Avatar billede dtn Nybegynder
21. december 2004 - 10:34 Der er 9 kommentarer

Cisco VPN klient software bag andet firewall?

Hvilken porte skal man åbne i sin firewall for at bruge Cisco VPN klient software mod PIX 515?

Det er noget med, at den bruger en række af porte så som 62514, 62520, 62516 & noget protokoller!?

tak.

vh. DTN
Avatar billede bufferzone Praktikant
21. december 2004 - 10:41 #1
Nrmalt placeres VPN indgangen til dit net ikke bag fireballen. Den placeres enten foran, ved siden af eller sammen med firewallen. Problemet med at åbne for vpn trafik gennem firewallen er at firewallen jo ikke har enchance for at kontrollere den krypterede trafik (da den er krypteret). Du ahr med andre ord laver et hul i din sikkerhed.

Du bør overveje at indkøbe en cisco vpn consentrator
Avatar billede ®azzer® Nybegynder
21. december 2004 - 13:46 #2
VPN er TCP port 500 og port 10000. Hvis du ikke kører UDP encapsuleret så skal du også have åbnet for protocol 50 og 51. Jeg formoder du kører UDP encapsuleret.

Den firewall du har foran din Cisco VPN klient - er det en personlig firewall eller hvorledes?

I denne firewall skal du som sagt sørge for at have åbnet for port 500 og 10000 udgående. Jeg kan imodsætning til Bufferzone ikke se det helt store problem hvis dette er et hjemmenetværk eller lignende. Det er korrekt at en VPN concentrator vil være en mere hensigtsmæssig løsning, men man kan også skyde gråspurve med kanoner.
Avatar billede rubeck Nybegynder
21. december 2004 - 23:04 #3
Hvis det er imod en PIX er det pr. default port 4500 via UDP (IPsec encapsulated) og port 500 UDP (IKE)......

Dette kræver dog at PIX'en kører PIX OS 6.3 og har "isakmp nat-traversal" enablet...

/Rubeck
Avatar billede dtn Nybegynder
22. december 2004 - 09:16 #4
nej, det jeg mener er, at hvis man sidder bag et andet FW (f.eks. Zyxel) og skal køre noget VPN mod en Cisco PIX, hvilken porte skal man åbne i Zywall for at tillade Cisco VPN trafik ud ad til?
Avatar billede toontech Nybegynder
17. januar 2005 - 22:53 #5
Zywall er ikke spærret for udgående trafik med mindre du selv har konfigureret det
Avatar billede jens_bach Nybegynder
13. maj 2005 - 21:29 #6
giver du ikke lige bufferzone, ®azzer® og rubeck , da de har givet et rigtig svar...
Avatar billede toontech Nybegynder
13. maj 2005 - 23:30 #7
Ja mit svar er faktisk det rigtige iht DTN´s kommentar, men lad det ligge.
Det er åbenbart ikke tilfredsstillende svar for DTN siden det er ½ år siden svarene blev oprettet.
Avatar billede bufferzone Praktikant
14. maj 2005 - 01:53 #8
Mit svar er helt korrekt, det er bare ikke det du spørger om, derfor lagde jeg en kommentar. Giv du bare point til de andre
Avatar billede henrikchr Nybegynder
20. april 2006 - 13:12 #9
for at få cisco klienter igennem en zywall skal dette gøres på din zywall

If the CISCO clients are going to the same CISCO Access Concentrator,
you need to go to ZyWALL's CI command mode (SMT menu 24.8) by telnet
or console connect. Then issue this command, "ip nat incikeport on".
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester