Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Pix 501 VPN Problem im Home Office

Mitglied: rs-schmid

rs-schmid (Level 1) - Jetzt verbinden

24.05.2008 um 22:10 Uhr, 3541 Aufrufe

Hallo,

ich stehe gerade auf dem Schlauch.
Will in meinem Home Office den Zugriff von remote ermöglichen.
Netzwerk sieht im groben so aus, ein Linksys DSL Router macht die Internet Einwahl, so daß ich surfen kann. Das Linksys Teil macht VPN-Passthrough und reicht den VPN Traffic an die dahinter liegende Pix 501 weiter.
Verbinde ich mich nun von einem anderem Standort mit dem Cisco VPN Client so klappt der Tunnelaufbau, bekomme eine IP aus dem pool und das gewollte LAN (LAN hinter der Pix) steht in secured routes im client.
User Authentifizierung funktioniert lokal über die Pix, keine Radius Server oder ähnliches.
Soweit so gut. Will ich aber jetzt auf ein Host im LAN zugreifen kommt es zum Fehler.
Für mich sieht meine Config gut, die 2. vpngroup gibts nur weil ich herum probiert habe.

Sieht jemand den Fehler, liegt es eventuell am nat0?

Gruss Roland

Poste mal meine Config (mit Bild):
01.
: Saved
02.
: Written by enable_15 at 20:25:35.394 UTC Sat May 24 2008
03.
PIX Version 6.3(5)
04.
interface ethernet0 auto
05.
interface ethernet1 100full
06.
nameif ethernet0 outside security0
07.
nameif ethernet1 inside security100
08.
enable password xxxxxxxxxxxxxxx encrypted
09.
passwd xxxxxxxxxxxxxx encrypted
10.
hostname pix501
11.
domain-name pix.tux
12.
fixup protocol dns maximum-length 512
13.
fixup protocol ftp 21
14.
fixup protocol h323 h225 1720
15.
fixup protocol h323 ras 1718-1719
16.
fixup protocol http 80
17.
fixup protocol ils 389
18.
fixup protocol rsh 514
19.
fixup protocol rtsp 554
20.
fixup protocol sip 5060
21.
fixup protocol sip udp 5060
22.
fixup protocol skinny 2000
23.
fixup protocol smtp 25
24.
fixup protocol sqlnet 1521
25.
fixup protocol tftp 69
26.
names
27.
access-list acl-inside permit ip any any 
28.
access-list acl-outside permit ip 192.168.20.0 255.255.255.240 192.224.218.64 255.255.255.224 
29.
access-list acl-outside permit tcp 192.168.20.0 255.255.255.240 192.224.218.64 255.255.255.224 
30.
access-list acl-outside permit ip 192.168.20.0 255.255.255.240 interface inside 
31.
access-list vpn-schmid_splitTunnelAcl permit ip 192.224.218.64 255.255.255.224 any 
32.
access-list inside_outbound_nat0_acl permit ip 192.224.218.64 255.255.255.224 192.168.20.0 255.255.255.240 
33.
access-list outside_cryptomap_dyn_20 permit ip any 192.168.20.0 255.255.255.240 
34.
access-list vpn-schmid2_splitTunnelAcl permit ip 192.224.218.64 255.255.255.224 any 
35.
access-list outside_cryptomap_dyn_40 permit ip any 192.168.20.0 255.255.255.240 
36.
pager lines 24
37.
logging on
38.
mtu outside 1500
39.
mtu inside 1500
40.
ip address outside 192.168.80.30 255.255.255.224
41.
ip address inside 192.224.218.65 255.255.255.224
42.
ip verify reverse-path interface outside
43.
ip verify reverse-path interface inside
44.
ip audit info action alarm
45.
ip audit attack action alarm
46.
ip local pool pool-schmid 192.168.20.1-192.168.20.10
47.
pdm location 192.224.218.66 255.255.255.255 inside
48.
pdm location 192.224.218.67 255.255.255.255 inside
49.
pdm location 192.224.218.87 255.255.255.255 inside
50.
pdm location 192.224.218.70 255.255.255.255 inside
51.
pdm logging informational 100
52.
pdm history enable
53.
arp timeout 14400
54.
global (outside) 1 interface
55.
nat (inside) 0 access-list inside_outbound_nat0_acl
56.
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
57.
access-group acl-outside in interface outside
58.
access-group acl-inside in interface inside
59.
route outside 0.0.0.0 0.0.0.0 192.168.80.1 1
60.
timeout xlate 0:05:00
61.
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
62.
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
63.
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
64.
timeout uauth 0:05:00 absolute
65.
aaa-server TACACS+ protocol tacacs+ 
66.
aaa-server TACACS+ max-failed-attempts 3 
67.
aaa-server TACACS+ deadtime 10 
68.
aaa-server RADIUS protocol radius 
69.
aaa-server RADIUS max-failed-attempts 3 
70.
aaa-server RADIUS deadtime 10 
71.
aaa-server LOCAL protocol local 
72.
http server enable
73.
http 192.224.218.66 255.255.255.255 inside
74.
http 192.224.218.67 255.255.255.255 inside
75.
http 192.224.218.70 255.255.255.255 inside
76.
no snmp-server location
77.
no snmp-server contact
78.
snmp-server community public
79.
no snmp-server enable traps
80.
floodguard enable
81.
sysopt connection permit-ipsec
82.
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac 
83.
crypto dynamic-map outside_dyn_map 20 match address outside_cryptomap_dyn_20
84.
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-MD5
85.
crypto dynamic-map outside_dyn_map 40 match address outside_cryptomap_dyn_40
86.
crypto dynamic-map outside_dyn_map 40 set transform-set ESP-3DES-MD5
87.
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
88.
crypto map outside_map client authentication LOCAL 
89.
crypto map outside_map interface outside
90.
isakmp enable outside
91.
isakmp policy 20 authentication pre-share
92.
isakmp policy 20 encryption 3des
93.
isakmp policy 20 hash md5
94.
isakmp policy 20 group 2
95.
isakmp policy 20 lifetime 86400
96.
vpngroup vpn-schmid address-pool pool-schmid
97.
vpngroup vpn-schmid dns-server 80.242.134.56 80.242.134.56
98.
vpngroup vpn-schmid split-tunnel vpn-schmid_splitTunnelAcl
99.
vpngroup vpn-schmid idle-time 1800
100.
vpngroup vpn-schmid password xxxxxxxxx
101.
vpngroup vpn-schmid2 address-pool pool-schmid
102.
vpngroup vpn-schmid2 dns-server 80.242.134.56
103.
vpngroup vpn-schmid2 split-tunnel vpn-schmid2_splitTunnelAcl
104.
vpngroup vpn-schmid2 idle-time 1800
105.
vpngroup vpn-schmid2 password xxxxxxxxxxxxxx
106.
telnet timeout 5
107.
ssh timeout 5
108.
console timeout 0
109.
dhcpd lease 3600
110.
dhcpd ping_timeout 750
111.
dhcpd auto_config outside
112.
username roland password xxxxxxxxxx encrypted privilege 15
113.
username roland2 password xxxxxxxxxxx encrypted privilege 15
114.
terminal width 80
115.
Cryptochecksum:xxxxxxxxxxx
116.
: end
c27c46ce47d01237d1284ee226b9382f-netzwerk - Klicke auf das Bild, um es zu vergrößern
Ähnliche Inhalte
Router & Routing

Keine PDM-Konfiguration meiner guten alten pix 501

Frage von rabo001Router & Routing1 Kommentar

Hallo, ich weis es ist ein Uraltteil aber ich möchte sie weiter nutzen meine pix501. Nur jetzt gibt es ...

Firewall

Cisco Pix 501 - Fehler Unable to launch device manager !!?

Frage von babyloniaFirewall7 Kommentare

Hi, Cisco Pix 501 Version 6.3(5) Ich habe den PIX Device Manager pdm304.bin installiert. Dann habe ich versucht den ...

Windows Server

Probl. b. Programminst. nach Netzlaufwerksbuchst.: invalid directory name specified or the removable media is not properly inserted

gelöst Frage von departure69Windows Server4 Kommentare

Hallo. Situation: - SBS 2008 AD-Domäne - versch. Memberserver, teils phys. teils virtuell, alle im selben Netz - Clients ...

Router & Routing

Tunnel VPN to VPN

Frage von itschloeglRouter & Routing8 Kommentare

Guten Abend. Folgende Problemstellung: Ich habe ein Firmennetzwerk, welches mehrere Standorte umfasst. Alle Standorte sind via VPN an den ...

Neue Wissensbeiträge
Humor (lol)
Administrator.de Perlen
Tipp von DerWindowsFreak2 vor 2 TagenHumor (lol)3 Kommentare

Hallo, Heute beim stöbern auf dieser Seite bin auf folgenden Thread aus dem Jahre 2006 gestossen: Was meint ihr? ...

Erkennung und -Abwehr
OpenSSH-Backdoor Malware erkennen
Tipp von Frank vor 3 TagenErkennung und -Abwehr

Sicherheitsforscher von Eset haben 21 Malware-Familien untersucht. Die Malware soll Hintertüren via OpenSSH bereitstellen, so dass Angreifer Fernzugriff auf ...

iOS
WatchChat für Whatsapp
Tipp von Criemo vor 6 TageniOS5 Kommentare

Ziemlich coole App für WhatsApp User in Verbindung mit der Apple Watch. Gibts für iOS sowohl als auch für ...

iOS
IOS hat nen Cursor!
Tipp von Criemo vor 6 TageniOS5 Kommentare

Nette Funktion im iOS. iPhone-Mauszeiger aktivieren „Nichts ist nerviger, als bei einem Tippfehler zu versuchen, den iOS-Cursor an die ...

Heiß diskutierte Inhalte
Grafikkarten & Monitore
PCIe 1.0 Grafikkarte für 3840x2160
Frage von Windows10GegnerGrafikkarten & Monitore29 Kommentare

Hallo, mein Vater hat einen neuen Monitor gekauft, welcher eine native Auflösung von 3840*2160 hat. Diese muss jetzt auch ...

Windows Server
Dienstnamen und oder Deutsche und Englische Beschreibung in services.msc gleichzeitig anzeigen
gelöst Frage von vafk18Windows Server23 Kommentare

Guten Morgen, die Suche nach Diensten in services.msc gestaltet sich immer wieder schwierig, weil mir je nach Aufgabe die ...

Windows 10
Windows Enterprise 1809 Eval nicht bootbar
Frage von Sunny89Windows 1022 Kommentare

Hallo zusammen, bevor ich mich jetzt noch stundenlang rumärger wollte ich euch fragen, ob Ihr die gleichen Probleme habt ...

Linux
Info Monitor für eine Schule
gelöst Frage von CAT404Linux13 Kommentare

Moin, ich möchte einen Infomonitor betreiben; derzeit läuft da ein Windows 10 Rechner bei dem Firefox beim Start in ...