/ Forside / Teknologi / Netværk / TCP/IP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
TCP/IP
#NavnPoint
Per.Frede.. 4668
BjarneD 4017
severino 2804
pallebhan.. 1680
EXTERMINA.. 1525
xou 1455
strarup 1430
Manse9933 1419
o.v.n. 1400
10  Fijala 1204
Cisco VPN gennem PIX ??
Fra : Brian Ipsen


Dato : 16-12-02 20:01

Hej!

Jeg har et VPN spørgsmål. Når jeg hjemmefra laver VPN ind imod en PIX
firewall, så fungerer det fint. Setup'et ser da sådan her ud:

Min PC <--> Linux med pakke-filter/NAT <--> internet <--> PIX <--> LAN

Det fungerer upåklageligt

Hvis man så til gengæld laver:

Min PC <--> PIX501 med NAT <--> internet <--> PIX <--> LAN

så kan Cisco VPN klienten ikke oprette forbindelse til "remote" PIX'en
.... Nogle gode ideer til hvad problemet skyldes ? Begge setup kører jo
gennem NAT, så spørgsmålet er, om PIX'en (501) laver narrestreger, så
man ikke kan køre IPSec igennem - som jeg kan med min linux-firewall
hjemme....

/Brian

 
 
Martin Bilgrav (18-12-2002)
Kommentar
Fra : Martin Bilgrav


Dato : 18-12-02 23:55


"Brian Ipsen" <spammers@nowhere.net> wrote in message
news:gi8svuoq67rlv9ijn298hq6eqqvd9med3h@news.inet.tele.dk...

>
> Min PC <--> PIX501 med NAT <--> internet <--> PIX <--> LAN
>
> så kan Cisco VPN klienten ikke oprette forbindelse til "remote" PIX'en
> ... Nogle gode ideer til hvad problemet skyldes ? Begge setup kører jo
> gennem NAT, så spørgsmålet er, om PIX'en (501) laver narrestreger, så
> man ikke kan køre IPSec igennem - som jeg kan med min linux-firewall
> hjemme....

Det kan man sagtens gøre, du skal blot i din PIX501 forwarde esp osv til din
PC.
Tag fx det senarie hvor du har en soho77 istedet for din PIX, i dette
senarie SKAL din PC's IP være den det har den extendable i NAT, tyspisk
192.168.1.2
når du vil køre CCVPN mod en PIX-VPN.
Men hvorfor laver du ikke bare VPN pix2pix ?

HTH
Martin Bilgrav



Brian Ipsen (26-12-2002)
Kommentar
Fra : Brian Ipsen


Dato : 26-12-02 23:43

On Wed, 18 Dec 2002 23:54:53 +0100, "Martin Bilgrav"
<bilgravCUTTHISOUT@image.dk> wrote:

>> Min PC <--> PIX501 med NAT <--> internet <--> PIX <--> LAN
>>
>> så kan Cisco VPN klienten ikke oprette forbindelse til "remote" PIX'en
>> ... Nogle gode ideer til hvad problemet skyldes ? Begge setup kører jo
>> gennem NAT, så spørgsmålet er, om PIX'en (501) laver narrestreger, så
>> man ikke kan køre IPSec igennem - som jeg kan med min linux-firewall
>> hjemme....
>
>Det kan man sagtens gøre, du skal blot i din PIX501 forwarde esp osv til din
>PC.
>Tag fx det senarie hvor du har en soho77 istedet for din PIX, i dette
>senarie SKAL din PC's IP være den det har den extendable i NAT, tyspisk
>192.168.1.2
>når du vil køre CCVPN mod en PIX-VPN.
>Men hvorfor laver du ikke bare VPN pix2pix ?

Fordi jeg har et specifikt problem med at køre VPN ud gennen en PIX
mod et VPN opkoblingspunkt - og desværre er det ikke altid en PIX, som
fungerer som VPN knudepunkt.... Et andet problem er vel hvis man har
flere klienter bag en PIX - som skal lave VPN ud mod flere forskellige
destinationer - for hvad gør man så - jeg kan jo ikke bare forwarde al
esp trafik til en enkelt host, hvis det nu er en anden, som forsøger
at lave udgående forbindelse mod en VPN koncentrator eller lignende ??

/Brian

Martin Bilgrav (27-12-2002)
Kommentar
Fra : Martin Bilgrav


Dato : 27-12-02 10:34


"Brian Ipsen" <spammers@nowhere.net> wrote in message
news:iq0n0vkm5mkmqn39vpm9o2h8bcbq00hjl3@news.inet.tele.dk...

> Fordi jeg har et specifikt problem med at køre VPN ud gennen en PIX
> mod et VPN opkoblingspunkt - og desværre er det ikke altid en PIX, som
> fungerer som VPN knudepunkt.... Et andet problem er vel hvis man har
> flere klienter bag en PIX - som skal lave VPN ud mod flere forskellige
> destinationer - for hvad gør man så - jeg kan jo ikke bare forwarde al
> esp trafik til en enkelt host, hvis det nu er en anden, som forsøger
> at lave udgående forbindelse mod en VPN koncentrator eller lignende ??


Forskellen ligger i om det er en PIX eller en concetrator du har som
headend.
De concentrators der er idag UDP encapsulere deres pakker og dermed er det
ikke et problem at være flere brugere bag en home-PIX.
Men det jeg skrev tidligere gælder. dvs du skal have det forwarded og pas på
du ikke har sysopt ipsec permit på.

Mvh
Martin



Søg
Reklame
Statistik
Spørgsmål : 177552
Tips : 31968
Nyheder : 719565
Indlæg : 6408849
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste