VPN-porte?

prøv at kigge her der står noget (på dansk)
http://www.svein.dk/Windows2000/Tips/Well_known_ip_ports_in_win2k.asp

The most commonly used protocol for VPN tunnels is PPTP. This protocol uses TCP1723 as it's default destination port.
To allow your visitors to use this type of VPN tunnel you need to allow ANY outgoing address+port (source) to connect to TCP 1723 (destination).

Ovenstående ville være mit umiddelbare forslag.

Forkert... Cisco VPN bruger ikke PPTP, men derimod IPSec.

Portene der bruges som standard er UDP port 500 og UDP port 10000 (UDP port 500 er kontroldata, og port 10000 er data). Disse porte er gældende, hvis ikke dit firma har ændret dem (det gør man typisk ikke). Derfor skal du blot sige til hotellet "Please open outgoing and incoming UDP ports 500 and 10000. Thank you very much".

Hvis ikke det virker, så kan du bede Danionics IT support om at opgradere Cisco VPN Concentratoren (hvis der er sådan en de bruger), minimum til version 3.5.x samt gøre det samme med din VPN klient. Denne opgradering vil gøre det muligt at køre VPN tunnellen over TCP port 80 (dvs. http).

Håber det lykkedes.

Laver det lige til et svar

Det er da ikke forkert at PPTP ER den mest udbredte protocol til VPN.
Hvis cicso KUN benytter IPSec (jeg antager at de benyttet L2TP) har de da et problem hvis brugeren sidder bag en NAT (og det kan jeg forestille mig at de gør på et hotel).

det er præcist problemet...men Danionics firewall bliver først opdateret om en måned, og det er lidt lang tid at vente.

mfpoulsen, jeg tager dit bud med ned og finder en der engelsk!

venturer,

Det er muligt at PPTP er den mest udbredte VPN protokol - men dit svar er irrelevant (derfor min kommentar at det var forkert).

Cisco benytter IPSec som standard, og de har ikke problemer med NAT sålænge tunnellen termineres på en Concentrator. Se Cisco's hjemmeside for mere info. Hvis du har flere kommentarer til mit svar, så overbring dem venligst på mlpn@hotmail.com, så de ikke forstyrrer spørgsmålsgiveren...

næ, snak gerne her, da det jo ikke kan skade med lidt info/synspunkter

wip13,

Okay, hvis ikke du har noget imod det, så tager jeg gerne imod flere spørgsmål om emnet her - hvis der er nogle.

vel, et: hvordan siger man det på kinesisk ;)

...de fatter ikke ret meget engelsk heromkring....ellers har jeg din mail der, og jeg skal nok spørge hvis der kommer noget op!

Heheh,

Du kan vel lynhurtigt lave en præsentation med et fancy netværksdiagram der viser en brændende mur, og en brandmand på indersiden og ydersiden der banker hul i muren lige præcis hvor skriften UDP/500 og UDP/10000 står... Tror du ikke de forstår den :-)

lol ...egentligt en god ide :;D

Kinesisk... Hmmm....

Anyways poulsen: det kan godt være at der står en koncentrator i den ene ende som kan køre Ipsec videre ud i verdenen. Men det hjælper ikke meget hvis brugeren i den anden ende sidder bag en NAT (på hotellet f.eks.) Så skal de jo OGSÅ have et termineringspunkt stående.
Umiddelbart har vi ikke fået noget at vide om hvilket udstyr der står på hotellet. Dérfor holder jeg mig til PPTP.

well, jeg ved det heller ikke...det gør de heller ikke selv. Mit bud er at der står en proxy/gateway/firewall...alle LAN-clienter får samme WAN IP, og det er det eneste jeg kan finde ud af :/

I så fald kan jeg heller ikke se det muligt at køre IPSec direkte fra din maskine til andre maskiner på nettet. Jeg tager muligvis fejl, men i det her tilfælde er jeg rimligt sikker.

venturer,

Jeg kan sagtens følge din tankegang. Grunden til at det er fløjtende ligegyldigt om hotellets firewall kører NAT eller ej, er fordi Ciscos implementering af NAT er understøttet i IPSec. Med andre ord, så bliver hverken source eller destination address feltet i pakkerne krypterede, og kan derfor ændres (det er NAT processen) uden at pakken bliver korrupt.

Alt er dog relativt - hvis de eksempelvis i opsætningen har valgt AH istedet for SHA, så bliver source address feltet også krypteret, og NAT er dermed ikke understøttet... Men den slags gør man KUN hvis man ved hvad man laver, og det lyder jo ikke umiddelbart som om IT afdelingen har lavet noget af den slags.

Forklarede det det hele lidt bedre ? Ellers lad mig vide det, og så skal jeg nok forklare yderligere. Som jeg tidligere sagde, så kan jeg uden problemer se hvorfor du hælder til PPTP, og det kan da også (alt afhængigt af behov) være det bedste at køre. Men når du vælger Cisco, så vælger du som udgangspunkt også IPSec (som i øvrigt er den mest sikre og fleksible af alle protokollerne, i min mening)...

Det er muligt i dette tilfælde at køre IPSec direkte fra Wip13's PC til firmanettet. Jeg har arbejdet med det i 2 år (som teknisk konsulent), så jeg ved af masser af erfaringer at det kan lade sig gøre...

Vi er helt enige om at IPSec er det sikreste. Dér skal der ikke herske nogen tvivl.
Nyheden for mig er at der er flere udgaver af IPsec (jeg arbejder selv i Windows verdnen og deres udgave af IPSec).
Du skriver at Ciscos implementering af NAT er understøttet i IPSec. Jeg forstår dig hvis du mener at Ciscos implementering af IPSec understøtter NAT, da Cisco jo ikke har "styr" over andres NAT. Det ligner en tyrkfejl, men jeg vil godt lige være sikker.
Ellers jeg er helt med på hvad du skriver, og jeg bøjer mig for overmagten.

venturer,

Jeg sad lige selv og læste det igennem igen... Og det er bestemt en tyrkfejl :-( sorry about that... Det er Ciscos implementering af IPSec der understøtter NAT.

Du skal bestemt ikke "bøje dig for overmagten"... Det bedste er nu engang en god teknisk diskution, og sparring. Så har vi jo forhåbentlig lært noget begge to...

Men vi snakkes nok ved næste gang en har et VPN problem ;-)

Så har vi jo forhåbentlig lært noget begge to...
...make that three