VPN geht nicht von jedem Standort
Hallo,
wir haben in einer Filiale eine Pix 501, zu der sich Mitarbeiter via Cisco VPN Client verbinden.
(Die Verbindung wird nicht von der Zentrale aufgebaut)
Diese starten den Remote Desktop und sind verbunden zu z.B. einem Server hinter der Pix 501.
Jetzt kommt mein Problem.
Verbinde ich mich von der Zentrale via Cisco VPN Client zur besagten Filiale klappt zwar der Tunnelaufbau, aber es ist keine rpd Sitzung möglich, es geht kein Traffic durch den Tunnel.
In der Zentrale sitzen die Clients (PCs) hinter einer Pix 515E.
Welche access-list oder was blockt den Traffic bei der Pix 515E ?
Von jedem anderem (bis jetzt ausprobiertem) Standort klappt die VPN Verbindung und der Traffic via rdp zur Pix501 einwandfrei ?
Auf der Pix 515E bypass ipsec traffic aktiviert. Muss ich die rdp Sitzungen explizit zulassen?
Gruss Roland
wir haben in einer Filiale eine Pix 501, zu der sich Mitarbeiter via Cisco VPN Client verbinden.
(Die Verbindung wird nicht von der Zentrale aufgebaut)
Diese starten den Remote Desktop und sind verbunden zu z.B. einem Server hinter der Pix 501.
Jetzt kommt mein Problem.
Verbinde ich mich von der Zentrale via Cisco VPN Client zur besagten Filiale klappt zwar der Tunnelaufbau, aber es ist keine rpd Sitzung möglich, es geht kein Traffic durch den Tunnel.
In der Zentrale sitzen die Clients (PCs) hinter einer Pix 515E.
Welche access-list oder was blockt den Traffic bei der Pix 515E ?
Von jedem anderem (bis jetzt ausprobiertem) Standort klappt die VPN Verbindung und der Traffic via rdp zur Pix501 einwandfrei ?
Auf der Pix 515E bypass ipsec traffic aktiviert. Muss ich die rdp Sitzungen explizit zulassen?
Gruss Roland
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 89385
Url: https://administrator.de/forum/vpn-geht-nicht-von-jedem-standort-89385.html
Ausgedruckt am: 22.12.2024 um 16:12 Uhr
4 Kommentare
Neuester Kommentar
Cisco nutzt IPsec im ESP Modus. Vermutlich lässt eure lokale Access Liste kein Port Forwarding von UDP 500 (IKE Protokoll) und von ESP (Protokoll Nummer 50) durch. Dadurch wird eine IPsec (ESP) Verbindung dann geblockt und es kommt kein VPN zustande.
Es ist auch vollkommener Unsinn mit einem Client hinter der 515er einen VPN Tunnel aufzubauen.
Sinnvoller ist es logischerweise die beiden PIXen eine VPN Verpindung zwischen den Netzen (Znetrale/Filiale) herstellen zu lassen. Dann kannst du dir diese überflüssige und auch unsinnige Frickelei mit einem Client hinter einer FW sparen, denn dieser Tunnel arbeitet wie eine Standverbindung zur Filiale.
So ein Szenario ist ja auch der tiefere Sinn von VPN Tunnels !
Wenn man 2 PIXen hat lässt man diese den VPN Tunnel aufbauen und hat so eine transparent Netzkopplung permanent.
VPN Einwahl macht nur Sinn für einzelene Clients in diesem Umfeld, wie die oben zitierten mobilen Mitarbeiter !!
Die entsprechende PIX Konfig für die VPN Netzkopplung findest du hier:
trunking, link aggregation
bzw. ganz detailiert hier:
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configur ...
Es ist auch vollkommener Unsinn mit einem Client hinter der 515er einen VPN Tunnel aufzubauen.
Sinnvoller ist es logischerweise die beiden PIXen eine VPN Verpindung zwischen den Netzen (Znetrale/Filiale) herstellen zu lassen. Dann kannst du dir diese überflüssige und auch unsinnige Frickelei mit einem Client hinter einer FW sparen, denn dieser Tunnel arbeitet wie eine Standverbindung zur Filiale.
So ein Szenario ist ja auch der tiefere Sinn von VPN Tunnels !
Wenn man 2 PIXen hat lässt man diese den VPN Tunnel aufbauen und hat so eine transparent Netzkopplung permanent.
VPN Einwahl macht nur Sinn für einzelene Clients in diesem Umfeld, wie die oben zitierten mobilen Mitarbeiter !!
Die entsprechende PIX Konfig für die VPN Netzkopplung findest du hier:
trunking, link aggregation
bzw. ganz detailiert hier:
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configur ...