Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Cisco Pix 501 Eays-VPN mit Split

Frage Netzwerke Router & Routing

Mitglied: serching

serching (Level 1) - Jetzt verbinden

14.10.2010 um 19:07 Uhr, 4874 Aufrufe, 11 Kommentare

Hallo an die Cisco Experten

Habe folgendes Problem!

In der Firma steht eine konfigurierte Cisco Pix mit Split-Tunnel-Group.

Auf der Client-Seite steht eine Pix 501. Die Verbindung wird mit Easy-VPN aufgebaut und funktioniert auch. Ich kann mit meinen Citrix-Clients auf drei Rechnern gleichzeitig arbeiten.
Wenn ich aber mit zwei Clients gleichzeitig Dateien vom Server laden möchte, wird der erste Download vom zweiten abgebrochen.

PS: bin ein Neuling in diesem Gebiet!!

Danke im Vorraus
Mitglied: brammer
15.10.2010 um 06:36 Uhr
Hallo,

und das ganze sollen wir durch auslesen der Gaskugel ohne weitere Informationen erraten?
ein bisschen mehr Infos wie z.b. die Konfiguration der Pix, vorhandene Bandbreite und ähnliches wären schon ungemein hilfreich.

brammer
Bitte warten ..
Mitglied: serching
15.10.2010 um 10:28 Uhr
Hallo brammer,
hätte ja sein können das ihr gleich sagt „ diese Konstellation kann nicht funktionieren“
Hier unser Eckdaten:
Firma hat eine 2MB SDSL Leitung. Dort steht eine Cisco Pix515 auf der zwei VPN Gruppen
eingerichtet sind. Eine davon mit Split-Tunneling.

In der Zweigstelle sind wir auch über 2MB SDSL Leitung angebunden.

Und hier nun die Konfiguration der Pix-501

PIX Version 6.3(5)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password fgfbgfjhgjfzuj encrypted
passwd dz/fghgzgrhtj encrypted
hostname test
domain-name meinedomain
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside pppoe setroute
ip address inside 192.168.16.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm location 192.168.1.0 255.255.255.0 inside
pdm location 192.168.100.0 255.255.255.0 outside
pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 192.168.16.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh 192.168.1.0 255.255.255.0 inside
ssh timeout 25
console timeout 0
vpdn group pppoe_group request dialout pppoe
vpdn group pppoe_group localname meinisp
vpdn group pppoe_group ppp authentication pap
vpdn username Username password
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd auto_config outside
vpnclient server 89.xx.xx.xxx
vpnclient mode client-mode
vpnclient vpngroup Split password
vpnclient enable
terminal width 80
Cryptochecksum:f774de9c9ce81fcde24765afc26d2032

Gruß, serching
Bitte warten ..
Mitglied: krachtor
16.10.2010 um 11:40 Uhr
Hi serching,

bitte folgende Auswertung posten:
Ausgabe des Kommandos 'sh ver | i Hosts'
Gezaehlte Eintraege aus dem Kommando 'sh arp'

Mit freundlichen Grüßen,
krachtor
Bitte warten ..
Mitglied: serching
16.10.2010 um 14:23 Uhr
Hi krachtor,

folgende Ausgabe bekomme ich mit "sh arp"

test(config)# sh arp
inside 192.168.16.5 001b.fc92.8f64
inside 192.168.16.246 0030.1bbe.7c67
inside 192.168.16.111 0040.d06f.fe50
inside 192.168.16.6 000c.29bd.88fb

'sh ver | i Hosts' kennt die Pix nicht

Habe schon drei Pix501 gestestet. Eine ASA5505 mit Easy-VPN verhält sich ebenso.
Gleichen Aufbau mit anderen Rechnern und IP-Bereich an einem anderen Standord getestet.
Immer das gleiche Ergebniss. Es ist nicht möglich zwei gleichzeitige Downloads zu starten.

Gruß, serching
Bitte warten ..
Mitglied: krachtor
16.10.2010 um 23:14 Uhr
'sh ver | i Hosts' kennt die Pix nicht

Hi serching,

ach ja, max. Version 6.3(4)xxx kennt die Pipe noch nicht - sorry...
Bitte ein 'sh ver' absetzen und in die Zeile mit 'Hosts' posten.

Mit welchen unterschiedlichen Benutzernamen wird sich denn angemeldet?

Mit freundlichen Grüßen,
krachtor
Bitte warten ..
Mitglied: serching
17.10.2010 um 10:41 Uhr
Hallo krachtor,

" sh ver" zeigt folgende Ausgabe:

0: ethernet0: address is xxxxxxxxxxxxxxx, irq 9
1: ethernet1: address is xxxxxxxxxxxxxxx, irq 10
Licensed Features:
Failover: Disabled
VPN-DES: Enabled
VPN-3DES-AES: Enabled
Maximum Physical Interfaces: 2
Maximum Interfaces: 2
Cut-through Proxy: Enabled
Guards: Enabled
URL-filtering: Enabled
Inside Hosts: 10
Throughput: Unlimited
IKE peers: 10

This PIX has a Restricted (R) license.

Serial Number: xxxxxxxxxxxxx (xxxxxxxxxx)
Running Activation Key: xxxxxxxxxxxxxxxxxxxxxxxxxxx
Configuration has not been modified since last system restart.


Mit welchen unterschiedlichen Benutzernamen wird sich denn angemeldet?

Die User haben auf den Clients eine Batch in der Autostart womit die anmeldung
auf den Server mit Admin-Rechten erfolgt.
net use \\192.168.100.2 /USER:Administrator xxxx
Lokal arbeiten die User mit Admin-Rechten

Der Zugriff auf die Freigaben funktioniert ja auch mit allen Rechnern.

"sh vpnclient" zeigt diese Ausgabe:

DOWNLOADED DYNAMIC POLICY
Current Server : 89.xx.xxx.xxx
NAT addr : 192.168.101.82
PFS Enabled : No
Secure Unit Authentication Enabled : No
User Authentication Enabled : No
Split Networks : 192.168.100.0/255.255.255.0
Backup Servers : None

User1 verbindet sich z.B. mit dem Server \\192.168.100.2\tools\ und läd eine Datei herunter.
Wenn jetzt User2 über dern Dateimanage nur \\192.168.100.2 eingiebt und die Verbindung
aufgebaut wird, kickt er den Download von User1. Und umgekehrt genauso.

Mit freundlichen Grüßen, serching
Bitte warten ..
Mitglied: krachtor
17.10.2010 um 14:55 Uhr
Hi serching,

es scheint kein Lizenz-Problem zu sein.
Ich sehe nur ein User- bzw. Crypto-Session-Problem im IPSec: 'User Authentication Enabled : No'
Ich konnte keinerlei User fuer ein IPSec-Login in der Config entdecken. Aber da scheint das Problem nicht zu liegen.
Ich kann jedoch auch das Netzwerk 192.168.101.x/y nicht zuordnen. Wird diese NAT-IP von der zentralen PIX in der Firma vorgegeben?

Ich vermute inzwischen, dass ein Rechte-Problem auf dem Server vorliegt, wenn das IPSec-VPN weiterhin bestehen bleibt.
Du solltest mal pruefen, ob in dem Fall weiterhin Daten ueber das VPN laufen ('sh crypto ipsec sa', nach 'encaps' und 'decaps' schauen).

Ansonsten hilft wahrscheinlich nur noch ein Sniffering auf Clients und Server.

Mit freundlichen Grüßen,
krachtor
Bitte warten ..
Mitglied: serching
19.10.2010 um 07:28 Uhr
Hallo krachtor,

die 192.168.101.xx kommt aus dem IP-Pool von der VPN-Gruppe "Split" (zentrale Pix515)

Welche Tools kannst Du mir für das Sniffering empfehlen?

Werde heute mal die Konfiguration der Pix515 aus der Zentrale posten.

Gruß, serching
Bitte warten ..
Mitglied: krachtor
19.10.2010 um 07:45 Uhr
Guten Morgen serching,

Standard-Tool: ethereal (Download unter http://www.ethereal.com/)

Ggf. koenntest Du auch auf der PIX selbst sniffern:
https://supportforums.cisco.com/docs/DOC-1222
http://security-planet.de/2005/07/26/cisco-pix-capturing-traffic/

Mit freundlichen Grüßen,
krachtor
Bitte warten ..
Mitglied: serching
21.10.2010 um 19:51 Uhr
Hi krachtor,

das mit dem Sniffen konnte ich bis jetzt leider noch nicht testen. Habe mir nun eine Pix für L2L konfiguriert.
Werde diese morgen an der Aussenstelle mal testen.

Die Konfiguration der Pix515 aus der Zentrale beinhaltet zu viele Routen zu externen Dienstleistern. Deshalb
darf ich diese aus Sicherheitsgründen leider nicht posten.

Mit freundlichen Grüßen, seching
Bitte warten ..
Mitglied: serching
27.10.2010 um 09:32 Uhr
Hallo krachtor,

habe es jetzt endlich geschaft. Die beiden Pixen sind jetzt per L2L verbunden und es giebt keine Probleme mehr.

Werde die anderen Aussenstellen jetzt auch so konfigurieren.

Das andere Problem werde ich nicht weiter verfolgen.

Danke für deine Hilfe!

Gruß, serching
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...