Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Cisco Pix 501 als VPN Server einrichten - Problem

Frage Sicherheit Firewall

Mitglied: madn01

madn01 (Level 1) - Jetzt verbinden

06.10.2006, aktualisiert 18.10.2012, 11455 Aufrufe, 8 Kommentare

Ich habe eine Cisco PIX 501 über den "VPN Wizard" als VPN Server für einen Cisco VPN Client 3.x oder höher eingerichtet.

Hierbei habe ich größtenteils die Default-Einstellungen übernommen. AAA Server / Radius etc. ausgeschalten.

Nun kann ich per Cisco VPN Client zwar connecten und bekomme korrekt eine IP, jedoch kann ich danach nicht wirklich auf das Netz zugreifen. Im internen Netz kann ich den externen VPN User jedoch anpingen. Aufgefallen ist mir, dass der VPN Client als Gateway seine eigene IP eingetragen hat, was vermutlich falsch sein wird.

1. Kann mir jemand sagen, ob bzw. bei der VPN Server Konfiguration als DNS, WINS etc. irgendetwas eintragen muss oder die Felder freibleiben können?
2. Sollte beim Client als Gateway normalerweise die Pix-IP eingetragen sein bzw. wie kann ich das ändern?
3. Beim VPN Wizard konnte ich am Ende irgendeine NAT Konfiguration durchführen. Sollten hier die IP's, die den VPN-Clients zugewiesen werden, eingetragen werden?


Für jegliche Hilfe wäre ich äußerst dankbar.

Viele Grüße

Martin
Mitglied: Rafiki
07.10.2006, aktualisiert 18.10.2012
Wahrscheinlich fehlt die nat 0 Angabe, damit die Adressen zwischen dem VPN Client und dem restlichem Netzwerk von NAT ausgenommen werden.

Guckst du hier:
http://www.administrator.de/forum/vpn-mit-pix-501-40199.html


Die entscheidenden Zeilen sind:
access-list 101 permit ip 10.0.0.0 255.0.0.0 192.168.1.0 255.255.255.0
global (outside) 1 interface nat (inside) 0 access-list 101
nat (inside) 1 0.0.0.0 0.0.0.0 0 0

sonst schick mir deine Konfiguration (ohne Passworte und ohne public IP) über die Nachrichtenfunktion.

Gruß Rafiki
PS: Ich freue mich immer wieder wenn jemand im Forum kurz berichtet, ob eine angebotene Lösung erfolgreich war oder auch nicht.
Bitte warten ..
Mitglied: madn01
12.10.2006 um 18:51 Uhr
Danke an Rafiki für die Lösung des Problems (über die Nachrichtenfunktion).
Bitte warten ..
Mitglied: MM
31.10.2006 um 15:12 Uhr
Hallo!
Ich bin in einer ähnlichen Situation:
- bestehendes Netzwerk 192.168.1.
- Cisco Pix 501
- DSL mit fester IP
- ein paar Mitarbeiter wollen sich von zu Hause übers Internet mit Cisco VPN Client einwählen
- die Konfiguration habe ich mit den beiden Wizards gemacht und ich kann vom Cisco selbst eine IP im Internet anpingen
- VPN, Internet Zugang von den PCs funktioniert nicht

Ist es möglich das Sie die funktionierende Config mal ins Forum posten (ohne Passwörter usw.)

Alternativ kann ich auch mal meine posten.

Vielen Dank schonmal!!!
Bitte warten ..
Mitglied: Rafiki
31.10.2006 um 18:48 Uhr
Hi MM,

willkommen im Administrator Forum.

Deine Konfig darfst du gerne posten. Entferne bitte vorher Dinge die dich verraten würden, Firmenname, die feste öffentliche IP, Benutzernamen, Passwort usw.....
Du darft auch gerne mir die bereinigte Konfig schicken. Im Forum, oben rechts, Nachrichten auswählen.

Deine Fehlerbeschreibung dürfte gerne etwas genauer sein

Gruß Rafiki
Bitte warten ..
Mitglied: MM
31.10.2006 um 20:51 Uhr
Hallo!
Ja danke für die schnelle Reaktion!
Ich möchte an sich etwas ganz einfaches (glaube ich zumindest) mit dem Gerät machen.
Es gibt ein Netz 192.168.1.0/24 mit 5 PCs + 1 Server - alles Windows XP bzw. 2003.
Dann gibt es einen T-Com DSL Anschluss mit fester IP.
Es soll möglich sein, dass sich die Mitarbeiter von zu Hause über das Internet mit VPN "einwählen" können und eine IP aus dem 192.168.1.0 Netz bekommen - so als ob sie in der Firma wären und mit dem LAN verbunden wären - keine besonderen Sicherheitsvorkehrungen.
Auf den PCs ist der Cisco VPN Client installiert und die Authentifizierung soll ganz einfach mit Benutzer/Passwort für jeden Mitarbeiter (plus Gruppenpasswort ???) sein.
Arbeiten wollen die z.B. mit FileMaker und Office (Word,Excel) Dateien die über Netzwerkfreigaben auf dem Server liegen, eventuell Exchange, außerdem soll Windows Remote Desktop RDP möglich sein. Ich denke aber das es deshalb keine Probleme geben sollte.

Eingerichtet habe ich den PIX nur über die beiden Assistenten.

Gruß
MM


01.
Result of firewall command: "show config" 
02.
  
03.
: Saved 
04.
: Written by enable_15 at 08:02:12.753 UTC Mon Oct 30 2006 
05.
PIX Version 6.3(5) 
06.
interface ethernet0 auto 
07.
interface ethernet1 100full 
08.
nameif ethernet0 outside security0 
09.
nameif ethernet1 inside security100 
10.
enable password *************** encrypted 
11.
passwd ************* encrypted 
12.
hostname cisco 
13.
domain-name ****************.de 
14.
fixup protocol dns maximum-length 512 
15.
fixup protocol ftp 21 
16.
fixup protocol h323 h225 1720 
17.
fixup protocol h323 ras 1718-1719 
18.
fixup protocol http 80 
19.
fixup protocol rsh 514 
20.
fixup protocol rtsp 554 
21.
fixup protocol sip 5060 
22.
fixup protocol sip udp 5060 
23.
fixup protocol skinny 2000 
24.
fixup protocol smtp 25 
25.
fixup protocol sqlnet 1521 
26.
fixup protocol tftp 69 
27.
names 
28.
access-list inside_outbound_nat0_acl permit ip any 192.168.1.0 255.255.255.128  
29.
access-list outside_cryptomap_dyn_60 permit ip any 192.168.1.0 255.255.255.128  
30.
pager lines 24 
31.
mtu outside 1456 
32.
mtu inside 1500 
33.
ip address outside pppoe setroute 
34.
ip address inside 192.168.1.1 255.255.255.0 
35.
ip audit info action alarm 
36.
ip audit attack action alarm 
37.
ip local pool vpn-firma-pool 192.168.1.50-192.168.1.99 
38.
pdm logging informational 100 
39.
pdm history enable 
40.
arp timeout 14400 
41.
global (outside) 1 interface 
42.
nat (inside) 0 access-list inside_outbound_nat0_acl 
43.
nat (inside) 1 0.0.0.0 0.0.0.0 0 0 
44.
timeout xlate 0:05:00 
45.
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 
46.
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 
47.
timeout sip-disconnect 0:02:00 sip-invite 0:03:00 
48.
timeout uauth 0:05:00 absolute 
49.
aaa-server TACACS+ protocol tacacs+  
50.
aaa-server TACACS+ max-failed-attempts 3  
51.
aaa-server TACACS+ deadtime 10  
52.
aaa-server RADIUS protocol radius  
53.
aaa-server RADIUS max-failed-attempts 3  
54.
aaa-server RADIUS deadtime 10  
55.
aaa-server LOCAL protocol local  
56.
http server enable 
57.
http 192.168.1.0 255.255.255.0 inside 
58.
no snmp-server location 
59.
no snmp-server contact 
60.
snmp-server community public 
61.
no snmp-server enable traps 
62.
floodguard enable 
63.
sysopt connection permit-ipsec 
64.
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac  
65.
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac  
66.
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-MD5 
67.
crypto dynamic-map outside_dyn_map 40 set transform-set ESP-3DES-SHA 
68.
crypto dynamic-map outside_dyn_map 60 match address outside_cryptomap_dyn_60 
69.
crypto dynamic-map outside_dyn_map 60 set transform-set ESP-3DES-SHA 
70.
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map 
71.
crypto map outside_map interface outside 
72.
isakmp enable outside 
73.
isakmp policy 20 authentication pre-share 
74.
isakmp policy 20 encryption 3des 
75.
isakmp policy 20 hash md5 
76.
isakmp policy 20 group 2 
77.
isakmp policy 20 lifetime 86400 
78.
isakmp policy 40 authentication pre-share 
79.
isakmp policy 40 encryption 3des 
80.
isakmp policy 40 hash sha 
81.
isakmp policy 40 group 2 
82.
isakmp policy 40 lifetime 86400 
83.
vpngroup vpn-firma address-pool vpn-firma-pool 
84.
vpngroup vpn-firma dns-server 192.168.1.5 
85.
vpngroup vpn-firma default-domain **********.de 
86.
vpngroup vpn-firma idle-time 1800 
87.
vpngroup vpn-firma password ********* 
88.
telnet timeout 5 
89.
ssh timeout 5 
90.
console timeout 0 
91.
vpdn group pppoe_group request dialout pppoe 
92.
vpdn group pppoe_group localname feste-ip3/*****************@t-online-com.de 
93.
vpdn group pppoe_group ppp authentication pap 
94.
vpdn username feste-ip3/*********@t-online-com.de password ******* store-local 
95.
dhcpd address 192.168.1.210-192.168.1.240 inside 
96.
dhcpd dns 192.168.1.5  
97.
dhcpd lease 3600 
98.
dhcpd ping_timeout 750 
99.
dhcpd domain ****************.de 
100.
dhcpd auto_config outside 
101.
dhcpd enable inside 
102.
terminal width 80 
103.
Cryptochecksum:******************************
Bitte warten ..
Mitglied: MM
31.10.2006 um 21:14 Uhr
Ich war glaube ich etwas zu schnell mit dem abschicken.
Also Internet Zugang haben sollen alle PCs die im lokalen Netz sind und die die sich über VPN eingeloggt haben.
Zur Zeit ist ein Netgear Router worüber der Internet Zugang läuft eingerichtet und funktioniert problemlos. Die TCP/IP Einstellungen an den PCs sind manuell eingestellt und der Netgear hat die gleiche IP-Adresse wie der Cisco PIX (ja es ist immer nur einer angeschlossen - keine doppelte IP usw.). Gateway, Nameserver ist an den PCs auf 192.168.1.1 eingestellt.

