adam^sad 10 Geschrieben 31. Mai 2007 Melden Teilen Geschrieben 31. Mai 2007 Hallo zusammen. Wir wollen eine Lan to Lan Verbindung machen. VPN Concentrator 3000 zu einen Checkpiont wie ich es verstanden habe. Das ganze sieht folgendermaßen aus, bzw. funktionierte auch schon. Am VPN Concentrator wurde 2 Netzwerke mit jeweils 1 IP eingetragen.(Bsp: 192.168.1.1 (wir) und 192.168.10.5 (die)) Danach ein Lan-to-Lan Konfiguriert (PSK usw.) Da die Ziel IP auf diese Sie zugreifen bei denen schon vergeben ist wird am Concentator diese IP auf eine andere genatet. (Bsp: 192.168.10.5 -> 10.10.10.10) An der FW wurde für diese IP Adresse zu der anderen der bestimmte Service erlaubt. Das komische ist, beim ersten Versuch letzte Woche funktionierte es Problemlos, allerdings bekamen Sie da ein ganzes Netz. Sollte ja aber keine Rolle spielen. Als wir es gestern noch mal versucht haben, kam er aber nur bis zur Phase 1. Zumal eine komische Meldung kommt. Tunnel rejected: ... no Policy for ... Src: 192.168.1.1 ; Dst: 10.10.10.10 (allerdings die wo genatet wird) Liegt mein Fehler darin, das der VPN Concentrator die genatete IP nicht wirklich natet? Danke. Grüße Rolf Zitieren Link zu diesem Kommentar
adam^sad 10 Geschrieben 31. Mai 2007 Autor Melden Teilen Geschrieben 31. Mai 2007 Habe den Fehler gefunden. Es muss die genatete IP Adresse am VPN Concentrator eingetragen sein und nicht die 192.168.10.5. Danke. Grüße Rolf Zitieren Link zu diesem Kommentar
adam^sad 10 Geschrieben 31. Mai 2007 Autor Melden Teilen Geschrieben 31. Mai 2007 Jetzt habe ich noch ein Verständnis Problem. Der Tunnel steht. Die Gegenstelle hat die IP Adresse 192.168.1.1 und will per Telnet auf die 10.10.10.10 die ich am VPN nate von 192.168.10.5 auf 10.10.10.10 . An der Firewall hab ich 192.168.1.1 erlaubt telnet und icmp auf die 192.168.10.5 . Liegt da mein denk Fehler, as ich die genatete Adresse (10.10.10.10) eintragen muss? Danke. Grüße Rolf Zitieren Link zu diesem Kommentar
#9370 10 Geschrieben 31. Mai 2007 Melden Teilen Geschrieben 31. Mai 2007 du musst Zugriff auf die IP Adresse erlauben, die die Gegenstelle sieht. Wenn du lokal 10.x hast und nach außen mit 192.168.x erscheinst, dann muss Zugriff auf die 192.168.x erfolgen und somit an der Firewall erlaubt sein. /#9370 Zitieren Link zu diesem Kommentar
adam^sad 10 Geschrieben 31. Mai 2007 Autor Melden Teilen Geschrieben 31. Mai 2007 Nate ich dafür nicht am VPN die Adresse 10.x auf die 192.168.x damit ich meine lokale 192.168.x eintragen kann? Oder missverstehe ich das naten? Danke. Grüße Rolf Zitieren Link zu diesem Kommentar
#9370 10 Geschrieben 31. Mai 2007 Melden Teilen Geschrieben 31. Mai 2007 Wenn du NAT machst, dann willst du nicht mit deiner richtigen IP Adresse erscheinen, sondern mit der genateten. /#9370 Zitieren Link zu diesem Kommentar
adam^sad 10 Geschrieben 1. Juni 2007 Autor Melden Teilen Geschrieben 1. Juni 2007 Kann dann die Firewall mit der "richtigen" IP gar nix mehr anfangen? Weil sowas haben wir im Prinzip schon und es geht. Danke. Grüße Rolf Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 1. Juni 2007 Melden Teilen Geschrieben 1. Juni 2007 Ich möchte mich hier einmal mit einem ähnlichen Problem anschließen: Folgendes Szenario: Standort A, Netz 10.10.1.0 (dmz per VLAN) an diesem Netz und über die gleiche PIX per VLAN ein weiteres Netz mit 100.100.1.0 (inside) Standort B, Netz 10.10.2.0 Beide Standorte über VPN verbunden und Zugriffe von und in das 10-er Netz funktionieren. Nun möchte ich vom Standort B auf einem Drucker 100.100.1.1 drucken. Da Standort B aber keine globalen Adressen in ihrem RZ routet, mache ich am Standort A ein Static NAT static(inside,dmz) 10.10.1.1 100.100.1.1 netmask 255.255.255.255 0 0 Am Standort B gehen die Pakete in den Tunnel, aber bei mir kommt nichts an? Jetzt habe ich gelesen, man müsste für die encrypted doamin auch die 100.100.1.1 zulassen, weil bei der ankommenden PIX erst der Prozess für NAT und dann erst der für IPSec verarbeitet wird. Kann das jemand bestätigen? Ich kann´s leider nicht so einfach testen, da ich keinerlei Zugriff auf/in Standort B habe. Zitieren Link zu diesem Kommentar
#9370 10 Geschrieben 1. Juni 2007 Melden Teilen Geschrieben 1. Juni 2007 @adam^sad: Setup: 192.168.1.1 Netz ---> VPNC - NAT auf 192.168.2.1 ----> Firewall -----> 10.1.1.1 Der Client mit der IP Adresse 10.1.1.1 will auf den Client mit der IP Adresse 192.168.1.1 zugreifen. Da die 192.168.1.1 hinter einem NAT Device liegt und nach außen mit 192.168.2.1 erscheint, muss der 10.1.1.1 Client auf 192.168.2.1 zugreifen. Die 192.16.1.1 Adresse bekommt der Client gar nicht mit, da sie ja vom VPNC umgesetzt wird - das ist der Sinn vom NAT. ------------- @hegl: ja, die PIX macht zuerst NAT und dann IPSec. Deshalb musst du auch immer das NAT 0 bei IPSec konfigurieren. /#9370 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.