/ Forside / Teknologi / Netværk / TCP/IP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
TCP/IP
#NavnPoint
Per.Frede.. 4668
BjarneD 4017
severino 2804
pallebhan.. 1680
EXTERMINA.. 1525
xou 1455
strarup 1430
Manse9933 1419
o.v.n. 1400
10  Fijala 1204
Anvende W2k's VPN gennem 2xCisco 677 (en i~
Fra : JL


Dato : 11-04-03 14:42

Jeg ville gerne oprette en VPN forbindelse til mit firmanetværk fra min
hjemmecomputer.
I begge ender er der en Cisco 677 router.
Nu har jeg kæmpet i et par timer med at få Windows 2000 Server's VPN til at
fungere med XP Pro's VPN klient. Jeg når til "Verifying username..." men får
så "fejl 721".
Det virker fint når jeg anvender en klient på LAN til at koble op til
serveren, men det fungerer altså ikke via de to routere.
På routerne er de porte som VPN anvender forwardet til de respektive lan ip
adresser, men det er tilsyneladende ikke nok...
Kan jeg ganske enkelt ikke gøre det med de routere jeg har (har søgt på
google og det ser ud til at jeg ikke er den eneste med dette problem)?
Al hjælp værdsættes.
Mv
JL



 
 
Stig Meyer Jensen (11-04-2003)
Kommentar
Fra : Stig Meyer Jensen


Dato : 11-04-03 14:44

"JL" <drlorenzo@hotmail.com> skrev i en meddelelse
news:dCzla.13786$y3.1256845@news010.worldonline.dk...
> Jeg ville gerne oprette en VPN forbindelse til mit firmanetværk fra min
> hjemmecomputer.
> I begge ender er der en Cisco 677 router.
> Nu har jeg kæmpet i et par timer med at få Windows 2000 Server's VPN til
at
> fungere med XP Pro's VPN klient. Jeg når til "Verifying username..." men
får
> så "fejl 721".
> Det virker fint når jeg anvender en klient på LAN til at koble op til
> serveren, men det fungerer altså ikke via de to routere.
> På routerne er de porte som VPN anvender forwardet til de respektive lan
ip
> adresser, men det er tilsyneladende ikke nok...
> Kan jeg ganske enkelt ikke gøre det med de routere jeg har (har søgt på
> google og det ser ud til at jeg ikke er den eneste med dette problem)?
> Al hjælp værdsættes.

Har du tilladt GRE protokollen? (47 svjh)

--

Stig Meyer Jensen
stig@mine_3_initialer.dk



JL (11-04-2003)
Kommentar
Fra : JL


Dato : 11-04-03 14:53


"<snip en masse>
> Har du tilladt GRE protokollen? (47 svjh)
>
> --
Kan jeg det med en Cisco 677?
(Jeg formoder at det ikke blot er at forwarde port 47, for det har jeg
prøvet i mine desperate forsøg)
Mvh
JL



Asbjorn Hojmark (11-04-2003)
Kommentar
Fra : Asbjorn Hojmark


Dato : 11-04-03 15:09

On Fri, 11 Apr 2003 15:52:48 +0200, "JL" <drlorenzo@hotmail.com>
wrote:

>> Har du tilladt GRE protokollen? (47 svjh)

> (Jeg formoder at det ikke blot er at forwarde port 47

Det er det ikke. GRE kører ikke over hverken TCP eller UDP. Det
er en separat protokol.

-A

Morten Grouleff (11-04-2003)
Kommentar
Fra : Morten Grouleff


Dato : 11-04-03 20:54

"JL" <drlorenzo@hotmail.com> writes:

> "<snip en masse>
>> Har du tilladt GRE protokollen? (47 svjh)
>>
>> --
> Kan jeg det med en Cisco 677?
> (Jeg formoder at det ikke blot er at forwarde port 47, for det har jeg
> prøvet i mine desperate forsøg)

Det er ikke port 47, men protokol 47, GRE.

Det kan man så vidt jeg husker ikke direkte i 677, men man kan forwarde
al indgående traffik til en intern maskine og så virker det. Så skal man
til gengæld til at sikre alle porte på windows maskinen, så det er ikke
en ret rar løsning.

Mvh.
--
Morten Grouleff.

Jacob Bunk Nielsen (11-04-2003)
Kommentar
Fra : Jacob Bunk Nielsen


Dato : 11-04-03 21:45

Morten Grouleff <morten-nospam030411@grouleff.com> writes:

> Det er ikke port 47, men protokol 47, GRE.
>
> Det kan man så vidt jeg husker ikke direkte i 677, men man kan forwarde
> al indgående traffik til en intern maskine og så virker det.

Jo, det kan man faktisk godt. Man skal blot angive 47 som protokol i
stedet for fx tcp. Man er dog nødt til også at angive et portnummer,
hvilket et ikke giver mening. CBOS er lidt defekt. Det bliver så noget
i stil med:

set nat entry add 10.0.0.1 1 192.168.0.1 1 47

--
Jacob - www.bunk.cc
If you didn't get caught, did you really do it?

Asbjorn Hojmark (11-04-2003)
Kommentar
Fra : Asbjorn Hojmark


Dato : 11-04-03 23:11

On Fri, 11 Apr 2003 22:44:43 +0200, Jacob Bunk Nielsen
<spam@bunk.cc> wrote:

> Man skal blot angive 47 som protokol i stedet for fx tcp. Man er
> dog nødt til også at angive et portnummer, hvilket et ikke giver
> mening.

Skriv "0". Det giver OK mening.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.net/
FAQ : http://www.net-faq.dk/

Asbjorn Hojmark (11-04-2003)
Kommentar
Fra : Asbjorn Hojmark


Dato : 11-04-03 15:09

On Fri, 11 Apr 2003 15:41:31 +0200, "JL" <drlorenzo@hotmail.com>
wrote:

> På routerne er de porte som VPN anvender forwardet til de respektive
> lan ip adresser,

Er du sikker på det?

> men det er tilsyneladende ikke nok...

Hvilken slags VPN kører du?
Hvilken forwarding har du defineret?

-A

JL (11-04-2003)
Kommentar
Fra : JL


Dato : 11-04-03 19:49

> > På routerne er de porte som VPN anvender forwardet til de respektive
> > lan ip adresser,
>
> Er du sikker på det?

Hmm, ikke 100%

> > men det er tilsyneladende ikke nok...
>
> Hvilken slags VPN kører du?
Det er Windows 2000 Server's "indbyggede" VPN og XP's klient. (er det svar
nok?)

> Hvilken forwarding har du defineret?
>
TCP portene 1701 & 1723 til serverens ip
Men jeg forsøgte også med en "åben" konfig hvor alle porte blev nat'et til
serverens ip
(det virkede heller ikke...)

Skal de respektive porte i øvrigt både være forwardet på klienten og
serveren?
(har jeg også prøvet, men uden held...)
-JL



Asbjorn Hojmark (11-04-2003)
Kommentar
Fra : Asbjorn Hojmark


Dato : 11-04-03 23:11

On Fri, 11 Apr 2003 20:49:08 +0200, "JL" <drlorenzo@hotmail.com>
wrote:

>> Hvilken slags VPN kører du?

> Det er Windows 2000 Server's "indbyggede" VPN og XP's klient.

Hvis jeg husker ret, kan W2K køre PPTP, L2TP og IPSec. Men hvis
du ikke angiver noget, er det sikkert PPTP.

>> Hvilken forwarding har du defineret?

> TCP portene 1701 & 1723 til serverens ip

Til PPTP skal du som sagt også forwarde protokol 47. Det kan
gøres som følger:

set nat entry add (intern ip) 1723 (extern ip) 1723 tcp
set nat entry add (intern ip) 0 (extern ip) 0 47

> Men jeg forsøgte også med en "åben" konfig hvor alle porte blev
> nat'et til serverens ip

Det er ikke en port, det er en protokol.

> Skal de respektive porte i øvrigt både være forwardet på klienten
> og serveren?

Nej, blot på i serverens ende.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.net/
FAQ : http://www.net-faq.dk/

JL (12-04-2003)
Kommentar
Fra : JL


Dato : 12-04-03 03:51


<snip en masse>

> Til PPTP skal du som sagt også forwarde protokol 47. Det kan
> gøres som følger:


> set nat entry add (intern ip) 1723 (extern ip) 1723 tcp
> set nat entry add (intern ip) 0 (extern ip) 0 47
>
Tak for svaret, nu virker det.

Udgør dette en sikkerhedsrisiko? (jeg har sat filtre op for de forskellige
porte, men hvordan fungerer det med protokoller?)

Som sagt, tak for svaret. Det var jo præcist det jeg skulle bruge for at få
det til at virke. Rart når eksperter kan hjælpe en newbie på vej .
Mvh
JL



Asbjorn Hojmark (12-04-2003)
Kommentar
Fra : Asbjorn Hojmark


Dato : 12-04-03 08:06

On Sat, 12 Apr 2003 04:50:59 +0200, "JL" <drlorenzo@hotmail.com>
wrote:

>> set nat entry add (intern ip) 1723 (extern ip) 1723 tcp
>> set nat entry add (intern ip) 0 (extern ip) 0 47

> Udgør dette en sikkerhedsrisiko?

Man kan argumentere for, at det altid udgør en sikkerhedsrisiko,
hvis man lukker trafik ind udefra. Men det er jo en afvejning af
funktionalitet kontra sikkerhed.

Jeg ville personligt ikke køre PPTP fra Internet til en server
direkte på det interne net. Der er andre mere sikre protokoller
(fx. IPSec med 3DES-kryptering), og man kan terminere VPN på en
server i et DMZ i stedet for at gøre det direkte på det interne
net.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.net/
FAQ : http://www.net-faq.dk/

Søg
Reklame
Statistik
Spørgsmål : 177554
Tips : 31968
Nyheder : 719565
Indlæg : 6408852
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste