Pagina 1 di 1
VPN Dialer - Autenticazione RADIUS con server dietro a VPN
Inviato: sab 05 lug , 2008 8:35 am
da metalgalle
Ciao a tutti,
mi trovo di fronte ad un "problema" forse un po' singolare....
Premessa:
cliente con PIX 501 ver 6.3 configurato VPN Dialer con auth RADIUS su IAS tutto ok, funzia alla grande...
Mo' capita che ho dovuto traslocargli mezzo datacenter in un'altra sede e gli ho messo su una VPN L2L.
Sebbene la suddetta VPN vada benone, non riesco più ad accedere con il VPN Dialer, poichè il PIX non raggiunge il RADIUS dall'altro capo della VPN.
Mi sono subito dato del beota, poichè il server era configurato per stare sulla inside, ma anche modificando la conf e dicendogli che sta sulla outside, non è cambiato nulla....
Di fatto il problema è proprio che il PIX stesso non riesce ad inoculare il suo traffico dentro la VPN, e quindi non arriva al RADIUS...
Che posso fa'????
Grazie in anticipo dell'aiuto!!
Ciaooooooo!
Inviato: lun 07 lug , 2008 9:34 am
da Wizard
La vpn l2l è tra il 501 e...?
Inviato: lun 07 lug , 2008 10:17 am
da metalgalle
Wizard ha scritto:La vpn l2l è tra il 501 e...?
Funkwerk R1200.
Solita VPN l2l 3DES-MD5, PSK, senza modifiche al mss, senza ACL nel mezzo.
Tutto ok se uso qualsiasi applicazione, al FS, al TS, al DNS, al WINS, ICMP...
Il problema è proprio riuscire a far dialogare la "console" del 501 con la LAN remota....
Inviato: lun 07 lug , 2008 11:21 am
da Wizard
Prova a dare il comando:
"management-access inside"
sul PIX
Inviato: lun 07 lug , 2008 11:28 am
da metalgalle
Wizard ha scritto:Prova a dare il comando:
"management-access inside"
sul PIX
Okkeio, mo provo, ma anche se il server è di fatto su di una VPN che sta sulla outside?
Inviato: lun 07 lug , 2008 11:36 am
da metalgalle
Purtroppo, nulla di fatto....
Non funge ancora..
Inviato: lun 07 lug , 2008 1:18 pm
da Wizard
Ma il server lo pinghi dalla console del pix?
Inviato: lun 07 lug , 2008 2:24 pm
da metalgalle
Wizard ha scritto:Ma il server lo pinghi dalla console del pix?
No, il problema è proprio questo....
Il fatto è che il server è in linea e funzante, poichè dalla LAN1 è pienamente raggiungibile ed attivo x tutti i suoi servizi...
Inviato: lun 07 lug , 2008 2:56 pm
da Wizard
Strano...
L'IP della inside del pix 501 è nella stessa subnet della lan 1?
Inviato: mar 08 lug , 2008 4:17 pm
da metalgalle
Wizard ha scritto:Strano...
L'IP della inside del pix 501 è nella stessa subnet della lan 1?
Dunque:
LAN1 (192.168.0.0/24) > PIX (192.168.0.254) > Internet > R1200 (10.128.0.254) > LAN2 (10.128.0.0/24)
Sempre grazie x l'interessamento!!
Inviato: mar 08 lug , 2008 8:27 pm
da Wizard
Guarda, sinceramente non conosco i prodotti Funkwerk però ti posso assicurare che tra 2 apparati Cisco la console riesce a pingare i pc remoti di una vpn in questo modo (da pix\asa\fwsm):
ping inside IP
Se da te non va proverei a controllare anche la parte Funkwerk e a debuggare un po'!
Ad esempio:
quando fai il ping dal PIX, il traffico della vpn aumenta? In questo modo ti assicuri che il firewall instradi correttamente il traffico!
Inviato: gio 10 lug , 2008 11:27 am
da metalgalle
Wizard ha scritto:Guarda, sinceramente non conosco i prodotti Funkwerk però ti posso assicurare che tra 2 apparati Cisco la console riesce a pingare i pc remoti di una vpn in questo modo (da pix\asa\fwsm):
ping inside IP
Se da te non va proverei a controllare anche la parte Funkwerk e a debuggare un po'!
Ad esempio:
quando fai il ping dal PIX, il traffico della vpn aumenta? In questo modo ti assicuri che il firewall instradi correttamente il traffico!
Dai, vedo se c'è qualcosa, ma non credo, cmq (e scusa l'ignoranza) esiste un comando traceroute sul PIX?
Inviato: ven 11 lug , 2008 9:34 am
da Wizard
No il traceroute su PIX non c'è...