VPN (IP-SEC) aus dem internen Netz über eine PIX 501 von Cisco

#0
25.09.2006, 20:02
...neu hier

Beiträge: 2
#1 hallo,
ich habe ein kleines Problem, ich soll unsere PIX 501 konfigurieren.

Folgende Aufgabe:
---------------------
PC(IP:10.200.30.XX)
mit einem VPN-Client
I
I---lokales Netz
I
v
PIX 501
Sie soll den Traffic natten.
I
I---Internet
I
v
FW von der Gegenstelle
Soll im Moment überhaupt mal anworten ;-)
(Hier habe ich keinen zugriff, sondern nur mein BN und PW)
----------------------------

So nun habe ich das Problem, das sich IPSec und NAT nicht besonders verstehen. "NAT-Tunnel" verwende und "IKE über TCP" ist auf den Client eingestellt. Der Client Ist ein Checkpoint NGX .

Was muß ich auf der PIX 501 bitte freigeben oder wo muß der Haken hin, das Sie diese Pakete vernünftigt nattet?


Hier eine kleine Info zu einer Seite wo das Problem beschrieben wird....
http://onair.funkwerk-ec.com/brueckenschlag_zwischen_nat_und_ipsec.html
Dieser Beitrag wurde am 25.09.2006 um 21:25 Uhr von culan editiert.
Seitenanfang Seitenende
06.10.2006, 16:58
...neu hier

Themenstarter

Beiträge: 2
#2 Hat den Hier keiner eine IDee???
Seitenanfang Seitenende
06.10.2006, 21:22
Moderator
Avatar hevtig

Beiträge: 2312
#3 Hi,
ich habe leider lange keine Pix mehr in der Hand gehabt, und checkpoint ngx noch gar nicht.
Beide Seiten müssen NAT-Traversal unterstützen. Wegen des NATs müßtest du auf alle Fälle den agressive Mode einsetzen.Interessant wäre ansich eher, was auf der Gegenseite eingestellt ist, da es ja auch davon abhängt, was du einstellen mußt.
Ob du an der PIX noch irgendwas einstellen muß, daß er das IPSEC unverändert weiterleitet weiß ich ehrlich gesagt nicht. interessant sind in solchen Fällen auch die Logs. NGX müßte ja Logs machen, sowie die PIX auch. Da könnte man ja evtl. sehen, wo es da hapert.

Ansonsten auch ganz informativ:
http://www.different-thinking.de/ipsec_nat_traversal.php
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!
Seitenanfang Seitenende
17.10.2006, 20:16
Member

Beiträge: 93
#4 Ich hab daheim nen popligen Netgear WLAN Router.
Der nattet IPSEC problemlos.
Wiso muss das bei den teuren Profi Kisten immer so kompliziert sein, dass man ohne 15 jähriges Studium der Informatik die Teile nicht zum laufen kriegt?
Frag ich mich manchmal... ;-)
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: