VPN Dialer - Autenticazione RADIUS con server dietro a VPN

metalgalle · sab 05 lug , 2008 8:35 am

Ciao a tutti,
mi trovo di fronte ad un "problema" forse un po' singolare....

Premessa:
cliente con PIX 501 ver 6.3 configurato VPN Dialer con auth RADIUS su IAS tutto ok, funzia alla grande...

Mo' capita che ho dovuto traslocargli mezzo datacenter in un'altra sede e gli ho messo su una VPN L2L.
Sebbene la suddetta VPN vada benone, non riesco più ad accedere con il VPN Dialer, poichè il PIX non raggiunge il RADIUS dall'altro capo della VPN.

Mi sono subito dato del beota, poichè il server era configurato per stare sulla inside, ma anche modificando la conf e dicendogli che sta sulla outside, non è cambiato nulla....

Di fatto il problema è proprio che il PIX stesso non riesce ad inoculare il suo traffico dentro la VPN, e quindi non arriva al RADIUS...

Che posso fa'????

Grazie in anticipo dell'aiuto!!

Ciaooooooo!

Wizard · lun 07 lug , 2008 9:34 am

La vpn l2l è tra il 501 e...?

metalgalle · lun 07 lug , 2008 10:17 am

Wizard ha scritto:La vpn l2l è tra il 501 e...?

Funkwerk R1200.

Solita VPN l2l 3DES-MD5, PSK, senza modifiche al mss, senza ACL nel mezzo.

Tutto ok se uso qualsiasi applicazione, al FS, al TS, al DNS, al WINS, ICMP...

Il problema è proprio riuscire a far dialogare la "console" del 501 con la LAN remota....

Wizard · lun 07 lug , 2008 11:21 am

Prova a dare il comando:

"management-access inside"

sul PIX

metalgalle · lun 07 lug , 2008 11:28 am

Wizard ha scritto:Prova a dare il comando:

"management-access inside"

sul PIX

Okkeio, mo provo, ma anche se il server è di fatto su di una VPN che sta sulla outside?

metalgalle · lun 07 lug , 2008 11:36 am

Purtroppo, nulla di fatto....

Non funge ancora..

Wizard · lun 07 lug , 2008 1:18 pm

Ma il server lo pinghi dalla console del pix?

metalgalle · lun 07 lug , 2008 2:24 pm

Wizard ha scritto:Ma il server lo pinghi dalla console del pix?

No, il problema è proprio questo....

Codice: Seleziona tutto

Schema:
LAN1 > PIX > INTERNET/VPN > R1200 > LAN2

Il fatto è che il server è in linea e funzante, poichè dalla LAN1 è pienamente raggiungibile ed attivo x tutti i suoi servizi...

Wizard · lun 07 lug , 2008 2:56 pm

Strano...
L'IP della inside del pix 501 è nella stessa subnet della lan 1?

metalgalle · mar 08 lug , 2008 4:17 pm

Wizard ha scritto:Strano...
L'IP della inside del pix 501 è nella stessa subnet della lan 1?

Dunque:
LAN1 (192.168.0.0/24) > PIX (192.168.0.254) > Internet > R1200 (10.128.0.254) > LAN2 (10.128.0.0/24)

Sempre grazie x l'interessamento!!

Wizard · mar 08 lug , 2008 8:27 pm

Guarda, sinceramente non conosco i prodotti Funkwerk però ti posso assicurare che tra 2 apparati Cisco la console riesce a pingare i pc remoti di una vpn in questo modo (da pix\asa\fwsm):

ping inside IP

Se da te non va proverei a controllare anche la parte Funkwerk e a debuggare un po'!
Ad esempio:

quando fai il ping dal PIX, il traffico della vpn aumenta? In questo modo ti assicuri che il firewall instradi correttamente il traffico!

metalgalle · gio 10 lug , 2008 11:27 am

Wizard ha scritto:Guarda, sinceramente non conosco i prodotti Funkwerk però ti posso assicurare che tra 2 apparati Cisco la console riesce a pingare i pc remoti di una vpn in questo modo (da pix\asa\fwsm):

ping inside IP

Se da te non va proverei a controllare anche la parte Funkwerk e a debuggare un po'!
Ad esempio:

quando fai il ping dal PIX, il traffico della vpn aumenta? In questo modo ti assicuri che il firewall instradi correttamente il traffico!

Dai, vedo se c'è qualcosa, ma non credo, cmq (e scusa l'ignoranza) esiste un comando traceroute sul PIX?

Wizard · ven 11 lug , 2008 9:34 am

No il traceroute su PIX non c'è...

VPN Dialer - Autenticazione RADIUS con server dietro a VPN

Login • Iscriviti