PIX 501 Remote Access VPN
Hallo liebe IT-Experten,
ich versuche seit gut drei Tagen etwas eigentlich ganz einfaches
hinzubekommen.
Ich habe es mit dem PDM und der Console versucht. Ich habe hunderte
Seiten der Anleitungen studiert und bin immer noch nicht schlauer.
Vielleicht (oder eher sicherlich) liegt es an mir, aber ich finde die
ganze Konfiguration der PIX einfach viel zu kompliziert. Der VPN
Wizzard ist irgendwie auch nicht besonders hilfreich.
Aufbau:
DSL Modem --> PIX 501 --> Win2003 Server
Erklärung:
Ich möchte auf der PIX ein Remote Access VPN konfigurieren, so dass ich von mehreren PCs per Cisco VPN Client über das Internet zugriff auf den Freigaben des Fileservers habe.
Zusatzinformation:
Die PIX hat eine 10 Benutzerlizens, daher läuft auf dem Win2003 Server NAT, so zählt der Server als eine Lizens und die Rechner hinter dem Server können mehr als 10 sein.
Problem:
Ich kenn mich so gut wie nicht mit der PIX aus. Habe schon eine Verbindung hinbekommen, doch konnte nichts weiter damit machen.
- kein Ping von außerhalb
- keine Dateifreigaben
- nichts außer das der Client mit der Pix verbunden ist
Wäre für Hilfe echt sehr dankbar, da ich am verzweifeln bin!!
Wenn ihr weitere Details benötigt, schreibt dies, gebe gern mehr Infos, die zum Ziel führen.
ich versuche seit gut drei Tagen etwas eigentlich ganz einfaches
hinzubekommen.
Ich habe es mit dem PDM und der Console versucht. Ich habe hunderte
Seiten der Anleitungen studiert und bin immer noch nicht schlauer.
Vielleicht (oder eher sicherlich) liegt es an mir, aber ich finde die
ganze Konfiguration der PIX einfach viel zu kompliziert. Der VPN
Wizzard ist irgendwie auch nicht besonders hilfreich.
Aufbau:
DSL Modem --> PIX 501 --> Win2003 Server
Erklärung:
Ich möchte auf der PIX ein Remote Access VPN konfigurieren, so dass ich von mehreren PCs per Cisco VPN Client über das Internet zugriff auf den Freigaben des Fileservers habe.
Zusatzinformation:
Die PIX hat eine 10 Benutzerlizens, daher läuft auf dem Win2003 Server NAT, so zählt der Server als eine Lizens und die Rechner hinter dem Server können mehr als 10 sein.
Problem:
Ich kenn mich so gut wie nicht mit der PIX aus. Habe schon eine Verbindung hinbekommen, doch konnte nichts weiter damit machen.
- kein Ping von außerhalb
- keine Dateifreigaben
- nichts außer das der Client mit der Pix verbunden ist
Wäre für Hilfe echt sehr dankbar, da ich am verzweifeln bin!!
Wenn ihr weitere Details benötigt, schreibt dies, gebe gern mehr Infos, die zum Ziel führen.
Please also mark the comments that contributed to the solution of the article
Content-Key: 57071
Url: https://administrator.de/contentid/57071
Printed on: April 27, 2024 at 00:04 o'clock
10 Comments
Latest comment
Hier:
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/prod_configuratio ...
solltest du fündig werden !
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/prod_configuratio ...
solltest du fündig werden !
Was hast du denn genau vor ?? Wenn man es recht versteht soll die PIX nur durchreichen auf den Server und der dann letztlich das VPN terminieren.
Eigentlich ist das dann ganz einfach. Du forwardest alle eingehenden Sessions mit dem Port TCP 1723 und dann das GRE Protokoll (Prot. Nr.47) auf das PIX Interface (wenn du denn PAT machst wozu du leider nichts sagst.. ) auf den Server.
Dies nimmt jetzt mal an das du PPTP als VPN Protokoll nutzen willst, auch dazu sagst du leider rein gar nichts. Nutzt du andere Verfahren wie IPsec sind die Ports natürlich anders.
