VPN Client Cisco 4.x "IPSec over TCP"

[RobertoGatto]

Salve a tutti.
Vorrei provare la connessione VPN da Client Cisco 4.6 in modalità trasporto over TCP (port 10000 di default). E' possibile? Ho cercato tramite PDM ma non ho trovato nulla a riguardo (è anche vero che sono assolutamente profano in materia).
Penso che questa modalità potrebbe farmi comodo per configuare il router (da quattro soldi) di cui dispongo.
Attualmente, collegandomi direttamente sulla porta outside del PIX, riesco ad effettuare una connessione VPN con Client Cisco in modalità "IPSec over UDP (NAT/PAT)".
Ringrazio fin d'ora chi vorrà aiutarmi.

[RobertoGatto]

Ho dimenticato di dire che il PIX è un 501.

[Wizard]

Non ho capitoo se la cosa la devi fare su un pix o router...
In tutti i casi perchè lo vuoi fare?
In udp non funziona?

[RobertoGatto]

Non ho capitoo se la cosa la devi fare su un pix o router...
In tutti i casi perchè lo vuoi fare?
In udp non funziona?

Grazie Wizard. Cercherò di far maggiore chiarezza sullo scenario. Perdona qualche mia inesattezza nella terminologia...

Se il PC in cui faccio girare VPN Client Cisco lo connetto direttamente alla porta outside del PIX501, la connessione funziona perfettamente in modo UDP.
Il fatto è che ovviamente il client Cisco (i clients...) saranno in WAN, in Internet per capirsi, e quindi devo configurare il router che ho nel sito per far passare il VPN.
Siccome dispongo di un unico indirizzo IP (statico) con il quale devo fare anche dell'altro oltre al VPN, pensavo di configurare il router (non Cisco) affinchè esponesse verso l'esterno (in ADSL) il PIX. Nel router di cui dispongo, questo lo posso fare esplicitando il protocollo (UDP/TCP), la porta utilizzata e ovviamente l'indirizzo IP che voglio esporre (nel mio caso il PIX501). Questo obbliga a fissare in modo definitivo la porta utilizzata e per questo pensavo che la modalità VPN over TCP facesse al caso mio. Che dici? Ho fatto un gran casino?

[Wizard]

Se il PC in cui faccio girare VPN Client Cisco lo connetto direttamente alla porta outside del PIX501, la connessione funziona perfettamente in modo UDP.

OK!


Il fatto è che ovviamente il client Cisco (i clients...) saranno in WAN, in Internet per capirsi, e quindi devo configurare il router che ho nel sito per far passare il VPN.

Certo!


Siccome dispongo di un unico indirizzo IP (statico) con il quale devo fare anche dell'altro oltre al VPN, pensavo di configurare il router (non Cisco) affinchè esponesse verso l'esterno (in ADSL) il PIX.

Ci sono!


Nel router di cui dispongo, questo lo posso fare esplicitando il protocollo (UDP/TCP), la porta utilizzata e ovviamente l'indirizzo IP che voglio esporre (nel mio caso il PIX501). Questo obbliga a fissare in modo definitivo la porta utilizzata e per questo pensavo che la modalità VPN over TCP facesse al caso mio. Che dici? Ho fatto un gran casino?

Ok capito! fai un nat delle porte isakmp: 500 e 4500 udp

[RobertoGatto]

Ok capito! fai un nat delle porte isakmp: 500 e 4500 udp

Molto bene Wizard. Ci siamo!

Sarei già contento così sennonchè l'appetito vien mangiando... Mi sa che dovrei aprire un altro thread perchè la questione non c'entra nulla con questo, ma il nuovo non saprei come intitolarlo...

Ti spiego:
Ora ho il mio bel collegamento VPN da un PC (con Cisco client) in qualsiasi parte del mondo verso la LAN dell'azienda che devo controllare. Tutto bene finchè:
a) o il PC client è da solo (collegato a modem o router)
b) o il PC client è in una rete con indirizzamento diverso dalla LAN dell'azienza da controllare.

Sul punto (b) so già che sarà dura, in quanto mi capita di spostarmi in varie aziende alcune delle quali hanno lo stesso indirizzamento (192.168.0.x) della LAN dell'azienda in cui c'è il PIX 501.

E' una questione che si può risolvere senza obbligare nessuno a cambiare gli indirizzi a tutti i dispositivi connessi in rete?

Ti ringrazio ancora molto, te e tutti i partecimenti di questo forum
Ciao.

[Wizard]

In effetti una vpn tra 2 subnet ugiali su Cisco di default assolutamente non va...
L'unica tua soluzione è "inventarti" delle regole di nat...
In bocca al lupo!