/ Forside / Teknologi / Netværk / TCP/IP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
TCP/IP
#NavnPoint
Per.Frede.. 4668
BjarneD 4017
severino 2804
pallebhan.. 1680
EXTERMINA.. 1525
xou 1455
strarup 1430
Manse9933 1419
o.v.n. 1400
10  Fijala 1204
Cisco Pix <-> Pix VPN problemer
Fra : Tommy Larsen


Dato : 07-09-04 21:40

Hejsa!

Jeg har en Pix 515 på arbejdet, og en 501 herhjemme, og kan fint
bevæge mig rundt på arbejdets lokalnet. Mit problem består så i at den
smider min netforbindelse i ny og næ, og det er slf. vildt træls ;)

Vores Pix på arbejdet gik totalt sukkerkold for et par uger siden, og
i den forbindelse fandt jeg så ud af, at hvis jeg har etableret VPN
forbindelsen i min egen Pix, så kan jeg slet ikke komme på nettet,
hvis ikke der er forbindelse til den på arbejdet - så derfor:

Kører ALT min nettrafik gennem den på arbejdet, når jeg bruger VPN??
Hvor / hvordan ændrer jeg det, så den ikke resetter min forbindelse?

Jeg har nu disablet VPN'en, og har ikke været offline 1 eneste sekund
siden..... Andet end de par gange hvor jeg har skullet bruge noget på
en disk på arbejdet og har slået VPN'en til igen!
--
Med venlig hilsen
Tommy Larsen

 
 
Asbjorn Hojmark (08-09-2004)
Kommentar
Fra : Asbjorn Hojmark


Dato : 08-09-04 16:10

On Tue, 07 Sep 2004 22:39:58 +0200, Tommy Larsen
<tomlar@no_s.p-am_get2net.dk> wrote:

> Kører ALT min nettrafik gennem den på arbejdet, når jeg bruger VPN??

Måske. Det afhænger af din konfiguration.

> Hvor / hvordan ændrer jeg det, så den ikke resetter min forbindelse?

Du overvejede ikke, at det kunne være relevant at kende din
nuværende config?

-A

Tommy Larsen (08-09-2004)
Kommentar
Fra : Tommy Larsen


Dato : 08-09-04 21:35

On Wed, 08 Sep 2004 17:09:55 +0200, Asbjorn Hojmark
<Asbjorn@Hojmark.ORG> wrote:

>> Hvor / hvordan ændrer jeg det, så den ikke resetter min forbindelse?
>
>Du overvejede ikke, at det kunne være relevant at kende din
>nuværende config?

Tjoe - det kunne der vel være noget om, men det jeg spurgte efter, var
jo netop hvor i konfigurationen at der er noget, der skal ændres -
sådan en Pix er jo ikke noget man bare lige sætter op på 2 minutter,
vel? Og jeg kender da en del til den, det er bare VPN'en der driller
;)

Guldkorn modtages stadig med kyshånd!
--
Med venlig hilsen
Tommy Larsen

Regnar Bang Lyngsø (09-09-2004)
Kommentar
Fra : Regnar Bang Lyngsø


Dato : 09-09-04 00:02

Tommy Larsen wrote:

>>Du overvejede ikke, at det kunne være relevant at kende din
>>nuværende config?
>
>
> Tjoe - det kunne der vel være noget om, men det jeg spurgte efter, var
> jo netop hvor i konfigurationen at der er noget, der skal ændres -
> sådan en Pix er jo ikke noget man bare lige sætter op på 2 minutter,
> vel? Og jeg kender da en del til den, det er bare VPN'en der driller
> ;)

Det er netop Asbjørns pointe Hvor nemt tror du selv det er at hjælpe
dig, når man ikke ved hvordan din konfiguration ser ud? Du kan jo
erstatte de ting du gerne vil skjule for nysgerrige blikke med '*', 'x'
eller hvilket tegn du nu foretrækker og/eller lave søg/erstat så ting
som IP-adresser, keys mv. ikke viser dit specifikke setup.

Bruger du fx Cisco Easy VPN eller ej?

Knus
Regnar

Tommy Larsen (09-09-2004)
Kommentar
Fra : Tommy Larsen


Dato : 09-09-04 22:52

On Thu, 09 Sep 2004 01:01:57 +0200, Regnar Bang Lyngsø
<regnar@writeme.com> wrote:

>Det er netop Asbjørns pointe Hvor nemt tror du selv det er at hjælpe
>dig, når man ikke ved hvordan din konfiguration ser ud? Du kan jo
>erstatte de ting du gerne vil skjule for nysgerrige blikke med '*', 'x'
>eller hvilket tegn du nu foretrækker og/eller lave søg/erstat så ting
>som IP-adresser, keys mv. ikke viser dit specifikke setup.

Det jeg mente var jo blot om der var et sted i setup'et man kunne
hakke et flueben af ;) (Ja, meget af opsætningen er lavet via PDM'en)

Jeg kan se, at alt min trafik ryger gennem Pixen på arbejdet, ingen
tvivl om det længere - og det er VPN med Ciscos Easy VPN.

Min config på arbejds-Pixen er som følger - hvis den fra min egen Pix
er relevant, så sig til, men der er jo meget få indstillingsmuligheder
deri ;)

Building configuration...
: Saved
:
PIX Version 6.2(2)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 intf2 security10
enable password KJr.JEuR3cm3rjfo encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall
domain-name brix.dk
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
fixup protocol skinny 2000
names
name 10.0.0.11 Mail
name 10.0.0.157 Johnny
name 10.0.0.249 nexpress
name 10.0.0.51 TommyPC
name 10.0.0.168 TestServer
name 10.0.0.12 Webserver
name 10.0.0.210 OptiMaker
access-list outside_access_in permit icmp any any echo-reply
access-list outside_access_in permit tcp any host EXTERN IP eq smtp
access-list outside_access_in permit tcp any host EXTERN IP eq imap4
access-list outside_access_in permit tcp any host EXTERN IP eq ftp
access-list outside_access_in permit tcp any host EXTERN IP eq
ftp-data
access-list outside_access_in permit tcp any host EXTERN IP eq
pcanywhere-data
access-list outside_access_in permit udp any host EXTERN IP eq
pcanywhere-status
access-list outside_access_in permit tcp any host EXTERN IP eq 3389
access-list outside_access_in permit tcp any host EXTERN IP eq www
access-list outside_access_in permit tcp any host EXTERN IP eq 3389
access-list outside_access_in permit tcp any host EXTERN IP eq www
access-list outside_access_in permit tcp any host EXTERN IP eq www
access-list outside_cryptomap_dyn_20 permit ip any 10.0.0.192
255.255.255.192
access-list inside_outbound_nat0_acl permit ip 10.0.0.0 255.0.0.0
10.0.0.192 255.255.255.192
access-list inside_outbound_nat0_acl permit ip any 10.0.0.192
255.255.255.192
access-list <navn på gruppe>_splitTunnelAcl permit ip 10.0.0.0
255.0.0.0 any
pager lines 24
logging on
interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 auto shutdown
mtu outside 1500
mtu inside 1500
mtu intf2 1500
ip address outside IP-PÅ-PIX 255.255.255.252
ip address inside 10.0.0.10 255.0.0.0
ip address intf2 127.0.0.1 255.255.255.255
ip audit info action alarm
ip audit attack action alarm
ip local pool vpn 10.0.0.220-10.0.0.230
pdm location TommyPC 255.255.255.255 inside
pdm location Mail 255.255.255.255 inside
pdm location Johnny 255.255.255.255 inside
pdm location nexpress 255.255.255.255 inside
pdm location TestServer 255.255.255.255 inside
pdm location Webserver 255.255.255.255 inside
pdm location OptiMaker 255.255.255.255 inside
pdm logging debugging 100
pdm history enable
arp timeout 14400
global (outside) 10 interface
nat (inside) 0 access-list inside_outbound_nat0_acl
nat (inside) 10 0.0.0.0 0.0.0.0 0 0
static (inside,outside) EXTERN IP Mail netmask 255.255.255.255 0 0
static (inside,outside) EXTERN IP nexpress netmask 255.255.255.255 0 0
static (inside,outside) EXTERN IP TommyPC netmask 255.255.255.255 0 0
static (inside,outside) EXTERN IP Webserver netmask 255.255.255.255 0
0
static (inside,outside) EXTERN IP OptiMaker netmask 255.255.255.255 0
0
access-group outside_access_in in interface outside
route outside 0.0.0.0 0.0.0.0 EXTERN IP 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323
0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
http server enable
http TommyPC 255.255.255.255 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
sysopt connection permit-pptp
no sysopt route dnat
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto dynamic-map outside_dyn_map 20 match address
outside_cryptomap_dyn_20
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-DES-SHA
crypto dynamic-map outside_dyn_map 40 match address
outside_cryptomap_dyn_40
crypto dynamic-map outside_dyn_map 40 set transform-set ESP-DES-SHA
crypto dynamic-map outside_dyn_map 60 match address
outside_cryptomap_dyn_60
crypto dynamic-map outside_dyn_map 60 set transform-set ESP-DES-MD5
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map interface outside
isakmp enable outside
isakmp enable inside
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption des
isakmp policy 20 hash sha
isakmp policy 20 group 2
isakmp policy 20 lifetime 86400
isakmp policy 40 authentication pre-share
isakmp policy 40 encryption des
isakmp policy 40 hash md5
isakmp policy 40 group 2
isakmp policy 40 lifetime 86400
vpngroup <navn på gruppe> address-pool vpn
vpngroup <navn på gruppe> dns-server 193.88.44.22 193.88.44.42
vpngroup <navn på gruppe> split-tunnel <navn på gruppe>_splitTunnelAcl
vpngroup <navn på gruppe> pfs
vpngroup <navn på gruppe> idle-time 1800
vpngroup <navn på gruppe> password ********

telnet timeout 5
ssh timeout 5
terminal width 80
Cryptochecksum:cf5c2009f50f661aa47efc11161386e4
: end
[OK]


--
Med venlig hilsen
Tommy Larsen

Søg
Reklame
Statistik
Spørgsmål : 177559
Tips : 31968
Nyheder : 719565
Indlæg : 6408929
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste