Problem mit Pixen(VPN)

[Data1701 10]

Yo, die Interfaces sind down.

 

interface ethernet1 no shutdown (Glaube ich)

interface ethernet0 no shutdown

 

Inside-Adresse der PIX: 192.168.30.1.

 

Nachdem die Interface nicht mehr down sind, kann man das PDM über http://Https://192.168.30.1 erreichen.

 

Deutsch bei Cisco, du scherzt. Eher nicht. Es gibt zwar ein paar Dokus, die sind aber handverlesen.

 

Gruß Data

[Pixer 10]

Ich habe das jetzt mit dem shutdown so gemacht wie ihr das gesagt habt aber das bringt nichts.

Die beiden Pixen können sich nicht anpingen und nichts.

hättet ihr vielleicht noch mehr tipps????

 

Die Pix2 macht auch noch eine fehlermeldung wenn man sie neu startet.

 

Pix2>

Cannot select private key

 

liegt es vielleicht dadran?

[Data1701 10]

Bist Du im enable-Modus.

 

Hast Conf T eingegeben ?

 

Cannot select private key

Könnte sein dass man einen neuen cryptokey generieren muss, aber zuerst sollten ja mal die Pixen erreichbar sein.

 

Hast Du eine IP aus dem gleichem Netz ?

 

Gruß Data

 

Nachtrag:

 

Versuch mal im enable Modus:

 

conf interface ethernet1 (Enter)

no shutdown

 

PS: Kommen Fehlermeldungen bei der Konfiguration hoch ?

[s21it21 10]

Hallo,

 

Entschuldige bitte, aber ohne gute Englischkenntnisse und ohne gute PIX-Kenntnisse gleich ein VPN aufzubauen ist nicht ganz einfach und (so finde ich) der falsche Weg.

 

Du kannst nicht erwarten, dass Du hier Deine Konfig postest und sofort die Lösung bekommst. Ich weiss die Cisco-Dokus sind mühlselig, aber lies Dir das doch trotzdem mal durch. Die VPN-Dokus dazu (also für die PIX) sind sehr gut und sehr anschaulich erklärt. Gerdade die PIX ist ein teilweise eigenartiges Device und nicht ganz einfach zu bedienen. Um dann noch ein VPN (via CLI und ohne den beschxxx PDM) richtig zu machen (ohne die dazu benötigten Grundlagen zu haben) ist nicht sehr einfach.

 

Nimm das nicht persönlich, ich weiss in unserer Branche wird schnell einfach mal drauf los geklickt und probiert. Aber gerade bei VPNs und der PIX ist das der etwas falsche Weg.

 

Lade Dir mal die VPN-Howtos bei Cisco runter. Da wird auch das nötige Hintergrundwissen vermittelt. Und dann verstehst Du auch, warum das so konfiguriert wird. Das bring dir viel mehr, als einfach die fertige Lösung ins CLI reinzukopieren...Denn Troubleshooten solltest Du das ganze ja auch mal.

 

Um ein VPN auch sinnvoll zu analysieren mache Dich mit dem DEBUG Befehl vertraut. Gerade bei VPNs kommt es darauf an wo es hakt (Phase 1, 2) bzw. welche Log-Meldungen BEIDE Firewalls ausspucken.

 

 

LG

Martin

[Pixer 10]

Internet-->Pix 1(192.168.30.1 inside)-->switch-->(192.168.20.1 outside)Pix2(192.168.1.1 inside)-->PC

 

so sind die Ip's.

[Data1701 10]

Da kann ich s21it21 eigenlich nur recht geben.

 

Welche Kentnisse bringst Du denn mit Pixer. Ist Name Programm, wohl eher nicht ;) .

 

Hast Du schon eimal Ciscodevice konfiguriert ?

 

Gruß Data

[Pixer 10]

Ich habe mit Cisco Routern gearbeitet. Aber ich habe das mit den vpns bis jetzt nur theoretisch gehabt.

ich kann ihn verstehen aber wenn jemand n Problem hab was ich lösen könnte würd ich ja acuh versuchen ihm zu helfen wenn ich zeit hät

[Wordo 11]

Deine Infos sind halt relativ duerftig, und Eigeninitiative is auch eher n Fremdwort. Also was mit noch aufgefallen ist. Bei PIX1 ist Outsite IP dhcp setroute und bei PIX2 ist extern eine private IP (x.x.20.x). Wenn jetzt bei PIX1 extern x.x.30.x extern ist fehlt bei beiden ja das Default Gateway. Koennen sich den die PIXen gegenseitig pingen (ohne VPN)?

[Pixer 10]

ne das mit dem ping klappt nicht. Ich habe keine ahnung warum ich hab mir mehrer konfigs im netz angesehen und da stand bei das klappt, alles ausprobiert aber nichts davon klappt bei mir.

[Data1701 10]

Sind denn mitllerweile die Interface up ?

 

Router ungleich Firewall, was einige IOS bzw. PIX-OS-Befehle angeht.

 

Ich würde ersteinmal zusehen, dass die Pix übers PDM zu erreichen ist, bzw. alle Interface ab sind. Dann geht es weiter.

 

Ein paar Wort dürfen es schon mehr Pixer. Du hast eine Tastatur und bist der deutschen Sprache mächtig. Wie man in den Wald reinruft so schallt es auch wieder raus ;) .

 

Gruß Data

[s21it21 10]

Hallo,

 

Ich helfe gerne. Aber wie schon gesagt wurde, Deine Angaben zum Fehlerbild sind recht wenig. Dein Post klingt eher so nach dem Mott "..ich will das...ich schaffe es nicht..bitte macht es mir..danke" (vielleicht habe ich Dich auch falsch verstanden).

 

Damit ich auch was produktives beitrage:

 

Schaue mal zu aller erst, dass sich die zwei Pixen OHNE VPN unterhalten (=pingen) können.

 

So wie Du das netzwerktechnisch aufbaust, würde ich das sowieso nicht machen.

 

So ist es ein wenig einfacher (vor allem auch deswegen, weil das SEC-Modell der PIX etwas "eigen" ist --> sprich das interne LAN unterliegt einer höheren Security-Stufe als das externe. So wie DU das machst, könnten sich dann ganz andere Probleme ergeben (und das ist das was ich gemeint habe, schaue Dir die PIX mal grundsätzlich an und dann mache ein VPN). Aber egal.

 

Ich würde das so aufbauen:

 

Laptop 1 (simuliert fremdes LAN) ----- inside-PIX1-outside---------"INTERNET"-----outside-PIX2-inside------Laptop2 (simuliert eigenes LAN).

 

So schaue, dass das mal so funktioniert (ping von PIX1 nach PIX2 und UMGEKEHRT).

Dieser Aufbau ist viel realistischer als Deiner (=klassisches Site-to-Site-VPN).

 

Genau diese Teststellung entspricht auch den Vorraussetzungen der ganzen Cisco-DOKs.

Nun aktivierst Du den PDM (wie das geht kannst du in der quick-doku lesen).

 

So und JETZT kannst Du mit dem PDM ein simples Site-to-Site-VPN einrichten. Jetzt kannst Du Dir die Konfig via CLI anschauen und die Syntax studieren.

 

Wenn alles geklappt hat, kannst Du vom Laptop 1 den Laptop2 durchs VPN pingen!

 

Von dem aus kannst Du dann die gesamte Konfig an passen und erweitern.

 

So sehe ich das.

 

LG

 

Martin

[Pixer 10]

Die schnittstellen sind jetzt soweit richtig eingestellt. Der Aufbau wurde mir so vorgegeben. deine Lösung habe ich auch schon öfter gesehen und sie versucht auf meine abzuleiten das ging leider schief. Ich habe auch schon viel gegoogelt und in die unterlagen von cisco geschaut. wie gesagt ich habe es eigendlich gemacht wie die von cisco und denke das eher ein kleiner denkfehler vorhanden ist und nicht das ganze prinzip falsch.

 

mfg Pixer

[Data1701 10]

Ich klinke mich aus Pixer.

 

Entweder Du schreibst etwas mehr zu Deinem Problem, oder Du bekommst keine Hilfe.

 

Die schnittstellen sind jetzt soweit richtig eingestellt

 

Was darf man denn darunter verstehen ?

 

Gruß Data

[Wordo 11]

Beschreibe doch mal deine "Vorgaben"! Wuerde mich mal interessieren ...

[s21it21 10]

Hallo,

 

Sorry, ohne genauere Fehlerbeschreibung kann Dir hier keiner helfen (oder es dauert sehr lange). Schreibe bitte mal geordnet was geht und was eben nicht.

 

1) Können sich die zwei Pixen pingen

2) Funktioniert der PDM schon? Wenn nein, welchen Fehler bekommst Du?

3) Welche Fehlermeldung bekommst DU beim VPN-Aufbau (den Du ja schon versucht hast)?

4) Hast Du debug/syslog-Meldungen für uns?

 

Sorry, aber Du gehst auch nicht zum Automechaniker und sagst, dass das Auto nicht fährt. Wie es sich verhält oder was passiert ist, sagst Du aber nicht.

 

LG

Martin