VPN (IP-SEC) aus dem internen Netz über eine PIX 501 von Cisco

#1 hallo,
ich habe ein kleines Problem, ich soll unsere PIX 501 konfigurieren.

Folgende Aufgabe:
---------------------
PC(IP:10.200.30.XX)
mit einem VPN-Client
I
I---lokales Netz
I
v
PIX 501
Sie soll den Traffic natten.
I
I---Internet
I
v
FW von der Gegenstelle
Soll im Moment überhaupt mal anworten ;-)
(Hier habe ich keinen zugriff, sondern nur mein BN und PW)
----------------------------

So nun habe ich das Problem, das sich IPSec und NAT nicht besonders verstehen. "NAT-Tunnel" verwende und "IKE über TCP" ist auf den Client eingestellt. Der Client Ist ein Checkpoint NGX .

Was muß ich auf der PIX 501 bitte freigeben oder wo muß der Haken hin, das Sie diese Pakete vernünftigt nattet?


Hier eine kleine Info zu einer Seite wo das Problem beschrieben wird....
http://onair.funkwerk-ec.com/brueckenschlag_zwischen_nat_und_ipsec.html

#2 Hat den Hier keiner eine IDee???

#3 Hi,
ich habe leider lange keine Pix mehr in der Hand gehabt, und checkpoint ngx noch gar nicht.
Beide Seiten müssen NAT-Traversal unterstützen. Wegen des NATs müßtest du auf alle Fälle den agressive Mode einsetzen.Interessant wäre ansich eher, was auf der Gegenseite eingestellt ist, da es ja auch davon abhängt, was du einstellen mußt.
Ob du an der PIX noch irgendwas einstellen muß, daß er das IPSEC unverändert weiterleitet weiß ich ehrlich gesagt nicht. interessant sind in solchen Fällen auch die Logs. NGX müßte ja Logs machen, sowie die PIX auch. Da könnte man ja evtl. sehen, wo es da hapert.

Ansonsten auch ganz informativ:
http://www.different-thinking.de/ipsec_nat_traversal.php
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!

#4 Ich hab daheim nen popligen Netgear WLAN Router.
Der nattet IPSEC problemlos.
Wiso muss das bei den teuren Profi Kisten immer so kompliziert sein, dass man ohne 15 jähriges Studium der Informatik die Teile nicht zum laufen kriegt?
Frag ich mich manchmal... ;-)