---

Hej NG

Jeg har nu flere gange prøvet forgæves at få en site to site vpn tunnel
op imellem 2 PIX 501.

Jeg har prøvet via GUI prøvet via CLI, har enda også brugt cisco's egen
guide til CLI. Men intet har virket endnu.

Nogle der kunne have en løsning til dette?

Mvh.
Peter

ps. Det er en 'Falsk' Email adresse

---

Peter skrev:

> Jeg har nu flere gange prøvet forgæves at få en site to site vpn
> tunnel op imellem 2 PIX 501.

Det er godt nok ikke en PIX 501, men i stedet en 506E, vi har
på jobbet (så vidt jeg husker), men i den skulle vi indsætte
en kommandolinje med følgende ordlyd: isakmp nat-traversal 20

Først derefter, kunne en Cisco PIX-bruger udefra komme ind gennem
vores router med VPN.

--
Hilsen
Madsen

---

"Peter" <SPAM@Changer.dk> wrote in message
news:43df6f41$0$67261$157c6196@dreader2.cybercity.dk...
> Hej NG
>
> Jeg har nu flere gange prøvet forgæves at få en site to site vpn tunnel
> op imellem 2 PIX 501.
>
> Jeg har prøvet via GUI prøvet via CLI, har enda også brugt cisco's egen
> guide til CLI. Men intet har virket endnu.
>
> Nogle der kunne have en løsning til dette?

Ja.
Der er på Cisco.com et hav af eksempler på VPN mod alle mulige andre ting og
sager.
Men hvis du poster dine cfg's har man bedre mulighed for at hjælpe dig på
sporet igen.

vh
Martin

---

Martin Bilgrav wrote:
> "Peter" <SPAM@Changer.dk> wrote in message
> news:43df6f41$0$67261$157c6196@dreader2.cybercity.dk...
>> Hej NG
>>
>> Jeg har nu flere gange prøvet forgæves at få en site to site vpn tunnel
>> op imellem 2 PIX 501.
>>
>> Jeg har prøvet via GUI prøvet via CLI, har enda også brugt cisco's egen
>> guide til CLI. Men intet har virket endnu.
>>
>> Nogle der kunne have en løsning til dette?
>
> Ja.
> Der er på Cisco.com et hav af eksempler på VPN mod alle mulige andre ting og
> sager.
> Men hvis du poster dine cfg's har man bedre mulighed for at hjælpe dig på
> sporet igen.
>
> vh
> Martin
>
>
: Saved
: Written by enable_15 at 07:11:41.030 UTC Tue Jan 31 2006
PIX Version 6.3(5)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password cxcxcxcxcx encrypted
passwd cxcxcxcxc encrypted
hostname RAFWAALHV-01
domain-name d.d.dk
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
access-list 90 permit ip 192.168.1.0 255.255.255.0 10.240.0.0 255.240.0.0
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside 217.157.22.117 255.255.255.224
ip address inside 192.168.1.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm logging informational 100
pdm history enable
arp timeout 14400
nat (inside) 0 access-list 90
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225
1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
crypto ipsec transform-set strong esp-3des esp-sha-hmac
crypto map ToRALAal 20 ipsec-isakmp
crypto map ToRALAal 20 match address 90
crypto map ToRALAal 20 set peer 217.157.22.116
crypto map ToRALAal 20 set transform-set strong
crypto map ToRALAal interface outside
isakmp enable outside
isakmp key cxcxcxcxcx address 217.157.22.116 netmask 255.255.255.255
isakmp policy 9 authentication pre-share
isakmp policy 9 encryption 3des
isakmp policy 9 hash sha
isakmp policy 9 group 1
isakmp policy 9 lifetime 86400
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd address 192.168.1.2-192.168.1.33 inside
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd auto_config outside
terminal width 80
Cryptochecksum:5099c8704845c8b6156d2ed9b1fac2a2
: end


Jeg har prøvet dem på Cisco.com

De har desværre ikke virket. Jeg kan ikke få en tunnel aktiveret.

~Peter

---

Kan du overhovedet nå noget som helst outside med den konfig?

Der mangler da "route outside 0.0.0.0 0.0.0.0 <IP på next hop>"

/Rubeck


"Peter" <SPAM@Changer.dk> wrote in message
news:43e06a24$0$78283$157c6196@dreader1.cybercity.dk...
> Martin Bilgrav wrote:
>> "Peter" <SPAM@Changer.dk> wrote in message
>> news:43df6f41$0$67261$157c6196@dreader2.cybercity.dk...
>>> Hej NG
>>>
>>> Jeg har nu flere gange prøvet forgæves at få en site to site vpn tunnel
>>> op imellem 2 PIX 501.
>>>
>>> Jeg har prøvet via GUI prøvet via CLI, har enda også brugt cisco's egen
>>> guide til CLI. Men intet har virket endnu.
>>>
>>> Nogle der kunne have en løsning til dette?
>>
>> Ja.
>> Der er på Cisco.com et hav af eksempler på VPN mod alle mulige andre ting
>> og
>> sager.
>> Men hvis du poster dine cfg's har man bedre mulighed for at hjælpe dig på
>> sporet igen.
>>
>> vh
>> Martin
>>
>>
> : Saved
> : Written by enable_15 at 07:11:41.030 UTC Tue Jan 31 2006
> PIX Version 6.3(5)
> interface ethernet0 auto
> interface ethernet1 100full
> nameif ethernet0 outside security0
> nameif ethernet1 inside security100
> enable password cxcxcxcxcx encrypted
> passwd cxcxcxcxc encrypted
> hostname RAFWAALHV-01
> domain-name d.d.dk
> fixup protocol dns maximum-length 512
> fixup protocol ftp 21
> fixup protocol h323 h225 1720
> fixup protocol h323 ras 1718-1719
> fixup protocol http 80
> fixup protocol rsh 514
> fixup protocol rtsp 554
> fixup protocol sip 5060
> fixup protocol sip udp 5060
> fixup protocol skinny 2000
> fixup protocol smtp 25
> fixup protocol sqlnet 1521
> fixup protocol tftp 69
> names
> access-list 90 permit ip 192.168.1.0 255.255.255.0 10.240.0.0 255.240.0.0
> pager lines 24
> mtu outside 1500
> mtu inside 1500
> ip address outside 217.157.22.117 255.255.255.224
> ip address inside 192.168.1.1 255.255.255.0
> ip audit info action alarm
> ip audit attack action alarm
> pdm logging informational 100
> pdm history enable
> arp timeout 14400
> nat (inside) 0 access-list 90
> nat (inside) 1 0.0.0.0 0.0.0.0 0 0
> timeout xlate 0:05:00
> timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225
> 1:00:00
> timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
> timeout sip-disconnect 0:02:00 sip-invite 0:03:00
> timeout uauth 0:05:00 absolute
> aaa-server TACACS+ protocol tacacs+
> aaa-server TACACS+ max-failed-attempts 3
> aaa-server TACACS+ deadtime 10
> aaa-server RADIUS protocol radius
> aaa-server RADIUS max-failed-attempts 3
> aaa-server RADIUS deadtime 10
> aaa-server LOCAL protocol local
> http server enable
> http 192.168.1.0 255.255.255.0 inside
> no snmp-server location
> no snmp-server contact
> snmp-server community public
> no snmp-server enable traps
> floodguard enable
> sysopt connection permit-ipsec
> crypto ipsec transform-set strong esp-3des esp-sha-hmac
> crypto map ToRALAal 20 ipsec-isakmp
> crypto map ToRALAal 20 match address 90
> crypto map ToRALAal 20 set peer 217.157.22.116
> crypto map ToRALAal 20 set transform-set strong
> crypto map ToRALAal interface outside
> isakmp enable outside
> isakmp key cxcxcxcxcx address 217.157.22.116 netmask 255.255.255.255
> isakmp policy 9 authentication pre-share
> isakmp policy 9 encryption 3des
> isakmp policy 9 hash sha
> isakmp policy 9 group 1
> isakmp policy 9 lifetime 86400
> telnet timeout 5
> ssh timeout 5
> console timeout 0
> dhcpd address 192.168.1.2-192.168.1.33 inside
> dhcpd lease 3600
> dhcpd ping_timeout 750
> dhcpd auto_config outside
> terminal width 80
> Cryptochecksum:5099c8704845c8b6156d2ed9b1fac2a2
> : end
>
>
> Jeg har prøvet dem på Cisco.com
>
> De har desværre ikke virket. Jeg kan ikke få en tunnel aktiveret.
>
> ~Peter

---

Rubeck wrote:
> Kan du overhovedet nå noget som helst outside med den konfig?
>
> Der mangler da "route outside 0.0.0.0 0.0.0.0 <IP på next hop>"
>
> /Rubeck
>
>
> "Peter" <SPAM@Changer.dk> wrote in message
> news:43e06a24$0$78283$157c6196@dreader1.cybercity.dk...
>> Martin Bilgrav wrote:
>>> "Peter" <SPAM@Changer.dk> wrote in message
>>> news:43df6f41$0$67261$157c6196@dreader2.cybercity.dk...
>>>> Hej NG
>>>>
>>>> Jeg har nu flere gange prøvet forgæves at få en site to site vpn tunnel
>>>> op imellem 2 PIX 501.
>>>>
>>>> Jeg har prøvet via GUI prøvet via CLI, har enda også brugt cisco's egen
>>>> guide til CLI. Men intet har virket endnu.
>>>>
>>>> Nogle der kunne have en løsning til dette?
>>> Ja.
>>> Der er på Cisco.com et hav af eksempler på VPN mod alle mulige andre ting
>>> og
>>> sager.
>>> Men hvis du poster dine cfg's har man bedre mulighed for at hjælpe dig på
>>> sporet igen.
>>>
>>> vh
>>> Martin
>>>
>>>
>> : Saved
>> : Written by enable_15 at 07:11:41.030 UTC Tue Jan 31 2006
>> PIX Version 6.3(5)
>> interface ethernet0 auto
>> interface ethernet1 100full
>> nameif ethernet0 outside security0
>> nameif ethernet1 inside security100
>> enable password cxcxcxcxcx encrypted
>> passwd cxcxcxcxc encrypted
>> hostname RAFWAALHV-01
>> domain-name d.d.dk
>> fixup protocol dns maximum-length 512
>> fixup protocol ftp 21
>> fixup protocol h323 h225 1720
>> fixup protocol h323 ras 1718-1719
>> fixup protocol http 80
>> fixup protocol rsh 514
>> fixup protocol rtsp 554
>> fixup protocol sip 5060
>> fixup protocol sip udp 5060
>> fixup protocol skinny 2000
>> fixup protocol smtp 25
>> fixup protocol sqlnet 1521
>> fixup protocol tftp 69
>> names
>> access-list 90 permit ip 192.168.1.0 255.255.255.0 10.240.0.0 255.240.0.0
>> pager lines 24
>> mtu outside 1500
>> mtu inside 1500
>> ip address outside 217.157.22.117 255.255.255.224
>> ip address inside 192.168.1.1 255.255.255.0
>> ip audit info action alarm
>> ip audit attack action alarm
>> pdm logging informational 100
>> pdm history enable
>> arp timeout 14400
>> nat (inside) 0 access-list 90
>> nat (inside) 1 0.0.0.0 0.0.0.0 0 0
>> timeout xlate 0:05:00
>> timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225
>> 1:00:00
>> timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
>> timeout sip-disconnect 0:02:00 sip-invite 0:03:00
>> timeout uauth 0:05:00 absolute
>> aaa-server TACACS+ protocol tacacs+
>> aaa-server TACACS+ max-failed-attempts 3
>> aaa-server TACACS+ deadtime 10
>> aaa-server RADIUS protocol radius
>> aaa-server RADIUS max-failed-attempts 3
>> aaa-server RADIUS deadtime 10
>> aaa-server LOCAL protocol local
>> http server enable
>> http 192.168.1.0 255.255.255.0 inside
>> no snmp-server location
>> no snmp-server contact
>> snmp-server community public
>> no snmp-server enable traps
>> floodguard enable
>> sysopt connection permit-ipsec
>> crypto ipsec transform-set strong esp-3des esp-sha-hmac
>> crypto map ToRALAal 20 ipsec-isakmp
>> crypto map ToRALAal 20 match address 90
>> crypto map ToRALAal 20 set peer 217.157.22.116
>> crypto map ToRALAal 20 set transform-set strong
>> crypto map ToRALAal interface outside
>> isakmp enable outside
>> isakmp key cxcxcxcxcx address 217.157.22.116 netmask 255.255.255.255
>> isakmp policy 9 authentication pre-share
>> isakmp policy 9 encryption 3des
>> isakmp policy 9 hash sha
>> isakmp policy 9 group 1
>> isakmp policy 9 lifetime 86400
>> telnet timeout 5
>> ssh timeout 5
>> console timeout 0
>> dhcpd address 192.168.1.2-192.168.1.33 inside
>> dhcpd lease 3600
>> dhcpd ping_timeout 750
>> dhcpd auto_config outside
>> terminal width 80
>> Cryptochecksum:5099c8704845c8b6156d2ed9b1fac2a2
>> : end
>>
>>
>> Jeg har prøvet dem på Cisco.com
>>
>> De har desværre ikke virket. Jeg kan ikke få en tunnel aktiveret.
>>
>> ~Peter
>
>
Jeg prøver ikke at komme ud på nette pt.
Men kan sige at det er det samme når jeg prøver igennem internettet.

Jeg har 2 Pix 501 sat sammen med et kabel fra outside til outside.

De har følgende netværk
Outside = 217.157.22.116 255.255.255.224
inside = 10.240.0.1 255.240.0.0

Outside = 217.157.22.116 255.255.255.224
inside = 192.168.1.1 255.255.255.0

Jeg kan godt lave en ping til den anden pix.

Hvis der er nogle der ligger inde med en fungerende Pix to Pix
konfiguration. Gerne dem begge. Så må i meget gerne poste den her inde.

~Peter

---

"Peter" <SPAM@Changer.dk> wrote in message
news:43e0fde7$0$67264$157c6196@dreader2.cybercity.dk...

Hej Peter,

Det var jo kun en konfig ?! - hvad med den anden ?

Men som der er sagt, skal du have en default route statement.
Herudover er der ingen global, så din NAT hænger ikke sammen.


> >
> Jeg prøver ikke at komme ud på nette pt.
> Men kan sige at det er det samme når jeg prøver igennem internettet.
>

pga ingen global, komme du ikk der ud

> Jeg har 2 Pix 501 sat sammen med et kabel fra outside til outside.
>


> De har følgende netværk
> Outside = 217.157.22.116 255.255.255.224
> inside = 10.240.0.1 255.240.0.0
>
> Outside = 217.157.22.116 255.255.255.224
> inside = 192.168.1.1 255.255.255.0

Det håber jeg sq ikke - det er jo samme IP !
Din peer Ip er .117 på den postede cfg.


>
> Jeg kan godt lave en ping til den anden pix.
>

pga de er directly connected,


> Hvis der er nogle der ligger inde med en fungerende Pix to Pix
> konfiguration. Gerne dem begge. Så må i meget gerne poste den her inde.
>

Det hjælper dig jo ikke ret meget, ifm med din fejlsøgning.
De ligner jo den du har, blot de har det hele med.

Prøv at gå det hele igennem igen, kontrollere IP adresser, ACL som skal være
modsatrettede i cryptomap.
herud over prøv at tilføje:

route outside 0.0.0.0 0.0.0.0 217.157.22.117
isakmp identity address
isakmp nat-traversal 20
management-access inside

Ved hver tunnel ændring, giv den : Clear crypto ipsec sa


HTH
Martin Bilgrav


> ~Peter