Wenn ich den Cisco PIX anschließe geht kein Internet Zugang für die PCs (auch nach 10 Minuten nicht). Ich kann über das Konfigurationsprogramm von Cisco (https://192.168.1.1 Browser -> Java Applet) IP Adressen im Internet anpingen. Von jedem PC aus kann ich den Cisco PIX anpingen.

Mehr geht leider nicht und deshalb brauche ich Hilfe.
Bitte warten ..
Mitglied: Rafiki
01.11.2006, aktualisiert 18.10.2012
Teil 1 der Frage, VPN
Deine VPN Planung ist so üblich und etwas ganz normales.
Ich rate davon ab große Dateien wie z.B. eine fileMaker Datenbank oder Word / Powerpoint über eine langsame, unzuverlässige Verbindung zu öffnen bzw. zu bearbeiten. Besser wäre es sich mit RDP (oder TeminalServer wie Citrix) auf einem PC im Netzwerk anzumelden und die Datei nur lokal zu öffnen. Das verhindert Beschädigungen an den Dateien durch Verbindungsverlust und ähnliches.

Was geht an dem VPN nicht?
Keine Verbindung zu der PIX oder kein Login oder werden keine Daten übertragen?

Im September hat pastor eine ähnliche Konfig, die funktioniert, gepostet.
http://www.administrator.de/forum/vpn-mit-pix-501-40199.html

Mir ist der Unterschied aufgefallen:
isakmp enable outside
isakmp key address 0.0.0.0 netmask 0.0.0.0
isakmp identity address
isakmp client configuration address-pool local ippool outside

und pastor hat sich Benutzer angelegt:
username user1 password encrypted privilege 3
username user2 password encrypted privilege 3

Aber noch mal, da ich nicht genau weiß WAS nicht geht, ist das nur ein Ratespiel was bei dir evtl. fehlt.


Teil 2 Deiner Frage, im Internet Surfen.
Den Netgear Router kannst du als DNS Server ansprechen und der Router sucht sich dann im Internet die anderen DNS Server und reicht die Antwort an den PC zurück. Von einer PIX 6.3 kenne ich diese Funktion nicht. Aber vieleicht geht es ja doch irgendwie. Ich würde erwarten das dein Server einen DNS (und DHCP) Dienst stellt. Der Server holt dann DNS abfragen aus den Internet durch die PIX hindurch aber ohne das die PIX selber angesprochen wird.
Ausprobieren, ob das die Ursache ist, kannst du das indem du an einem PC mal als DNS Server den DNS von deinem ISP (T-Com) einträgst, oder einen anderen guten DNS Server verwendest.
Beispiel ns.plusline.de 212.19.48.14

Gruß Rafiki
Bitte warten ..
Mitglied: MM
04.11.2006 um 00:51 Uhr
Hallo!
Ich weiß nicht wie aber irgendwie bin ich weiter gekommen.
Ich habe Zugriff aufs Internet (Webbrowser)! D.h. ich kann mir jede Website ansehen und E-Mails abrufen und senden. Aber ich kann keinen Ping machen was damit zusammenhängt das icmp anscheinend durch die Firewall blockiert werden. Wie erlaube ich das?

Und ich habe von Außen Zugriff per VPN!!!!!
Aber noch nicht so wie ich das gerne hätte. Der Client bekommt die IP 192.168.6.100, Nameserver 194.25.2.129 und das Gateway wird auch auf 192.168.6.100 automatisch gestellt (?). Ich habe zwar eine IP aus dem Netz, kann aber weder auf eine Freigabe, FTP Server oder andere PCs anpingen die alle im gleichen Netz 192.168.6.* sind. Internet Zugang auf dem Client funktioniert auch nicht. Ich habe mal manuell das Gateway auf dem Client auf 192.168.6.2 umgestellt aber das hat nichts gebracht.

Ich konnte mich nur mit dem Gruppennamen vpn und dem Passwort die VPN Verbindung aufbauen. Ich möchte aber zusätzlich noch Benutzer/Passwort pro Benutzer (ist aber erstmal zweitrangig).

Vielen Dank auch noch. Ich bin nicht auf die Idee mit dem Nameserver gekommen das der Pix die DNS Anfragen gar nicht weiterleitet sondern auf jedem PC der Nameserver eingetragen sein muss - entgegen beim Netgear.
Durch die Konfiguration von Pastor bin ich nicht weiter gekommen.
Den Rat FileMaker nicht über das VPN zu betreiben werde ich befolgen.

Ich denke das es jetzt nur noch eine Routing Sache ist die fehlt bzw. Regeln für die Firewall.

Was mich auch verwundert ist das jetzt bei access-list ... 192.168.6.96 255.255.255.224 diese IP steht, die ich nie eingegeben habe.


Danke nochmal & Gruß
MM


Meine aktuelle Konfig, die soweit schon mal geht:


PIX Version 6.3(5)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password encrypted
passwd * encrypted
hostname cisco
domain-name
*.lokal
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
access-list inside_outbound_nat0_acl permit ip any 192.168.6.96 255.255.255.224
access-list outside_cryptomap_dyn_20 permit ip any 192.168.6.96 255.255.255.224
pager lines 24
mtu outside 1456
mtu inside 1500
ip address outside pppoe setroute
ip address inside 192.168.6.2 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
ip local pool vpn-pool 192.168.6.100-192.168.6.120
pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list inside_outbound_nat0_acl
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 192.168.6.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto dynamic-map outside_dyn_map 20 match address outside_cryptomap_dyn_20
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-SHA
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map interface outside
isakmp enable outside
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption 3des
isakmp policy 20 hash sha
isakmp policy 20 group 2
isakmp policy 20 lifetime 86400
vpngroup vpn address-pool vpn-pool
vpngroup vpn dns-server 194.25.2.129 194.25.2.130
vpngroup vpn idle-time 1800
vpngroup vpn password *
telnet timeout 5
ssh timeout 5
console timeout 0
vpdn group pppoe_group request dialout pppoe
vpdn group pppoe_group localname
vpdn group pppoe_group ppp authentication pap
vpdn username password * store-local
dhcpd address 192.168.6.100-192.168.6.120 inside
dhcpd dns 194.25.2.129 194.25.2.131
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd auto_config outside
dhcpd enable inside
username testbenutzer password encrypted privilege 2
terminal width 80
Cryptochecksum:**
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...