PPTP und IPSec

[hegl 10]

Hallo,

 

ist es möglich pptp-clients auf einer PIX zu konnektieren und gleichzeitig auch eine site-to-site ipsec-connection aufzubauen?

pptp läuft seit Urzeiten ohne Probleme, konfiguriere ich jetzt die site-to-site hinzu schießt diese mir meine durch access-lists erlaubten Verbindungen der pptp-clients ab. Soll heissen, der Tunnel via pptp wird aufgebaut, aber ich kann auf keine Ressource mehr zugreifen. Anbei meine conf - hoffentlich hat jemand eine Idee.

 

access-list nonat permit ip 172.16.16.0 255.255.255.0 10.10.10.0 255.255.255.0

access-list nonat permit ip host 172.16.16.200 10.11.11.240 255.255.255.248

 

ip local pool pptp-pool 10.10.10.1-10.10.10.99

 

nat (inside) 0 access-list nonat

 

sysopt connection permit-ipsec

sysopt connection permit-pptp

 

crypto ipsec transform-set hallo esp-3des esp-sha-hmac

crypto map toXYZ 20 ipsec-isakmp

crypto map toXYZ 20 match address nonat

crypto map toXYZ 20 set peer x.x.x.x

crypto map toXYZ 20 set transform-set hallo

crypto map toXYZ 20 set security-association lifetime seconds 3600 kilobytes 4608000

crypto map toXYZ interface outside

isakmp enable outside

isakmp key ******** address x.x.x.x netmask 255.255.255.255

isakmp policy 10 authentication pre-share

isakmp policy 10 encryption 3des

isakmp policy 10 hash sha

isakmp policy 10 group 1

isakmp policy 10 lifetime 14400

 

 

vpdn group 1 accept dialin pptp

vpdn group 1 ppp authentication pap

vpdn group 1 ppp authentication chap

vpdn group 1 ppp authentication mschap

vpdn group 1 client configuration address local pptp-pool

vpdn group 1 client configuration dns 172.16.16.182

vpdn group 1 client configuration wins 172.16.16.200

vpdn group 1 client authentication aaa AuthInbound

vpdn group 1 pptp echo 300

vpdn enable outside

 

Gruß

hegl