Cisco VPN klient software bag andet firewall?

Nrmalt placeres VPN indgangen til dit net ikke bag fireballen. Den placeres enten foran, ved siden af eller sammen med firewallen. Problemet med at åbne for vpn trafik gennem firewallen er at firewallen jo ikke har enchance for at kontrollere den krypterede trafik (da den er krypteret). Du ahr med andre ord laver et hul i din sikkerhed.

Du bør overveje at indkøbe en cisco vpn consentrator

VPN er TCP port 500 og port 10000. Hvis du ikke kører UDP encapsuleret så skal du også have åbnet for protocol 50 og 51. Jeg formoder du kører UDP encapsuleret.

Den firewall du har foran din Cisco VPN klient - er det en personlig firewall eller hvorledes?

I denne firewall skal du som sagt sørge for at have åbnet for port 500 og 10000 udgående. Jeg kan imodsætning til Bufferzone ikke se det helt store problem hvis dette er et hjemmenetværk eller lignende. Det er korrekt at en VPN concentrator vil være en mere hensigtsmæssig løsning, men man kan også skyde gråspurve med kanoner.

Hvis det er imod en PIX er det pr. default port 4500 via UDP (IPsec encapsulated) og port 500 UDP (IKE)......

Dette kræver dog at PIX'en kører PIX OS 6.3 og har "isakmp nat-traversal" enablet...

/Rubeck

nej, det jeg mener er, at hvis man sidder bag et andet FW (f.eks. Zyxel) og skal køre noget VPN mod en Cisco PIX, hvilken porte skal man åbne i Zywall for at tillade Cisco VPN trafik ud ad til?

Zywall er ikke spærret for udgående trafik med mindre du selv har konfigureret det

giver du ikke lige bufferzone, ®azzer® og rubeck , da de har givet et rigtig svar...

Ja mit svar er faktisk det rigtige iht DTN´s kommentar, men lad det ligge.
Det er åbenbart ikke tilfredsstillende svar for DTN siden det er ½ år siden svarene blev oprettet.

Mit svar er helt korrekt, det er bare ikke det du spørger om, derfor lagde jeg en kommentar. Giv du bare point til de andre

for at få cisco klienter igennem en zywall skal dette gøres på din zywall

If the CISCO clients are going to the same CISCO Access Concentrator,
you need to go to ZyWALL's CI command mode (SMT menu 24.8) by telnet
or console connect. Then issue this command, "ip nat incikeport on".