Wie das einzurichten ist schreibt die o.a. Cisco Seite doch eigentlich recht ausführlich.
Ansonsten Debuggen auf der Kiste und sehen wo die Packete abbleiben die eine PPTP Session auf das outbound Interface macht !
Eigentlich ist das dann ganz einfach. Du forwardest alle eingehenden Sessions mit dem Port TCP 1723 und dann das GRE Protokoll (Prot. Nr.47) auf das PIX Interface (wenn du denn PAT machst wozu du leider nichts sagst.. ) auf den Server.
Dies nimmt jetzt mal an das du PPTP als VPN Protokoll nutzen willst, auch dazu sagst du leider rein gar nichts. Nutzt du andere Verfahren wie IPsec sind die Ports natürlich anders.
Wie das einzurichten ist schreibt die o.a. Cisco Seite doch eigentlich recht ausführlich.
Ansonsten Debuggen auf der Kiste und sehen wo die Packete abbleiben die eine PPTP Session auf das outbound Interface macht !
Also ich hab die PIX beim kunden stehen die ist über DSL mit dem Netz verbunden die verschlüsselung ist ipsec Prot. und ich möcht gern einen Remote access aus die box via VPN vlient von cisco die verbindung zwischen Pix und Zentraler Pix sind schon fertig nur die remoteeinwahl fehlt mir auf die Kundenpix. Und meine IP ist auch immer unterschiedlich weil ich mich ja via DSL oder anderen connetions von überall aus einwählen muß. Das muß ich realisieren und wich weis nicht was man da alles konfigurieren muß mit dem PDM oder auf der commandline.
Gruß Carsten
Gruß Carsten
Also die Einwahl Via VPN CLient geht nun teil weise die conntetion steht aber ich bekomme als Gateway auf dem Remote PC mit dem ich mich einwähele immer eine Private IP anstelle der ip von der PIx mit der die am DSL anschluß hängt. Die Private ip ist genau aus dem Ranger dem ich der USER Gruppe zugewiesen habe. Und somit bekomme ich keinen daten durch den tunnel , wie auch mit dem falschen gateway .
hat da veileicht noch jemand einen tipp für mich.
hier meine config:
PIX Version 6.3(5)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall
domain-name ciscopix.com
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
fixup protocol tftp 69
names
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside pppoe setroute
ip address inside 128.23.23.200 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
ip local pool Admins 192.168.10.1-192.168.10.5
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 128.23.23.0 255.255.255.0 0 512
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 128.23.23.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto dynamic-map outside_dyn_map 1 set transform-set ESP-AES-256-SHA
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map client authentication LOCAL
crypto map outside_map interface outside
isakmp enable outside
isakmp identity address
isakmp nat-traversal 20
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption aes-256
isakmp policy 10 hash sha
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
vpngroup Admins address-pool Admins
vpngroup Admins idle-time 1800
vpngroup Admins password
telnet timeout 5
ssh timeout 5
console timeout 0
vpdn group ISP request dialout pppoe
vpdn group ISP localname 0016157483565200420037940001@t-online.de
vpdn group ISP ppp authentication pap
vpdn username 0016157483565200420037940001@t-online.de password * store-
local
username Helpdesk password HDPXrMvr39cnPN95 encrypted privilege 15
terminal width 80
Cryptochecksum:162ccfe294f5eade5aaf9af198f4dbe2
hat da veileicht noch jemand einen tipp für mich.
hier meine config:
PIX Version 6.3(5)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall
domain-name ciscopix.com
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
fixup protocol tftp 69
names
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside pppoe setroute
ip address inside 128.23.23.200 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
ip local pool Admins 192.168.10.1-192.168.10.5
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 128.23.23.0 255.255.255.0 0 512
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 128.23.23.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto dynamic-map outside_dyn_map 1 set transform-set ESP-AES-256-SHA
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map client authentication LOCAL
crypto map outside_map interface outside
isakmp enable outside
isakmp identity address
isakmp nat-traversal 20
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption aes-256
isakmp policy 10 hash sha
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
vpngroup Admins address-pool Admins
vpngroup Admins idle-time 1800
vpngroup Admins password
telnet timeout 5
ssh timeout 5
console timeout 0
vpdn group ISP request dialout pppoe
vpdn group ISP localname 0016157483565200420037940001@t-online.de
vpdn group ISP ppp authentication pap
vpdn username 0016157483565200420037940001@t-online.de password * store-
local
username Helpdesk password HDPXrMvr39cnPN95 encrypted privilege 15
terminal width 80
Cryptochecksum:162ccfe294f5eade5aaf9af198f4dbe2
Das ist aber richtig ! Der VPN Tunnel hat immer Adressen aus dem lokalen Netz hinter der PIX. Die externen Tunneladressen die öffentlich sind werden nur und ausschliesslich für die Tunnelconnection verwendet, haben also mit deinem VPN nichts zu tun ! Der Client routet das dann lokal richtig. Also es sieht so aus als ob das alles richtig funktioniert...
so habe mich mal angemeldet.
habe das selbe Problem und bräuchte ne deutsche Anleitung.
Cisco Vpn Client soll über Cisco Pix 501 auf den win 2003 Server zugreifen.
Firma hat ne feste IP Adresse von der Telekom bekommen.
Mit Netgear habe ich das schon öfters gemacht, aber der Cisco Router ist für mich ein Buch mit 666 Siegeln
habe das selbe Problem und bräuchte ne deutsche Anleitung.
Cisco Vpn Client soll über Cisco Pix 501 auf den win 2003 Server zugreifen.
Firma hat ne feste IP Adresse von der Telekom bekommen.
Mit Netgear habe ich das schon öfters gemacht, aber der Cisco Router ist für mich ein Buch mit 666 Siegeln
Wie bereits gesagt... Hier:
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/prod_configuratio ...
steht genau wie es geht oder natürlich bei Dr. Google
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/prod_configuratio ...
steht genau wie es geht oder natürlich bei Dr. Google
Habe das jetzt irgendwie hinbekommen.
Aber es lief nur 2 tage jetzt kommt folgende Meldung im Log des Clients
Cisco Systems VPN Client Version 4.6.00.0045
Copyright (C) 1998-2004 Cisco Systems, Inc. All Rights Reserved.
Client Type(s): Windows, WinNT
Running on: 5.1.2600 Service Pack 2
17 13:48:22.765 05/14/07 Sev=Warning/3 IKE/0xE3000056
The received HASH payload cannot be verified
18 13:48:22.765 05/14/07 Sev=Warning/2 IKE/0xE300007D
Hash verification failed... may be configured with invalid group password.
19 13:48:22.765 05/14/07 Sev=Warning/2 IKE/0xE3000099
Failed to authenticate peer (Navigator:904)
20 13:48:22.765 05/14/07 Sev=Warning/2 IKE/0xE30000A5
Unexpected SW error occurred while processing Aggressive Mode negotiatorNavigator:2202)
liegt es an dem Passwort?
Aber es lief nur 2 tage jetzt kommt folgende Meldung im Log des Clients
Cisco Systems VPN Client Version 4.6.00.0045
Copyright (C) 1998-2004 Cisco Systems, Inc. All Rights Reserved.
Client Type(s): Windows, WinNT
Running on: 5.1.2600 Service Pack 2
17 13:48:22.765 05/14/07 Sev=Warning/3 IKE/0xE3000056
The received HASH payload cannot be verified
18 13:48:22.765 05/14/07 Sev=Warning/2 IKE/0xE300007D
Hash verification failed... may be configured with invalid group password.
19 13:48:22.765 05/14/07 Sev=Warning/2 IKE/0xE3000099
Failed to authenticate peer (Navigator:904)
20 13:48:22.765 05/14/07 Sev=Warning/2 IKE/0xE30000A5
Unexpected SW error occurred while processing Aggressive Mode negotiatorNavigator:2202)
liegt es an dem Passwort?