Ciao a tutti, sono nuovo sia del forum che del mondo Cisco.
In azienda abbiamo un PIX506e ed è stata configurata una VPN utilizzabile con il suo client.
Sono riuscito con vari consigli e manuali a configurare lo split tunnel per poter navigare mentre si è connessi, tramite l'attivazione (l'ho letto qui da qualche parte sul forum) del "Traversal NAT" riesco a far connettere alla rete anche un nostro client remoto con Fastweb senza IP pubblico, ho un server WINS e un DNS interni per la risoluzione dei nomi, etc.
C'è solo una cosa che non mi torna: i client remoti possono collegarsi con VNC o RDP ai desktop locali, ma io da locale non riesco a collegarmi nello stesso modo a loro.
Pingo tranquillamente, gli IP del pool assegnato ai client remoti ma non mi ci posso collegare.
Può dipendere dalla configurazione del firewall perchè in realtà comunque vede questi IP sull'interfaccia outside e quindi blocca le porte giuste (es. 3389) da dentro verso fuori oppure dipende da altro? Anche perchè da fuori verso dentro sono ovviamente bloccate, ed in VPN funziona...quindi sono inside...
Avete qualche consiglio?
Mi servirebbe più che altro per offrire assistenza remota ai client dislocati in giro, e non mi va di installare software alternativi (es. Hamachi).
Grazie a tutti per l'aiuto!!!
Vpn con PIX506e e Desktop Remoto
Moderatore: Federico.Lagni
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Direi che il problema non sono le acl sul pix ma molto più probabilmente la configurazione dei pc che si connettono in vpn, sei sicuro che l'rdp sia abilitato dai pc che si connettono in vpn?
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
alberto_y
- n00b
- Messaggi: 6
- Iscritto il: gio 17 mag , 2007 8:20 am
Ciao!
Innanzitutto grazie...
Poi si, sono abilitati.
All'interno dalla LAN posso collegarmi da e per i vari pc via RDP (sia come client che come host), idem con i client che si collegano via VPN (ad es. notebook, raggiungibili via RDP quando sono in LAN ma non quando sono in VPN).
Li pingo e loro possono accedere ai servizi interni alla LAN via VPN...
Innanzitutto grazie...
Poi si, sono abilitati.
All'interno dalla LAN posso collegarmi da e per i vari pc via RDP (sia come client che come host), idem con i client che si collegano via VPN (ad es. notebook, raggiungibili via RDP quando sono in LAN ma non quando sono in VPN).
Li pingo e loro possono accedere ai servizi interni alla LAN via VPN...
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Allora controlla le tue acl associate alla interfaccia inside.
Devono essere permesse le connessioni rdp (3389 rdp) da inside (almeno l'ip della tua macchina) verso outside.
Devono essere permesse le connessioni rdp (3389 rdp) da inside (almeno l'ip della tua macchina) verso outside.
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
alberto_y
- n00b
- Messaggi: 6
- Iscritto il: gio 17 mag , 2007 8:20 am
Grazie mille.
Ci riprovo, devo aver già provato mi pare...impostando any ip lato inside verso il POOL di indirizzi VPN, porta RDP...ma magari ho sbagliato qualcosa probabilmente.
Se riesco provo prima con il modem UMTS, magari ci mette del suo anche il router remoto.
Quindi mi dici che anche se l'IP della VPN risulta far parte della rete LAN inside per collegari ad esso devo aprire la porta RDP verso outside.
Perchè io pensavo che potendo da un indirizzo facente parte del POOL VPN utilizzare servizi accessibili solo essendo all'interno dall LAN...potessi collegarmi a lui senza aprire nulla da dentro a fuori.
Appena riesco posto i risultati delle prove.
Grazie e ciao!
Ci riprovo, devo aver già provato mi pare...impostando any ip lato inside verso il POOL di indirizzi VPN, porta RDP...ma magari ho sbagliato qualcosa probabilmente.
Se riesco provo prima con il modem UMTS, magari ci mette del suo anche il router remoto.
Quindi mi dici che anche se l'IP della VPN risulta far parte della rete LAN inside per collegari ad esso devo aprire la porta RDP verso outside.
Perchè io pensavo che potendo da un indirizzo facente parte del POOL VPN utilizzare servizi accessibili solo essendo all'interno dall LAN...potessi collegarmi a lui senza aprire nulla da dentro a fuori.
Appena riesco posto i risultati delle prove.
Grazie e ciao!
-
alberto_y
- n00b
- Messaggi: 6
- Iscritto il: gio 17 mag , 2007 8:20 am
A differenza dell'altra volta quando ho provato ho creato un nuova sottorete sull'interfaccia outside con gli IP del POOL VPN.
Poi ho fatto sì che qualunque interno su qualunque porta può collegarsi a uno di quegli indirizzi sull'interfaccia outside solo sulla porta 3389...e funziona.
Non va se metto come origine e destinazione 3389...deve essere any->3389.
L'altra volta ho fatto la stessa cosa però ho scelto il POOL VPN come "gruppo", e quindi probabilmente era assegnato sull'interfaccia errata.
Grazie a tutti.
Ciao!
Poi ho fatto sì che qualunque interno su qualunque porta può collegarsi a uno di quegli indirizzi sull'interfaccia outside solo sulla porta 3389...e funziona.
Non va se metto come origine e destinazione 3389...deve essere any->3389.
L'altra volta ho fatto la stessa cosa però ho scelto il POOL VPN come "gruppo", e quindi probabilmente era assegnato sull'interfaccia errata.
Grazie a tutti.
Ciao!
