VPN Passthrough mit Cisco PIX 501
Eine PPTP VPN Verbindung vom Netz hinter der PIX durch die PIX durch mit dem MS VPN Client bricht immer ab.
Hallo Leute,
seit 3 Tagen bin ich nun schon am probieren und komm nicht drauf wie ich es zusammenbringen kann, dass ich vom interen Netz gesichert mit einer Cisco PIX 501 IOS Version 6.3 einen VPN Tunnel durch die PIX zu einem anderen Host aufbauen kann.
Nun zu meiner derzeitigen Konfiguration:
Auch das hinzufügen der Zeilen
fixup protocol esp-ike
fixup protocol pptp 1723
hat leider nichts geholfen.
Hier ist der Auszug aus meiner PIX Config:
Der Router des Internetbetreibers lässt die Ports durch das hab ich schon getestet nur die PIX will nicht so mitspielen wie sie soll.
Für Hilfe bin ich sehr dankbar.
gruß swordfall
Hallo Leute,
seit 3 Tagen bin ich nun schon am probieren und komm nicht drauf wie ich es zusammenbringen kann, dass ich vom interen Netz gesichert mit einer Cisco PIX 501 IOS Version 6.3 einen VPN Tunnel durch die PIX zu einem anderen Host aufbauen kann.
Nun zu meiner derzeitigen Konfiguration:
Auch das hinzufügen der Zeilen
fixup protocol esp-ike
fixup protocol pptp 1723
hat leider nichts geholfen.
Hier ist der Auszug aus meiner PIX Config:
: Saved
: Written by enable_15 at 08:11:09.550 CEDT Tue Jun 7 2011
PIX Version 6.3(5)
interface ethernet0 100full
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password jnrxwG8MU/Gzkb/7 encrypted
passwd 2KFQbbNIdI.2KY7U encrypted
hostname Firewall1
domain-name Arbeitsgruppe
clock timezone CEST 1
clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00
fixup protocol dns maximum-length 512
fixup protocol esp-ike
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol pptp 1723
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
access-list inside_outbound_nat0_acl permit ip any 192.168.6.224 255.255.255.240
access-list outside_access_in permit icmp any any echo-reply
access-list services permit gre any host 192.168.0.10
access-list services permit tcp any host 192.168.0.10 eq pptp
pager lines 24
logging on
mtu outside 1500
mtu inside 1500
ip address outside dhcp setroute retry 4
ip address inside 192.168.6.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
ip local pool VPN-IP_POOL 192.168.6.230-192.168.6.239
pdm location 192.168.6.224 255.255.255.240 outside
pdm location 192.168.6.1 255.255.255.255 outside
pdm location 192.168.6.0 255.255.255.255 inside
pdm location 192.168.6.40 255.255.255.255 inside
pdm location 192.168.6.8 255.255.255.255 inside
pdm location 192.168.0.0 255.255.0.0 inside
pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 10 interface
nat (inside) 0 access-list inside_outbound_nat0_acl
nat (inside) 10 0.0.0.0 0.0.0.0 0 0
access-group outside_access_in in interface outside
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
aaa authentication telnet console LOCAL
http server enable
http 192.168.6.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
sysopt connection permit-pptp
sysopt connection permit-l2tp
telnet 192.168.6.40 255.255.255.255 inside
telnet timeout 5
ssh 192.168.6.40 255.255.255.255 inside
ssh 192.168.6.0 255.255.255.0 inside
ssh timeout 5
console timeout 0
vpdn group PPTP-VPDN-GROUP accept dialin pptp
vpdn group PPTP-VPDN-GROUP ppp authentication pap
vpdn group PPTP-VPDN-GROUP ppp authentication chap
vpdn group PPTP-VPDN-GROUP ppp authentication mschap
vpdn group PPTP-VPDN-GROUP client configuration address local VPN-IP_POOL
vpdn group PPTP-VPDN-GROUP client configuration dns 213.153.32.1 213.153.32.129
vpdn group PPTP-VPDN-GROUP pptp echo 60
vpdn group PPTP-VPDN-GROUP client authentication local
vpdn username user1 password *******
vpdn enable outside
dhcpd address 192.168.6.250-192.168.6.254 inside
dhcpd dns 213.153.32.1 213.153.32.129
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd domain Arbeitsgruppe
dhcpd auto_config outside
dhcpd enable inside
username user1 password I4BFEpJ1TPjQWLxJ encrypted privilege 15
terminal width 80
Cryptochecksum:936c6e2131c6d1b097673e7c5bfd38cd
: endDer Router des Internetbetreibers lässt die Ports durch das hab ich schon getestet nur die PIX will nicht so mitspielen wie sie soll.
Für Hilfe bin ich sehr dankbar.
gruß swordfall
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 167588
Url: https://administrator.de/forum/vpn-passthrough-mit-cisco-pix-501-167588.html
Ausgedruckt am: 27.04.2025 um 01:04 Uhr
13 Kommentare
Neuester Kommentar
Deine Fixup Kommandos sind auch Unsinn. Erstens haben sie nichts miteinander zu tun, denn du würfelst hier fröhlich PPTP und IPsec Protokoll durcheinander.
Zweitens solltest du denn einmal wirklich klären WELCHES der zahllosen VPN Protokolle du denn durch die PIX durchschleifen willst ??
PPTP = TCP 1723 und das GRE Protokoll (IP Nummer 47)
IPsec = UDP 500, UDP 4500, ESP Protokoll (IP Nummer 50)
oder was sonst ??
So können wir dann hier nur im freien Fall weiterraten... Um das zu bewerkstelligen musst du übrigens einen permit Access Liste anlegen sonst kommen diese Pakete nie durch die Firewall !
Die finale Frage die sich auftut ist warum du das VPN nicht gleich auf der PIX terminierst. Aus Sicherheitsgründen ist das deiner Lösung immer vorzuziehen !
Zweitens solltest du denn einmal wirklich klären WELCHES der zahllosen VPN Protokolle du denn durch die PIX durchschleifen willst ??
PPTP = TCP 1723 und das GRE Protokoll (IP Nummer 47)
IPsec = UDP 500, UDP 4500, ESP Protokoll (IP Nummer 50)
oder was sonst ??
So können wir dann hier nur im freien Fall weiterraten... Um das zu bewerkstelligen musst du übrigens einen permit Access Liste anlegen sonst kommen diese Pakete nie durch die Firewall !
Die finale Frage die sich auftut ist warum du das VPN nicht gleich auf der PIX terminierst. Aus Sicherheitsgründen ist das deiner Lösung immer vorzuziehen !
Danke @aqui für die rasche Antwort,
zu deinen Fragen: ich will PPTP und IPsec durch die Firewall durchschleifen.
Wie gesagt ich habe vorher nur Watchguard Firewalls konfiguriert und keine PIXen. Bin echt froh, dass ich es zusammengebracht habe die PIX als VPN Server fürs PPTP Protokol zu konfigurieren. Die Firewall ist für mich privat, da mich die Cisco Firewalls schon interessieren. Ich habe derzeit nur Erfahrung mit Cisco Switches sammeln dürfen, musste jedoch sehr schnell feststellen dass die Befehle auf der Firewall sich zu den Switches unterscheiden. Mir wäre daher sehr geholfen, wenn ihr mir die Befehle im Klartext gebt die für meine Konfig passen.
Danke & Gruß swordfall
zu deinen Fragen: ich will PPTP und IPsec durch die Firewall durchschleifen.
Wie gesagt ich habe vorher nur Watchguard Firewalls konfiguriert und keine PIXen. Bin echt froh, dass ich es zusammengebracht habe die PIX als VPN Server fürs PPTP Protokol zu konfigurieren. Die Firewall ist für mich privat, da mich die Cisco Firewalls schon interessieren. Ich habe derzeit nur Erfahrung mit Cisco Switches sammeln dürfen, musste jedoch sehr schnell feststellen dass die Befehle auf der Firewall sich zu den Switches unterscheiden. Mir wäre daher sehr geholfen, wenn ihr mir die Befehle im Klartext gebt die für meine Konfig passen.
Danke & Gruß swordfall
Hallo,
nur auf die wesentliche Frage von aqui gehst du nicht ein!
Wieso willst du die VPN Tunnnel, und wieso zwei verschiedene, durchschleifen anstatt die Tunnel direkt auf der Pix zu terminieren?
Hier noch der Link zu Cisco
und der Link zu den Config examples
brammer
nur auf die wesentliche Frage von aqui gehst du nicht ein!
Die finale Frage die sich auftut ist warum du das VPN nicht gleich auf der PIX terminierst. Aus Sicherheitsgründen ist das deiner Lösung immer vorzuziehen !
Wieso willst du die VPN Tunnnel, und wieso zwei verschiedene, durchschleifen anstatt die Tunnel direkt auf der Pix zu terminieren?
Hier noch der Link zu Cisco
und der Link zu den Config examples
brammer
Hallo, ich möchte zum einen den PPTP Zugang von extern auf die PIX haben, und zum anderen von intern durch die PIX durch auf andere VPN Hosts kommen.
Der Tunnel soll ja nicht auf der PIX terminiert werden da ich ja sonst von extern nicht in mein LAN komme oder versteh ich da was falsch???
Aber trotzdem danke für die Antworten.
gruß swordfall
Der Tunnel soll ja nicht auf der PIX terminiert werden da ich ja sonst von extern nicht in mein LAN komme oder versteh ich da was falsch???
Aber trotzdem danke für die Antworten.
gruß swordfall
Hallo,
natürlich kommst du dann in dein LAN.
Ein VPN Tunnel der im VPN Device endet ist sinnlos!
Das ist doch der Sinn der Tunnels, er verbindet 2 oder mehrere Netze!
brammer
natürlich kommst du dann in dein LAN.
Ein VPN Tunnel der im VPN Device endet ist sinnlos!
Das ist doch der Sinn der Tunnels, er verbindet 2 oder mehrere Netze!
brammer
Hallo,
Wofür VPN da ist, ist mir schon klar.
Nur ich seh keinen Unterschied ob der Tunnel an der PIX terminiert wird oder im LAN oder ist das eine sicherheitstechnische Frage?
gruß swordfall
Wofür VPN da ist, ist mir schon klar.
Nur ich seh keinen Unterschied ob der Tunnel an der PIX terminiert wird oder im LAN oder ist das eine sicherheitstechnische Frage?
gruß swordfall
Hallo,
ganz einfache Gegenfrage.
Ist dein Windowsbetriebssystem sicher?
Oder vertraust du in dem Zusammenhang eher dem Cisco IOS das speziell für solche Zwecke konzipiert wurde?
brammer
ganz einfache Gegenfrage.
Ist dein Windowsbetriebssystem sicher?
Oder vertraust du in dem Zusammenhang eher dem Cisco IOS das speziell für solche Zwecke konzipiert wurde?
brammer
Das System ansich schon nur die Schwachstellen sind meist die Applikationen die zusätzlich zum OS installiert worden sind. Das heißt ich vertrau dem Cisco IOS nur weiß ich nicht wie mir das mit meinem Problem weiterhilft.
gruß swordfall
PS: Danke dass du dir Zeit nimmst mir mit meinem Problem zu helfen, wie gesagt bin ein Anfänger.
gruß swordfall
PS: Danke dass du dir Zeit nimmst mir mit meinem Problem zu helfen, wie gesagt bin ein Anfänger.
Hallo,
was mir noch nicht ganz klar ist, wies willst du einen PPTP Zugang af die Pix haben?
Um von Extern darauf zuzugreifen?
Dann nimm eine ssh Verbindung mit entsprechendem Password.
Und den IPSec Tunnel kannst du dir dann mit diesem Link noch mal ansehen.
brammer
was mir noch nicht ganz klar ist, wies willst du einen PPTP Zugang af die Pix haben?
