CiscoForums.it

Ciao a tutti.
Ho provato ad implementare una VPN PPTP e IPsec terminata sul PIX 506E, ma non riesco ad accederci in remoto (ne con client XP, ne con VPN Client di Cisco).
O meglio.... se io mi collego su uno switch posizionato dietro il router, e quindi prima del pix, riesco ad utilizzare ambedue gli strumenti di VPN, ed entro senza problemi.
Se invece provo dall'esterno il client risponde dicendomi che non riesce a contattare l'host remoto.
Il router, di proprieta' di un provider che evidentemente non vuole svelare molto delle sue configurazioni, e' settato con un indirizzo statico per accedere ad un web interno, e con l'ip consecutivo per accedere alla VPN.
C'e' qualche configurazione particolare da "suggerire" al provider per aprire la VPN o pensate che il problema possa di pendere anche dalla configurazione del PIX? Fatemi sapere se e' il caso di postarla...
Per quella del router 837 purtroppo non ho nulla tranne la direttiva che hanno spedito via e-mail in seguito alla richiesta di apertura del router per accedere alla VPN del PIX. La posto qua di seguito:

Buongiorno come da vostra richiesta è stata aperta la porta 2380 l'ip pubblico sul quale dovete puntare è "ip_pubblico":
ip nat inside source static tcp 10.10.10.254 2380 "ip_pubblico" 2380 extendable

L'indirizzo ip 10.10.10.254 e' l'indirizzo outside del pix.
La rete inerna al pix e' in classe 192.168.1.x

Porta TCP 2380.... Come da noi richiesto... Mi sarei aspettato quanto meno la porta pptp 1723....
Si accetta ogni tipo di suggerimento.
Grazie a tutti in anticipo.
Saluti.

come dici tu e chiaro che la porta per una vpn pptp è la porta 1723 tcp per ipsec ovviamente ce ne volgiono altre tipo 1701 tcp porta 500udp e 4500udp dipende ovviamente dal tipo di vendor.
cmq per una tua migliore gestione della cosa, consiglio di farti rilasciare una /29 pubblica dal tuo provider in modo che tu possa gestire gli indirizzamenti pubblici come vuoi sul firewall senza tutte queste problematiche di sorta.
altrimenti devi abilitare per ogni cosa un nat sull'837.....

saluti
Giulio

gullio23 ha scritto:cmq per una tua migliore gestione della cosa, consiglio di farti rilasciare una /29 pubblica dal tuo provider.....

Ed in effetti e' una /29 ma... il router, di loro proprieta', per default ha tutte le porte sbarrate... ed ogni volta si fa una richiesta per aprirle sembra un affare di stato... Io non e' che mi senta un mago nella configurazione dell'837, ma l'ultima volta che ho dovuto far attivare l'accesso esterno verso un web in dmz, ho dovuto suggerire io come fare, perche' dopo vari tentativi, erano riusciti a bloccare anche l'accesso da interno->esterno...

Saluti,

Fagli un pass recovery :asd:

Andrea.Pezzotti ha scritto:Fagli un pass recovery :asd:

Grazie Andrea.... ma a questo punto prima di procedere come da tuo consiglio, provo a buttare la richiesta...
Magari se lascio le password "originali" ed intervengo io... ma qualcuno conosce le password del mitico provider ... Albxxom... ???

Saluti.

alcisco ha scritto:

Andrea.Pezzotti ha scritto:Fagli un pass recovery :asd:

Grazie Andrea.... ma a questo punto prima di procedere come da tuo consiglio, provo a buttare la richiesta...
Magari se lascio le password "originali" ed intervengo io... ma qualcuno conosce le password del mitico provider ... Albxxom... ???

Saluti.

credo la proposta di Andrea sia ironica....

Anche io ho lo stesso provider, e la voglia di cambiare le password e' tanta, ma non mi sono mai azzardato.

ciao, cmq io direi di assegnare all'interfaccia outside del firewall un ip pubblico appartenente alla /29 che ti hanno assegnato, e una volta testata la raggiungibilita dall'esterno che normalmente non e filtrata perche il router 837 ti fa solo da tramite e puoi gestirti tutto quello che vuoi.

837---> eth(ip pubblico /29) ---->pix----->outside(altro ip pubblico /29)

se hai difficolta contattami con msn e risolviamo la cosa.

Giulio