---

Hej alle,

Jeg har siddet og fiflet lidt med PPTP mod en Pix.

Jeg har også fået det til at virke, således at jeg bliver valideret af
pix'en mod det bagvedliggende 2000-domæne (radius).

Men jeg får ikke nogle pakker igennem?

Min konfiguration er følgende:

access-list 101 permit ip 10.1.1.0 255.255.255.0 10.200.200.0 255.255.255.0
ip local pool pptp-pool 10.200.200.1-10.200.200.254
aaa-server AuthInbound protocol radius
aaa-server AuthInbound (inside) host 10.0.0.6 <*****> timeout 5
sysopt connection permit-pptp
vpdn group 1 accept dialin pptp
vpdn group 1 ppp authentication pap
vpdn group 1 ppp authentication chap
vpdn group 1 ppp authentication mschap
vpdn group 1 ppp encryption mppe 40
vpdn group 1 client configuration address local pptp-pool
vpdn group 1 client authentication aaa AuthInbound
vpdn enable outside

Mangler jeg at angive en routing-entry? Jeg er lidt i tvivl om hvorvidt
pix'en selv opretter den på baggrund af ovenstående accesslist? (Should
rtfm)

sh route viser ingen route mellem 10.0.0.0/24 og 10.200.200.0/24

Endvidere har jeg en pix stående i udlandet, med en vpn mellem de to.

Lan'et på bagsiden af den pix hedder 10.1.1.0/24 og jeg vil gerne have de
brugere der "ringer" ind til pix'en på 10.0.0.0/24 til at kunne tilgå lan'et
bag den anden pix.

Bør jeg angive endnu en accesslist/route entry for 10.200.2000/24 og i så
fald, på hvilken af pix'erne?

På forhånd tak,

Mikkel

---

On Thu, 25 Jan 2001 16:33:02 +0100, "Mikkel"
<palle_ib@hotmail.com> wrote:

> Jeg har siddet og fiflet lidt med PPTP mod en Pix.
>
> Jeg har også fået det til at virke, således at jeg bliver valideret af
> pix'en mod det bagvedliggende 2000-domæne (radius).
>
> Men jeg får ikke nogle pakker igennem?

Har du husket at lave en NAT 0 entry for PPTP-trafikken?

-A

---

Hej Asbjørn,

> Har du husket at lave en NAT 0 entry for PPTP-trafikken?
Jeg har allerede en nat 0 entry for en anden access-list (VPN mellem to stk.
PIX).

Hvordan får jeg den til at æde begge nat-entries? Putter begge access-lists
på den samme?`

Jeg har følgende access-lists:

access-list 100 permit ip 10.0.0.0 255.255.255.0 10.1.1.0 255.255.255.0
access-list 101 permit ip 10.0.0.0 255.255.255.0 10.200.200.0 255.255.255.0

Skulle de hedde:

access-list 100 permit ip 10.0.0.0 255.255.255.0 10.1.1.0 255.255.255.0
access-list 100 permit ip 10.0.0.0 255.255.255.0 10.200.200.0 255.255.255.0
?

Men nej, det er først her til morgen, at jeg opdagede den manglende
NAT-entry, og at jeg konsekvent har brugt 10.1.1.0/24 istedet for
10.0.0.0/24, som er det rigtige netværk.

Mikkel

---

On Fri, 26 Jan 2001 11:53:12 +0100, "Mikkel"
<palle_ib@hotmail.com> wrote:

> Hvordan får jeg den til at æde begge nat-entries?

Det gør du ikke. Du laver bare access-listen længere.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.org/networking/
FAQ : http://www.net-faq.dk/

---

> Det gør du ikke. Du laver bare access-listen længere.

Således?

access-list 100 permit ip 10.0.0.0 255.255.255.0 10.1.1.0 255.255.255.0
access-list 100 permit ip 10.0.0.0 255.255.255.0 10.200.200.0 255.255.255.0

Mikkel

---

On Sun, 28 Jan 2001 02:59:09 +0100, "Mikkel"
<palle_ib@hotmail.com> wrote:

> access-list 100 permit ip 10.0.0.0 255.255.255.0 10.1.1.0 255.255.255.0
> access-list 100 permit ip 10.0.0.0 255.255.255.0 10.200.200.0 255.255.255.0

Det er da en valid access-liste, men om adresserne og retningen
passer er det jo lidt svært at forholde sig til, når man ikke
kender adresserne på de forskellige net.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.org/networking/
FAQ : http://www.net-faq.dk/

---

Hej Asbjorn Hojmark <Asbjorn@Hojmark.ORG>

>> access-list 100 permit ip 10.0.0.0 255.255.255.0 10.1.1.0 255.255.255.0
>> access-list 100 permit ip 10.0.0.0 255.255.255.0 10.200.200.0 255.255.255.0
>
>Det er da en valid access-liste,

Jeg underer mig over at der benyttes subnet-masks istedet for
wildcard-bits. Er det normalt for PIX?

--
Lars Kim Lund
http://www.net-faq.dk/

---

On Sun, 28 Jan 2001 13:08:35 +0100, Lars Kim Lund
<larskim@mail.com> wrote:

> Jeg underer mig over at der benyttes subnet-masks istedet for
> wildcard-bits. Er det normalt for PIX?

Ja.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.org/networking/
FAQ : http://www.net-faq.dk/

---

Hej Asbjorn Hojmark <Asbjorn@Hojmark.ORG>

>> Jeg underer mig over at der benyttes subnet-masks istedet for
>> wildcard-bits. Er det normalt for PIX?
>
>Ja.

Er der egentlig en historisk forklaring til at det er forskelligt fra
router filtre, eller gør de det bare for at forvirre?

I øvrigt synes jeg det er marginalt rarere at arbejde med subnetmasks,
men det er nok mest fordi man gør det alle andre steder og det derfor
er lettere (læs hurtigere) at beregne masken end wildcard-bits.

--
Lars Kim Lund
http://www.net-faq.dk/

---

On Mon, 29 Jan 2001 17:43:00 +0100, Lars Kim Lund
<larskim@mail.com> wrote:

> Er der egentlig en historisk forklaring til at det er forskelligt
> fra router filtre, eller gør de det bare for at forvirre?

Da de skulle lave access-lister på PIXen, havde de jo allerede
conduits, og så var det vel nærliggende at oversætte det så
direkte som muligt. (Man kan også fjerne en enkelt linie i en
access-liste på en PIX, hvilket også stammer direkte fra deres
conduits).

Desuden får TAC sikkert mange spørgsmål, hvor det viser sig, at
brugeren ikke har forstået forskellen på en wildcard-maske og en
subnet-maske.

> I øvrigt synes jeg det er marginalt rarere at arbejde med subnetmasks,

Jeg er stort set ligeglad. I nogle situationer synes jeg det
giver bedre mening med wildcards, fordi det netop ikke er subnet
man beskæftiger sig med.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.org/networking/
FAQ : http://www.net-faq.dk/

---

Hej Asbjorn Hojmark <Asbjorn@Hojmark.ORG>

>> I øvrigt synes jeg det er marginalt rarere at arbejde med subnetmasks,
>
>Jeg er stort set ligeglad. I nogle situationer synes jeg det
>giver bedre mening med wildcards, fordi det netop ikke er subnet
>man beskæftiger sig med.

I praksis er det jo ligegyldigt, jeg er blot mest vant til at tænke i
masker (man skal lige vende hovedet for at ramme rigtigt med
wildcards).

Hvis man gør det på daglig basis (eller har gjort det tit nok) er det
på rygraden, det er nok derfor du er ligeglad.

--
Lars Kim Lund
http://www.net-faq.dk/

---

> > access-list 100 permit ip 10.0.0.0 255.255.255.0 10.1.1.0 255.255.255.0
> > access-list 100 permit ip 10.0.0.0 255.255.255.0 10.200.200.0
255.255.255.0
>
> Det er da en valid access-liste, men om adresserne og retningen
> passer er det jo lidt svært at forholde sig til, når man ikke
> kender adresserne på de forskellige net.

De er vist angivet tidligere i tråden.
10.0.0.0/24 er nettet lokalt.
10.1.1.0/24 er nettet bag en anden pix, der er koblet sammen med denne her
via VPN
10.200.200.0/24 er den pool som "opkaldsklienterne" får tildelt adresser
fra, når de ringer op til pix'en

Mikkel

---

On Mon, 29 Jan 2001 10:42:48 +0100, "Mikkel"
<palle_ib@hotmail.com> wrote:

>>> access-list 100 permit ip 10.0.0.0 255.255.255.0 10.1.1.0 255.255.255.0
>>> access-list 100 permit ip 10.0.0.0 255.255.255.0 10.200.200.0 255.255.255.0

>> Det er da en valid access-liste, men om adresserne og retningen
>> passer er det jo lidt svært at forholde sig til, når man ikke
>> kender adresserne på de forskellige net.

> 10.0.0.0/24 er nettet lokalt.
> 10.1.1.0/24 er nettet bag en anden pix [...]
> 10.200.200.0/24 er den pool [...]

Jeg går ud fra, du har en 'nat (inside) 0 access-list 100' i din
config også? Tja, så ser det rigtigt ud.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.org/networking/
FAQ : http://www.net-faq.dk/

---

> Jeg går ud fra, du har en 'nat (inside) 0 access-list 100' i din
> config også? Tja, så ser det rigtigt ud.

Men det gør det altså ikke.

Har skiftet 10.200.200.0 nettet til klienterne ud, da PIX'en automatisk gik
ud fra, af det var et klasse A net og tildelte klienterne adresserne
10.200.200.x/8.

Regnede med, at der ville være noget bøvl der, hvis en klient med
10.200.200.1/8 prøvede at få fat i en host med 10.0.0.x.

Men heller ikke det hjalp noget.

Nogen ideer?

Mikkel

---

On Tue, 30 Jan 2001 20:40:38 +0100, "Mikkel"
<palle_ib@hotmail.com> wrote:

> Har skiftet 10.200.200.0 nettet til klienterne ud, da PIX'en automatisk
> gik ud fra, af det var et klasse A net og tildelte klienterne adresserne
> 10.200.200.x/8.

Huh? Det har jeg godt nok aldrig set.

> Nogen ideer?

Jeg tror ikke jeg har andre idéer uden at side ved tastaturet.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.org/networking/
FAQ : http://www.net-faq.dk/

---

> Huh? Det har jeg godt nok aldrig set.

Næ, det undrede også mig.

> Jeg tror ikke jeg har andre idéer uden at side ved tastaturet.

Hmm, det lader til, at vi må bide i det sure æble og kontakte vores
netværkspusher her.

Mikkel