herrzwerg
Goto Top

CISCO 515 VPN Teardown TCP am internen Interface

Die Hoch und Tiefs beim Einrichten von VPNs!

Endlich hatte ich mal ein Erfolgserlebnis, da etwas auf Anhieb funktioniert hat. Hab für ein Projekt eine VPN Verbindung benötigt und die per Cisco PIX 515 auch zustande bekommen. Also VPN mittels Passwort zu meiner PIX funktioniert einwandfrei. Nur der Request zum internen server mit der IP 172.17.41.70 am port 81 funktioniert nicht.

soweit ich google und co befragt habe, wird alles am internen Interface abgefangen...

Ich bekomme folgende Fehlermeldung im Logfile

6|Oct 18 2010|11:36:40|302014|Hobex|172.17.41.70|Teardown TCP connection 56644 for outside:Hobex/13002 to inside:172.17.41.70/81 duration 0:00:00 bytes 0 TCP Reset-I
6|Oct 18 2010|11:36:39|302013|Hobex|172.17.41.70|Built inbound TCP connection 56644 for outside:Hobex/13002 (Hobex/13002) to inside:172.17.41.70/81 (172.17.41.70/81)

bzw. jetzt aktuell

6|Oct 18 2010|11:36:40|302014|Hobex|172.17.41.70|Teardown TCP connection 56644 for outside:Hobex/13002 to inside:172.17.41.70/81 duration 0:00:10 bytes 1401 TCP FINs
6|Oct 18 2010|11:36:39|302013|Hobex|172.17.41.70|Built inbound TCP connection 56644 for outside:Hobex/13002 (Hobex/13002) to inside:172.17.41.70/81 (172.17.41.70/81)


Noch komischer ist, dass am Rechner mit der IP 172.17.41.70 ein leerer Request ankommt.

Ich dachte die firewall blockiert alles oder nichts. Stimmt das?


die config der pix lautet

Result of the command: "show config"  

: Saved
: Written by enable_15 at 14:54:09.322 UTC Mon Oct 18 2010
!
PIX Version 8.0(4)16 
!
hostname home
domain-name brain-behind.com
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
name 172.31.255.254 Hobex description Fobex
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 93.XX.XX.XX 255.255.255.252 
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 172.17.41.1 255.255.255.0 
!
interface Ethernet2
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet4
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet5
 shutdown
 no nameif
 no security-level
 no ip address
!
ftp mode passive
dns server-group DefaultDNS
 domain-name brain-behind.com
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
object-group network DM_INLINE_NETWORK_1
 network-object 172.31.255.128 255.255.255.128
 network-object host Hobex
object-group service Hobex tcp-udp
 port-object eq 81
access-list inside_nat0_outbound extended permit ip any host 172.31.255.128 
access-list outside_access_in extended permit ip any any 
access-list outside_access_in extended permit tcp host Hobex host 172.17.41.70 log debugging 
access-list inside_cryptomap extended permit ip host 172.17.41.70 host 172.17.208.33 
access-list inside_access_in extended permit ip any any 
access-list NoNAT2 extended permit ip host 93.XX.XX.XX 172.31.255.128 255.255.255.128 
access-list NoNAT2 extended permit ip host 172.17.41.70 172.31.255.128 255.255.255.128 
access-list NoNAT2 extended permit ip host 172.17.41.70 host Hobex 
access-list outside_cryptomap extended permit ip host 172.17.41.70 object-group DM_INLINE_NETWORK_1 
pager lines 24
logging enable
logging standby
logging emblem
logging console debugging
logging monitor debugging
logging buffered debugging
logging asdm informational
logging debug-trace
mtu outside 1500
mtu inside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image flash:/asdm-602.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list NoNAT2
nat (inside) 1 0.0.0.0 0.0.0.0
static (inside,outside) 172.31.255.128 192.168.1.6 netmask 255.255.255.255 
static (inside,outside) 172.17.208.33 192.168.1.5 netmask 255.255.255.255 
access-group outside_access_in in interface outside
access-group inside_access_in in interface inside
route outside 0.0.0.0 0.0.0.0 93.XX.XX.XX 1
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
http server enable
http 0.0.0.0 0.0.0.0 inside
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac 
crypto ipsec transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac 
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac 
crypto ipsec transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac 
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac 
crypto ipsec transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac 
crypto ipsec transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac 
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac 
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac 
crypto ipsec transform-set chevelle esp-aes-256 esp-sha-hmac 
crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac 
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto map inside_map0 1 match address inside_cryptomap
crypto map inside_map0 1 set pfs 
crypto map inside_map0 1 set peer 195.XXX.XXX.XXX
crypto map inside_map0 1 set transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5
crypto map inside_map0 1 set security-association lifetime seconds 3600
crypto map inside_map0 1 set reverse-route
crypto map inside_map0 interface inside
crypto map transam 2 match address outside_cryptomap
crypto map transam 2 set pfs 
crypto map transam 2 set peer 195.XXX.XXX.XXX
crypto map transam 2 set transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5
crypto map transam 2 set security-association lifetime seconds 3600
crypto map transam interface outside
crypto isakmp enable outside
crypto isakmp enable inside
crypto isakmp policy 1
 authentication pre-share
 encryption aes-256
 hash sha
 group 2
 lifetime 86400
crypto isakmp ipsec-over-tcp port 10000 
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd dns 213.33.99.70 80.120.17.70
dhcpd ping_timeout 750
dhcpd auto_config outside
!
dhcpd dns 213.33.99.70 80.120.17.70 interface inside
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
tunnel-group 195.XXX.XXX.XXX type ipsec-l2l
tunnel-group 195.XXX.XXX.XXX ipsec-attributes
 pre-shared-key *
 peer-id-validate nocheck
 isakmp keepalive disable
tunnel-group testHobex type ipsec-l2l
tunnel-group testHobex ipsec-attributes
 pre-shared-key *
tunnel-group Hobex type ipsec-l2l
tunnel-group Hobex ipsec-attributes
 pre-shared-key *
tunnel-group Hob type ipsec-l2l
tunnel-group Hob general-attributes
 annotation CryptoMapEntry=transam[2]
tunnel-group Hob ipsec-attributes
 pre-shared-key *
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
!
service-policy global_policy global
prompt hostname context 
Cryptochecksum:8af5bd92f92bd821f46ff6294407355e


Wäre toll, wenn sich jemand das ansehen könnte. Ich bin echt am verzweifeln

Vielen Dank

Herr Zwerg

Content-ID: 153534

Url: https://administrator.de/forum/cisco-515-vpn-teardown-tcp-am-internen-interface-153534.html

Ausgedruckt am: 23.12.2024 um 10:12 Uhr

aqui
aqui 22.10.2010 um 16:37:19 Uhr
Goto Top
Folgende Fragen wenn der VPN Tunnel aktiv ist hast du nicht beantwortet face-sad
  • Kannst du das LAN Interface der PIX 172.17.41.1 aus dem VPN pingen ?
  • Kannst du den Host 172.17.41.70 aus dem VPN pingen ?
  • Wenn nein, hast du ICMP (ping) erlaubt (Klick auf "Auf Echo Pakete antworten" ) ?
  • Du kommst aus einem Fremdnetz (VPN) ! Hast du die lokale Win Firewall auf dem Host 172.17.41.70 entsprechend angepasst das diese Zugriffe aus dem fremden IP Netz (VPN) zulässt ?? In den erweiterten Eigenschaften der Firewall den Port --> Bereich anpassen bzw. auf "Alle Computer inkl. Internet" klicken !
    • Wenn du am Host 172.17.41.70 mit Wireshark oder NetMonitor mal snifferst, kannst du dort eingehende Pakete aus dem VPN Netz mit Zielport TCP 81 sehen ??

Für eine qualifizierte Antwort zum Troubleshooting wären diese Infos sehr hilfreich !
HerrZwerg
HerrZwerg 24.10.2010 um 15:55:57 Uhr
Goto Top
hi aqui,

danke für deine Hilfe. Hier die gewünschten Antworten hoffentlich in der Ausführlichkeit, wie du sie benötigst.

man kann LAN Interface 172.17.41.1 pingen.
Den Host 172.17.41.70 kann man nicht pingen.
ICMP ist erlaubt.
Auf dem Rechner läuft keine firewall, da es ein alter Win2K Rechner ist. Alle Ports etc. sind offen.

JA, ich kann am rechner die eingehenden Pakete sehen, wenn ich mit Wireshark sniffe! Allerdings haben die requests alle eine länge von 0 bytes.

Und genau, dass verwundert mich ja so. kommen requests überhaupt am rechner an, wenn die firewall das blockiert?
aqui
aqui 24.10.2010 um 17:23:29 Uhr
Goto Top
Dann hat der alte Win2K Rechner das falsche default Gateway konfiguriert !! Das zeigt vermutlich NICHT auf die 172.17.41.1 und deshalb schlägt die Ping Rückantwort fehl !!
Siehst du die echo reply Ping Packete des 2K Rechners im Sniffer ??
Welche Quell und Ziel IP haben die ??
HerrZwerg
HerrZwerg 24.10.2010 um 17:53:05 Uhr
Goto Top
nein, der standardgateway ist 172.17.41.1. ich komme vom rechner auch normal ins internet.

wenn ich vom internen interface pinge sehe ich die pakete, vom outside nicht! QuellIP = 172.17.41.1 DestinationIP=172.17.41.70

vpn kann ich leider im moment nicht testen, da das extern liegt.

ohne VPN komme ich problemlos auf den rechner...
HerrZwerg
HerrZwerg 28.10.2010 um 09:44:10 Uhr
Goto Top
gibts da niemand der mir bei diesem "wenig anspruchsvollen" thema helfen kann?

stehe da echt an!

vielen Dank