5
CISCO 515 VPN Teardown TCP am internen Interface
Die Hoch und Tiefs beim Einrichten von VPNs!
Endlich hatte ich mal ein Erfolgserlebnis, da etwas auf Anhieb funktioniert hat. Hab für ein Projekt eine VPN Verbindung benötigt und die per Cisco PIX 515 auch zustande bekommen. Also VPN mittels Passwort zu meiner PIX funktioniert einwandfrei. Nur der Request zum internen server mit der IP 172.17.41.70 am port 81 funktioniert nicht.
soweit ich google und co befragt habe, wird alles am internen Interface abgefangen...
Ich bekomme folgende Fehlermeldung im Logfile
bzw. jetzt aktuell
Noch komischer ist, dass am Rechner mit der IP 172.17.41.70 ein leerer Request ankommt.
Ich dachte die firewall blockiert alles oder nichts. Stimmt das?
die config der pix lautet
Wäre toll, wenn sich jemand das ansehen könnte. Ich bin echt am verzweifeln
Vielen Dank
Herr Zwerg
Endlich hatte ich mal ein Erfolgserlebnis, da etwas auf Anhieb funktioniert hat. Hab für ein Projekt eine VPN Verbindung benötigt und die per Cisco PIX 515 auch zustande bekommen. Also VPN mittels Passwort zu meiner PIX funktioniert einwandfrei. Nur der Request zum internen server mit der IP 172.17.41.70 am port 81 funktioniert nicht.
soweit ich google und co befragt habe, wird alles am internen Interface abgefangen...
Ich bekomme folgende Fehlermeldung im Logfile
6|Oct 18 2010|11:36:40|302014|Hobex|172.17.41.70|Teardown TCP connection 56644 for outside:Hobex/13002 to inside:172.17.41.70/81 duration 0:00:00 bytes 0 TCP Reset-I
6|Oct 18 2010|11:36:39|302013|Hobex|172.17.41.70|Built inbound TCP connection 56644 for outside:Hobex/13002 (Hobex/13002) to inside:172.17.41.70/81 (172.17.41.70/81)bzw. jetzt aktuell
6|Oct 18 2010|11:36:40|302014|Hobex|172.17.41.70|Teardown TCP connection 56644 for outside:Hobex/13002 to inside:172.17.41.70/81 duration 0:00:10 bytes 1401 TCP FINs
6|Oct 18 2010|11:36:39|302013|Hobex|172.17.41.70|Built inbound TCP connection 56644 for outside:Hobex/13002 (Hobex/13002) to inside:172.17.41.70/81 (172.17.41.70/81)Noch komischer ist, dass am Rechner mit der IP 172.17.41.70 ein leerer Request ankommt.
Ich dachte die firewall blockiert alles oder nichts. Stimmt das?
die config der pix lautet
Result of the command: "show config"
: Saved
: Written by enable_15 at 14:54:09.322 UTC Mon Oct 18 2010
!
PIX Version 8.0(4)16
!
hostname home
domain-name brain-behind.com
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
name 172.31.255.254 Hobex description Fobex
!
interface Ethernet0
nameif outside
security-level 0
ip address 93.XX.XX.XX 255.255.255.252
!
interface Ethernet1
nameif inside
security-level 100
ip address 172.17.41.1 255.255.255.0
!
interface Ethernet2
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet3
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet4
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet5
shutdown
no nameif
no security-level
no ip address
!
ftp mode passive
dns server-group DefaultDNS
domain-name brain-behind.com
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
object-group network DM_INLINE_NETWORK_1
network-object 172.31.255.128 255.255.255.128
network-object host Hobex
object-group service Hobex tcp-udp
port-object eq 81
access-list inside_nat0_outbound extended permit ip any host 172.31.255.128
access-list outside_access_in extended permit ip any any
access-list outside_access_in extended permit tcp host Hobex host 172.17.41.70 log debugging
access-list inside_cryptomap extended permit ip host 172.17.41.70 host 172.17.208.33
access-list inside_access_in extended permit ip any any
access-list NoNAT2 extended permit ip host 93.XX.XX.XX 172.31.255.128 255.255.255.128
access-list NoNAT2 extended permit ip host 172.17.41.70 172.31.255.128 255.255.255.128
access-list NoNAT2 extended permit ip host 172.17.41.70 host Hobex
access-list outside_cryptomap extended permit ip host 172.17.41.70 object-group DM_INLINE_NETWORK_1
pager lines 24
logging enable
logging standby
logging emblem
logging console debugging
logging monitor debugging
logging buffered debugging
logging asdm informational
logging debug-trace
mtu outside 1500
mtu inside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image flash:/asdm-602.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list NoNAT2
nat (inside) 1 0.0.0.0 0.0.0.0
static (inside,outside) 172.31.255.128 192.168.1.6 netmask 255.255.255.255
static (inside,outside) 172.17.208.33 192.168.1.5 netmask 255.255.255.255
access-group outside_access_in in interface outside
access-group inside_access_in in interface inside
route outside 0.0.0.0 0.0.0.0 93.XX.XX.XX 1
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
http server enable
http 0.0.0.0 0.0.0.0 inside
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac
crypto ipsec transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec transform-set chevelle esp-aes-256 esp-sha-hmac
crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto map inside_map0 1 match address inside_cryptomap
crypto map inside_map0 1 set pfs
crypto map inside_map0 1 set peer 195.XXX.XXX.XXX
crypto map inside_map0 1 set transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5
crypto map inside_map0 1 set security-association lifetime seconds 3600
crypto map inside_map0 1 set reverse-route
crypto map inside_map0 interface inside
crypto map transam 2 match address outside_cryptomap
crypto map transam 2 set pfs
crypto map transam 2 set peer 195.XXX.XXX.XXX
crypto map transam 2 set transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5
crypto map transam 2 set security-association lifetime seconds 3600
crypto map transam interface outside
crypto isakmp enable outside
crypto isakmp enable inside
crypto isakmp policy 1
authentication pre-share
encryption aes-256
hash sha
group 2
lifetime 86400
crypto isakmp ipsec-over-tcp port 10000
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd dns 213.33.99.70 80.120.17.70
dhcpd ping_timeout 750
dhcpd auto_config outside
!
dhcpd dns 213.33.99.70 80.120.17.70 interface inside
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
tunnel-group 195.XXX.XXX.XXX type ipsec-l2l
tunnel-group 195.XXX.XXX.XXX ipsec-attributes
pre-shared-key *
peer-id-validate nocheck
isakmp keepalive disable
tunnel-group testHobex type ipsec-l2l
tunnel-group testHobex ipsec-attributes
pre-shared-key *
tunnel-group Hobex type ipsec-l2l
tunnel-group Hobex ipsec-attributes
pre-shared-key *
tunnel-group Hob type ipsec-l2l
tunnel-group Hob general-attributes
annotation CryptoMapEntry=transam[2]
tunnel-group Hob ipsec-attributes
pre-shared-key *
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:8af5bd92f92bd821f46ff6294407355eWäre toll, wenn sich jemand das ansehen könnte. Ich bin echt am verzweifeln
Vielen Dank
Herr Zwerg
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 153534
Url: https://administrator.de/contentid/153534
Ausgedruckt am: 22.11.2024 um 15:11 Uhr
5 Kommentare
Neuester Kommentar
Folgende Fragen wenn der VPN Tunnel aktiv ist hast du nicht beantwortet 
Für eine qualifizierte Antwort zum Troubleshooting wären diese Infos sehr hilfreich !
- Kannst du das LAN Interface der PIX 172.17.41.1 aus dem VPN pingen ?
- Kannst du den Host 172.17.41.70 aus dem VPN pingen ?
- Wenn nein, hast du ICMP (ping) erlaubt (Klick auf "Auf Echo Pakete antworten" ) ?
- Du kommst aus einem Fremdnetz (VPN) ! Hast du die lokale Win Firewall auf dem Host 172.17.41.70 entsprechend angepasst das diese Zugriffe aus dem fremden IP Netz (VPN) zulässt ?? In den erweiterten Eigenschaften der Firewall den Port --> Bereich anpassen bzw. auf "Alle Computer inkl. Internet" klicken !
- Wenn du am Host 172.17.41.70 mit Wireshark oder NetMonitor mal snifferst, kannst du dort eingehende Pakete aus dem VPN Netz mit Zielport TCP 81 sehen ??
Für eine qualifizierte Antwort zum Troubleshooting wären diese Infos sehr hilfreich !
hi aqui,
danke für deine Hilfe. Hier die gewünschten Antworten hoffentlich in der Ausführlichkeit, wie du sie benötigst.
man kann LAN Interface 172.17.41.1 pingen.
Den Host 172.17.41.70 kann man nicht pingen.
ICMP ist erlaubt.
Auf dem Rechner läuft keine firewall, da es ein alter Win2K Rechner ist. Alle Ports etc. sind offen.
JA, ich kann am rechner die eingehenden Pakete sehen, wenn ich mit Wireshark sniffe! Allerdings haben die requests alle eine länge von 0 bytes.
Und genau, dass verwundert mich ja so. kommen requests überhaupt am rechner an, wenn die firewall das blockiert?
danke für deine Hilfe. Hier die gewünschten Antworten hoffentlich in der Ausführlichkeit, wie du sie benötigst.
man kann LAN Interface 172.17.41.1 pingen.
Den Host 172.17.41.70 kann man nicht pingen.
ICMP ist erlaubt.
Auf dem Rechner läuft keine firewall, da es ein alter Win2K Rechner ist. Alle Ports etc. sind offen.
JA, ich kann am rechner die eingehenden Pakete sehen, wenn ich mit Wireshark sniffe! Allerdings haben die requests alle eine länge von 0 bytes.
Und genau, dass verwundert mich ja so. kommen requests überhaupt am rechner an, wenn die firewall das blockiert?
Dann hat der alte Win2K Rechner das falsche default Gateway konfiguriert !! Das zeigt vermutlich NICHT auf die 172.17.41.1 und deshalb schlägt die Ping Rückantwort fehl !!
Siehst du die echo reply Ping Packete des 2K Rechners im Sniffer ??
Welche Quell und Ziel IP haben die ??
Siehst du die echo reply Ping Packete des 2K Rechners im Sniffer ??
Welche Quell und Ziel IP haben die ??
nein, der standardgateway ist 172.17.41.1. ich komme vom rechner auch normal ins internet.
wenn ich vom internen interface pinge sehe ich die pakete, vom outside nicht! QuellIP = 172.17.41.1 DestinationIP=172.17.41.70
vpn kann ich leider im moment nicht testen, da das extern liegt.
ohne VPN komme ich problemlos auf den rechner...
wenn ich vom internen interface pinge sehe ich die pakete, vom outside nicht! QuellIP = 172.17.41.1 DestinationIP=172.17.41.70
vpn kann ich leider im moment nicht testen, da das extern liegt.
ohne VPN komme ich problemlos auf den rechner...
gibts da niemand der mir bei diesem "wenig anspruchsvollen" thema helfen kann?
stehe da echt an!
vielen Dank
stehe da echt an!
vielen Dank
