Ho configurato un PIX 6.3(5) per connessioni tramite vpn client (ver. 4.7).
Riesco a connetermi senza problemi, ma una volta ottenuto un ip del pool configurato a quel punto non riesco a fare praticamente nulla (non solo non raggiungo nessun server delle reti configurate dietro il pix, ma tantomeno riesco a uscire su internet - questo è il minore dei problemi).
Prima domanda: è preferibile utilizzare un pool di ip di una lan interna oppure una classe privata non presente ?
Ho effettuato prove con pool di ip della lan interna privata, pubblica e con quella dell'outside del pix, ma nulla da fare.
Consigli ?
Grazie,
Rub3n-
VPN + Client Cisco
Moderatore: Federico.Lagni
-
Jumpa
- Cisco fan
- Messaggi: 28
- Iscritto il: lun 25 lug , 2005 2:18 pm
- Contatta:
ruben ha scritto:Ho configurato un PIX 6.3(5) per connessioni tramite vpn client (ver. 4.7).
Riesco a connetermi senza problemi, ma una volta ottenuto un ip del pool configurato a quel punto non riesco a fare praticamente nulla (non solo non raggiungo nessun server delle reti configurate dietro il pix, ma tantomeno riesco a uscire su internet - questo è il minore dei problemi).
Prima domanda: è preferibile utilizzare un pool di ip di una lan interna oppure una classe privata non presente ?
Ho effettuato prove con pool di ip della lan interna privata, pubblica e con quella dell'outside del pix, ma nulla da fare.
Consigli ?
Grazie,
Rub3n-
ho aperto un 3d analogo al tuo,
ed sono un paio di giorni che ci lavoro,
sono da poco giunto ad una soluzioncina che sembra funzionare!
ti riassumo velocemente lo schema
classe interna 192.168.254.0
classe esterna 192.168.253.0
pool_ip_vpn 192.168.252.1-192.168.252.100
ti colleghi e ti prendi un ip classe 252
fai delle regole da outside vs inside in cui permetti il traffico dalla classe 252 verso gli IP/servizi che ti interessano
che te devo di.. a me funziona
almeno sembra!!!
-----------------------------
Follow the White Rabbit
http://www.jumpa.org
-----------------------------
Follow the White Rabbit
http://www.jumpa.org
-----------------------------
-
ruben
- n00b
- Messaggi: 7
- Iscritto il: gio 02 mar , 2006 5:10 pm
Jumpa ha scritto:ruben ha scritto:Ho configurato un PIX 6.3(5) per connessioni tramite vpn client (ver. 4.7).
Riesco a connetermi senza problemi, ma una volta ottenuto un ip del pool configurato a quel punto non riesco a fare praticamente nulla (non solo non raggiungo nessun server delle reti configurate dietro il pix, ma tantomeno riesco a uscire su internet - questo è il minore dei problemi).
Prima domanda: è preferibile utilizzare un pool di ip di una lan interna oppure una classe privata non presente ?
Ho effettuato prove con pool di ip della lan interna privata, pubblica e con quella dell'outside del pix, ma nulla da fare.
Consigli ?
Grazie,
Rub3n-
ho aperto un 3d analogo al tuo,
ed sono un paio di giorni che ci lavoro,
sono da poco giunto ad una soluzioncina che sembra funzionare!
ti riassumo velocemente lo schema
classe interna 192.168.254.0
classe esterna 192.168.253.0
pool_ip_vpn 192.168.252.1-192.168.252.100
ti colleghi e ti prendi un ip classe 252
fai delle regole da outside vs inside in cui permetti il traffico dalla classe 252 verso gli IP/servizi che ti interessano
che te devo di.. a me funziona
almeno sembra!!!
Innanzitutto grazie !
Questa la mia situazione che poi del resto è simile alla tua:
pix con 4 lan dietro (2 con indirizzamento privato e 2 pubbliche)
vpnpool 172.16.1.1-172.16.1.254
acl applicata sull'outside in cui permetto tutto
nat 0 perchè faccio fare pat al router davanti al pix
Morale: niente da fare!!! Mi collego e ottento un ip della 172 poi nient'altro !!! C'è qualcosa che sicuramente manca per far funzionare bene il tutto, ma non trovo cosa ?
Altre idee ?
Grazie,
Rub3n-
-
alan
- Cisco fan
- Messaggi: 46
- Iscritto il: ven 02 set , 2005 4:15 pm
Quando il client, si trova dentro una LAN (e quindi viene nattato), sul PIX eve essere presente l'istruzione isakmp nat-traversal, e sul VPN Client deve essere abilitato Transparent Tunneling - IPSEC over UDP
Prova intanto così ... e poi facci sapere.
Ciao
AlAn
Prova intanto così ... e poi facci sapere.
Ciao
AlAn
-
ruben
- n00b
- Messaggi: 7
- Iscritto il: gio 02 mar , 2006 5:10 pm
Nulla da fare anche abilitando il Nat-traversal.alan ha scritto:Quando il client, si trova dentro una LAN (e quindi viene nattato), sul PIX eve essere presente l'istruzione isakmp nat-traversal, e sul VPN Client deve essere abilitato Transparent Tunneling - IPSEC over UDP
Prova intanto così ... e poi facci sapere.
Ciao
AlAn
