Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Probleme - Cisco Pix 501 VPN

Frage Netzwerke Router & Routing

Mitglied: HerrZwerg

HerrZwerg (Level 1) - Jetzt verbinden

13.10.2010, aktualisiert 18.10.2012, 4493 Aufrufe, 3 Kommentare

Wieder mal eine Frage zu meinem absoluten Lieblingsgerät! Dem PIX 501!

Möchte den PIX als VPN-Server konfigurieren, der alle Anfragen auf die interne IP 192.168.1.72, speziell port 81 soll weitergeleitet werden.

Hab schon alle Beiträge aus diesem Forum & alle sonstigen Googleanfragen probiert. Ich komme einfach nicht weiter.

hab den VPN-Zugang mittels VPN-Wizard konfiguriert. hat ohne probleme funktioniert. kann mich auch problemlos mittels datenkarte am laptop und Cisco VPN Client einwählen.

Allerdings weiss ich dann nicht weiter. Ich kann weder die anderen internen IP-Adressen pingen, noch irgendwelche seiten/dokumente aufrufen, noch irgendwas am port 81 machen.

ich weiss, dass ist sicher eine komplette deppenfrage, aber ich bin echt ratlos

auf jeden fall dicken dank schon fürs lesen!

liebe grüsse

Herr Zwerg

hier das logfile von der PIX

01.
710005: UDP request discarded from 178.112.79.10/63320 to outside:93.83.XX.XX/62515 
02.
702208: ISAKMP Phase 1 exchange started (local 93.83.XX.XX (responder), remote 178.112.79.10) 
03.
702202: ISAKMP Phase 1 delete sent (local 93.83.XX.XX (responder), remote 195.168.208.50) 
04.
702210: ISAKMP Phase 1 exchange completed (local 93.83.XX.XX (responder), remote 178.112.79.10) 
05.
602202: ISAKMP session connected (local 93.83.XX.XX (responder), remote 178.112.79.10) 
06.
602201: ISAKMP Phase 1 SA created (local 93.83.XX.XX/500 (responder), remote 178.112.79.10/63321, authentication=pre-share, encryption=AES-CBC, hash=SHA, group=2, lifetime=86400s) 
07.
702205: ISAKMP Phase 2 retransmission (local 93.83.XX.XX (initiator), remote 178.112.79.10, message-ID 871523363) 
08.
702205: ISAKMP Phase 2 retransmission (local 93.83.XX.XX (initiator), remote 178.112.79.10, message-ID 871523363) 
09.
109005: Authentication succeeded for user 'EXXXXXXXX' from 178.112.79.10/0 to 93.83.XX.XX/0 on interface outside 
10.
611101: User authentication succeeded: Uname: EXXXXXXXX 
11.
702206: ISAKMP malformed payload received (local 93.83.XX.XX (responder), remote 178.112.79.10, message-ID 871523363) 
12.
702209: ISAKMP Phase 2 exchange started (local 93.83.XX.XX (responder), remote 178.112.79.10, message-ID 4170283566) 
13.
602301: sa created, (sa) sa_dest= 93.83.XX.XX, sa_prot= 50, sa_spi= 0x9c71f0ac(2624712876), sa_trans= esp-aes-256 esp-sha-hmac , sa_conn_id= 4 
14.
602301: sa created, (sa) sa_dest= 178.112.79.10, sa_prot= 50, sa_spi= 0x28f0f0ac(686878892), sa_trans= esp-aes-256 esp-sha-hmac , sa_conn_id= 3 
15.
109011: Authen Session Start: user 'EXXXXXXXX', sid 13 
16.
702211: ISAKMP Phase 2 exchange completed (local 93.83.XX.XX (responder), remote 178.112.79.10, message-ID 4170283566) 
17.
710005: UDP request discarded from 178.112.79.10/62515 to outside:93.83.XX.XX/62515 
18.
710001: TCP access requested from 192.168.1.70/23361 to inside:192.168.1.1/https 
19.
710002: TCP access permitted from 192.168.1.70/23361 to inside:192.168.1.1/https 
20.
710005: UDP request discarded from 192.168.1.70/137 to inside:192.168.1.1/netbios-ns 
21.
710005: UDP request discarded from 192.168.1.70/137 to inside:192.168.1.1/netbios-ns 
22.
710005: UDP request discarded from 192.168.1.70/137 to inside:192.168.1.1/netbios-ns 
23.
 

und hier die config.
01.
  
02.
 
