/ Forside / Teknologi / Netværk / TCP/IP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
TCP/IP
#NavnPoint
Per.Frede.. 4668
BjarneD 4017
severino 2804
pallebhan.. 1680
EXTERMINA.. 1525
xou 1455
strarup 1430
Manse9933 1419
o.v.n. 1400
10  Fijala 1204
vpn med xp, zywalls og cisco
Fra : Henrik Jensen


Dato : 29-09-04 00:11

Hej,
jeg har en zywall 2 herhjemme som jeg har konfigureret som vpn klient op
imod min arbejdsgivers zywall 10. Min Zywall står bag en Soho 77 router.

Det er lykkedes (ifølge min zywalls ike-log) at etablere selve tunellen fra
min pc til serveren på mit arbejde, men jeg kan ikke pinge serverens
ip-adresse (jeg får intet svar fra den, og den svarer ellers normalt på ping
forespørgsler).

Min mistanke går på at det kan være noget i soho'en. Jeg har nat'et port 500
til zywall'en af hensyn til etableringen af vpn tunellen, og så er der to
andre 'almindelige' nat entries til et par servere jeg har stående
herhjemme.

Hvad mangler jeg ellers at tjekke? I min ende bruger jeg windows XP, og på
mit arbejde kører vi med Windows 2003 server.

Mvh
Henrik



 
 
Uffe S. Callesen (29-09-2004)
Kommentar
Fra : Uffe S. Callesen


Dato : 29-09-04 14:53

Henrik Jensen wrote:
> Hej,
> jeg har en zywall 2 herhjemme som jeg har konfigureret som vpn klient op
> imod min arbejdsgivers zywall 10. Min Zywall står bag en Soho 77 router.
>
> Det er lykkedes (ifølge min zywalls ike-log) at etablere selve tunellen fra
> min pc til serveren på mit arbejde, men jeg kan ikke pinge serverens
> ip-adresse (jeg får intet svar fra den, og den svarer ellers normalt på ping
> forespørgsler).
>
> Min mistanke går på at det kan være noget i soho'en. Jeg har nat'et port 500
> til zywall'en af hensyn til etableringen af vpn tunellen, og så er der to
> andre 'almindelige' nat entries til et par servere jeg har stående
> herhjemme.
>
> Hvad mangler jeg ellers at tjekke? I min ende bruger jeg windows XP, og på
> mit arbejde kører vi med Windows 2003 server.
>
> Mvh
> Henrik
>
>

Prøv lige for spas skyld at tilføje en static route på den server du
pinger til dit netværk via Zywall'en.

Hvis deres Zywall 10 ikke er gateway for deres interne net kender
serveren ikke routen tilbage til din PC via tunlen.

--
Mail mig på uffe <elefantnæseA> skelmose <prik> dk

Asbjorn Hojmark (29-09-2004)
Kommentar
Fra : Asbjorn Hojmark


Dato : 29-09-04 16:43

On Wed, 29 Sep 2004 01:11:10 +0200, "Henrik Jensen"
<hj@netwerk.dk> wrote:

> Jeg har nat'et port 500 til zywall'en af hensyn til etableringen af
> vpn tunellen

Port 500/udp får kun ISAKMP/IKE over. Du skal også lave en
statisk map til ESP.

-A

Ukendt (29-09-2004)
Kommentar
Fra : Ukendt


Dato : 29-09-04 23:46

"Henrik Jensen" <hj@netwerk.dk> skrev i en meddelelse
news:gcm6d.53385$Vf.2568955@news000.worldonline.dk...
> Hej,
> jeg har en zywall 2 herhjemme som jeg har konfigureret som vpn klient op
> imod min arbejdsgivers zywall 10. Min Zywall står bag en Soho 77 router.
>
> Det er lykkedes (ifølge min zywalls ike-log) at etablere selve tunellen
fra
> min pc til serveren på mit arbejde, men jeg kan ikke pinge serverens
> ip-adresse (jeg får intet svar fra den, og den svarer ellers normalt på
ping
> forespørgsler).

Du bliver måske fanget i firewallen?
Accepterer serveren trafik fra dit hjemme-subnet? (der selvfølgelig er
anderledes end kontor-subnettet )


Rune



Henrik Jensen (04-10-2004)
Kommentar
Fra : Henrik Jensen


Dato : 04-10-04 21:00

Tak for jeres forslag!
Zywall'en på jobbet fungerer netop som gateway, så serveren kender godt
returvejen. Der er ikke rigtigt spærret for noget i zywall'en på
arbejdspladsen, så det burde heller ikke være en hindring. Endelig har jeg
nat'et alt fra soho'en til zywall'en nu. Men det virker stadig ikke.

Jeg har fulgt vejledningen på Zyxell's hjemmeside:
http://www.zyxel.dk/FAQ.48+B6JnR4X3p5eGVsZmFxX3BpMVtzaG93VWlkXT0zMiZ0eF96eXhlbGZhcV9waTFbbGlzdE1vZGVdPWl0ZW0mY0hhc2g9NWJhZDk1MjRkYQ__.0.html

Jeg får etableret tunnellen, men jeg kan ikke få forbindelse til
arbejdsnetværket - ej heller omvendt.

Vil det hjælpe at slå nat fuldstændigt fra i min soho 77 ? Hvis ja, hvilken
konsekvens får det så for ip-adresserne på lan-siden af soho'en hhv
wan-siden af zywall'en?