Um von Extern darauf zuzugreifen?
Dann nimm eine ssh Verbindung mit entsprechendem Password.
Und den IPSec Tunnel kannst du dir dann mit diesem Link noch mal ansehen.
brammer
Hallo, ich möchte folgendes:
1) von Extern auf mein LAN zugreifen per PPTP -> funktioniert ja bereits.
2) von Intern auf einen Externen Host per PPTP und IPSec zugreifen -> funktioniert nicht (Wenn ich den PC am Internetprovider Router anschließe, dann kann ich auf jeden x-beliebigen VPN Host zugreifen. Wenn ich jedoch den PC an der PIX anhänge dann kann ich mit dem PC keinen VPN-Host erreichen, da ja die VPN Pakete durch die PIX durch geblockt werden.)
gruß swordfall
1) von Extern auf mein LAN zugreifen per PPTP -> funktioniert ja bereits.
2) von Intern auf einen Externen Host per PPTP und IPSec zugreifen -> funktioniert nicht (Wenn ich den PC am Internetprovider Router anschließe, dann kann ich auf jeden x-beliebigen VPN Host zugreifen. Wenn ich jedoch den PC an der PIX anhänge dann kann ich mit dem PC keinen VPN-Host erreichen, da ja die VPN Pakete durch die PIX durch geblockt werden.)
gruß swordfall
Punkt 2 ist schwierig und scheitert vermutlich in deinem Umfeld !
Der Grund ist klar: Die PIX antewortet ja selber schon auf PPTP sprich GRE Paketet da sie selber einen PPTP Prozess betreibt weil sie selber VPN Server ist.
Zusätzlich kannst du ja jetzt nicht auch noch ein Port Forwarding für die PPTP Protokolle auf eine interne VPN Server Adresse einrichten.
Wie soll die PIX denn nun unterscheiden ob der PPTP Request für sie selber oder den internen Server bestimmt ist.
Das scheitert in einer Standard Konfig also.
Die Frage ist ob man das ggf. mit einer Policy Based Route lösen kann. Dazu musst du aber ganz genau wissen von welchen öffentlichen Source IP Adressen die PPTP Requests kommen die an den internen Server geforwardet werden sollen.
Mit einer ACL und einer darauf aufbauenden NAT Regel könnte man das lösen...theoretisch. Die Ferage ist ob die PIX so etwas supportet.
So oder so ist diese Lösung aber erheblcih aufwendig so sie denn überhaupt klappt ?!
Der Grund ist klar: Die PIX antewortet ja selber schon auf PPTP sprich GRE Paketet da sie selber einen PPTP Prozess betreibt weil sie selber VPN Server ist.
Zusätzlich kannst du ja jetzt nicht auch noch ein Port Forwarding für die PPTP Protokolle auf eine interne VPN Server Adresse einrichten.
Wie soll die PIX denn nun unterscheiden ob der PPTP Request für sie selber oder den internen Server bestimmt ist.
Das scheitert in einer Standard Konfig also.
Die Frage ist ob man das ggf. mit einer Policy Based Route lösen kann. Dazu musst du aber ganz genau wissen von welchen öffentlichen Source IP Adressen die PPTP Requests kommen die an den internen Server geforwardet werden sollen.
Mit einer ACL und einer darauf aufbauenden NAT Regel könnte man das lösen...theoretisch. Die Ferage ist ob die PIX so etwas supportet.
So oder so ist diese Lösung aber erheblcih aufwendig so sie denn überhaupt klappt ?!
Hallo,
sorry war im Ausland konnte mich eher nicht melden.
Wie würde das mit einer ACL funktionieren?
Danke
gruß swordfall
sorry war im Ausland konnte mich eher nicht melden.
Wie würde das mit einer ACL funktionieren?
Danke
gruß swordfall
Guckst du hier:
Cisco Router 2 Gateways für verschiedene Clients
Cisco Router 2 Gateways für verschiedene Clients
