/ Forside / Teknologi / Netværk / TCP/IP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
TCP/IP
#NavnPoint
Per.Frede.. 4668
BjarneD 4017
severino 2804
pallebhan.. 1680
EXTERMINA.. 1525
xou 1455
strarup 1430
Manse9933 1419
o.v.n. 1400
10  Fijala 1204
Cisco PIX VPN - kan ikke etablere forbinde~
Fra : Brian Ipsen


Dato : 10-04-02 20:14

Hej!

Jeg roder med at få VPN op at køre på en PIX515 i øjeblikket - og der er
(vist) næsten ved at være hul igennem....
Men på VPN klienten får jeg følgende:

nitializing the connection...
Contacting the gateway at 195.xxx.yyy....
Authenticating user...
Negotiating security policies...
Failed to establish a secure connection to the security gateway.

I PIX'en har jeg givet den følgende kommandoer for at få VPN op:

access-list 102 permit ip 192.168.0.0 255.255.255.0 192.168.10.0
255.255.255.0
ip local pool vpnpool 192.168.10.1-192.168.10.20
nat (inside) 0 access-list 102
aaa-server vpnauth protocol radius
aaa-server vpnauth (inside) host 192.168.0.2 ******** timeout 5
sysopt connection permit-ipsec
no sysopt route dnat
crypto ipsec transform-set vpnset esp-3des esp-md5-hmac
crypto dynamic-map dynmap 10 set transform-set vpnset
crypto map mymap 10 ipsec-isakmp dynamic dynmap
crypto map mymap client authentication vpnauth
crypto map mymap interface outside
isakmp enable outside
isakmp identity address
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption 3des
isakmp policy 20 hash md5
isakmp policy 20 group 1
isakmp policy 20 lifetime 86400

Og VPN klienten der er på maskinen er vpnclient-win-3.5.1.C-k9.exe

Nogle ideer til hvad problemet er ??

/Brian




 
 
Brian Ipsen (10-04-2002)
Kommentar
Fra : Brian Ipsen


Dato : 10-04-02 20:15


"Brian Ipsen" <nobody@home.net> wrote in message
news:3cb49096$0$12010$edfadb0f@dspool01.news.tele.dk...

> Og VPN klienten der er på maskinen er vpnclient-win-3.5.1.C-k9.exe

Nå ja, der er også lige:

vpngroup vpngrp1 address-pool vpnpool
vpngroup vpngrp1 dns-server 192.168.0.21
vpngroup vpngrp1 wins-server 192.168.0.21
vpngroup vpngrp1 default-domain domain.dk
vpngroup vpngrp1 idle-time 1800
vpngroup vpngrp1 password ********

Ikke at glemme.....

/Brian





Lucy (10-04-2002)
Kommentar
Fra : Lucy


Dato : 10-04-02 23:47

Hej Brian

Umiddelbart ser dine indstillinger rigtige ud, men har dog lige nogle
kommentarer:

1. Hvorfor kører du egentlig 3des? Er det nødvendigt? Prøv evt. lige at
teste den med des bare.

2. Sidst men ikke mindst, så kan du roligt droppe alt vedr. isakmp policy
20. Den VPN klient som du anvender kan kun anvende group2.

Håber det hjælper

Lucy

P.S. Du må gerne kigge på mit spørgsmål længere nede i newsgruppen...måske
kan du svare på den

>isakmp policy 10 authentication pre-share
>isakmp policy 10 encryption 3des
>isakmp policy 10 hash md5
>isakmp policy 10 group 2
>isakmp policy 10 lifetime 86400
>isakmp policy 20 authentication pre-share
>isakmp policy 20 encryption 3des
>isakmp policy 20 hash md5
>isakmp policy 20 group 1
>isakmp policy 20 lifetime 86400




Brian Ipsen (11-04-2002)
Kommentar
Fra : Brian Ipsen


Dato : 11-04-02 06:23

"Lucy" <lucy@nomail.com> wrote in message
news:3cb4c0ee$0$10898$ba624c82@nntp01.dk.telia.net...

> Umiddelbart ser dine indstillinger rigtige ud, men har dog lige nogle
> kommentarer:
>
> 1. Hvorfor kører du egentlig 3des? Er det nødvendigt? Prøv evt. lige at
> teste den med des bare.

Det er et krav fra "chefen" - jeg har før haft validering med DES kryptering
(men havde dengang fejl i min accesss-liste). Men da der er krav om 3DES (og
PIX'en har fået en activation key, så den kan køre 3DES), så synes jeg ikke
det er smart at nedsætte krypteringen til DES ..

> 2. Sidst men ikke mindst, så kan du roligt droppe alt vedr. isakmp policy
> 20. Den VPN klient som du anvender kan kun anvende group2.

OK - ikke, at det sikkert vil have den store betydning i forbindelse med
problemet, men jeg kan da godt prøve at fjerne den...

/Brian



Brian Ipsen (11-04-2002)
Kommentar
Fra : Brian Ipsen


Dato : 11-04-02 20:07

"Lucy" <lucy@nomail.com> wrote in message
news:3cb4c0ee$0$10898$ba624c82@nntp01.dk.telia.net...

> Umiddelbart ser dine indstillinger rigtige ud, men har dog lige nogle
> kommentarer:

Jeg kiggede selv lidt mere - mangler jeg ikke en:

isakmp key mysharedkey address 0.0.0.0 netmask 0.0.0.0

??

Næste punkt er at få skidtet til at køre sammen med en Microsoft CA server
(men nu skal det andet lige spille først)...

/Brian



Martin Bilgrav (12-04-2002)
Kommentar
Fra : Martin Bilgrav


Dato : 12-04-02 00:02

Kør din log på clienten og sæt alt til HIGH.
Se så hvad der går galt.

Jeg tror lidt det er auth der går galt.

Mvh
Martin Bilgrav

"Brian Ipsen" <nobody@home.net> wrote in message
news:3cb49096$0$12010$edfadb0f@dspool01.news.tele.dk...
> Hej!
>
> Jeg roder med at få VPN op at køre på en PIX515 i øjeblikket - og der er
> (vist) næsten ved at være hul igennem....
> Men på VPN klienten får jeg følgende:
>
> nitializing the connection...
> Contacting the gateway at 195.xxx.yyy....
> Authenticating user...
> Negotiating security policies...
> Failed to establish a secure connection to the security gateway.
>
> I PIX'en har jeg givet den følgende kommandoer for at få VPN op:
>
> access-list 102 permit ip 192.168.0.0 255.255.255.0 192.168.10.0
> 255.255.255.0
> ip local pool vpnpool 192.168.10.1-192.168.10.20
> nat (inside) 0 access-list 102
> aaa-server vpnauth protocol radius
> aaa-server vpnauth (inside) host 192.168.0.2 ******** timeout 5
> sysopt connection permit-ipsec
> no sysopt route dnat
> crypto ipsec transform-set vpnset esp-3des esp-md5-hmac
> crypto dynamic-map dynmap 10 set transform-set vpnset
> crypto map mymap 10 ipsec-isakmp dynamic dynmap
> crypto map mymap client authentication vpnauth
> crypto map mymap interface outside
> isakmp enable outside
> isakmp identity address
> isakmp policy 10 authentication pre-share
> isakmp policy 10 encryption 3des
> isakmp policy 10 hash md5
> isakmp policy 10 group 2
> isakmp policy 10 lifetime 86400
> isakmp policy 20 authentication pre-share
> isakmp policy 20 encryption 3des
> isakmp policy 20 hash md5
> isakmp policy 20 group 1
> isakmp policy 20 lifetime 86400
>
> Og VPN klienten der er på maskinen er vpnclient-win-3.5.1.C-k9.exe
>
> Nogle ideer til hvad problemet er ??
>
> /Brian
>
>
>



N/A (21-04-2002)
Kommentar
Fra : N/A


Dato : 21-04-02 08:40



Martin Bilgrav (21-04-2002)
Kommentar
Fra : Martin Bilgrav


Dato : 21-04-02 08:40


>
> Det skyldes sikkert tunnelling - men hvad skal jeg enable i klient, og
skal
> der sættes noget specielt op på PIX'en for at få den til at køre
Transparent
> Tunneling på TCP port 10000 - hvis det ellers er det, som skal til ??
PIX kan ikk det...



Søg
Reklame
Statistik
Spørgsmål : 177557
Tips : 31968
Nyheder : 719565
Indlæg : 6408872
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste