Kandu.dk - Cisco 677 og IPSEC/VPN


/ Forside / Teknologi / Netværk / TCP/IP / Nyhedsindlæg

Glemt dit kodeord?

Brugernavn*

Kodeord *

Husk mig

Brugerservice

Kom godt i gang

Bliv medlem

Seneste indlæg

Find en bruger

Stil et spørgsmål

Skriv et tip

Fortæl en ven

Pointsystemet

Kontakt Kandu.dk

Emnevisning

Kategorier

Alfabetisk

Karriere

Interesser

Teknologi

Reklame

Top 10 brugere

TCP/IP

#	Navn	Point
1	Per.Frede..	4668
2	BjarneD	4017
3	severino	2804
4	pallebhan..	1680
5	EXTERMINA..	1525
6	xou	1455
7	strarup	1430
8	Manse9933	1419
9	o.v.n.	1400
10	Fijala	1204

Cisco 677 og IPSEC/VPN
Fra : Finn S. Nielsen

Dato : 23-01-01 16:12

Hej Alle,

Der er mange der har problemer med VPN over ADSL med Cisco 677 router..

Jeg har selv forsøgt at køre IPSEC over Cisco 677 routeren. IPSEC bruger UDP
port 500 til nøgleforhandling og IP protokol 50 til data.

Er der nogen det er lykkededes for ??
Problemet er pakkerne med IP protokoltypen 50.

Jeg kan ikke lave nogen nat entry i routeren der får pakker til at passere
routeren...
Man kan lave en kommando der hedder " set nat entry add x.x.x.x port 50" og
den æder det. Men man skal altså angive et port nr, som ikke eksisterer for
IP protokoltype 50 og det virker heller ikke !

Man kan sætte den til at route alle (alle .. ??) indgående pakker til en
bestemt IP adresse, men så bliver DNS relaterede pakker ødelagt. F.eks. får
man IP adressen 21.0.21.0 som svar.. argh ! Det er vist en kendt fejl i
firmwaren, lige som det er en kendt fejl at wildcard nat entries kan være
svære at fjerne igen uden at slette hele konfigurationen.

Bridging mode supporteres p.t. ikke af Cybercity så den mulighed er p.t.
udelukket (jo har har en firewall maskine). Man kan heller ikke få mere end
én IP adresse.

Er der nogen der har en løsning på ovenstående ? Og er der nogen det er
lykkedes for at køre VPN (andre typer en IPSEC) over en Cisco 677 router ??

Hilsener,

Finn

Regnar Bang Lyngso (23-01-2001)

Kommentar
Fra : Regnar Bang Lyngso

Dato : 23-01-01 17:31

In article <94k69p$1f7h$1@news.cybercity.dk>, "Finn S. Nielsen" <fn@iocon.dk> writes:

FSN> Jeg har selv forsøgt at køre IPSEC over Cisco 677
FSN> routeren. IPSEC bruger UDP port 500 til nøgleforhandling og
FSN> IP protokol 50 til data.

Okay.

FSN> Er der nogen det er lykkededes for ?? Problemet er pakkerne
FSN> med IP protokoltypen 50.

Jeg har ikke prøvet det. Faktisk har jeg kun leget med en Cisco en
gang. Lad os kikke på det:

FSN> Jeg kan ikke lave nogen nat entry i routeren der får pakker
FSN> til at passere routeren... Man kan lave en kommando der
FSN> hedder " set nat entry add x.x.x.x port 50" og den æder
FSN> det. Men man skal altså angive et port nr, som ikke
FSN> eksisterer for IP protokoltype 50 og det virker heller ikke !

Se hvis jeg husker ret er 0 wildcard i Ciscos OS.

Det vil sige

set nat entry add x.x.x.x 500 udp (nøgleforhandling)
set nat entry add x.x.x.x 0 50 (data)
write
reboot

hvor x.x.x.x er den maskine på det interne net, som du vil have til at
være server i dit VPN.

Tjek lige syntaksen, for jeg kan sgutte helt huske om det er helt
rigtigt, men det er noget i den dur.

Knus
Regnar

Finn S. Nielsen (24-01-2001)

Kommentar
Fra : Finn S. Nielsen

Dato : 24-01-01 11:48

Hej Ragnar,

Faktisk har jeg prøvet med den syntax/kommando du nævner, idet jeg også
gættede på at 0 var lig med don't care. Men jeg kunne ikke få det til at
virke, men det kan være at jeg skal prøve det igen. - Når ellers at Tele DK
får repareret min ADSL linje som nu på 6 dag er afbrudt p.g.a. kabelbrud i
Herlev .. ØV ØV og atter ØV !

/Finn

Regnar Bang Lyngso <rblyngso@daimi.au.dk> wrote in message
news:yb6hf2qut6x.fsf@ariel.daimi.au.dk...
> In article <94k69p$1f7h$1@news.cybercity.dk>, "Finn S. Nielsen"
<fn@iocon.dk> writes:
>
> FSN> Jeg har selv forsøgt at køre IPSEC over Cisco 677
> FSN> routeren. IPSEC bruger UDP port 500 til nøgleforhandling og
> FSN> IP protokol 50 til data.
>
> Okay.
>
> FSN> Er der nogen det er lykkededes for ?? Problemet er pakkerne
> FSN> med IP protokoltypen 50.
>
> Jeg har ikke prøvet det. Faktisk har jeg kun leget med en Cisco en
> gang. Lad os kikke på det:
>
> FSN> Jeg kan ikke lave nogen nat entry i routeren der får pakker
> FSN> til at passere routeren... Man kan lave en kommando der
> FSN> hedder " set nat entry add x.x.x.x port 50" og den æder
> FSN> det. Men man skal altså angive et port nr, som ikke
> FSN> eksisterer for IP protokoltype 50 og det virker heller ikke !
>
> Se hvis jeg husker ret er 0 wildcard i Ciscos OS.
>
> Det vil sige
>
> set nat entry add x.x.x.x 500 udp (nøgleforhandling)
> set nat entry add x.x.x.x 0 50 (data)
> write
> reboot
>
> hvor x.x.x.x er den maskine på det interne net, som du vil have til at
> være server i dit VPN.
>
> Tjek lige syntaksen, for jeg kan sgutte helt huske om det er helt
> rigtigt, men det er noget i den dur.
>
> Knus
> Regnar

N/A (25-01-2001)

Kommentar
Fra : N/A

Dato : 25-01-01 01:48

Hanne Hansen (25-01-2001)

Kommentar
Fra : Hanne Hansen

Dato : 25-01-01 01:48

>
> Hvilket VPN klient / Firewall bruger du ? Hvis det er FireWall-1 og
SecuRemote
> så er der en løsning på problemet! Og man behøver ikke at pille i NAT
gw'ens
> config.
>

Den vil jeg MEGET gerne høre!!!
Jeg har bokset med det problem i over en måned.
Har fået en helt åben Cisco 1401 router fra TeleDanmark.
Har 8 eksterne IP-adresser, hvoraf jeg har forsøgt at bruge den ene til min
klient for at udelukke NAT-problematikken.
Har ændret i user.c - konfigurationen på klienten og har ændret i objects.c
konfigurationen på firewallen efter vejledninger på www.phoneboy.com
Har haft fat i TeleDanmark adskillige gange, hvor de først har åbnet for
IPSEC (var det ikke en helt åbent konfiguration? - nåh jo - nu er den helt
åben!) Derefter har de fjernet nogle anti-spoofing filtre!! Derefter har de
givet sagen videre - til hvem? - jeg har ikke hørt videre.
Så hvis du har de viise sten, vil der falde en stor sten fra mine skuldre.

Software: Checkpoint Firewall-1 v. 4.2, SecuRemote v. 4.2. Kobler op med IKE
validering og bliver valideret på firewallen, men kan ikke foretage mig
noget videre. Har prøvet med PcAnywhere, Netop, drevmapping,
terminalserverklient.

--
mvh Hanne
fjern _nojunk fra min mailadresse ved direkte svar
--

Finn S. Nielsen (25-01-2001)

Kommentar
Fra : Finn S. Nielsen

Dato : 25-01-01 12:27

Jeg bruger Freeswan til linux som fungerer som VPN gateway.
Det er Freeswan på maskinerne i begge ender, see www.freeswan.org for info
om det program. SafeNet skulle iøvrigt være kompatibel med freeswan, men jeg
har på fornemmelsen at SafeNet kan sættes til at køre forskellige VPN
protokolvarianter.

Hvis man kunne sætte freeswan til at bruge UDP i stedet for IP protokol 50,
var problemet nok løst. Men p.g.a. UDP pakkeheaderne, reducerer dét jo
hastigheden af forbindelsen (til gengæld virker den..)

Hilsener,

Finn
http://fn-net.adsl.dk

Gorm Jorgensen <Gorm@Area51.DK> wrote in message
news:slrn96rs1r.1dcn.Gorm@Sub.Area51.DK...
> >Der er mange der har problemer med VPN over ADSL med Cisco 677 router..
> >
> >Jeg har selv forsøgt at køre IPSEC over Cisco 677 routeren. IPSEC bruger
UDP
> >port 500 til nøgleforhandling og IP protokol 50 til data.
> >
> >Er der nogen det er lykkededes for ??
> >Problemet er pakkerne med IP protokoltypen 50.
> >
>
> Hvilket VPN klient / Firewall bruger du ? Hvis det er FireWall-1 og
SecuRemote
> så er der en løsning på problemet! Og man behøver ikke at pille i NAT
gw'ens
> config.
>
> --
> Gorm Jorgensen - UB++++
> http://www.area51.dk/

Søg

Reklame

Statistik

Spørgsmål :	177513
Tips :	31968
Nyheder :	719565
Indlæg :	6408601
Brugere :	218887

Månedens bedste

Årets bedste

Sidste års bedste