|
| vpn med xp, zywalls og cisco Fra : Henrik Jensen |
Dato : 29-09-04 00:11 |
|
Hej,
jeg har en zywall 2 herhjemme som jeg har konfigureret som vpn klient op
imod min arbejdsgivers zywall 10. Min Zywall står bag en Soho 77 router.
Det er lykkedes (ifølge min zywalls ike-log) at etablere selve tunellen fra
min pc til serveren på mit arbejde, men jeg kan ikke pinge serverens
ip-adresse (jeg får intet svar fra den, og den svarer ellers normalt på ping
forespørgsler).
Min mistanke går på at det kan være noget i soho'en. Jeg har nat'et port 500
til zywall'en af hensyn til etableringen af vpn tunellen, og så er der to
andre 'almindelige' nat entries til et par servere jeg har stående
herhjemme.
Hvad mangler jeg ellers at tjekke? I min ende bruger jeg windows XP, og på
mit arbejde kører vi med Windows 2003 server.
Mvh
Henrik
| |
Uffe S. Callesen (29-09-2004)
| Kommentar Fra : Uffe S. Callesen |
Dato : 29-09-04 14:53 |
|
Henrik Jensen wrote:
> Hej,
> jeg har en zywall 2 herhjemme som jeg har konfigureret som vpn klient op
> imod min arbejdsgivers zywall 10. Min Zywall står bag en Soho 77 router.
>
> Det er lykkedes (ifølge min zywalls ike-log) at etablere selve tunellen fra
> min pc til serveren på mit arbejde, men jeg kan ikke pinge serverens
> ip-adresse (jeg får intet svar fra den, og den svarer ellers normalt på ping
> forespørgsler).
>
> Min mistanke går på at det kan være noget i soho'en. Jeg har nat'et port 500
> til zywall'en af hensyn til etableringen af vpn tunellen, og så er der to
> andre 'almindelige' nat entries til et par servere jeg har stående
> herhjemme.
>
> Hvad mangler jeg ellers at tjekke? I min ende bruger jeg windows XP, og på
> mit arbejde kører vi med Windows 2003 server.
>
> Mvh
> Henrik
>
>
Prøv lige for spas skyld at tilføje en static route på den server du
pinger til dit netværk via Zywall'en.
Hvis deres Zywall 10 ikke er gateway for deres interne net kender
serveren ikke routen tilbage til din PC via tunlen.
--
Mail mig på uffe <elefantnæseA> skelmose <prik> dk
| |
Asbjorn Hojmark (29-09-2004)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 29-09-04 16:43 |
|
On Wed, 29 Sep 2004 01:11:10 +0200, "Henrik Jensen"
<hj@netwerk.dk> wrote:
> Jeg har nat'et port 500 til zywall'en af hensyn til etableringen af
> vpn tunellen
Port 500/udp får kun ISAKMP/IKE over. Du skal også lave en
statisk map til ESP.
-A
| |
Ukendt (29-09-2004)
| Kommentar Fra : Ukendt |
Dato : 29-09-04 23:46 |
|
"Henrik Jensen" <hj@netwerk.dk> skrev i en meddelelse
news:gcm6d.53385$Vf.2568955@news000.worldonline.dk...
> Hej,
> jeg har en zywall 2 herhjemme som jeg har konfigureret som vpn klient op
> imod min arbejdsgivers zywall 10. Min Zywall står bag en Soho 77 router.
>
> Det er lykkedes (ifølge min zywalls ike-log) at etablere selve tunellen
fra
> min pc til serveren på mit arbejde, men jeg kan ikke pinge serverens
> ip-adresse (jeg får intet svar fra den, og den svarer ellers normalt på
ping
> forespørgsler).
Du bliver måske fanget i firewallen?
Accepterer serveren trafik fra dit hjemme-subnet? (der selvfølgelig er
anderledes end kontor-subnettet )
Rune
| |
Henrik Jensen (04-10-2004)
| Kommentar Fra : Henrik Jensen |
Dato : 04-10-04 21:00 |
|
Tak for jeres forslag!
Zywall'en på jobbet fungerer netop som gateway, så serveren kender godt
returvejen. Der er ikke rigtigt spærret for noget i zywall'en på
arbejdspladsen, så det burde heller ikke være en hindring. Endelig har jeg
nat'et alt fra soho'en til zywall'en nu. Men det virker stadig ikke.
Jeg har fulgt vejledningen på Zyxell's hjemmeside:
http://www.zyxel.dk/FAQ.48+B6JnR4X3p5eGVsZmFxX3BpMVtzaG93VWlkXT0zMiZ0eF96eXhlbGZhcV9waTFbbGlzdE1vZGVdPWl0ZW0mY0hhc2g9NWJhZDk1MjRkYQ__.0.html
Jeg får etableret tunnellen, men jeg kan ikke få forbindelse til
arbejdsnetværket - ej heller omvendt.
Vil det hjælpe at slå nat fuldstændigt fra i min soho 77 ? Hvis ja, hvilken
konsekvens får det så for ip-adresserne på lan-siden af soho'en hhv
wan-siden af zywall'en?
Setup'et ser således ud:
arbejdsnetværk -> zywall 10 (med vpn klient) -> *internet* -> soho 77 ->
zywall (med vpn klient)-> hjemmenetværk
Min internetforbindelse ud igennem zywall'en virker fint, ligesom man også
sagtens kan komme på min server udefra. Den bliver der NAT'et til via
Zywall'en.
Mvh
Henrik
| |
Asbjorn Hojmark (05-10-2004)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 05-10-04 07:09 |
|
On Mon, 4 Oct 2004 22:00:06 +0200, "Henrik Jensen"
<hj@netwerk.dk> wrote:
> Jeg får etableret tunnellen, men jeg kan ikke få forbindelse til
> arbejdsnetværket - ej heller omvendt.
Har du lavet den statis NAT for ESP, som jeg nævnte for dig? Den
er nødvendig for at få selve de krypterede pakker over.
-A
| |
Henrik Jensen (05-10-2004)
| Kommentar Fra : Henrik Jensen |
Dato : 05-10-04 12:24 |
|
Asbjorn Hojmark wrote:
> On Mon, 4 Oct 2004 22:00:06 +0200, "Henrik Jensen"
> <hj@netwerk.dk> wrote:
>
>
>>Jeg får etableret tunnellen, men jeg kan ikke få forbindelse til
>>arbejdsnetværket - ej heller omvendt.
>
>
> Har du lavet den statis NAT for ESP, som jeg nævnte for dig? Den
> er nødvendig for at få selve de krypterede pakker over.
>
> -A
Det er selvfølgelig muligt jeg tager fejl, men burde det ikke være i
orden at nat'e 'alt'?
I min cisco router har jeg denne nat entry:
ip nat inside source static 10.10.20.2 213.x.x.x extendable
Hvor 213.x.x.x er min offentlige ip-adresse og 10.10.20.2 er
wan-adressen på min zywall. Min zywall nat'er så pr. default alt videre
til min unix server på mit lokale net, så jeg kan se mine websider mm.
Der er ikke sat noget specifikt op for ESP. Der er heller ikke
konfigureret noget specifikt for den windows maskine jeg skal bruge
vpn-forbindelsen fra.
Er det noget jeg mangler?
Mvh
Henrik
| |
Asbjorn Hojmark (05-10-2004)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 05-10-04 14:52 |
|
On Tue, 05 Oct 2004 13:23:36 +0200, Henrik Jensen
<henrik.jensen@netwerk.dk> wrote:
> Det er selvfølgelig muligt jeg tager fejl, men burde det ikke være
> i orden at nat'e 'alt'?
Mjo, men du skrev jo selv: "Jeg har nat'et port 500 til zywall'en
af hensyn til etableringen af vpn tunellen", og det er altså ikke
nok.
-A
| |
Henrik Jensen (06-10-2004)
| Kommentar Fra : Henrik Jensen |
Dato : 06-10-04 18:25 |
|
Asbjorn Hojmark wrote:
> On Tue, 05 Oct 2004 13:23:36 +0200, Henrik Jensen
> <henrik.jensen@netwerk.dk> wrote:
>
>
>>Det er selvfølgelig muligt jeg tager fejl, men burde det ikke være
>>i orden at nat'e 'alt'?
>
>
> Mjo, men du skrev jo selv: "Jeg har nat'et port 500 til zywall'en
> af hensyn til etableringen af vpn tunellen", og det er altså ikke
> nok.
>
> -A
Det er rigtigt, men senere skrev jeg også at jeg nu havde nat'et alt.
Alt er stadig nat'et, men alligevel virker det ikke :(
Hvad kan jeg ellers gøre?
Mvh
Henrik
| |
Asbjorn Hojmark (06-10-2004)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 06-10-04 18:30 |
|
On Wed, 06 Oct 2004 19:24:53 +0200, Henrik Jensen
<henrik.jensen@netwerk.dk> wrote:
> Hvad kan jeg ellers gøre?
Det umiddelbare forslag vil nu være, at bruge de muligheder, der
er for fejlsøgning på dit VPN-device. På fornuftigt udstyr kan
man se, præcist hvad der bliver forhandlet og sat op (ISAKMP/IKE,
ESP, AH etc.), hvad der forwardes af pakker etc.
Jeg ved ikke, hvad man kan af den slags på sådan en ZyXEL-ting.
-A
| |
Henrik Jensen (14-10-2004)
| Kommentar Fra : Henrik Jensen |
Dato : 14-10-04 00:55 |
|
Asbjorn Hojmark wrote:
> Det umiddelbare forslag vil nu være, at bruge de muligheder, der
> er for fejlsøgning på dit VPN-device. På fornuftigt udstyr kan
> man se, præcist hvad der bliver forhandlet og sat op (ISAKMP/IKE,
> ESP, AH etc.), hvad der forwardes af pakker etc.
>
> Jeg ved ikke, hvad man kan af den slags på sådan en ZyXEL-ting.
>
> -A
Jeg fik det til at virke til sidst. Udover at 'alt' var nat'et i cisco
routeren var 'næsten alt' nat'et i zywall'en (inkl. port 500) til min
unix server.
dette rettede jeg så zywall'en selv tog sig af port 500, og så pillede
jeg lidt ved firewall'en, og så fik jeg det op at spille...
tak for inputs!
/henrik
| |
|
|