CiscoForums.it

Ho configurato un PIX 6.3(5) per connessioni tramite vpn client (ver. 4.7).
Riesco a connetermi senza problemi, ma una volta ottenuto un ip del pool configurato a quel punto non riesco a fare praticamente nulla (non solo non raggiungo nessun server delle reti configurate dietro il pix, ma tantomeno riesco a uscire su internet - questo è il minore dei problemi).
Prima domanda: è preferibile utilizzare un pool di ip di una lan interna oppure una classe privata non presente ?
Ho effettuato prove con pool di ip della lan interna privata, pubblica e con quella dell'outside del pix, ma nulla da fare.

Consigli ?


Grazie,
Rub3n-

ruben ha scritto:Ho configurato un PIX 6.3(5) per connessioni tramite vpn client (ver. 4.7).
Riesco a connetermi senza problemi, ma una volta ottenuto un ip del pool configurato a quel punto non riesco a fare praticamente nulla (non solo non raggiungo nessun server delle reti configurate dietro il pix, ma tantomeno riesco a uscire su internet - questo è il minore dei problemi).
Prima domanda: è preferibile utilizzare un pool di ip di una lan interna oppure una classe privata non presente ?
Ho effettuato prove con pool di ip della lan interna privata, pubblica e con quella dell'outside del pix, ma nulla da fare.

Consigli ?


Grazie,
Rub3n-

ho aperto un 3d analogo al tuo,
ed sono un paio di giorni che ci lavoro,
sono da poco giunto ad una soluzioncina che sembra funzionare!

ti riassumo velocemente lo schema

classe interna 192.168.254.0
classe esterna 192.168.253.0

pool_ip_vpn 192.168.252.1-192.168.252.100

ti colleghi e ti prendi un ip classe 252
fai delle regole da outside vs inside in cui permetti il traffico dalla classe 252 verso gli IP/servizi che ti interessano

che te devo di.. a me funziona
almeno sembra!!!

Jumpa ha scritto:

ruben ha scritto:Ho configurato un PIX 6.3(5) per connessioni tramite vpn client (ver. 4.7).
Riesco a connetermi senza problemi, ma una volta ottenuto un ip del pool configurato a quel punto non riesco a fare praticamente nulla (non solo non raggiungo nessun server delle reti configurate dietro il pix, ma tantomeno riesco a uscire su internet - questo è il minore dei problemi).
Prima domanda: è preferibile utilizzare un pool di ip di una lan interna oppure una classe privata non presente ?
Ho effettuato prove con pool di ip della lan interna privata, pubblica e con quella dell'outside del pix, ma nulla da fare.

Consigli ?


Grazie,
Rub3n-

ho aperto un 3d analogo al tuo,
ed sono un paio di giorni che ci lavoro,
sono da poco giunto ad una soluzioncina che sembra funzionare!

ti riassumo velocemente lo schema

classe interna 192.168.254.0
classe esterna 192.168.253.0

pool_ip_vpn 192.168.252.1-192.168.252.100

ti colleghi e ti prendi un ip classe 252
fai delle regole da outside vs inside in cui permetti il traffico dalla classe 252 verso gli IP/servizi che ti interessano

che te devo di.. a me funziona
almeno sembra!!!

Innanzitutto grazie !

Questa la mia situazione che poi del resto è simile alla tua:

pix con 4 lan dietro (2 con indirizzamento privato e 2 pubbliche)
vpnpool 172.16.1.1-172.16.1.254
acl applicata sull'outside in cui permetto tutto
nat 0 perchè faccio fare pat al router davanti al pix

Morale: niente da fare!!! Mi collego e ottento un ip della 172 poi nient'altro !!! C'è qualcosa che sicuramente manca per far funzionare bene il tutto, ma non trovo cosa ?

Altre idee ?

Grazie,
Rub3n-

Da dove utilizzi il road warriors? All'interno di una LAN o attraverso modem/router adsl?

Ho fatto delle prove sia da un pc in lan, da adsl e da card umts.

Quando il client, si trova dentro una LAN (e quindi viene nattato), sul PIX eve essere presente l'istruzione isakmp nat-traversal, e sul VPN Client deve essere abilitato Transparent Tunneling - IPSEC over UDP

Prova intanto così ... e poi facci sapere.

Ciao
AlAn

alan ha scritto:Quando il client, si trova dentro una LAN (e quindi viene nattato), sul PIX eve essere presente l'istruzione isakmp nat-traversal, e sul VPN Client deve essere abilitato Transparent Tunneling - IPSEC over UDP

Prova intanto così ... e poi facci sapere.

Ciao
AlAn

Nulla da fare anche abilitando il Nat-traversal.