Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

CISCO 515 VPN Teardown TCP am internen Interface

Frage Netzwerke Router & Routing

Mitglied: HerrZwerg

HerrZwerg (Level 1) - Jetzt verbinden

21.10.2010, aktualisiert 22.10.2010, 2738 Aufrufe, 5 Kommentare

Die Hoch und Tiefs beim Einrichten von VPNs!

Endlich hatte ich mal ein Erfolgserlebnis, da etwas auf Anhieb funktioniert hat. Hab für ein Projekt eine VPN Verbindung benötigt und die per Cisco PIX 515 auch zustande bekommen. Also VPN mittels Passwort zu meiner PIX funktioniert einwandfrei. Nur der Request zum internen server mit der IP 172.17.41.70 am port 81 funktioniert nicht.

soweit ich google und co befragt habe, wird alles am internen Interface abgefangen...

Ich bekomme folgende Fehlermeldung im Logfile

01.
6|Oct 18 2010|11:36:40|302014|Hobex|172.17.41.70|Teardown TCP connection 56644 for outside:Hobex/13002 to inside:172.17.41.70/81 duration 0:00:00 bytes 0 TCP Reset-I 
02.
6|Oct 18 2010|11:36:39|302013|Hobex|172.17.41.70|Built inbound TCP connection 56644 for outside:Hobex/13002 (Hobex/13002) to inside:172.17.41.70/81 (172.17.41.70/81)
bzw. jetzt aktuell

01.
6|Oct 18 2010|11:36:40|302014|Hobex|172.17.41.70|Teardown TCP connection 56644 for outside:Hobex/13002 to inside:172.17.41.70/81 duration 0:00:10 bytes 1401 TCP FINs 
02.
6|Oct 18 2010|11:36:39|302013|Hobex|172.17.41.70|Built inbound TCP connection 56644 for outside:Hobex/13002 (Hobex/13002) to inside:172.17.41.70/81 (172.17.41.70/81)

Noch komischer ist, dass am Rechner mit der IP 172.17.41.70 ein leerer Request ankommt.

Ich dachte die firewall blockiert alles oder nichts. Stimmt das?


die config der pix lautet

01.
Result of the command: "show config" 
02.
 
03.
: Saved 
04.
: Written by enable_15 at 14:54:09.322 UTC Mon Oct 18 2010 
05.
06.
PIX Version 8.0(4)16  
07.
08.
hostname home 
09.
domain-name brain-behind.com 
10.
enable password 8Ry2YjIyt7RRXU24 encrypted 
11.
passwd 2KFQnbNIdI.2KYOU encrypted 
12.
names 
13.
name 172.31.255.254 Hobex description Fobex 
14.
15.
interface Ethernet0 
16.
 nameif outside 
17.
 security-level 0 
18.
 ip address 93.XX.XX.XX 255.255.255.252  
19.
20.
interface Ethernet1 
21.
 nameif inside 
22.
 security-level 100 
23.
 ip address 172.17.41.1 255.255.255.0  
24.
25.
interface Ethernet2 
26.
 shutdown 
27.
 no nameif 
28.
 no security-level 
29.
 no ip address 
30.
31.
interface Ethernet3 
32.
 shutdown 
33.
 no nameif 
34.
 no security-level 
35.
 no ip address 
36.
37.
interface Ethernet4 
38.
 shutdown 
39.
 no nameif 
40.
 no security-level 
41.
 no ip address 
42.
43.
interface Ethernet5 
44.
 shutdown 
45.
 no nameif 
46.
 no security-level 
47.
 no ip address 
48.
49.
ftp mode passive 
50.
dns server-group DefaultDNS 
51.
 domain-name brain-behind.com 
52.
same-security-traffic permit inter-interface 
53.
same-security-traffic permit intra-interface 
54.
object-group network DM_INLINE_NETWORK_1 
55.
 network-object 172.31.255.128 255.255.255.128 
56.
 network-object host Hobex 
57.
object-group service Hobex tcp-udp 
58.
 port-object eq 81 
59.
access-list inside_nat0_outbound extended permit ip any host 172.31.255.128  
60.
access-list outside_access_in extended permit ip any any  
61.
access-list outside_access_in extended permit tcp host Hobex host 172.17.41.70 log debugging  
62.
access-list inside_cryptomap extended permit ip host 172.17.41.70 host 172.17.208.33  
63.
access-list inside_access_in extended permit ip any any  
64.
access-list NoNAT2 extended permit ip host 93.XX.XX.XX 172.31.255.128 255.255.255.128  
65.
access-list NoNAT2 extended permit ip host 172.17.41.70 172.31.255.128 255.255.255.128  
66.
access-list NoNAT2 extended permit ip host 172.17.41.70 host Hobex  
67.
access-list outside_cryptomap extended permit ip host 172.17.41.70 object-group DM_INLINE_NETWORK_1  
68.
pager lines 24 
69.
logging enable 
70.
logging standby 
71.
logging emblem 
72.
logging console debugging 
73.
logging monitor debugging 
74.
logging buffered debugging 
75.
logging asdm informational 
76.
logging debug-trace 
77.
mtu outside 1500 
78.
mtu inside 1500 
79.
no failover 
80.
icmp unreachable rate-limit 1 burst-size 1 
81.
asdm image flash:/asdm-602.bin 
82.
no asdm history enable 
83.
arp timeout 14400 
84.
global (outside) 1 interface 
85.
nat (inside) 0 access-list NoNAT2 
86.
nat (inside) 1 0.0.0.0 0.0.0.0 
87.
static (inside,outside) 172.31.255.128 192.168.1.6 netmask 255.255.255.255  
88.
static (inside,outside) 172.17.208.33 192.168.1.5 netmask 255.255.255.255  
89.
access-group outside_access_in in interface outside 
90.
access-group inside_access_in in interface inside 
91.
route outside 0.0.0.0 0.0.0.0 93.XX.XX.XX 1 
92.
timeout xlate 0:05:00 
93.
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 
94.
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 
95.
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 
96.
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute 
97.
timeout tcp-proxy-reassembly 0:01:00 
98.
dynamic-access-policy-record DfltAccessPolicy 
99.
aaa-server TACACS+ protocol tacacs+ 
100.
aaa-server RADIUS protocol radius 
101.
http server enable 
102.
http 0.0.0.0 0.0.0.0 inside 
103.
http 192.168.1.0 255.255.255.0 inside 
104.
no snmp-server location 
105.
no snmp-server contact 
106.
snmp-server community public 
107.
snmp-server enable traps snmp authentication linkup linkdown coldstart 
108.
crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac  
109.
crypto ipsec transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac  
110.
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac  
111.
crypto ipsec transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac  
112.
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac  
113.
crypto ipsec transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac  
114.
crypto ipsec transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac  
115.
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac  
116.
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac  
117.
crypto ipsec transform-set chevelle esp-aes-256 esp-sha-hmac  
118.
crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac  
119.
crypto ipsec security-association lifetime seconds 28800 
120.
crypto ipsec security-association lifetime kilobytes 4608000 
121.
crypto map inside_map0 1 match address inside_cryptomap 
122.
crypto map inside_map0 1 set pfs  
123.
crypto map inside_map0 1 set peer 195.XXX.XXX.XXX 
124.
crypto map inside_map0 1 set transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5 
125.
crypto map inside_map0 1 set security-association lifetime seconds 3600 
126.
crypto map inside_map0 1 set reverse-route 
127.
crypto map inside_map0 interface inside 
128.
crypto map transam 2 match address outside_cryptomap 
129.
crypto map transam 2 set pfs  
130.
crypto map transam 2 set peer 195.XXX.XXX.XXX 
131.
crypto map transam 2 set transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5 
132.
crypto map transam 2 set security-association lifetime seconds 3600 
133.
crypto map transam interface outside 
134.
crypto isakmp enable outside 
135.
crypto isakmp enable inside 
136.
crypto isakmp policy 1 
137.
 authentication pre-share 
138.
 encryption aes-256 
139.
 hash sha 
140.
 group 2 
141.
 lifetime 86400 
142.
crypto isakmp ipsec-over-tcp port 10000  
143.
telnet timeout 5 
144.
ssh timeout 5 
145.
console timeout 0 
146.
dhcpd dns 213.33.99.70 80.120.17.70 
147.
dhcpd ping_timeout 750 
148.
dhcpd auto_config outside 
149.
150.
dhcpd dns 213.33.99.70 80.120.17.70 interface inside 
151.
152.
threat-detection basic-threat 
153.
threat-detection statistics access-list 
154.
no threat-detection statistics tcp-intercept 
155.
tunnel-group 195.XXX.XXX.XXX type ipsec-l2l 
156.
tunnel-group 195.XXX.XXX.XXX ipsec-attributes 
157.
 pre-shared-key * 
158.
 peer-id-validate nocheck 
159.
 isakmp keepalive disable 
160.
tunnel-group testHobex type ipsec-l2l 
161.
tunnel-group testHobex ipsec-attributes 
162.
 pre-shared-key * 
163.
tunnel-group Hobex type ipsec-l2l 
164.
tunnel-group Hobex ipsec-attributes 
165.
 pre-shared-key * 
166.
tunnel-group Hob type ipsec-l2l 
167.
tunnel-group Hob general-attributes 
168.
 annotation CryptoMapEntry=transam[2] 
169.
tunnel-group Hob ipsec-attributes 
170.
 pre-shared-key * 
171.
172.
class-map inspection_default 
173.
 match default-inspection-traffic 
174.
175.
176.
policy-map type inspect dns preset_dns_map 
177.
 parameters 
178.
  message-length maximum 512 
179.
policy-map global_policy 
180.
 class inspection_default 
181.
  inspect dns preset_dns_map  
182.
  inspect ftp  
183.
  inspect h323 h225  
184.
  inspect h323 ras  
185.
186.
service-policy global_policy global 
187.
prompt hostname context  
188.
Cryptochecksum:8af5bd92f92bd821f46ff6294407355e 
189.
 

