VPN mit Pix und Softwareclient

[hegl 10]

Hi,

mir fällt hier kein Fehler auf. Wie ist denn im Moment Stand der Dinge? Kannst Du denn auf die internen Hosts zugreifen oder nicht? Meines Erachtens sollte das geh´n.

Als Einschränkung nimmst Du nur die access-list 80 ersetzt das IP durch TCP und hängst am Ende ein eq ftp bzw. eq telnet dran. Das sollte es sein! Also:

access-list 80 permit tcp 192.168.1.0 255.255.255.0 192.168.4.0 255.255.255.0 eq 21

access-list 80 permit tcp 192.168.1.0 255.255.255.0 192.168.4.0 255.255.255.0 eq 23

 

Was soll denn die access-list 100 und

isakmp key ******** address 0.0.0.0 netmask 0.0.0.0?

Den isakmp-Befehl mit der Adresse 0 benutzt man idR für site-to-site, wo die eine site keine feste IP-Adresse hat, z.B. ein normaler DSL-Anschluss.

[onedread 10]

interface ethernet0 auto

interface ethernet1 100full

nameif ethernet0 outside security0

nameif ethernet1 inside security100

enable password XXX encrypted

passwd XXX encrypted

hostname pixfirewall

domain-name wellcom.at

fixup protocol dns maximum-length 512

fixup protocol ftp 21

fixup protocol h323 h225 1720

fixup protocol h323 ras 1718-1719

fixup protocol http 80

fixup protocol rsh 514

fixup protocol rtsp 554

no fixup protocol sip 5060

no fixup protocol sip udp 5060

fixup protocol skinny 2000

fixup protocol smtp 25

fixup protocol sqlnet 1521

fixup protocol tftp 69

names

access-list acl-outside permit ip 192.168.1.0 255.255.255.0 any

access-list acl-outside permit tcp 192.168.1.0 255.255.255.0 any

access-list acl-outside permit udp 192.168.1.0 255.255.255.0 any

access-list acl-outside permit icmp 192.168.1.0 255.255.255.0 any

access-list acl-outside permit ip 192.168.2.0 255.255.255.0 any

access-list acl-inside permit tcp any host 192.168.1.50 eq 5900

access-list acl-inside permit tcp any host 192.168.2.2 eq 5900

access-list acl-inside permit tcp any host 192.168.2.2 eq 5901

access-list 101 permit ip 192.168.2.0 255.255.255.0 192.168.4.0 255.255.255.0

access-list 101 permit icmp 192.168.2.0 255.255.255.0 192.168.4.0 255.255.255.0

pager lines 24

logging on

logging timestamp

logging buffered debugging

logging trap debugging

logging facility 23

logging host inside 192.168.1.50

mtu outside 1500

mtu inside 1500

ip address outside 10.0.10.150 255.255.0.0

ip address inside 192.168.2.1 255.255.255.0

ip audit info action alarm

ip audit attack action alarm

ip local pool vpn1 192.168.4.1-192.168.4.20

pdm location 192.168.1.50 255.255.255.255 inside

pdm location 192.168.1.0 255.255.255.0 outside

pdm history enable

arp timeout 14400

global (outside) 1 interface

nat (inside) 0 access-list 101

nat (inside) 1 0.0.0.0 0.0.0.0 0 0

static (inside,outside) tcp 192.168.2.2 5901 192.168.2.2 5900 netmask 255.255.255.255 0 0

access-group acl-inside in interface outside

access-group acl-outside in interface inside

route outside 0.0.0.0 0.0.0.0 10.0.10.100 1

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00

timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00

timeout sip-disconnect 0:02:00 sip-invite 0:03:00

timeout uauth 0:05:00 absolute

aaa-server TACACS+ protocol tacacs+

aaa-server TACACS+ max-failed-attempts 3

aaa-server TACACS+ deadtime 10

aaa-server RADIUS protocol radius

aaa-server RADIUS max-failed-attempts 3

aaa-server RADIUS deadtime 10

aaa-server LOCAL protocol local

http server enable

http 192.168.1.50 255.255.255.255 inside

http 192.168.1.0 255.255.255.0 inside

no snmp-server location

no snmp-server contact

snmp-server community public

no snmp-server enable traps

floodguard enable

sysopt connection permit-ipsec

crypto ipsec transform-set myset esp-des esp-md5-hmac

crypto dynamic-map dynmap 10 set transform-set myset

crypto map maymap 10 ipsec-isakmp dynamic dynmap

crypto map maymap interface outside

isakmp enable outside

isakmp identity address

isakmp policy 10 authentication pre-share

isakmp policy 10 encryption 3des

isakmp policy 10 hash md5

isakmp policy 10 group 2

isakmp policy 10 lifetime 86400

vpngroup vpn1 address-pool vpn1

vpngroup vpn1 default-domain wellcom.at

vpngroup vpn1 split-tunnel 101

vpngroup vpn1 idle-time 1800

vpngroup vpn1 password ********

telnet 0.0.0.0 0.0.0.0 inside

telnet timeout 5

ssh 0.0.0.0 0.0.0.0 outside

ssh 0.0.0.0 0.0.0.0 inside

ssh timeout 30

console timeout 0

username onedread password XXX encrypted privilege 2

terminal width 80

 

 

thx 4 help

onedread

[onedread 10]

HI

 

also zu Hause funktioniert es, da ich derzeit noch 2 internetanschlüsse zu hause habe konnte ich es gestern erfolgreich testen.

 

nur in wenn ich es von meiner Firm aus mache kann ich mich zwar connecten doch leider hab ich keinen Zugriff auf die Rechner, aber ich glaube das liegt daran weil wir selber auch ein dmz netz in diesem Bereich haben.

 

so weiters würd ich nun gern als VPN User die pix via telnet oder ssh fernverwalten muss ich das nun auch noch in der access-l hinzufügen oder geht das über die befehle telnet und ssh weil da hab ich ja e noch 0.0.0.0 bei beiden drinnen stehen. geht abe rnicht.

 

das ist der debug output wenn ich von der Firma aus via VNC auf einen Client bei mir zu Hause zugreifen will

 

crypto_isakmp_process_block:src:XXX, dest:10.0.10.150 spt:356 dpt:500

ISAKMP (0): processing NOTIFY payload 36136 protocol 1

spi 0, message ID = 3459027474

ISAMKP (0): received DPD_R_U_THERE from peer XXX

ISAKMP (0): sending NOTIFY message 36137 protocol 1

return status is IKMP_NO_ERR_NO_TRANS

crypto_isakmp_process_block:src:XXX, dest:10.0.10.150 spt:356 dpt:500

ISAKMP (0): processing NOTIFY payload 36136 protocol 1

spi 0, message ID = 659762811

ISAMKP (0): received DPD_R_U_THERE from peer XXX

ISAKMP (0): sending NOTIFY message 36137 protocol 1

 

any ideas?

[onedread 10]

HI

 

Meine neue Frage, wie kann ich die Antwortzeiten innerhalb des VPN'S verbessern habe immer so um die 1000ms Ping.

 

Kann ich da selbst was machen oder muss da der Provider was machen.

 

Vom gleichen Provider aus hab ich es noch nicht getest.

 

Habe Internet über Funk und greife entweder über Standleitung oder ADSL auf den VPN zu.

 

Glaubt ihr das es besser wird wenn ich die PIX auf den ADSL Anschluss lege?

 

thx

onedread