Salve ragazzi, ho questa configurazione un firewall PIX 501. Gli utenti dall'esterno si connettono alla mia rete tramite il VPN Client. Ora c'è solo un utente che non si connette, ha una linea ADSL Unidata.
Che cosa succede si autentica alla VPN ma non riesce ne ad entrare sulle macchine ma non riesce nenache a pingare il firewall all'indirizzo privato. Ho chiesto informazioni al provider Unidata, che mi ha risposto in questo modo:
Diciamo che il problema potrebbe essere legato alla frammentazione dei pacchetti nella sede in questione dove è installato il nostro Billion che cmq a livello cfg è ok .Dovreste contattarci Voi telefonicamente al nostro servizio HD richiedendo un congiunto per cercare insieme di risolvere il problema agendo per cio' che ci riguarda esclusivamente sull'MTU che è l'unico parametro cambiabile all'interno del billion .
WAN
PPPoA Routed
vci 8
vpi 35
atm class UBR
User : user
Pass : password
Posso risolverlo io questo problemo intervendo sul PIX o altrimenti devo far intervenire un loro tecnico. Qualcuno di Voi si è trovato già alle prese con questo problema
Grazie
Vpn Client problema Unidata
Moderatore: Federico.Lagni
- MaiO
- Messianic Network master
- Messaggi: 1083
- Iscritto il: sab 15 ott , 2005 10:55 am
- Località: Milano
- Contatta:
Se è un problema della MTU, puoi intervenire direttamente sul Cisco VPN Client. Se guardi nella cartella dove hai installato CVPNC troverai una utility chiamata SetMTU.exe, prova ad abbassare il valore della MTU.
Ciao
Ciao
-=] MaiO [=-
- MaiO
- Messianic Network master
- Messaggi: 1083
- Iscritto il: sab 15 ott , 2005 10:55 am
- Località: Milano
- Contatta:
Se non fai un tentativo come facciamo a saperlo?
Ciao
Ciao
-=] MaiO [=-
- Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Verifica anche che il NAT-T, nat traversal, sia abilitato sul PIX.
Puoi controllare che sia abilitato anche dal vpn client, una volta entrato in vpn guardi le statistiche e nella prima pagina c'è scritto se è attivato o no il nat traversal.
Se è attivato fagli abbassare la mtu dalla utility del vpn client.
Facci sapere.
Puoi controllare che sia abilitato anche dal vpn client, una volta entrato in vpn guardi le statistiche e nella prima pagina c'è scritto se è attivato o no il nat traversal.
Se è attivato fagli abbassare la mtu dalla utility del vpn client.
Facci sapere.
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
- Cisco power user
- Messaggi: 120
- Iscritto il: dom 11 giu , 2006 8:05 pm
- Località: napoli
Questo sono le configurazioni del mio pix 501
access-list outside_access_in permit icmp any any
access-list inside_outbound_nat0_acl permit ip any 192.168.1.192 255.255.255.22
4
access-list outside_cryptomap_dyn_20 permit ip any 192.168.1.192 255.255.255.22
4
pager lines 24
icmp permit any outside
icmp permit any echo outside
icmp permit any echo-reply outside
mtu outside 1500
mtu inside 1500
ip address outside 88.35.x.x 255.255.255.248
ip address inside 192.168.1.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
ip local pool esterni 192.168.1.201-192.168.1.220
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list inside_outbound_nat0_acl
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
access-group outside_access_in in interface outside
route outside 0.0.0.0 0.0.0.0 88.35.186.x 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto dynamic-map outside_dyn_map 20 match address outside_cryptomap_dyn_20
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-MD5
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map client authentication LOCAL
crypto map outside_map interface outside
isakmp enable outside
isakmp nat-traversal 20
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption 3des
isakmp policy 20 hash md5
isakmp policy 20 group 2
isakmp policy 20 lifetime 86400
vpngroup vpn-xx address-pool esterni
vpngroup vpn-xx idle-time 1800
vpngroup vpn-xx password xx
telnet 192.168.1.0 255.255.255.0 inside
telnet timeout 5
ssh timeout 5
console timeout 0
username xxx password z.HIy5OvO6nwJHOL encrypted privilege 15
username xxx password 3USUcOPFUiMCO4Jk encrypted privilege 2
username xxx password 49OFceEfCbuMOifp encrypted privilege 15
terminal width 80
Cryptochecksum:316ee19c03a8f0e4d1e4519519b1b620
: end
Mentre sul client a quanto pare la parte della statistic mi porta come Secure Route 0.0.0.0
Ho provato a modificare la MTU del Vpn Client sia di default che di custom, ma niente si collega ma non pinga.
Avete altri suggerimenti
access-list outside_access_in permit icmp any any
access-list inside_outbound_nat0_acl permit ip any 192.168.1.192 255.255.255.22
4
access-list outside_cryptomap_dyn_20 permit ip any 192.168.1.192 255.255.255.22
4
pager lines 24
icmp permit any outside
icmp permit any echo outside
icmp permit any echo-reply outside
mtu outside 1500
mtu inside 1500
ip address outside 88.35.x.x 255.255.255.248
ip address inside 192.168.1.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
ip local pool esterni 192.168.1.201-192.168.1.220
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list inside_outbound_nat0_acl
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
access-group outside_access_in in interface outside
route outside 0.0.0.0 0.0.0.0 88.35.186.x 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto dynamic-map outside_dyn_map 20 match address outside_cryptomap_dyn_20
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-MD5
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map client authentication LOCAL
crypto map outside_map interface outside
isakmp enable outside
isakmp nat-traversal 20
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption 3des
isakmp policy 20 hash md5
isakmp policy 20 group 2
isakmp policy 20 lifetime 86400
vpngroup vpn-xx address-pool esterni
vpngroup vpn-xx idle-time 1800
vpngroup vpn-xx password xx
telnet 192.168.1.0 255.255.255.0 inside
telnet timeout 5
ssh timeout 5
console timeout 0
username xxx password z.HIy5OvO6nwJHOL encrypted privilege 15
username xxx password 3USUcOPFUiMCO4Jk encrypted privilege 2
username xxx password 49OFceEfCbuMOifp encrypted privilege 15
terminal width 80
Cryptochecksum:316ee19c03a8f0e4d1e4519519b1b620
: end
Mentre sul client a quanto pare la parte della statistic mi porta come Secure Route 0.0.0.0
Ho provato a modificare la MTU del Vpn Client sia di default che di custom, ma niente si collega ma non pinga.
Avete altri suggerimenti
Tony76
- Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Il NTA-T è abilitato:
isakmp nat-traversal 20
Per il resto devi configurare lo split tunnel e magari lo split dns sul pix per ovviare al problema del Secure Route 0.0.0.0
isakmp nat-traversal 20
Per il resto devi configurare lo split tunnel e magari lo split dns sul pix per ovviare al problema del Secure Route 0.0.0.0
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
- Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
vpngroup NOME splitTunnelAcl
access-list splitTunnelAcl permit ip rete_dietro_al_pix 255.255.255.0 any
access-list splitTunnelAcl permit ip rete_dietro_al_pix 255.255.255.0 any
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....