madn01
Goto Top

Cisco Pix 501 als VPN Server einrichten - Problem

Ich habe eine Cisco PIX 501 über den "VPN Wizard" als VPN Server für einen Cisco VPN Client 3.x oder höher eingerichtet.

Hierbei habe ich größtenteils die Default-Einstellungen übernommen. AAA Server / Radius etc. ausgeschalten.

Nun kann ich per Cisco VPN Client zwar connecten und bekomme korrekt eine IP, jedoch kann ich danach nicht wirklich auf das Netz zugreifen. Im internen Netz kann ich den externen VPN User jedoch anpingen. Aufgefallen ist mir, dass der VPN Client als Gateway seine eigene IP eingetragen hat, was vermutlich falsch sein wird.

1. Kann mir jemand sagen, ob bzw. bei der VPN Server Konfiguration als DNS, WINS etc. irgendetwas eintragen muss oder die Felder freibleiben können?
2. Sollte beim Client als Gateway normalerweise die Pix-IP eingetragen sein bzw. wie kann ich das ändern?
3. Beim VPN Wizard konnte ich am Ende irgendeine NAT Konfiguration durchführen. Sollten hier die IP's, die den VPN-Clients zugewiesen werden, eingetragen werden?


Für jegliche Hilfe wäre ich äußerst dankbar.

Viele Grüße

Martin

Content-ID: 41626

Url: https://administrator.de/forum/cisco-pix-501-als-vpn-server-einrichten-problem-41626.html

Ausgedruckt am: 23.12.2024 um 13:12 Uhr

Rafiki
Rafiki 07.10.2006, aktualisiert am 18.10.2012 um 17:57:17 Uhr
Goto Top
Wahrscheinlich fehlt die nat 0 Angabe, damit die Adressen zwischen dem VPN Client und dem restlichem Netzwerk von NAT ausgenommen werden.

Guckst du hier:
VPN mit PIX 501


Die entscheidenden Zeilen sind:
access-list 101 permit ip 10.0.0.0 255.0.0.0 192.168.1.0 255.255.255.0
global (outside) 1 interface nat (inside) 0 access-list 101
nat (inside) 1 0.0.0.0 0.0.0.0 0 0

sonst schick mir deine Konfiguration (ohne Passworte und ohne public IP) über die Nachrichtenfunktion.

Gruß Rafiki
PS: Ich freue mich immer wieder wenn jemand im Forum kurz berichtet, ob eine angebotene Lösung erfolgreich war oder auch nicht.
madn01
madn01 12.10.2006 um 18:51:25 Uhr
Goto Top
Danke an Rafiki für die Lösung des Problems (über die Nachrichtenfunktion).
MM
MM 31.10.2006 um 15:12:55 Uhr
Goto Top
Hallo!
Ich bin in einer ähnlichen Situation:
- bestehendes Netzwerk 192.168.1.
- Cisco Pix 501
- DSL mit fester IP
- ein paar Mitarbeiter wollen sich von zu Hause übers Internet mit Cisco VPN Client einwählen
- die Konfiguration habe ich mit den beiden Wizards gemacht und ich kann vom Cisco selbst eine IP im Internet anpingen
- VPN, Internet Zugang von den PCs funktioniert nicht

Ist es möglich das Sie die funktionierende Config mal ins Forum posten (ohne Passwörter usw.)

Alternativ kann ich auch mal meine posten.

Vielen Dank schonmal!!!
Rafiki
Rafiki 31.10.2006 um 18:48:27 Uhr
Goto Top
Hi MM,

willkommen im Administrator Forum.

Deine Konfig darfst du gerne posten. Entferne bitte vorher Dinge die dich verraten würden, Firmenname, die feste öffentliche IP, Benutzernamen, Passwort usw.....
Du darft auch gerne mir die bereinigte Konfig schicken. Im Forum, oben rechts, Nachrichten auswählen.

Deine Fehlerbeschreibung dürfte gerne etwas genauer sein face-wink

Gruß Rafiki
MM
MM 31.10.2006 um 20:51:50 Uhr
Goto Top
Hallo!
Ja danke für die schnelle Reaktion!
Ich möchte an sich etwas ganz einfaches (glaube ich zumindest) mit dem Gerät machen.
Es gibt ein Netz 192.168.1.0/24 mit 5 PCs + 1 Server - alles Windows XP bzw. 2003.
Dann gibt es einen T-Com DSL Anschluss mit fester IP.
Es soll möglich sein, dass sich die Mitarbeiter von zu Hause über das Internet mit VPN "einwählen" können und eine IP aus dem 192.168.1.0 Netz bekommen - so als ob sie in der Firma wären und mit dem LAN verbunden wären - keine besonderen Sicherheitsvorkehrungen.
Auf den PCs ist der Cisco VPN Client installiert und die Authentifizierung soll ganz einfach mit Benutzer/Passwort für jeden Mitarbeiter (plus Gruppenpasswort ???) sein.
Arbeiten wollen die z.B. mit FileMaker und Office (Word,Excel) Dateien die über Netzwerkfreigaben auf dem Server liegen, eventuell Exchange, außerdem soll Windows Remote Desktop RDP möglich sein. Ich denke aber das es deshalb keine Probleme geben sollte.

Eingerichtet habe ich den PIX nur über die beiden Assistenten.

Gruß
MM


Result of firewall command: "show config"  
 
: Saved
: Written by enable_15 at 08:02:12.753 UTC Mon Oct 30 2006
PIX Version 6.3(5)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password *************** encrypted
passwd ************* encrypted
hostname cisco
domain-name ****************.de
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
access-list inside_outbound_nat0_acl permit ip any 192.168.1.0 255.255.255.128 
access-list outside_cryptomap_dyn_60 permit ip any 192.168.1.0 255.255.255.128 
pager lines 24
mtu outside 1456
mtu inside 1500
ip address outside pppoe setroute
ip address inside 192.168.1.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
ip local pool vpn-firma-pool 192.168.1.50-192.168.1.99
pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list inside_outbound_nat0_acl
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+ 
aaa-server TACACS+ max-failed-attempts 3 
aaa-server TACACS+ deadtime 10 
aaa-server RADIUS protocol radius 
aaa-server RADIUS max-failed-attempts 3 
aaa-server RADIUS deadtime 10 
aaa-server LOCAL protocol local 
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac 
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac 
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-MD5
crypto dynamic-map outside_dyn_map 40 set transform-set ESP-3DES-SHA
crypto dynamic-map outside_dyn_map 60 match address outside_cryptomap_dyn_60
crypto dynamic-map outside_dyn_map 60 set transform-set ESP-3DES-SHA
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map interface outside
isakmp enable outside
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption 3des
isakmp policy 20 hash md5
isakmp policy 20 group 2
isakmp policy 20 lifetime 86400
isakmp policy 40 authentication pre-share
isakmp policy 40 encryption 3des
isakmp policy 40 hash sha
isakmp policy 40 group 2
isakmp policy 40 lifetime 86400
vpngroup vpn-firma address-pool vpn-firma-pool
vpngroup vpn-firma dns-server 192.168.1.5
vpngroup vpn-firma default-domain **********.de
vpngroup vpn-firma idle-time 1800
vpngroup vpn-firma password *********
telnet timeout 5
ssh timeout 5
console timeout 0
vpdn group pppoe_group request dialout pppoe
vpdn group pppoe_group localname feste-ip3/*****************@t-online-com.de
vpdn group pppoe_group ppp authentication pap
vpdn username feste-ip3/*********@t-online-com.de password ******* store-local
dhcpd address 192.168.1.210-192.168.1.240 inside
dhcpd dns 192.168.1.5 
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd domain ****************.de
dhcpd auto_config outside
dhcpd enable inside
terminal width 80
Cryptochecksum:******************************
MM
MM 31.10.2006 um 21:14:30 Uhr
Goto Top
Ich war glaube ich etwas zu schnell mit dem abschicken.
Also Internet Zugang haben sollen alle PCs die im lokalen Netz sind und die die sich über VPN eingeloggt haben.
Zur Zeit ist ein Netgear Router worüber der Internet Zugang läuft eingerichtet und funktioniert problemlos. Die TCP/IP Einstellungen an den PCs sind manuell eingestellt und der Netgear hat die gleiche IP-Adresse wie der Cisco PIX (ja es ist immer nur einer angeschlossen - keine doppelte IP usw.). Gateway, Nameserver ist an den PCs auf 192.168.1.1 eingestellt.

Wenn ich den Cisco PIX anschließe geht kein Internet Zugang für die PCs (auch nach 10 Minuten nicht). Ich kann über das Konfigurationsprogramm von Cisco (https://192.168.1.1) Browser -> Java Applet) IP Adressen im Internet anpingen. Von jedem PC aus kann ich den Cisco PIX anpingen.

Mehr geht leider nicht und deshalb brauche ich Hilfe.
Rafiki
Rafiki 01.11.2006, aktualisiert am 18.10.2012 um 17:57:23 Uhr
Goto Top
Teil 1 der Frage, VPN
Deine VPN Planung ist so üblich und etwas ganz normales.
Ich rate davon ab große Dateien wie z.B. eine fileMaker Datenbank oder Word / Powerpoint über eine langsame, unzuverlässige Verbindung zu öffnen bzw. zu bearbeiten. Besser wäre es sich mit RDP (oder TeminalServer wie Citrix) auf einem PC im Netzwerk anzumelden und die Datei nur lokal zu öffnen. Das verhindert Beschädigungen an den Dateien durch Verbindungsverlust und ähnliches.

Was geht an dem VPN nicht?
Keine Verbindung zu der PIX oder kein Login oder werden keine Daten übertragen?

Im September hat pastor eine ähnliche Konfig, die funktioniert, gepostet.
VPN mit PIX 501

Mir ist der Unterschied aufgefallen:
isakmp enable outside
isakmp key address 0.0.0.0 netmask 0.0.0.0
isakmp identity address
isakmp client configuration address-pool local ippool outside

und pastor hat sich Benutzer angelegt:
username user1 password ##### encrypted privilege 3
username user2 password ##### encrypted privilege 3

Aber noch mal, da ich nicht genau weiß WAS nicht geht, ist das nur ein Ratespiel was bei dir evtl. fehlt.


Teil 2 Deiner Frage, im Internet Surfen.
Den Netgear Router kannst du als DNS Server ansprechen und der Router sucht sich dann im Internet die anderen DNS Server und reicht die Antwort an den PC zurück. Von einer PIX 6.3 kenne ich diese Funktion nicht. Aber vieleicht geht es ja doch irgendwie. Ich würde erwarten das dein Server einen DNS (und DHCP) Dienst stellt. Der Server holt dann DNS abfragen aus den Internet durch die PIX hindurch aber ohne das die PIX selber angesprochen wird.
Ausprobieren, ob das die Ursache ist, kannst du das indem du an einem PC mal als DNS Server den DNS von deinem ISP (T-Com) einträgst, oder einen anderen guten DNS Server verwendest.
Beispiel ns.plusline.de 212.19.48.14

Gruß Rafiki
MM
MM 04.11.2006 um 00:51:41 Uhr
Goto Top
Hallo!
Ich weiß nicht wie aber irgendwie bin ich weiter gekommen.
Ich habe Zugriff aufs Internet (Webbrowser)! D.h. ich kann mir jede Website ansehen und E-Mails abrufen und senden. Aber ich kann keinen Ping machen was damit zusammenhängt das icmp anscheinend durch die Firewall blockiert werden. Wie erlaube ich das?

Und ich habe von Außen Zugriff per VPN!!!!!
Aber noch nicht so wie ich das gerne hätte. Der Client bekommt die IP 192.168.6.100, Nameserver 194.25.2.129 und das Gateway wird auch auf 192.168.6.100 automatisch gestellt (?). Ich habe zwar eine IP aus dem Netz, kann aber weder auf eine Freigabe, FTP Server oder andere PCs anpingen die alle im gleichen Netz 192.168.6.* sind. Internet Zugang auf dem Client funktioniert auch nicht. Ich habe mal manuell das Gateway auf dem Client auf 192.168.6.2 umgestellt aber das hat nichts gebracht.

Ich konnte mich nur mit dem Gruppennamen vpn und dem Passwort die VPN Verbindung aufbauen. Ich möchte aber zusätzlich noch Benutzer/Passwort pro Benutzer (ist aber erstmal zweitrangig).

Vielen Dank auch noch. Ich bin nicht auf die Idee mit dem Nameserver gekommen das der Pix die DNS Anfragen gar nicht weiterleitet sondern auf jedem PC der Nameserver eingetragen sein muss - entgegen beim Netgear.
Durch die Konfiguration von Pastor bin ich nicht weiter gekommen.
Den Rat FileMaker nicht über das VPN zu betreiben werde ich befolgen.

Ich denke das es jetzt nur noch eine Routing Sache ist die fehlt bzw. Regeln für die Firewall.

Was mich auch verwundert ist das jetzt bei access-list ... 192.168.6.96 255.255.255.224 diese IP steht, die ich nie eingegeben habe.


Danke nochmal & Gruß
MM


Meine aktuelle Konfig, die soweit schon mal geht:


PIX Version 6.3(5)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password encrypted
passwd * encrypted
hostname cisco
domain-name
*.lokal
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
access-list inside_outbound_nat0_acl permit ip any 192.168.6.96 255.255.255.224
access-list outside_cryptomap_dyn_20 permit ip any 192.168.6.96 255.255.255.224
pager lines 24
mtu outside 1456
mtu inside 1500
ip address outside pppoe setroute
ip address inside 192.168.6.2 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
ip local pool vpn-pool 192.168.6.100-192.168.6.120
pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list inside_outbound_nat0_acl
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 192.168.6.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto dynamic-map outside_dyn_map 20 match address outside_cryptomap_dyn_20
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-SHA
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map interface outside
isakmp enable outside
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption 3des
isakmp policy 20 hash sha
isakmp policy 20 group 2
isakmp policy 20 lifetime 86400
vpngroup vpn address-pool vpn-pool
vpngroup vpn dns-server 194.25.2.129 194.25.2.130
vpngroup vpn idle-time 1800
vpngroup vpn password *
telnet timeout 5
ssh timeout 5
console timeout 0
vpdn group pppoe_group request dialout pppoe
vpdn group pppoe_group localname
vpdn group pppoe_group ppp authentication pap
vpdn username password * store-local
dhcpd address 192.168.6.100-192.168.6.120 inside
dhcpd dns 194.25.2.129 194.25.2.131
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd auto_config outside
dhcpd enable inside
username testbenutzer password encrypted privilege 2
terminal width 80
Cryptochecksum:**