Speedtouch 510i und Cisco PIX 501 - remote site-to-site VPN

Fragen rund um die Themen Netzwerk und Technik, die keinem Betriebssystem zuzuordnen sind. Beiträge rund um Hardware gehören auch hier rein (ausser bei Treiber-Fragen, diese dann im jeweiligen Subforum des passenden Betriebssystemes stellen).

Speedtouch 510i und Cisco PIX 501 - remote site-to-site VPN

Beitragvon blackserver » Di 01 Feb, 2005 19:28

Hallo,

ich versuche seit Monaten eine site-to-site VPN Verbindung zwischen 2 Cisco PIX 501 herzustellen, leider bis jetzt immer ohne Erfolg. Vielleicht kenn einer von euch eine Lösung.

Netzwerkkonfiguration:

LAN 1:

Alcatel Speedtouch 510i: (outside) 81.223.xx.xx - 10.0.0.138 (inside)
PIX 501: 10.0.0.140 (outside) - 192.168.0.1 (inside)
Inside LAN: 192.168.0.2 - ..........

LAN 2:

Alcatel Speedtouch 510i: (outside) 80.89.xx.xx - 10.0.0.138 (inside)
PIX 501: 10.0.0.140 (outside) - 192.168.1.1 (inside)
Inside LAN: 192.168.1.2 - ..........


Vom PDM der Pix in LAN 1 kann ich einen Ping auf Pix in LAN 2 durchführen, umgekehrt genauso. Ein Tunnel wird jedoch nicht aufgebaut. Der Traffic vom LAN zum 510i erfolgt mit PAT. In der 510i ist jedoch meines Wissens ebenfalls NAT implementiert, kann dies der Grund sein, warum der VPN - Tunnel nicht aufgebaut wird. Im Menü des 510i habe ich als Standard Server 10.0.0.140 angegeben, was auch super funktioniert, denn eine Einwahl vom Notebook via PPTP ist problemlos möglich.

Für Vorschläge wäre ich sehr dankbar!

Mfg
Arnold
Zuletzt geändert von blackserver am Di 01 Feb, 2005 19:35, insgesamt 1-mal geändert.
blackserver
Neu im Board
Neu im Board
 
Beiträge: 11
Registriert: Di 13 Apr, 2004 08:59

Beitragvon computerherby » Di 01 Feb, 2005 19:33

10.0.0.0.140
gibt es nicht!
Wie ist die Netmask im 192-er Netz?
computerherby
Board-User Level 3
Board-User Level 3
 
Beiträge: 1184
Registriert: Mi 01 Okt, 2003 19:56
Wohnort: Wien

Beitragvon blackserver » Di 01 Feb, 2005 19:36

Subnetmask: 255.255.255.0 im LAN (10.0.0.0.140 war ein Schreibfehler von mir..)
blackserver
Neu im Board
Neu im Board
 
Beiträge: 11
Registriert: Di 13 Apr, 2004 08:59

Beitragvon computerherby » Di 01 Feb, 2005 19:38

192.168.0.x und 192.168.1.x willst Du per VPN verbinden?
Stimmt das?
computerherby
Board-User Level 3
Board-User Level 3
 
Beiträge: 1184
Registriert: Mi 01 Okt, 2003 19:56
Wohnort: Wien

Beitragvon blackserver » Di 01 Feb, 2005 19:40

Genau, LAN 1 und LAN 2, ist das Problem, dass beide als Subnetmask 255.255.255.0 verwenden?
blackserver
Neu im Board
Neu im Board
 
Beiträge: 11
Registriert: Di 13 Apr, 2004 08:59

Beitragvon computerherby » Di 01 Feb, 2005 19:40

Naja, ich wĂĽrde 255.255.0.0 vorschlagen.
computerherby
Board-User Level 3
Board-User Level 3
 
Beiträge: 1184
Registriert: Mi 01 Okt, 2003 19:56
Wohnort: Wien

Beitragvon blackserver » Di 01 Feb, 2005 19:42

und du meinst nicht, dass das problem mit PAT in der Pix und NAT im 510i zu tun hat?
blackserver
Neu im Board
Neu im Board
 
Beiträge: 11
Registriert: Di 13 Apr, 2004 08:59

Beitragvon computerherby » Di 01 Feb, 2005 19:47

Ich meine, dass ein 510 kein Business-Modem ist.
Ob es funzt oder nicht wird wahrscheinlich nur ĂĽber einen richtige Konfiguration auszutesten sein.
Mit 3*255 kannst Du jedenfalls nur von 192.168.0.0 bis .254 adressieren.
In das 192.168.1.x kommst so nicht.
computerherby
Board-User Level 3
Board-User Level 3
 
Beiträge: 1184
Registriert: Mi 01 Okt, 2003 19:56
Wohnort: Wien

Beitragvon blackserver » Di 01 Feb, 2005 19:49

Und was wäre deiner Meinung nach ein Business Modem?
blackserver
Neu im Board
Neu im Board
 
Beiträge: 11
Registriert: Di 13 Apr, 2004 08:59

Beitragvon computerherby » Di 01 Feb, 2005 19:50

610 (i)
computerherby
Board-User Level 3
Board-User Level 3
 
Beiträge: 1184
Registriert: Mi 01 Okt, 2003 19:56
Wohnort: Wien

Beitragvon Dark SoLdIeR » Di 01 Feb, 2005 20:20

computerherby hat geschrieben:Mit 3*255 kannst Du jedenfalls nur von 192.168.0.0 bis .254 adressieren.
In das 192.168.1.x kommst so nicht.


das is ja wurscht, da man ĂĽber vpn's auch routing machen kann ;)

blackserver hat geschrieben:Vom PDM der Pix in LAN 1 kann ich einen Ping auf Pix in LAN 2 durchfĂĽhren,

hä? du kannst also von lan1/pix1 zum lan2/pix2 pingen? wenn das geht, steht auch der vpn tunnel, sonst würdest nicht ins lan2 kommen
Die Funktion Suchen ist nicht zur Verzierung da.
Dark SoLdIeR
Board-User Level 1
Board-User Level 1
 
Beiträge: 727
Registriert: Mi 02 Jul, 2003 16:27
Wohnort: OĂ–

Beitragvon blackserver » Di 01 Feb, 2005 20:31

ich kann die outside ip adresse des 510i (80.89.xxx.xxx) pingen, diese leitet alle Anfragen an den Standardserver 10.0.0.140 (die Pix2 ) weiter und die pix antwortet mit Datenpaketen auf den Ping. Im Lan2 bin ich da noch lange nicht...
blackserver
Neu im Board
Neu im Board
 
Beiträge: 11
Registriert: Di 13 Apr, 2004 08:59

Beitragvon Dark SoLdIeR » Di 01 Feb, 2005 21:03

>> einen ping auf pix in lan 2 durchfĂĽhren

aso, hab ich wohl falsch interpretiert ;)

hmm, vielleicht hat die pix probleme mit den nat des speedtouch (wie blackserver schon meinte)
es gibt eine konfig, mit der das modem dhcp spoofing betreiben kann, somit wĂĽrde die pix die externe ip des modems bekommen.
musst mal hier im forum suchen, da hats schon einige beiträge über dhcpspoofing vom speedtouch gegeben.
Die Funktion Suchen ist nicht zur Verzierung da.
Dark SoLdIeR
Board-User Level 1
Board-User Level 1
 
Beiträge: 727
Registriert: Mi 02 Jul, 2003 16:27
Wohnort: OĂ–

Versuch einer technischen Erklärung.

Beitragvon antropos » Mi 02 Feb, 2005 14:46

Hallo,

wenn du ein Pix to Pix VPN machen willst, meinst du einen IPSec Tunnel. IPSec besteht in der Regel aus 2 Komopnenten. Dem Schlüsselmanagement (IKE) und der eigentlichen Datenübertragung (ESP). IKE läuft auf dem UDP Port 500 und lässt sich problemlos NATten. ESP ist das "Protokoll #50" der Protokollfamilie IP und lässt sich normalerweise nicht übersetzen. Einige Hersteller machen Tricks wie VPN Passthrough oder ähnliches um es dennoch drüber zu bringen. Soweit ich weiß, kann das SpeedTouch das nicht.
Cisco wählt als Alternativmethode das sogenannte NAT-T, wo die ganze Session nochmals in ein UDP Frame eingepackt wird. Du musst also die Pixen dazu bewegen nicht plain IPSec, sondern NAT-T zu sprechen. Mein Tipp: gehe auf www.cisco.com und suche nach "EZVPN" oder "NAT-T". Da gibt es einige Beispiele...


GruĂź
antropos
antropos
Junior Board-Mitglied
Junior Board-Mitglied
 
Beiträge: 70
Registriert: Mo 31 Jan, 2005 16:28
Wohnort: Wiener Neudorf

Beitragvon blackserver » Mi 02 Feb, 2005 22:52

Ich habe eine IPsec Verbindung zwischen den 2 PIX konfiguriert, diese Konfig ist von einem Cisco TAC Mitarbeiter geprĂĽft worden und sollte so einwandfrei funktionieren. Das Problem besteht darin, wass die outside IP Adresse nicht direkt vom Internet aus erreichbar ist, weil sich davor das 510i befindet. Das 510i setzt zwar die outside IP der Pix als Standard server (= alle Anfragen, welche an das 510i gehen, werden automatisch an die Pix weitergegeben) jedoch scheint dies bei IPsec nicht zu funktionieren. Eine Verbindung zb. vom Notebook via PPTP zur Pix inkl. Radius-Authentifizierung funktioniert hingegeb problemlos.

Aus diesem Grund möchte ich DHCP Spoofing im 510i aktivieren, damit meine Pix anstatt das 510i die offentliche IP zugewiesen bekommt.

Leider habe ich eine solche Konfiguration fĂĽr das 510i bis jetzt nicht gefunden.
blackserver
Neu im Board
Neu im Board
 
Beiträge: 11
Registriert: Di 13 Apr, 2004 08:59


ZurĂĽck zu TECHNIK, NETZWERK & HARDWARE

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 56 Gäste