03.
Result of firewall command: "show config" 
04.
  
05.
: Saved 
06.
: Written by enable_15 at 08:29:23.081 UTC Tue Oct 12 2010 
07.
PIX Version 6.3(5) 
08.
interface ethernet0 auto 
09.
interface ethernet1 100full 
10.
nameif ethernet0 outside security0 
11.
nameif ethernet1 inside security100 
12.
enable password XXXXXXXXXXXXX encrypted 
13.
passwd XXXXXXXXXXXXXX encrypted 
14.
hostname home 
15.
domain-name XXXXXXXXXXXXXXXXX 
16.
fixup protocol dns maximum-length 512 
17.
fixup protocol ftp 21 
18.
fixup protocol h323 h225 1720 
19.
fixup protocol h323 ras 1718-1719 
20.
fixup protocol http 80 
21.
fixup protocol rsh 514 
22.
fixup protocol rtsp 554 
23.
fixup protocol sip 5060 
24.
fixup protocol sip udp 5060 
25.
fixup protocol skinny 2000 
26.
fixup protocol smtp 25 
27.
fixup protocol sqlnet 1521 
28.
fixup protocol tftp 69 
29.
names 
30.
name 192.168.1.72 Host 
31.
name 77.119.12.75 laptop 
32.
access-list inside_access_in permit ip any any  
33.
access-list NoNAT2 permit ip host 93.83.XX.XX 172.31.255.128 255.255.255.128  
34.
access-list NoNAT2 permit ip host 192.168.1.5 172.31.255.128 255.255.255.128  
35.
access-list NoNAT2 permit ip host Host 192.168.1.64 255.255.255.240  
36.
access-list outside_cryptomap_21 permit ip host 192.168.1.5 172.31.255.128 255.255.255.128  
37.
access-list E1480001_splitTunnelAcl permit ip host Host any  
38.
access-list 102 permit tcp interface outside eq 81 host Host eq 81  
39.
pager lines 24 
40.
logging on 
41.
logging standby 
42.
logging console debugging 
43.
logging monitor debugging 
44.
logging buffered debugging 
45.
mtu outside 1500 
46.
mtu inside 1500 
47.
ip address outside 93.83.XX.XX 255.255.255.252 
48.
ip address inside 192.168.1.1 255.255.255.0 
49.
ip audit info action alarm 
50.
ip audit attack action alarm 
51.
ip local pool Hobex 192.168.1.75-192.168.1.78 
52.
pdm location 172.31.255.128 255.255.255.128 outside 
53.
pdm location 172.31.255.0 255.255.255.128 outside 
54.
pdm location 172.31.255.251 255.255.255.255 outside 
55.
pdm location 192.168.1.5 255.255.255.255 inside 
56.
pdm location 192.168.1.0 255.255.255.248 inside 
57.
pdm location 172.17.208.32 255.255.255.248 inside 
58.
pdm location 172.17.208.33 255.255.255.255 outside 
59.
pdm location 93.83.0.0 255.255.0.0 outside 
60.
pdm location 93.83.XX.XX 255.255.255.255 inside 
61.
pdm location 192.168.1.6 255.255.255.255 inside 
62.
pdm location Host 255.255.255.255 inside 
63.
pdm location 178.113.173.35 255.255.255.255 outside 
64.
pdm location 192.168.1.64 255.255.255.240 outside 
65.
pdm location laptop 255.255.255.255 outside 
66.
pdm location 192.168.1.75 255.255.255.255 outside 
67.
pdm logging debugging 100 
68.
pdm history enable 
69.
arp timeout 14400 
70.
global (outside) 1 interface 
71.
nat (inside) 0 access-list NoNAT2 
72.
nat (inside) 1 0.0.0.0 0.0.0.0 0 0 
73.
static (inside,outside) tcp interface 81 Host 81 netmask 255.255.255.255 0 0  
74.
static (inside,outside) 172.17.208.33 192.168.1.5 netmask 255.255.255.255 0 0  
75.
access-group 102 in interface outside 
76.
access-group inside_access_in in interface inside 
77.
route outside 0.0.0.0 0.0.0.0 93.83.31.17 1 
78.
timeout xlate 0:05:00 
79.
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 
80.
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 
81.
timeout sip-disconnect 0:02:00 sip-invite 0:03:00 
82.
timeout uauth 0:05:00 absolute 
83.
aaa-server TACACS+ protocol tacacs+  
84.
aaa-server TACACS+ max-failed-attempts 3  
85.
aaa-server TACACS+ deadtime 10  
86.
aaa-server RADIUS protocol radius  
87.
aaa-server RADIUS max-failed-attempts 3  
88.
aaa-server RADIUS deadtime 10  
89.
aaa-server LOCAL protocol local  
90.
http server enable 
91.
http 192.168.1.0 255.255.255.0 inside 
92.
no snmp-server location 
93.
no snmp-server contact 
94.
snmp-server community public 
95.
no snmp-server enable traps 
96.
floodguard enable 
97.
sysopt connection permit-ipsec 
98.
sysopt connection permit-l2tp 
99.
crypto ipsec transform-set chevelle esp-aes-256 esp-sha-hmac  
100.
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac  
101.
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-SHA 
102.
crypto map transam 21 ipsec-isakmp 
103.
crypto map transam 21 match address outside_cryptomap_21 
104.
crypto map transam 21 set pfs group2 
105.
crypto map transam 21 set peer 195.168.208.50 
106.
crypto map transam 21 set transform-set chevelle 
107.
crypto map transam 21 set security-association lifetime seconds 3600 kilobytes 4608000 
108.
crypto map transam 65535 ipsec-isakmp dynamic outside_dyn_map 
109.
crypto map transam interface outside 
110.
isakmp enable outside 
111.
isakmp key ******** address 195.168.208.50 netmask 255.255.255.255 no-xauth no-config-mode  
112.
isakmp identity key-idisakmp policy 1 authentication pre-share 
113.
isakmp policy 1 encryption aes-256 
114.
isakmp policy 1 hash sha 
115.
isakmp policy 1 group 2 
116.
isakmp policy 1 lifetime 86400 
117.
isakmp policy 21 authentication pre-share 
118.
isakmp policy 21 encryption 3des 
119.
isakmp policy 21 hash sha 
120.
isakmp policy 21 group 2 
121.
isakmp policy 21 lifetime 86400 
122.
vpngroup E1480001 address-pool Hobex 
123.
vpngroup E1480001 dns-server 195.3.96.67 195.3.96.68 
124.
vpngroup E1480001 split-tunnel E1480001_splitTunnelAcl 
125.
vpngroup E1480001 idle-time 1800 
126.
vpngroup E1480001 password ******** 
127.
telnet timeout 5 
128.
ssh timeout 5 
129.
console timeout 0 
130.
dhcpd address 192.168.1.2-192.168.1.33 inside 
131.
dhcpd dns 213.33.99.70 80.120.17.70 
132.
dhcpd lease 3600 
133.
dhcpd ping_timeout 750 
134.
dhcpd auto_config outside 
135.
username Zwergi password QWV8TJnb7ADGb1YS encrypted privilege 15 
136.
terminal width 80 
137.
Cryptochecksum:8bb7ac7df5d48e15ec1a61418cf98b7b 
138.
 
Mitglied: aqui
15.10.2010, aktualisiert 18.10.2012
Dein Problem ist schlicht und einfach eine fehlende Accessliste !! Bedenke das auf einer Firewall IMMER alles verboten ist was nicht explizit erlaubt ist.
Bei dir fehlt die Accessliste die das VPN IP Netz als Quell IP den Zugriff auf dein lokales IP Netz als Ziel erlaubt.
Wenn du das hinzufügst funktioniert es auf Anhieb.
Vielleicht kannst du hier etwas "abgucken" !!
http://www.administrator.de/wissen/cisco-pix-firewall-ipsec-vpn-tunnel- ...
Da steht wie es geht !
Außerdem: Ein simples ACL Debugging mit der hervorragenden Debug Funktion auf dem Cisco zeigt dir im Handumdrehen genau dies Problem !
Bitte warten ..
Mitglied: krachtor
16.10.2010 um 12:19 Uhr
access-list 102 permit tcp interface outside eq 81 host Host eq 81

Hi HerrZwerg,

diese ACL 102 ist nicht korrekt. Hier muessen die DHCP-IP's der IPSec-Client freigeschaltet werden.

Setze :
access-list 102 permit tcp host 192.168.1.75 gt 1023 host Host eq 81
access-list 102 permit tcp host 192.168.1.76 gt 1023 host Host eq 81
access-list 102 permit tcp host 192.168.1.77 gt 1023 host Host eq 81
access-list 102 permit tcp host 192.168.1.78 gt 1023 host Host eq 81
Streiche:
access-list 102 permit tcp interface outside eq 81 host Host eq 81

NAT sieht OK aus.

Mit freundlichen Grüßen,
krachtor
Bitte warten ..
Mitglied: HerrZwerg
18.10.2010 um 11:45 Uhr
Super!

Danke für die schnelle Hilfe!

lg
Herr Zwerg
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
DSL, VDSL
gelöst VPN-Probleme (CISCO AnyConnect) in Zusammenhang mit Router "Vodafone EasyBox" (7)

Frage von donnyS73lb zum Thema DSL, VDSL ...

Windows 10
gelöst VPN Verbindung Probleme (6)

Frage von Yeter2 zum Thema Windows 10 ...

Router & Routing
Cisco 800 Series und VPN over Fritzbox und Telekom VDSL (4)

Frage von Ra1976 zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...

Exchange Server
DNS Einstellung - zwei feste IPs für Mailserver (15)

Frage von ivan0s zum Thema Exchange Server ...