[ccna_turk] RE: Pix'ten gecerek VPN

From: mehmet <mehmetsaid_at_....>
Date: Thu 16 Jun 2005 - 17:12:56 EEST


Hocam eline saglik, Allah ne muradin varsa versin

Link cok guzeldi. Tam benim isim icin...  

Amma velakin olmuyo ya..

Asagidaki sekilden farkim:

  • Benim tek real IP'm var. O yuzden anlatimdaki gibi 209.165.201.5 seklinde bir IP veremem.
  • Client XP SP2 (FW disabled)
  • Pix'in Inside bacagi ile client arasinda L3 Switch var. (Client uzerine hic bir ACL yok)

Notlar:

  • Dokumanda 10.0.0.4 diye bir Ipden bahsedilmis ama galiba yanlislik var boyle bir IP yok ortada.
  • Pix Versiyonumuz 6.3 (4) oldugu icin "Commands to Add for Version 6.3" kisminda anlatilanlari uyguluyorum.
  • Ayrica bizde zaten asagidaki satirlar var. O yuzden static map'a de gerek yok
  • pixfirewall(config)#nat (inside) 1 0.0.0.0 0.0.0.0 0 0
  • pixfirewall(config)#global (outside) 1 interface
  • Bu durumda benim sadece fixup protocol pptp 1723 yazmam yeterli olacak gibi ama olmuyo.
  • Debug pptp deidigmde surekli suna benzer satirlar akiyor:
    1. PPTP set-link-info: (inside:10.63.33.252/1593 -> outside:209.165.201.25/1723)
    2. PPTP set-link-info: (inside:10.63.33.252/1593 <- outside:209.165.201.25/1723)
    3. PPTP set-link-info: (inside:10.63.33.252/1593 -> outside:209.165.201.25/1723)
    4. PPTP set-link-info: (inside:10.63.33.252/1593 <- outside:209.165.201.25/1723)
    5. PPTP set-link-info: (inside:10.63.33.252/1593 -> outside:209.165.201.25/1723)
    6. PPTP set-link-info: (inside:10.63.33.252/1593 <- outside:209.165.201.25/1723)

pix_pptp_01.gif

Commands to Add for Version 6.2

Follow these steps to add commands for version 6.2:

Define the static mapping for the inside PC. The address seen on the outside is 10.0.0.4.

pixfirewall(config)#static (inside,outside) 209.165.201.5 10.48.66.106 

                      netmask 255.255.255.255 0 0

Configure and apply the ACL to permit the GRE return traffic from the PPTP server to the PPTP client.

pixfirewall(config)#access-list acl-out permit gre host 209.165.201.25 

                      host 209.165.201.5

Apply the ACL.

pixfirewall(config)#access-group acl-out in interface outside

Commands to Add for Version 6.3

Follow these steps to add commands for version 6.3:

Enable the fixup protocol pptp 1723 using the following command.

pixfirewall(config)#fixup protocol pptp 1723

You do not need to define a static mapping if the PPTP fixup protocol is enabled; you can use PAT.

pixfirewall(config)#nat (inside) 1 0.0.0.0 0.0.0.0 0 0  

pixfirewall(config)#global (outside) 1 interface      

From: ccna_turk@yahoogroups.com [mailto:ccna_turk@yahoogroups.com] On Behalf Of Selçuk COŞAN
Sent: Wednesday, June 15, 2005 11:09 AM
To: ccna_turk@yahoogroups.com
Subject: RE: [ccna_turk] Pix'ten gecerek VPN  

Merhaba

Eğer PAT çalışıyorsa PPTP de ilk bağlantı TCP 1723 ten olmasına rağmen cevap GRE/47 protokolü üstünden olacağı için session drop olucaktır diye tahmin ediyorum.Bunun için PIX in session ı izleyip ona göre geri dönüş için gerekli portlara izin vermesi gerekiyor.Bunu da fixup ile yapıyor.  

fixup protocol pptp 1723    

Ama daha sağlıklı bilgi için siz aşağıdaki linke bir göz atın.

Kolay gelsin.  

http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configuration _example09186a0080094a5a.shtml    

From: ccna_turk@yahoogroups.com [mailto:ccna_turk@yahoogroups.com] On Behalf Of mehmet
Sent: Wednesday, June 15, 2005 12:54 AM
To: ccna_turk@yahoogroups.com
Subject: [ccna_turk] Pix'ten gecerek VPN

Arkadaslar bir konuda yardiminizi istiyorum

Sekil olarak ifade etmem gerekirse asagidaki gibi bir baglanti var.

Client > Switch > Pix > Internet > VPN Server  

XP clientta olusturulan bir VPN baglantisi ile Pixten gecerek VPN yapmak istiyorum.

Bu baglanti netstat -an komutu ile gordugum uzere, 1723 portu kullanan bir pptp baglantisi..

Established olarak gorunuyor ancak baglanti kurulamiyor. Ya time out oluyor ya da bir takim hatalarla sonlaniyor.  

Pix'e baktigimda debug pptp dersem onlarca hatta yuzlerce satir birden akmaya basliyor. Surekli client ve remote VPN server birbirlerine bi seyler gonderiyorlar gibi.  

Pixte conduit permit ip any any var ; Inside dan disari her turlu gecis serbest.  

Ve ben pix'i aradan cikarirsam bu baglanti hemen kuruluyor. Ama Pix arada olursa baglanti kurulamiyor.

Ekteki bir suru makaleyi okudum denemeler yaptim ama yok olmadi..  

Tesekkur ederim.

image001.gif
Received on Thu Jun 16 17:18:14 2005
Bu mesajin iceriginden yalnizca gondericisi sorumludur. E-kaynak.net liste arsivi mesaj icerigiyle ilgili herhangi bir sorumluluk kabul etmez.
Diger E-Kaynak Servisleri: Arama Motoru - Son Dakika