Setup'et ser således ud:

arbejdsnetværk -> zywall 10 (med vpn klient) -> *internet* -> soho 77 ->
zywall (med vpn klient)-> hjemmenetværk

Min internetforbindelse ud igennem zywall'en virker fint, ligesom man også
sagtens kan komme på min server udefra. Den bliver der NAT'et til via
Zywall'en.

Mvh
Henrik



Asbjorn Hojmark (05-10-2004)
Kommentar
Fra : Asbjorn Hojmark


Dato : 05-10-04 07:09

On Mon, 4 Oct 2004 22:00:06 +0200, "Henrik Jensen"
<hj@netwerk.dk> wrote:

> Jeg får etableret tunnellen, men jeg kan ikke få forbindelse til
> arbejdsnetværket - ej heller omvendt.

Har du lavet den statis NAT for ESP, som jeg nævnte for dig? Den
er nødvendig for at få selve de krypterede pakker over.

-A

Henrik Jensen (05-10-2004)
Kommentar
Fra : Henrik Jensen


Dato : 05-10-04 12:24

Asbjorn Hojmark wrote:
> On Mon, 4 Oct 2004 22:00:06 +0200, "Henrik Jensen"
> <hj@netwerk.dk> wrote:
>
>
>>Jeg får etableret tunnellen, men jeg kan ikke få forbindelse til
>>arbejdsnetværket - ej heller omvendt.
>
>
> Har du lavet den statis NAT for ESP, som jeg nævnte for dig? Den
> er nødvendig for at få selve de krypterede pakker over.
>
> -A

Det er selvfølgelig muligt jeg tager fejl, men burde det ikke være i
orden at nat'e 'alt'?

I min cisco router har jeg denne nat entry:
ip nat inside source static 10.10.20.2 213.x.x.x extendable

Hvor 213.x.x.x er min offentlige ip-adresse og 10.10.20.2 er
wan-adressen på min zywall. Min zywall nat'er så pr. default alt videre
til min unix server på mit lokale net, så jeg kan se mine websider mm.
Der er ikke sat noget specifikt op for ESP. Der er heller ikke
konfigureret noget specifikt for den windows maskine jeg skal bruge
vpn-forbindelsen fra.

Er det noget jeg mangler?

Mvh
Henrik

Asbjorn Hojmark (05-10-2004)
Kommentar
Fra : Asbjorn Hojmark


Dato : 05-10-04 14:52

On Tue, 05 Oct 2004 13:23:36 +0200, Henrik Jensen
<henrik.jensen@netwerk.dk> wrote:

> Det er selvfølgelig muligt jeg tager fejl, men burde det ikke være
> i orden at nat'e 'alt'?

Mjo, men du skrev jo selv: "Jeg har nat'et port 500 til zywall'en
af hensyn til etableringen af vpn tunellen", og det er altså ikke
nok.

-A

Henrik Jensen (06-10-2004)
Kommentar
Fra : Henrik Jensen


Dato : 06-10-04 18:25

Asbjorn Hojmark wrote:
> On Tue, 05 Oct 2004 13:23:36 +0200, Henrik Jensen
> <henrik.jensen@netwerk.dk> wrote:
>
>
>>Det er selvfølgelig muligt jeg tager fejl, men burde det ikke være
>>i orden at nat'e 'alt'?
>
>
> Mjo, men du skrev jo selv: "Jeg har nat'et port 500 til zywall'en
> af hensyn til etableringen af vpn tunellen", og det er altså ikke
> nok.
>
> -A

Det er rigtigt, men senere skrev jeg også at jeg nu havde nat'et alt.
Alt er stadig nat'et, men alligevel virker det ikke :(

Hvad kan jeg ellers gøre?

Mvh
Henrik

Asbjorn Hojmark (06-10-2004)
Kommentar
Fra : Asbjorn Hojmark


Dato : 06-10-04 18:30

On Wed, 06 Oct 2004 19:24:53 +0200, Henrik Jensen
<henrik.jensen@netwerk.dk> wrote:

> Hvad kan jeg ellers gøre?

Det umiddelbare forslag vil nu være, at bruge de muligheder, der
er for fejlsøgning på dit VPN-device. På fornuftigt udstyr kan
man se, præcist hvad der bliver forhandlet og sat op (ISAKMP/IKE,
ESP, AH etc.), hvad der forwardes af pakker etc.

Jeg ved ikke, hvad man kan af den slags på sådan en ZyXEL-ting.

-A

Henrik Jensen (14-10-2004)
Kommentar
Fra : Henrik Jensen


Dato : 14-10-04 00:55

Asbjorn Hojmark wrote:
> Det umiddelbare forslag vil nu være, at bruge de muligheder, der
> er for fejlsøgning på dit VPN-device. På fornuftigt udstyr kan
> man se, præcist hvad der bliver forhandlet og sat op (ISAKMP/IKE,
> ESP, AH etc.), hvad der forwardes af pakker etc.
>
> Jeg ved ikke, hvad man kan af den slags på sådan en ZyXEL-ting.
>
> -A

Jeg fik det til at virke til sidst. Udover at 'alt' var nat'et i cisco
routeren var 'næsten alt' nat'et i zywall'en (inkl. port 500) til min
unix server.

dette rettede jeg så zywall'en selv tog sig af port 500, og så pillede
jeg lidt ved firewall'en, og så fik jeg det op at spille...

tak for inputs!

/henrik

Søg
Reklame
Statistik
Spørgsmål : 177560
Tips : 31968
Nyheder : 719565
Indlæg : 6408943
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste