DIG Digital Corner
Alles wat je altijd al over computers, hardware, software, internet en elektronische gadgets had willen weten, maar niet op Tweakers.net durft te vragen.
Eén van onze gebruikers in het pand heeft toegang gekregen m.b.v. VPN bij een organisatie waar ze aangesloten zijn. Cisco VPN software geinstalleerd, maar op het moment van connectie maken verliest deze compleet de verbinding met het lokale netwerk.
Nu denk je even simpel net zoals bij de Microsoft VPN software het vinkje aan uit te zetten bij default gateway gebruiken voor deze verbinding. Helaas die optie is er niet in de software.
Wel de optie: allow use of local network, maar ook deze optie geeft mij geen mogelijkheid tot bereiken van 1 van de lokale adressen.
Het rare is alleen dat de VPN verbinding wel blijft bestaan, maar ik geen enkel adres kan vinden op het remote network. Als ik handmatig routes ga aanmaken op de pc maakt het allemaal nog geen verschil uit.
Iemand een idee?
Met allerlei andere soorten VPN's helemaal geen problemen, maar die van Cisco krijg ik maar niet werkend. Firewall aanpassingen zijn gemaakt en staat volledig VPN verkeer naar buiten toe.
Nu denk je even simpel net zoals bij de Microsoft VPN software het vinkje aan uit te zetten bij default gateway gebruiken voor deze verbinding. Helaas die optie is er niet in de software.
Wel de optie: allow use of local network, maar ook deze optie geeft mij geen mogelijkheid tot bereiken van 1 van de lokale adressen.
Het rare is alleen dat de VPN verbinding wel blijft bestaan, maar ik geen enkel adres kan vinden op het remote network. Als ik handmatig routes ga aanmaken op de pc maakt het allemaal nog geen verschil uit.
Iemand een idee?
Met allerlei andere soorten VPN's helemaal geen problemen, maar die van Cisco krijg ik maar niet werkend. Firewall aanpassingen zijn gemaakt en staat volledig VPN verkeer naar buiten toe.
Groepssex is eigenlijk gewoon time-management!
Drugs are only for losers and sex maniacs!
Drugs are only for losers and sex maniacs!
bij mij op school (HS leiden) is het precies hetzelfde. We zitten ook met een VPN verbinding op internet maar op het moment dat je die inschakeld pakt hij een ander ip en zie je niets binnen je lokale netwerk meer.
De enige oplossing die wij ervoor hebben is je VPN uitzetten..
De enige oplossing die wij ervoor hebben is je VPN uitzetten..
What goes around, Comes around
aanvinken in je settings : alow local LAN accessquote:Op vrijdag 10 februari 2006 14:59 schreef faculty het volgende:
bij mij op school (HS leiden) is het precies hetzelfde. We zitten ook met een VPN verbinding op internet maar op het moment dat je die inschakeld pakt hij een ander ip en zie je niets binnen je lokale netwerk meer.
De enige oplossing die wij ervoor hebben is je VPN uitzetten..
Zou het moeten doen.
Welke client gebruiken jullie?
Allow local LAN access werkt dus niet. Die optie had ik ook al gevonden.quote:Op vrijdag 10 februari 2006 15:07 schreef ruftie78 het volgende:
[..]
aanvinken in je settings : alow local LAN access
Zou het moeten doen.
Welke client gebruiken jullie?
Versie: 4.0.2 (b) is aangeleverd. Ik heb nog niet gekeken of er toevallig een nieuwere versie uit is.
Groepssex is eigenlijk gewoon time-management!
Drugs are only for losers and sex maniacs!
Drugs are only for losers and sex maniacs!
Is de ip range aan beide kanten mischien gelijk ? Dit zou de oorzaak kunnen zijn waardoor je het gewone netwerk niet kan bereiken. Dat je geen adres op het externe netwerk kan bereiken klinkt als een NAT fout. Staan in de cisco router / firewall de NAT rules goed ?
Ip-ranges zijn niet gelijk. Wij een 172.x.x.x reeks en zij een 10.x.x.x reeks. Indien dit wel het geval zou zijn kon ik alsnog kunnen volstaan door mijn eigen routes aan te maken m.b.v. route add op de betreffende pc. Er hoeft namelijk maar connectie gemaakt te worden naar 1 server aan de VPN kant.quote:Op vrijdag 10 februari 2006 16:19 schreef Tommes het volgende:
Is de ip range aan beide kanten mischien gelijk ? Dit zou de oorzaak kunnen zijn waardoor je het gewone netwerk niet kan bereiken. Dat je geen adres op het externe netwerk kan bereiken klinkt als een NAT fout. Staan in de cisco router / firewall de NAT rules goed ?
In onze firewall staat al het VPN-verkeer naar buiten toe op allow en ook al het verkeer wat van binnenuit geauthenticeerd is en van buiten komt. Wat ik ook al eerder zei: VPN verkeer via andere clients gaat wel goed.
Ik zie nu wel ineens dat hij staat op IPsec over UDP. Mogelijk nog even in de firewall controleren of hij dat ook compleet toestaat. Nog steeds houd je dan het probleem dat hij het lokale netwerk niet kan benaderen indien er connectie is.
Groepssex is eigenlijk gewoon time-management!
Drugs are only for losers and sex maniacs!
Drugs are only for losers and sex maniacs!
Zelfde probleem met ons eigen Cisco VPN gehad. Wij connecten naar een Cisco PIX 515. Volgens onze leverancier ondersteund dat apparaat standaard niet de mogelijkheid voor Allow Local Lan Acces. Via de Cisco kb heb ik uiteindelijk een mogelijkheid gevonden om Local Lan Access wel mogelijk te maken. Zo uit mijn hoofd roep ik dat er iets met split-tunneling ingesteld moest worden op de PIX bij ons om het actief te krijgen.
Maar dat is duidelijk dus iets aan de kant van de VPN-hoster en dat is nu net niet het geval.quote:Op zaterdag 11 februari 2006 00:42 schreef Murph het volgende:
Zelfde probleem met ons eigen Cisco VPN gehad. Wij connecten naar een Cisco PIX 515. Volgens onze leverancier ondersteund dat apparaat standaard niet de mogelijkheid voor Allow Local Lan Acces. Via de Cisco kb heb ik uiteindelijk een mogelijkheid gevonden om Local Lan Access wel mogelijk te maken. Zo uit mijn hoofd roep ik dat er iets met split-tunneling ingesteld moest worden op de PIX bij ons om het actief te krijgen.
Maandag maar even contact met ze opnemen.
Meer input is zeer welkom, maar ik ga wel even verder zoeken met de info die je gegeven hebt.
Groepssex is eigenlijk gewoon time-management!
Drugs are only for losers and sex maniacs!
Drugs are only for losers and sex maniacs!
Het kan kloppen dat het niet mag, de server kant geeft namelijk aan of het mag of niet.
uit security oogpunt wil je ook helemaal niet dat je local lan of zelfs (trill) internet access hebt als je op een vpn zit.
Wanneer je die twee dingen tegelijkertijd hebt dan creer je namelijk en securitylek van heb ik jou daar. (omdat een onbeschermde PC via het vpn in het vertrouwde netwerk zit)
uit security oogpunt wil je ook helemaal niet dat je local lan of zelfs (trill) internet access hebt als je op een vpn zit.
Wanneer je die twee dingen tegelijkertijd hebt dan creer je namelijk en securitylek van heb ik jou daar. (omdat een onbeschermde PC via het vpn in het vertrouwde netwerk zit)
Want ik ben HYPER dan HYPER dan HYPER dan HYPE! Overhyped voor als je dat niet begrijpt
Daar heb je helemaal gelijk in, maar dit is gewoon geen werkbare situatie. Gebruikers moeten namelijk zaken zoals Outlook en verkenners naar netwerkshares eerst gaan sluiten voordat ze verbinding gaan maken om errors te voorkomen.quote:Op dinsdag 14 februari 2006 21:10 schreef overhyped het volgende:
Het kan kloppen dat het niet mag, de server kant geeft namelijk aan of het mag of niet.
uit security oogpunt wil je ook helemaal niet dat je local lan of zelfs (trill) internet access hebt als je op een vpn zit.
Wanneer je die twee dingen tegelijkertijd hebt dan creer je namelijk en securitylek van heb ik jou daar. (omdat een onbeschermde PC via het vpn in het vertrouwde netwerk zit)
Vandaag de melding aangemeld bij het betreffende bedrijf. Nu even afwachten.
Tips van jullie zijn tot nu toe echt super. Hier kan ik echt wel wat mee!
Groepssex is eigenlijk gewoon time-management!
Drugs are only for losers and sex maniacs!
Drugs are only for losers and sex maniacs!
CISCO VPN...quote:Op vrijdag 10 februari 2006 15:07 schreef ruftie78 het volgende:
[..]
aanvinken in je settings : alow local LAN access
Zou het moeten doen.
Welke client gebruiken jullie?
maar het werkt idd.. heel erg bedankt...
What goes around, Comes around
Waarom werkt het bij jou wel..quote:Op donderdag 16 februari 2006 11:20 schreef faculty het volgende:
[..]
CISCO VPN...
maar het werkt idd.. heel erg bedankt...
Groepssex is eigenlijk gewoon time-management!
Drugs are only for losers and sex maniacs!
Drugs are only for losers and sex maniacs!
Eindelijk antwoord gekregen. Het blijkt idd een policy instelling te zijn zoals Overhyped al aangaf. Met de info van Murph heb ik ze wel op de goede richting gezet, want split tunneling blijkt hier idd voor te werken.
Allemaal bedankt. Het is nu wel niet opgelost aangezien ze het niet gaan aanpassen, maar het is iig duidelijk!
Allemaal bedankt. Het is nu wel niet opgelost aangezien ze het niet gaan aanpassen, maar het is iig duidelijk!
Groepssex is eigenlijk gewoon time-management!
Drugs are only for losers and sex maniacs!
Drugs are only for losers and sex maniacs!
|
|
