Cisco Pix 501 VPN strul med PDM

[Mr O Mr T]

Colebrun, det är precis så jag har gjort i PDM punkt till pricka som du beskriver här nedan. Men jag kommer ändå inte åt den via mitt statiska publika IP.

 

 

""""Att få PDM att fungera från det publika nätet, dvs från en IP varifrån som helst, till det yttre interfacet på din PIX...har nog förklarats i en tidigare post i denna tråd.

Om vi förtydligar det hela:

- I PDM:en så gå till Configuration->System Properties->Administration->PDM/HTTPS

- Klicka 'add'

- Välj interface name 'outside'

- Lägg till det IP som du vill tillåta att utifrån skall kunna nå PIXens PDM. IP är alltså det IP du sitter på när du sitter ute i världen och vill komma åt PDM på din PIX

- Klicka 'ok'

- Klicka 'apply'

- Klicka på 'save' uppe i huvudmenyn"""""

 

Är det fel på min Pix eller vad då?? kan det var så?

 

 

 

 

 

[Mr O Mr T]

Här nedan kommer min nya configfil på min PIX:

 

Result of firewall command: "show run"

 

: Saved

:

PIX Version 6.3(5)

interface ethernet0 auto

interface ethernet1 100full

nameif ethernet0 outside security0

nameif ethernet1 inside security100

enable password yVQkrGiFMDRLaWc4 encrypted

passwd 2KFQnbNIdI.2KYOU encrypted

hostname gate

domain-name test.lan

fixup protocol dns maximum-length 512

fixup protocol ftp 21

fixup protocol h323 h225 1720

fixup protocol h323 ras 1718-1719

fixup protocol http 80

fixup protocol rsh 514

fixup protocol rtsp 554

fixup protocol sip 5060

fixup protocol sip udp 5060

fixup protocol skinny 2000

fixup protocol smtp 25

fixup protocol sqlnet 1521

fixup protocol tftp 69

names

access-list inside_outbound_nat0_acl permit ip any 172.16.0.16 255.255.255.248

access-list outside_cryptomap_dyn_20 permit ip any 172.16.0.16 255.255.255.248

pager lines 24

mtu outside 1500

mtu inside 1500

ip address outside x.x.x.x ip address inside 172.16.0.1 255.255.255.0

ip audit info action alarm

ip audit attack action alarm

ip local pool test 172.16.0.16-172.16.0.20

pdm location x.x.x.0 255.255.255.0 outside

pdm logging informational 100

pdm history enable

arp timeout 14400

global (outside) 1 interface

nat (inside) 0 access-list inside_outbound_nat0_acl

nat (inside) 1 0.0.0.0 0.0.0.0 0 0

route outside 0.0.0.0 0.0.0.0 87.227.41.1 1

timeout xlate 0:05:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00

timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00

timeout sip-disconnect 0:02:00 sip-invite 0:03:00

timeout uauth 0:05:00 absolute

aaa-server TACACS+ protocol tacacs+

aaa-server TACACS+ max-failed-attempts 3

aaa-server TACACS+ deadtime 10

aaa-server RADIUS protocol radius

aaa-server RADIUS max-failed-attempts 3

aaa-server RADIUS deadtime 10

aaa-server LOCAL protocol local

http server enable

http x.x.x.0 255.255.255.128 outside

http 172.16.0.0 255.255.255.0 inside

no snmp-server location

no snmp-server contact

snmp-server community public

no snmp-server enable traps

floodguard enable

sysopt connection permit-ipsec

crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac

crypto dynamic-map outside_dyn_map 20 match address outside_cryptomap_dyn_20

crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-MD5

crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map

crypto map outside_map client authentication LOCAL

crypto map outside_map interface outside

isakmp enable outside

isakmp nat-traversal 20

isakmp policy 20 authentication pre-share

isakmp policy 20 encryption 3des

isakmp policy 20 hash md5

isakmp policy 20 group 2

isakmp policy 20 lifetime 86400

vpngroup test address-pool test

vpngroup test dns-server x.x.x.x x.x.x.x

vpngroup test idle-time 1800

vpngroup test password ********

telnet timeout 5

ssh timeout 5

console timeout 0

vpdn username test password *********

vpdn enable outside

dhcpd address 172.16.0.11-172.16.0.16 inside

dhcpd dns x.x.x.x x.x.x.x

dhcpd lease 3600

dhcpd ping_timeout 750

dhcpd auto_config outside

dhcpd enable inside

username test password bGYSZwMNbZZ1I9Sn encrypted privilege 15

terminal width 80

Cryptochecksum:3fdf5fba0c46541ee661cdda1e5ded87

 

Jag förstår inte hur min outside kan ha ett IP som slutar på siffran 0 då den skall sluta på 60 enligt mitt statiskta IP. Men om jag sätter 60 så får jag fel sub, då subben måste vara 128 utåt eller tänker jag fel igen? outside skall juh motsvara IPet som jag fått av min ISP eller???? Något stämmer inte som sagt....

 

[inlägget ändrat 2006-03-27 18:16:42 av Mr O Mr T]

[inlägget ändrat 2006-03-27 18:18:32 av Mr O Mr T]

[joe]

Jag förstår inte hur min outside kan ha ett IP som slutar på siffran 0 då den skall sluta på 60 enligt mitt statiskta IP. Men om jag sätter 60 så får jag fel sub, då subben måste vara 128 utåt eller tänker jag fel igen? outside skall juh motsvara IPet som jag fått av min ISP eller???? Något stämmer inte som sagt....

 

Syntax är "ip address outside Ip_address subnät_mask" tex

ip address outside 10.10.10.1 255.255.255.0

 

Du specar exakt den address och mask du fått av ISP. Inget annat.

 

[Gilgameshan]

Pohhh.. har hållit på i en månad till och från att få min PIX 501 till att fungera. Har nog samma problem som MR T. Kan connecta till min PIX 501 men inte nå dem interna klienterna.

 

Mitt problem och konfig finns här

http://www.itproffs.se/forumv2/tm.aspx?m=48940

 

 

 

Detta kan vara ett bra inlägg att läsa

http://www.itproffs.se/forumv2/tm.aspx?m=37571

 

Hoppas vi kan lösa detta tillsammans, jag ska nämligen sätta upp en loggs-server + PIX 501 på fredag och dem ska flytta som klockor då. Har lite panik.

 

Lägg gärna till Gilgamesh1988@hotmail.com och chatta med mig direkt om ni har svaret på min gåta.

 

 

//Gilgameshan

 

[Mr O Mr T]

Bra då är jag inte dum i huvudet. Då är det ta mig fan något fel på min PIX. För så fort jag specar min ISP fasta IP adress som slutar på 60 med en subb som slutar på 1xx. Ja då kapar Cisco pixen siffran 60 och gör om den till en jädra NOLLA =). Varför gör den så????? skall det vara så??? Jag blir tokig snart....

 

[Coleburn]

Detta är skrivet sent på kvällen, och jag har inte hunnit kolla upp fakta, så ha överseende med eventuella missar :-)

 

Det verkar som du försöker köra trafik mellan två olika subnät på insidan, genom ett och samm interface på PIXen, 192.168.1.0/24 till/från 192.168.2.0/24

 

Om alla på ena sidan tunneln skall komma åt alla på andra sidan, så varför kör du inte allt i samma subnät, så att både interna klienter,servrar och VPN anslutna får IP ur 192.168.1.0/24 ?

 

PIXen routar nämligen inte trafik ut på samma interface som trafiken kommer in på, vilket innebär att två olika subnät på insidan inte kan nå varandra, annat än om man har en router på insidan*.

 

*)Finns det en lösning för att åstadkomma detta i en PIX, utan att köra trafiken via en intern router, så mottages den med tacksamhet!

 

 

==Coleburn==

 

--------------------

"It takes a lot of knowledge to

really mess something up!"

 

[Mr O Mr T]

ja du ser ut att ha exakt samma fel som mig. Allt är rätt confat i min jädra PDM på pixen har resettat den ett antal ggr ändå får jag inte skiten att fungera. VPn osv...

 

[Coleburn]

I ditt fall förstår jag att det inte fungerar, eftersom du verkar ha fel IP och/eller mask på outside interfacet (annars skulle inte ip 'ändras' när du läggar in det). Dubbelkolla med din ISP, så att det säkert är rätt. Med tanke på vad din default gateway är, så betvivlar jag att antingen den, eller din subnetmask är korrekt!

(ja, din default gateway stod i configurationen, vilket inte är någon fara!).

 

 

 

 

==Coleburn==

 

--------------------

"It takes a lot of knowledge to

really mess something up!"

 

[Gilgameshan]

Coleburn har du msn eller telefon man kan ringa dig lite snabbt. Min MSN är Gilgamesh1988@hotmail.com tacksam om du addar den.

 

Med Vänliga Hälsningar

Henrik Kristensson

 

 

 

[Mr O Mr T]

Tjenare Colebrun,

 

Du är så toppen =) . Men tro det eller ej men då jag kör igång Startup wizzarden i PDM så står det faktiskt en 1:a och ej en jädra elva som det står då man kör kommandot Show run i CLI mode. Vad är det för fel egentligen? Är det virus i Cisco Pixen eller? I wizzarden står det klart och tydligt en etta på gaten och ej en elva. ??? Help please .....En sak till om jag nu har fel på min gate då skall jag juh inte kunna surfa via min PIX som jag gör nu då jag skriver på IDGs hemsida i detta forum eller? =)

 

[inlägget ändrat 2006-03-27 22:22:25 av Mr O Mr T]

[Gilgameshan]

Vill du logga in på MSN MR T

 

 

//Gilgameshan

 

[joe]

Orkar inte svara på varje mail för sig så jag skriver i ett...

 

står det faktiskt en 1:a och ej en jädra elva som det står då man kör kommandot Show run i CLI mode. Vad är det för fel egentligen? Är det virus i Cisco Pixen eller? I wizzarden står det klart och tydligt en etta på gaten och ej en elva

 

Läs igen. Det står inte .11 i CLI. Det står "x.x.x.1 1" - alltså mellanslag efter ip addressen o sedan en etta. Ettan står för metric - dvs kostnad =1. Inget konstigt, allt som det ska.

 

Dubbelkolla med din ISP, så att det säkert är rätt. Med tanke på vad din default gateway är, så betvivlar jag att antingen den, eller din subnetmask är korrekt!

 

Inte nödvändigtvis. Med subnät mask /25 (255.255.255.128) är giltiga addresser tex från 1-126 så då kan mycket väl gw vara .1 o host .60. Samma gäller vid /26 (255.255.255.192) - giltiga från 1-62.

 

PIXen routar nämligen inte trafik ut på samma interface som trafiken kommer in på, vilket innebär att två olika subnät på insidan inte kan nå varandra, annat än om man har en router på insidan*.

 

*)Finns det en lösning för att åstadkomma detta i en PIX, utan att köra trafiken via en intern router, så mottages den med tacksamhet!

 

Det är riktigt att PIXen inte routar tillbaka trafik samma väg som den kom (undantag 7.x avseende IPSEC men det bortser vi från nu). Det i sig hindrar inte att VPN-poolen ligger i ett annat subnät än insidan. Så länge resurser/servrar på insidan bara vet "var" VPN-poolen är så att de skickar svaren till PIXen så är det inga problem.

 

[Coleburn]

En sak till om jag nu har fel på min gate då skall jag juh inte kunna surfa via min PIX som jag gör nu då jag skriver på IDGs hemsida i detta forum eller? =)

 

Helt korrekt! Med fel gateway så skulle du inte komma någonstans! Samma gäller med fel IP på yttre interfacet.

Eftersom du onekligen kan köra trafik genom den, så måste det vara något annat. Innan jag börjar slänga ut teorier och spekulationer, så kolla vad du har för IP, och se om den stämmer med de uppgifter du fått.

http://www.whatismyip.com/

 

Teorierna kommer när du har verifierat resultatet :-)

 

 

==Coleburn==

 

--------------------

"It takes a lot of knowledge to

really mess something up!"

 

[Mr O Mr T]

Tjenare Coleburn,

 

Jag surfade in på sidan du angivit och enligt den stämmer mitt ip med den information jag fått av min ISP......

 

Vad tror du felet är?

 

=)

 

[Coleburn]

Vad säger första sidan på PDM:en att IP för yttre interfacet är? Stämmer det med den info som din ISP har givit?

 

 

==Coleburn==

 

--------------------

"It takes a lot of knowledge to

really mess something up!"

 

[Mr O Mr T]

svar JA det stämmer

 

[Coleburn]

Men...du sade i en tidigare post att ditt yttre IP ändrades när du försökte ställa in det enligt de uppgifter som din ISP givit!

 

Stämmer inte det längre?

 

 

==Coleburn==

 

--------------------

"It takes a lot of knowledge to

really mess something up!"

 

[Mr O Mr T]

Jag vet att jag sade det tidigare men nu är det rätt. Den tar 60 och gör inte om den till en 0 längre. Detta är juh helt sjukt. skriver jag show run så stämmer det. Däremot är det fortfarande en extra 1:a vid gaten.

 

[Mr O Mr T]

Glöm mitt föregående svar. Det är då jag skall lägga till outside på PDM/HTTPS det blir fel. Då jag skriver lägger in outside samt mitt ip 60 och subb 128. ja då blir 60 automatiskt en Nolla. Förstår inte varför....

 

[Mr O Mr T]

Jag pratade precis med min ISP. Enligt de så skall jag ha en subnetmask som följer 255.255.255.0 och inte 128. Problemet är att då jag kör med noll så kommer jag ej ut. kör jag med 128 så kommer jag ut. Jag har ingen aning om var felet ligger....

 

[Coleburn]

Kolla joe's inlägg här ovan! Den extra 1:an är metric, och skall vara där (berättar i princip hur pakenen skall routas).

 

Nåja...om ditt yttre IP funkar, så borde du nu komma åt PDM från utsidan.

OBS! Du kan inte nå utsidan om du sitter på insidan, utan du måste ansluta från någon annan IP, som finns på utsidan. Dessutom måste just den IPn (eller hela det subnätet) vara specificerat som tillåtet under PDM/HTTPS. Dessutom måste datorn du ansluter ifrån ha java installerat, men det sista lär du ju veta om, iom att du kör från insidan redan!

 

Nästa steg är alltså att portforwarda vissa portar till vissa specifika IP på insidan (så att du når din webserver etc. utifrån)

Detta görs i PDM under Configuration->Translation Rules

 

 

==Coleburn==

 

--------------------

"It takes a lot of knowledge to

really mess something up!"

 

[Coleburn]

Ahhh !!!

 

Du har missuppfattat vad PDM/HTTPS gör!

 

Du skall _INTE_ sätta dit det IP som PIXen har!

 

PDM/HTTPS specificerar vilka klienter, (dvs varifrån), som skall ha tiåtelse att köra mot PDM.

När du sitter, på jobbet/skola/varsomhelst (_utom_ hemma) så måste det IP du sitter på just då vara specificerat i PDM/HTTPS för att du skall kunna nå PIXens PDM.

 

När du sitter hemma,dvs på insidan, så _kan_ du inte köra mot det yttre interfacet utan då skall du köra PDM precis som du gör just nu!

 

 

==Coleburn==

 

--------------------

"It takes a lot of knowledge to

really mess something up!"

 

[Mr O Mr T]

Då fattar jag. Mao så är det lönlöst att äns försöka sätta upp det då jag hela tiden måste specifiera alla de olika näten som skall få tillträde som jag sitter på osv, som tex om jag är ute & reser osv. Mao helt meningslöst. Då är det bättre att få igång VPN tunnel så att jag därefter kan gå in och fjärrstyra brandväggen på distans som ni båda nämt tidigare.

 

I alla fall, jag har fått igång VPN tunneln nu klockrent med ett undantag, jag får fel subnetmask och jag kan inte pinga något inne på nätet.

 

I det lokala nätet står pixen som DHCP och delar ut 172.16.0.10-15 sub 255.255.255.0 osv

 

I VPN dhcpn står den och delar ut 172.16.0.16-20 problemet är att den delar ut fel subnetmask, den sätter 255.255.0.0 då kan den juh inte kommunicera med det interna nätet då det är fel sub eller? Jag gör något fel men vet inte riktigt vad. Jag är så nära nu =)....Varför sätter VPN dhcp just denna sub? det förstår jag inte....

 

Det är väll det som är felet då jag ej kommer åt PDM läsaren utifrån då jag väll fått VPN tunneln att fungera som nu?