Wäre toll, wenn sich jemand das ansehen könnte. Ich bin echt am verzweifeln

Vielen Dank

Herr Zwerg
Mitglied: aqui
22.10.2010 um 16:37 Uhr
Folgende Fragen wenn der VPN Tunnel aktiv ist hast du nicht beantwortet
  • Kannst du das LAN Interface der PIX 172.17.41.1 aus dem VPN pingen ?
  • Kannst du den Host 172.17.41.70 aus dem VPN pingen ?
  • Wenn nein, hast du ICMP (ping) erlaubt (Klick auf "Auf Echo Pakete antworten" ) ?
  • Du kommst aus einem Fremdnetz (VPN) ! Hast du die lokale Win Firewall auf dem Host 172.17.41.70 entsprechend angepasst das diese Zugriffe aus dem fremden IP Netz (VPN) zulässt ?? In den erweiterten Eigenschaften der Firewall den Port --> Bereich anpassen bzw. auf "Alle Computer inkl. Internet" klicken !
    • Wenn du am Host 172.17.41.70 mit Wireshark oder NetMonitor mal snifferst, kannst du dort eingehende Pakete aus dem VPN Netz mit Zielport TCP 81 sehen ??

Für eine qualifizierte Antwort zum Troubleshooting wären diese Infos sehr hilfreich !
Bitte warten ..
Mitglied: HerrZwerg
24.10.2010 um 15:55 Uhr
hi aqui,

danke für deine Hilfe. Hier die gewünschten Antworten hoffentlich in der Ausführlichkeit, wie du sie benötigst.

man kann LAN Interface 172.17.41.1 pingen.
Den Host 172.17.41.70 kann man nicht pingen.
ICMP ist erlaubt.
Auf dem Rechner läuft keine firewall, da es ein alter Win2K Rechner ist. Alle Ports etc. sind offen.

JA, ich kann am rechner die eingehenden Pakete sehen, wenn ich mit Wireshark sniffe! Allerdings haben die requests alle eine länge von 0 bytes.

Und genau, dass verwundert mich ja so. kommen requests überhaupt am rechner an, wenn die firewall das blockiert?
Bitte warten ..
Mitglied: aqui
24.10.2010 um 17:23 Uhr
Dann hat der alte Win2K Rechner das falsche default Gateway konfiguriert !! Das zeigt vermutlich NICHT auf die 172.17.41.1 und deshalb schlägt die Ping Rückantwort fehl !!
Siehst du die echo reply Ping Packete des 2K Rechners im Sniffer ??
Welche Quell und Ziel IP haben die ??
Bitte warten ..
Mitglied: HerrZwerg
24.10.2010 um 17:53 Uhr
nein, der standardgateway ist 172.17.41.1. ich komme vom rechner auch normal ins internet.

wenn ich vom internen interface pinge sehe ich die pakete, vom outside nicht! QuellIP = 172.17.41.1 DestinationIP=172.17.41.70

vpn kann ich leider im moment nicht testen, da das extern liegt.

ohne VPN komme ich problemlos auf den rechner...
Bitte warten ..
Mitglied: HerrZwerg
28.10.2010 um 09:44 Uhr
gibts da niemand der mir bei diesem "wenig anspruchsvollen" thema helfen kann?

stehe da echt an!

vielen Dank
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(2)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Netzwerkmanagement
VPN: mehrere TCP Verbindungen pro Session

Frage von twoDarkMessiah zum Thema Netzwerkmanagement ...

Router & Routing
Cisco IPSEC VPN - Magic Packet (WOL) - ip helper-address (4)

Frage von Bernhard-B zum Thema Router & Routing ...

DSL, VDSL
gelöst VPN-Probleme (CISCO AnyConnect) in Zusammenhang mit Router "Vodafone EasyBox" (7)

Frage von donnyS73lb zum Thema DSL, VDSL ...

Router & Routing
Cisco 800 Series und VPN over Fritzbox und Telekom VDSL (4)

Frage von Ra1976 zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (15)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...