Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

PIX 501 Remote Access VPN

Frage Sicherheit Firewall

Mitglied: BastiXXL

BastiXXL (Level 1) - Jetzt verbinden

19.04.2007, aktualisiert 14.05.2007, 6583 Aufrufe, 10 Kommentare

Hallo liebe IT-Experten,

ich versuche seit gut drei Tagen etwas eigentlich ganz einfaches
hinzubekommen.

Ich habe es mit dem PDM und der Console versucht. Ich habe hunderte
Seiten der Anleitungen studiert und bin immer noch nicht schlauer.
Vielleicht (oder eher sicherlich) liegt es an mir, aber ich finde die
ganze Konfiguration der PIX einfach viel zu kompliziert. Der VPN
Wizzard ist irgendwie auch nicht besonders hilfreich.

Aufbau:

DSL Modem --> PIX 501 --> Win2003 Server

Erklärung:

Ich möchte auf der PIX ein Remote Access VPN konfigurieren, so dass ich von mehreren PCs per Cisco VPN Client über das Internet zugriff auf den Freigaben des Fileservers habe.

Zusatzinformation:

Die PIX hat eine 10 Benutzerlizens, daher läuft auf dem Win2003 Server NAT, so zählt der Server als eine Lizens und die Rechner hinter dem Server können mehr als 10 sein.

Problem:

Ich kenn mich so gut wie nicht mit der PIX aus. Habe schon eine Verbindung hinbekommen, doch konnte nichts weiter damit machen.
- kein Ping von außerhalb
- keine Dateifreigaben
- nichts außer das der Client mit der Pix verbunden ist

Wäre für Hilfe echt sehr dankbar, da ich am verzweifeln bin!!
Wenn ihr weitere Details benötigt, schreibt dies, gebe gern mehr Infos, die zum Ziel führen.
Mitglied: BastiXXL
20.04.2007 um 10:00 Uhr
Danke, aber leider werd ich daraus nicht richtig schlau. Gibt es nicht irgendwo eine verständlichere Anleitung, die mir Neuling dieses Problem über Cisco Pix Device Manager löst?

Ich bekomm halt eine verbindung hin, doch kann, wie gesagt nix damit machen, nicht pingen, nicht auf die freigaben.

Hilfeeee!!!

Hier mal meine config

Building configuration...
Saved
PIX Version 6.3(3)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password VpEu/DBiUqr.VhG7 encrypted
passwd VpEu/DBiUqr.VhG7 encrypted
hostname pix
domain-name test
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
name 194.25.2.129 DNS-Regel
name 192.168.50.0 testlan
name 213.21.5.134 DD-IP
name 152.168.50.0 vpnout
object-group service q tcp
port-object eq 1280
port-object range 10500 10504
port-object range 10622 10624
object-group service irc tcp
port-object range 6667 6669
object-group service googlemail tcp
description ports fuer googlemail
port-object range 995 995
port-object range 465 465
port-object range 587 587
port-object range smtp smtp
object-group service qq tcp
description whiner
port-object range 6881 6999
port-object eq 3724
port-object eq 6112
access-list inside_access_in permit tcp testlan 255.255.255.0 any eq www
access-list inside_access_in permit tcp testlan 255.255.255.0 any eq https
access-list inside_access_in permit udp testlan 255.255.255.0 host DNS-Regel eq domain
access-list inside_access_in permit tcp testlan 255.255.255.0 any eq aol
access-list inside_access_in permit tcp testlan 255.255.255.0 any range ftp-data ftp
access-list inside_access_in permit tcp testlan 255.255.255.0 any eq pop3
access-list inside_access_in permit tcp testlan 255.255.255.0 any eq smtp
access-list inside_access_in permit tcp testlan 255.255.255.0 any eq 5900
access-list inside_access_in permit tcp testlan 255.255.255.0 any object-group q
access-list inside_access_in permit tcp testlan 255.255.255.0 any eq 1863
access-list inside_access_in permit tcp testlan 255.255.255.0 eq 44472 any eq 44472
access-list inside_access_in permit tcp testlan 255.255.255.0 any eq 8080
access-list inside_access_in permit tcp testlan 255.255.255.0 any object-group irc
access-list inside_access_in permit udp testlan 255.255.255.0 any eq 11111
access-list inside_access_in permit tcp testlan 255.255.255.0 eq 8767 any eq 8767
access-list inside_access_in remark remote-desktop (mstsc)
access-list inside_access_in permit tcp testlan 255.255.255.0 any eq 3389
access-list inside_access_in permit tcp testlan 255.255.255.0 any eq 8085
access-list inside_access_in remark jabber
access-list inside_access_in permit tcp testlan 255.255.255.0 any eq 5222
access-list inside_access_in permit tcp testlan 255.255.255.0 any object-group googlemail
access-list inside_access_in permit tcp testlan 255.255.255.0 any object-group qq
access-list inside_access_in remark avm vpn
access-list inside_access_in permit udp testlan 255.255.255.0 any
access-list inside_access_in remark avm vpn
access-list inside_access_in remark avm vpn
access-list inside_access_in remark avm vpn
access-list inside_access_in permit icmp any any
access-list inside_access_in remark avm vpn
access-list inside_access_in remark VPN
access-list inside_access_in permit udp testlan 255.255.255.0 any eq isakmp
access-list inside_access_in remark VPN
access-list inside_access_in permit udp testlan 255.255.255.0 any eq 4500
access-list inside_access_in permit udp testlan 255.255.255.0 any eq 10000
access-list inside_access_in remark
access-list inside_access_in remark
access-list Azubis_splitTunnelAcl permit ip any any
access-list inside_outbound_nat0_acl permit ip any testlan 255.255.255.224
access-list outside_cryptomap_dyn_20 permit ip any testlan 255.255.255.224
access-list outside_access_in remark avm vpn
access-list outside_access_in remark avm vpn
access-list outside_access_in remark avm vpn
access-list outside_access_in permit icmp any any
access-list outside_access_in permit udp any eq netbios-ns any
access-list outside_access_in permit udp any eq netbios-dgm any
access-list outside_access_in permit tcp any range 1024 65535 any eq netbios-ssn
access-list outside_access_in remark VPN2
access-list outside_access_in permit udp testlan 255.255.255.0 eq 4500 any
access-list outside_access_in remark alles tcp
access-list outside_access_in permit tcp any any
access-list outside_access_in remark any udp
access-list outside_access_in permit udp any any
access-list outside_access_in permit ip any any
access-list outside_inbound_nat0_acl permit ip vpnout 255.255.255.0 any
pager lines 24
mtu outside 1456
mtu inside 1500
ip address outside pppoe setroute
ip address inside 192.168.50.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
ip local pool vpnpool 192.168.50.10-192.168.50.20
pdm location 84.186.96.194 255.255.255.255 outside
pdm location 0.0.0.0 255.255.255.0 inside
pdm location 192.168.50.1 255.255.255.255 outside
pdm location DNS-Regel 255.255.255.255 outside
pdm location ogame 255.255.255.255 outside
pdm location 203.121.30.132 255.255.255.255 outside
pdm location DD-IP 255.255.255.255 outside
pdm location 192.168.50.100 255.255.255.255 inside
pdm location 192.168.100.34 255.255.255.255 inside
pdm location 192.168.100.0 255.255.255.0 inside
pdm location sport1.de 255.255.255.255 outside
pdm location testlan 255.255.255.0 outside
pdm location 192.168.100.0 255.255.255.0 outside
pdm location 192.168.100.0 255.255.255.224 outside
pdm location vpnout 255.255.255.0 outside
pdm history enable
arp timeout 14400
global (outside) 10 interface
global (inside) 2 192.168.50.2
nat (outside) 0 access-list outside_inbound_nat0_acl outside
nat (inside) 0 access-list inside_outbound_nat0_acl
nat (inside) 10 0.0.0.0 0.0.0.0 0 0
access-group outside_access_in in interface outside
access-group inside_access_in in interface inside
route outside vpnout 255.255.255.0 192.168.50.2 1
route outside 192.168.100.0 255.255.255.0 192.168.50.2 1
route outside DD-IP 255.255.255.255 192.168.50.2 1
route outside ogame 255.255.255.255 192.168.50.2 1
route outside 217.115.159.206 255.255.255.255 192.168.50.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
url-server (inside) vendor websense host 192.168.50.1 timeout 1 protocol TCP version 1
filter url http testlan 255.255.255.0 217.115.159.206 255.255.255.255 longurl-deny
filter url http testlan 255.255.255.0 ogame 255.255.255.255 longurl-deny
http server enable
http 192.168.50.1 255.255.255.255 inside
http testlan 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
sysopt connection permit-pptp
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto dynamic-map outside_dyn_map 20 match address outside_cryptomap_dyn_20
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-AES-256-SHA
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map interface outside
isakmp enable outside
isakmp enable inside
isakmp identity address
isakmp nat-traversal 20
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption aes-256
isakmp policy 20 hash sha
isakmp policy 20 group 2
isakmp policy 20 lifetime 86400
vpngroup testuser address-pool vpnpool
vpngroup testuser default-domain test
vpngroup testuser split-tunnel testuser_splitTunnelAcl
vpngroup testuser idle-time 1800
vpngroup testuser password
telnet 192.168.100.0 255.255.255.0 inside
telnet testlan 255.255.255.0 inside
telnet timeout 5
ssh timeout 5
console timeout 0
vpdn group pppoe_group request dialout pppoe
vpdn group pppoe_group localname --------------------------
vpdn group pppoe_group ppp authentication pap
vpdn username --------------------------- password *
vpdn username --------------------------- password * store-local
username RemotePC password KuY0XFFZ7BiNKS8w encrypted privilege 15
username RemotePC2 password KuY0XFFZ7BiNKS8w encrypted privilege 15
terminal width 80
Cryptochecksum:461766430789193a2c217474c424a9a3
: end
[OK]
Bitte warten ..
Mitglied: Makana
20.04.2007 um 14:03 Uhr
Hi habe das elbe Problem habe auch noch nix gefunden wäre über jeden Tip sehr dankbar mit den Cisco Howto´s komm ich nicht ganz mit
Also solltest du dein Prob gelöst haben wäre ich sher verbunden wenn du mir vielleicht die lösung geben könntest.

Gruß Makana
Bitte warten ..
Mitglied: aqui
21.04.2007 um 22:24 Uhr
Was hast du denn genau vor ?? Wenn man es recht versteht soll die PIX nur durchreichen auf den Server und der dann letztlich das VPN terminieren.

Eigentlich ist das dann ganz einfach. Du forwardest alle eingehenden Sessions mit dem Port TCP 1723 und dann das GRE Protokoll (Prot. Nr.47) auf das PIX Interface (wenn du denn PAT machst wozu du leider nichts sagst.. ) auf den Server.

Dies nimmt jetzt mal an das du PPTP als VPN Protokoll nutzen willst, auch dazu sagst du leider rein gar nichts. Nutzt du andere Verfahren wie IPsec sind die Ports natürlich anders.
Wie das einzurichten ist schreibt die o.a. Cisco Seite doch eigentlich recht ausführlich.
Ansonsten Debuggen auf der Kiste und sehen wo die Packete abbleiben die eine PPTP Session auf das outbound Interface macht !
Bitte warten ..
Mitglied: Makana
22.04.2007 um 21:28 Uhr
Also ich hab die PIX beim kunden stehen die ist über DSL mit dem Netz verbunden die verschlüsselung ist ipsec Prot. und ich möcht gern einen Remote access aus die box via VPN vlient von cisco die verbindung zwischen Pix und Zentraler Pix sind schon fertig nur die remoteeinwahl fehlt mir auf die Kundenpix. Und meine IP ist auch immer unterschiedlich weil ich mich ja via DSL oder anderen connetions von überall aus einwählen muß. Das muß ich realisieren und wich weis nicht was man da alles konfigurieren muß mit dem PDM oder auf der commandline.

Gruß Carsten
Bitte warten ..
Mitglied: Makana
23.04.2007 um 23:08 Uhr
Also die Einwahl Via VPN CLient geht nun teil weise die conntetion steht aber ich bekomme als Gateway auf dem Remote PC mit dem ich mich einwähele immer eine Private IP anstelle der ip von der PIx mit der die am DSL anschluß hängt. Die Private ip ist genau aus dem Ranger dem ich der USER Gruppe zugewiesen habe. Und somit bekomme ich keinen daten durch den tunnel , wie auch mit dem falschen gateway .
hat da veileicht noch jemand einen tipp für mich.
hier meine config:
PIX Version 6.3(5)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall
domain-name ciscopix.com
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
fixup protocol tftp 69
names
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside pppoe setroute
ip address inside 128.23.23.200 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
ip local pool Admins 192.168.10.1-192.168.10.5
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 128.23.23.0 255.255.255.0 0 512
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 128.23.23.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto dynamic-map outside_dyn_map 1 set transform-set ESP-AES-256-SHA
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map client authentication LOCAL
crypto map outside_map interface outside
isakmp enable outside
isakmp identity address
isakmp nat-traversal 20
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption aes-256
isakmp policy 10 hash sha
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
vpngroup Admins address-pool Admins
vpngroup Admins idle-time 1800
vpngroup Admins password
telnet timeout 5
ssh timeout 5
console timeout 0
vpdn group ISP request dialout pppoe
vpdn group ISP localname 0016157483565200420037940001@t-online.de
vpdn group ISP ppp authentication pap
vpdn username 0016157483565200420037940001@t-online.de password * store-
local
username Helpdesk password HDPXrMvr39cnPN95 encrypted privilege 15
terminal width 80
Cryptochecksum:162ccfe294f5eade5aaf9af198f4dbe2
Bitte warten ..
Mitglied: aqui
24.04.2007 um 18:11 Uhr
Das ist aber richtig ! Der VPN Tunnel hat immer Adressen aus dem lokalen Netz hinter der PIX. Die externen Tunneladressen die öffentlich sind werden nur und ausschliesslich für die Tunnelconnection verwendet, haben also mit deinem VPN nichts zu tun ! Der Client routet das dann lokal richtig. Also es sieht so aus als ob das alles richtig funktioniert...
Bitte warten ..
Mitglied: Sottoo
25.04.2007 um 13:30 Uhr
so habe mich mal angemeldet.
habe das selbe Problem und bräuchte ne deutsche Anleitung.

Cisco Vpn Client soll über Cisco Pix 501 auf den win 2003 Server zugreifen.
Firma hat ne feste IP Adresse von der Telekom bekommen.
Mit Netgear habe ich das schon öfters gemacht, aber der Cisco Router ist für mich ein Buch mit 666 Siegeln
Bitte warten ..
Mitglied: aqui
27.04.2007 um 21:12 Uhr
Wie bereits gesagt... Hier:

http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/prod_configuratio ...

steht genau wie es geht oder natürlich bei Dr. Google
Bitte warten ..
Mitglied: Sottoo
14.05.2007 um 13:49 Uhr
Habe das jetzt irgendwie hinbekommen.
Aber es lief nur 2 tage jetzt kommt folgende Meldung im Log des Clients

Cisco Systems VPN Client Version 4.6.00.0045
Copyright (C) 1998-2004 Cisco Systems, Inc. All Rights Reserved.
Client Type(s): Windows, WinNT
Running on: 5.1.2600 Service Pack 2

17 13:48:22.765 05/14/07 Sev=Warning/3 IKE/0xE3000056
The received HASH payload cannot be verified

18 13:48:22.765 05/14/07 Sev=Warning/2 IKE/0xE300007D
Hash verification failed... may be configured with invalid group password.

19 13:48:22.765 05/14/07 Sev=Warning/2 IKE/0xE3000099
Failed to authenticate peer (Navigator:904)

20 13:48:22.765 05/14/07 Sev=Warning/2 IKE/0xE30000A5
Unexpected SW error occurred while processing Aggressive Mode negotiatorNavigator:2202)

liegt es an dem Passwort?
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(1)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Netzwerk
Direct Access mit VPN aufbau (6)

Frage von geocast zum Thema Windows Netzwerk ...

Netzwerke
Client VPN Zugriff auf Remote Subnet (2)

Frage von niklas.kasper zum Thema Netzwerke ...

Windows Server
VPN geht, aber kein Remote Desktop (7)

Frage von weberandre zum Thema Windows Server ...

Datenbanken
Access Checkbox mit Kombifeld und dann filtern

Frage von atomas42 zum Thema Datenbanken ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...