Cisco ASA 5505 - kein VPN von INTERN nach EXTERN möglich
Hallo zusammen,
ich arbeite seit kurzer Zeit mit einer Cisco ASA 5505 in einem Testsystem....
nun ist mir aufgefallen, das es mir nicht möglich ist, einen gewöhnlichen PPTP VPN TUnnel von Intern nach Extern aufzubauen!
Ich kann weder im LOG noch in den Policies den Knackpunkt finden...
Von Intern nach Extern ist alles was "IP" angeht erlaubt!
Kann mir evtl. jemand weiter helfen?
Vielen Dank!
ich arbeite seit kurzer Zeit mit einer Cisco ASA 5505 in einem Testsystem....
nun ist mir aufgefallen, das es mir nicht möglich ist, einen gewöhnlichen PPTP VPN TUnnel von Intern nach Extern aufzubauen!
Ich kann weder im LOG noch in den Policies den Knackpunkt finden...
Von Intern nach Extern ist alles was "IP" angeht erlaubt!
Kann mir evtl. jemand weiter helfen?
Vielen Dank!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 152476
Url: https://administrator.de/forum/cisco-asa-5505-kein-vpn-von-intern-nach-extern-moeglich-152476.html
Ausgedruckt am: 23.12.2024 um 10:12 Uhr
9 Kommentare
Neuester Kommentar
"show conf" oder "write term" das weiss doch mittlerweile jeder !
Du schreibst oben "...Von Intern nach Extern ist alles was "IP" angeht erlaubt!"
Das ist wie du ja selber vermutlich weisst bei PPTP nur die halbe Miete. Der PPTP Tunnel nurzt für die Nutzdaten das GRE Protokoll mit der IP Protokoll Nummer 47 !
Es reicht als nicht nur IP freizugeben sondern du musst auch GRE freigeben sonst geht kein PPTP durch die Firewall, logisch !!
Du schreibst oben "...Von Intern nach Extern ist alles was "IP" angeht erlaubt!"
Das ist wie du ja selber vermutlich weisst bei PPTP nur die halbe Miete. Der PPTP Tunnel nurzt für die Nutzdaten das GRE Protokoll mit der IP Protokoll Nummer 47 !
Es reicht als nicht nur IP freizugeben sondern du musst auch GRE freigeben sonst geht kein PPTP durch die Firewall, logisch !!
Mmmhhh, oben schreibst du das du GRE freigegebne hast !! Sieht man sich deine Konfig an stimmt das aber nicht denn du hast TCP 47 freigegeben. (static (inside,outside) tcp interface 47 DC 47)
Nochmals damit auch Anfänger es verstehen: GRE ist ein eigenständiges IP Protokoll (kein TCP !) mit der IP Protokoll Nummer 47. Cisco hat dafür auch eine eigene Protokolldefinition "gre".
http://de.wikipedia.org/wiki/Generic_Routing_Encapsulation_Protocol.
Da du also weiterhin nur TCP Port 47 freigegeben hast (was übrigens NI-FTP ist, siehe hier http://meineipadresse.de/html/ip-ports.php) wird den PPTP weiterhin nicht funktionieren !!
Ich bin gaaaanz ruhig dabei ! Vermutlich du aber nicht ?!
Nochmals damit auch Anfänger es verstehen: GRE ist ein eigenständiges IP Protokoll (kein TCP !) mit der IP Protokoll Nummer 47. Cisco hat dafür auch eine eigene Protokolldefinition "gre".
http://de.wikipedia.org/wiki/Generic_Routing_Encapsulation_Protocol.
Da du also weiterhin nur TCP Port 47 freigegeben hast (was übrigens NI-FTP ist, siehe hier http://meineipadresse.de/html/ip-ports.php) wird den PPTP weiterhin nicht funktionieren !!
Ich bin gaaaanz ruhig dabei ! Vermutlich du aber nicht ?!