende ich mich mal wieder mit einer Frage an euch. Situation vor dem Providerwechsel: ...

Netzwerkmanagement

2 Standorte VPN Probleme mit Bandbreite

Frage von fnaticNetzwerkmanagement4 Kommentare

Hallo, angenommen es gibt eine Firma mit 2 Standorten. In Standort A befinden sich die Applikationsserver. In Standort B ...

Neue Wissensbeiträge
Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 8 StundenGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Sicherheit

Intel gibt neue Spectre V2-Microcode-Updates frei (20.02.2018)

Information von kgborn vor 9 StundenSicherheit

Intel hat zum 20. Februar 2018 weitere Microcode-Updates für OEMs freigegeben, um Systeme mit neueren Prozessoren gegen die Spectre ...

Microsoft
ARD-Doku - Das Microsoft Dilemma
Tipp von Knorkator vor 12 StundenMicrosoft3 Kommentare

Hallo zusammen, vor einigen Tagen lief in der ARD u.a. Reportage. Das Youtube Video dazu dürfte länger verfügbar sein. ...

Windows 10

Neue Sicherheitslücke in Windows 10 (Version 1709) durch Google öffentlich geworden

Information von kgborn vor 1 TagWindows 10

Vor ein paar Tagen haben Googles Sicherheitsforscher vom Projekt Zero eine Sicherheitslücke im Edge-Browser publiziert. Jetzt wurde eine weitere ...

Heiß diskutierte Inhalte
Windows Server
AD DS findet Domäne nicht, behebbar?
Frage von schapitzWindows Server40 Kommentare

Guten Tag, ich habe bei einem Kunden ein Problem mit den AD DS. Umgebung ist folgende: Windows Server 2016 ...

Router & Routing
LANCOM VPN CLIENT einrichten
Frage von Finchen961988Router & Routing27 Kommentare

Hallo, ich habe ein Problem und hoffe ihr könnt mir helfen, wir haben einen Kunden der hat einen Speedport ...

Router & Routing
ISC DHCP 2 Subnetze
gelöst Frage von janosch12Router & Routing19 Kommentare

Hallo, ich betreibe bei mir im Netzwerk einen ISC DHCP Server auf Debian, der DHCP verwaltet aktuell ein /24 ...

Switche und Hubs
Cisco SG350X-48 AdminIP in anderes VLAN
Frage von lcer00Switche und Hubs14 Kommentare

Hallo zusammen, ich habe ein Problem mir einem Cisco SG350X-48 bei der Erstinstallation wurde eine IP 192.168.0.254 (Default VLAN ...