mickey 10 Geschrieben 17. Dezember 2007 Melden Teilen Geschrieben 17. Dezember 2007 hi all, ich habe da ein PIX und schaffe es offenbar nicht das ein routing zwischen VPN POLL und dem LAN möglich ist. die einwahl selbst etc. funktioniert wunderbar, bekomme auch am client die richtig IP zugewiesen und in der route Tabelle am client passt auch alles, jedoch auf das interne netz kann ich weder pingen noch zurückgreifen...? anbei ein Auszug aus der config... danke & lg : Saved : Written by admin at 16:17:32.905 CEST Sun Dec 16 2007 PIX Version 6.3(5) interface ethernet0 auto interface ethernet1 100full nameif ethernet0 outside security0 nameif ethernet1 inside security100 names access-list PR_splitTunnelAcl permit ip 192.168.66.0 255.255.255.0 any access-list inside_outbound_nat0_acl permit ip 192.168.66.0 255.255.255.0 192.168.7.0 255.255.255.0 access-list outside_cryptomap_dyn_20 permit ip any 192.168.7.0 255.255.255.0 access-list inside_access_in permit icmp any any access-list inside_access_in permit ip 192.168.66.0 255.255.255.0 any access-list outside_access_in permit icmp any any access-list outside_access_in permit ip 192.168.7.0 255.255.255.0 192.168.66.0 255.255.255.0 access-list outside_access_in permit icmp 192.168.7.0 255.255.255.0 192.168.66.0 255.255.255.0 access-list PR_splitTunnelAcl_1 permit ip 192.168.66.0 255.255.255.0 any access-list outside_cryptomap_dyn_40 permit ip any 192.168.7.0 255.255.255.0 pager lines 24 mtu outside 1500 mtu inside 1500 ip address outside 83.65.205.2XX 255.255.255.2XX ip address inside 192.168.66.3 255.255.255.0 ip audit info action alarm ip audit attack action alarm ip local pool VPN_POOL 192.168.7.100-192.168.7.200 global (outside) 1 interface nat (inside) 0 access-list inside_outbound_nat0_acl nat (inside) 1 0.0.0.0 0.0.0.0 0 0 access-group outside_access_in in interface outside access-group inside_access_in in interface inside route outside 0.0.0.0 0.0.0.0 83.65.205.2XX 1 timeout xlate 0:05:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout sip-disconnect 0:02:00 sip-invite 0:03:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server TACACS+ max-failed-attempts 3 aaa-server TACACS+ deadtime 10 aaa-server RADIUS protocol radius aaa-server RADIUS max-failed-attempts 3 aaa-server RADIUS deadtime 10 aaa-server LOCAL protocol local no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps floodguard enable sysopt connection permit-ipsec crypto ipsec transform-set PR esp-3des esp-md5-hmac crypto dynamic-map outside_dyn_map 20 match address outside_cryptomap_dyn_20 crypto dynamic-map outside_dyn_map 20 set transform-set PR crypto dynamic-map outside_dyn_map 40 match address outside_cryptomap_dyn_40 crypto dynamic-map outside_dyn_map 40 set transform-set PR crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map crypto map outside_map client authentication LOCAL crypto map outside_map interface outside isakmp enable outside isakmp nat-traversal 20 isakmp policy 9 authentication pre-share isakmp policy 9 encryption 3des isakmp policy 9 hash md5 isakmp policy 9 group 1 isakmp policy 9 lifetime 64800 isakmp policy 10 authentication pre-share isakmp policy 10 encryption 3des isakmp policy 10 hash md5 isakmp policy 10 group 1 isakmp policy 10 lifetime 1000 isakmp policy 30 authentication pre-share isakmp policy 30 encryption 3des isakmp policy 30 hash md5 isakmp policy 30 group 2 isakmp policy 30 lifetime 86400 vpngroup PR address-pool VPN_POOL vpngroup PR dns-server 192.168.66.2 vpngroup PR split-tunnel PR_splitTunnelAcl_1 vpngroup PR idle-time 3600 vpngroup PR authentication-server RADIUS vpngroup PR user-authentication vpngroup PR password ******** Zitieren Link zu diesem Kommentar
onedread 10 Geschrieben 18. Dezember 2007 Melden Teilen Geschrieben 18. Dezember 2007 HI Ich denke du musst folgendes nat (inside) 0 access-list inside_outbound_nat0_acl mit nat (inside) 0 access-list inside_access ersetzen. dann sollte es glaube ich funktionieren. poste mal obs passst. ciao onedread Zitieren Link zu diesem Kommentar
mickey 10 Geschrieben 3. Januar 2008 Autor Melden Teilen Geschrieben 3. Januar 2008 hello ! danke! hat jedoch auch nichts gebracht, habe jetzt das pix gegen ein asa 5505 umgetauscht. ist einfacher zum protokollieren und soweiso besser ;-) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.