Dackel77

sorry, hab erst jetzt wieder Zeit für die Problematik gehabt.

Ist die 149er Addresse die "echte" Addresse des Interfaces oder ne DHCP o. PPPoE Addresse - weil bei der PIX hast du das ganze auf "Interface" laufen und nicht auf die IP.

bei der ASA hab ich es auf "Interface" laufen, ist aber die echte Outside-IP-Adresse.

Das loggin, sagt, dass die nat-rule das ganze dropped, aber was soll ich an der verändern... hm , bin etwas ratlos.

Hab auch schon den Port auf den selben internen server von der asa aus geleitet wie von der Pix, selbe ergebnis , von pix geht es, von asa nicht.

Ich bekomm auf der ganzen asa keinen einzigen Port geöffnet, gibt es noch irgendeine Einstellung, die den kompletten Verkehr per se verhindert?

(habe ASA auch auf Werkseinstellungen zurückgesetzt, dann nur Startup-Wizard über asdm und nur die oben gezeigten Einträge in der Console eingetragen.

Hallo Leute,

ich hab zwar über die SUchfunktion einiges gefunden aber ich hab auf einer ASA 5505 ein Problem: Die Portweiterleitung klappt nicht.Und das obwohl ich mit vielen Beispielen hier verglichen hab und hier auch auf einer anderen Leitung hier habe ich eine ältere PIX am laufen, über die genau der selbe Port ohne Probleme weitergeleitet ist.

Was muss bei der ASA zusätzlich noch gemacht werden und / oder was ist an diesen Eingaben nicht richtig??

habe:

 
access-list outside_access_in extended permit tcp any eq 5007 host 149.253.72.146 eq 5007

static (inside,outside) tcp interface 5007 192.168.13.4 5007 netmask255.255.255.255
access-group outside_access_in in interface outside

wobei halt Port 5007, der auf dem Outside Interface (149.253.72.146) reinkommt in unser Netz auf den Server 192.168.13.4 weitergeleitet werden soll.

Auf der Pix sieht das ganze so aus (meiner Meinung nach ist das identisch (bis auf die beteiligten IPs)

access-list acl_outside permit tcp any host 216.167.130.90 eq 5007

static (inside,outside) tcp 216.167.130.90 5007 192.168.13.3 5007 netmask 255.255.255.255 0 0

Vielen Dank für jeden Tipp !

Grüße

2ter Pool und ne passende ACL, waere am einfachsten.

Hallo Wordo, vielen Dank schonmal

ist ein zweiter Pool zwingend nötig?

Ich habe die Gruppe bereits angelegt und Ihr den selben Pool wie der bestehenden Gruppe zugeteilt.

Als Access-List habe ich für die Gruppe auf nur einen Host nur diese zugefügt:

access-list Gruppenname_splitTunnelAcl permit ip 192.168.23.104 255.255.255.255 any

Hallo Leute,

wir haben hier eine Pix506e über die auch unser vpn läuft.

Wir nutzen ein remote to pix vpn zum Einwählen von zuhause oder notebook mittels easy vpn client.

Unser internes netzwerk hat 192.168.23.X

Die per vpn bis jetzt angeschlossenen Clients bekommen von der pix ebenfalls 192.168.13.230-240 aus dem ihnen zugewiesenen Pool. Soweit klappt dies auch alles.

Jetzt benötigen wir aber für eine neue Gruppe Zugriffsrechte von den Clients auf nur einen speziellen Rechner im Netz.

Wie macht man dies am geschicktesten?

Ich würde jetzt eine neue VPN Gruppe anlegen, diese bekommt aus dem selben Pool IPs zugewiesen. Wie kann ich dieser Gruppe jetzt sagen, dass sie nur auf einen speziellen Rechner zugreifen darf?

Oder sollte man diesen Rechner und auch die neue Gruppe intern in ein anderes subnetz verlagern?

Habe leider noch nie mit mehr als einer Gruppe gearbeitet.

Danke für jede Hilfe

also das netzteil scheint es doch nicht zu sein, jetzt war ich kurz mit konsole drauf und auf einmal kann ich nix mehr eingeben und es leuchten wieder alle lämpchen grün (konnte so 2 minuten per konsole arbeiten, es ist nur konsole zur Zeit angeschlossen.

Musste die PIx also ausmachen, aber jetzt ist gleich nach neustart wieder alles am leuchten.

Du schreibst, dass die PIX beim POST abschmiert, wie kann ich das denn feststellen, wenn ich garkeinen zugriff habe?

wenn alles luchtet kann ich egal mit welcher Baudrate nicht auf die pix zugreifen, wenn soi wie eben dann doch mal Powerr leuchtet und hinten nichts kann ich mit den normalen Standardeinstellungen drauf (9600 Baud) Scheint mir irgendein Wackler oder so zu sein, ich schicke das Gerät zurück,werde cisco support kontaktieren und einen Austausch veranlassen.

Danke für Deine Hilfe , Wordo

ok, Fehler gefunden, das Netzteil scheint kaputt zu sein, mit denm Netzteil der anderen Pix geht es einwandtfrei, trotzdem Dakne für die Hilfe

nein, es kommt nix über terminal an, die Daten sind (denke ich) korrekt, da ich auf die andere Pix mit den selben Einstellungen vom selben Rechner per Console draufkomme.

Mich macht halt sehr stutzig dass sofort alle Lämpchen grün leuchten obwohl keine Kabel dran sind und vorne nur durchgehend netzwerk leuchtet. Bei der anderen Pix leuchtet dies beim Initialisieren alles kurz auf und dann leuchtet Power durchgehend und hinten leuchtet Link nur bei Verbindung und act flackert bei Datrenverkehr.

ich habe ein Konsolenkabel, aber die Leuchten leuchten so egal ob ein Konsolenkabel oder ein Netzwerkkabel aufgesteckt ist, selbst wenn nur Strom am Gerät dran ist sieht es so aus.

Ich komme per Console in diesem Zustsand nicht drauf. Ich vermute langsam dass die Kiste tatsächlich nicht ganz in Ordnung ist (ist eh nen Witz dass man ein älteres Gerät als Austausch bekommt as das Orginal welches man hatte, ist halt nur "generalüberholt".

Kann es noch irgendeine Zugriffsbeschränkung oder Sicherung ?

Es gibt doch noch diesen Monitoring bzw. boothelper-modus? Wie kommt man auf diesen? Der Link in der Onlinehelp auf das Benutzen dieses Modus funktioniert leider nicht

Hallo Leute !

Wir hatten hier eine defekte PIX 506e (stürzte immer nach ca. einer halben Stunde ab)

haben dann diese dank cisco-Servicevetrag austauschen lassen (während des Austausches habe ich ein Leihgerät unserers Händlers installiert , das zur Zeit auch einwandtfrei läuft). Jetzt möchte ich dies aber zurück geben und das Austauschgerät in Betrieb nehmen.

Hierfür habe ich von Cisco einen Registration Key zugesandt bekommen um die mit "restricted rights" gelieferte Pix zu aktualisieren.

Allerdings komme ich bei diesem Gerät garnicht so weit um Zugriff zu haben.

Wenn ich das Gerät einschalte sind hinnten alle LINK oder ACT Leuchten an der Rückseite des Gerätes dauerhaft am Leuchten und an der Vorderseite leuchtet nicht Power sondern durchgehend "Network"

Cisco schickt mir als Support leider immer nur Verweise auf Online-Hilfen aber zu diesem Problem kann ich nichts finden, ist das Gerät eventuell defekt? Hab ich in diesem Zustand eine Chance auf die Pix zuzugreifen?

Ich habe das Gefühl das sich die pix schon während des Bootensaufhängt.

Danke für jeden Tipp!

Grüsse

Marc

Hallo ! Seit gestern fällt bei unserer 506e Pix in unregelmässigen Abständen andauernd komplett die Verbindung weg, nach Reset ist alles dann wieder normal bis zum nächsten Abbruch.

LEDs an der Pix leuchten weiterhin normal, aber kein Zugriff mehr auf die IPs sowohl über ssh oder PDM.

In den Logs kann ich auch nichts finden.

Wenn ich während dessen z.B. den PDM aufhabe, steht plötzlich nure in den Interfacegrafiken "lost communications to pix".

Ich habe bemerkt, dass das Gehäuse der Pix relativ heiss ist. Wir haben sie noch nicht so lange im Einsatz, deswegen meine Frage: ist das normal ?

Und wenn es daran nichtl liegt hat jemand eine Idee wodran diese Abbrüche liegen können? Bis gestern lief alles einwandfrei und heut morgen hab ich festgestellt, dass die PIX "tot" war, resetet, ging, aber seit dem ist sie schon wieder zweimal tot gewesen.

In den Logs kann ich nix finden, bleibt wohl einfach stehen.

Danke für die Hilfe

Mit den oben genannten Einstellungen bekomme ich auch einen Connect von aussen im easy vpn-client, habe dann auch eine IP-Adresse aus dem eingerichteten Adresspool zugewiesen, aber wie bekomme ich jetzt Zugriff auf z.B. Netzfreigaben usw. ?

DNS-Server ist richtig angezeigt (192.168.15.2), IP ist richtig (192.168.15.60)

aber ich kann nichts sehen/pingen usw. im Netzwerk.

Was muss ich noch machen, dass der Rechner von aussen als "vollwertiges" Mitglied im Netz läuft?

Scheint so als wenn der VPN-Tunnel nur bis zur Pix aufgebaut wird, der Client dort die IP zugewiesen bekommt und das war es dann.

Wichtigstes Ziel wäre erstmal über vpn Outlook bzw. Exchange-Konten nutzen zu können.

Aber im Grunde ist ein Vollzugriff auf das Netzwerk gewünscht.

Wir haben im Netzwerk auf dem 192.168.15.X Segment eine Domäne firma.local laufen (Win2000 AD mit Exchange 2000).

Danke für jede Hilfe

habe jetzt die Pix mal testweise bei uns in die reele Umgebung integriert.

Ports und verbindungen gehen alle, die PIX ersetzt einen Linuxrechner, der vorher Gateway, DNS und iptabels-firewallscripts hatte.

Der DNS ist auf einen anderen (Windows) - Server umgezogen.

Es geht alles bis auf eine Sache:

Internetseiten aus z.b. den Favoriten werden beim ersten Mal laden nicht gefunden, lädt man die Seite danach erneut wird sie sofort gefunden.

Habe bereits DNS-Cache und Browser-Cache der Clients gelöscht.

Hat jemand eine Ahnung wodran das liegen kann?

kann das an der PIX liegen ?

Der DNS Server löst ohne Probleme Internetadressen via nslookup auf.

Die Clients haben die PIX inside-Schnittstelle als Gateway (ist die selbe die früher der alte DNS und das alte Gateway auch hatten.

bin für jeden Tipp dankbar, wieso sollte die erste Verbiindung scheitern, dioe zweite sofort danach gehen?

Hallo !

Ich richte gerade ein VPN auf der Pix 506e ein, es soll von aussen mit den Clientsauf das komplette LAN zugegriffen werden.

Ich habe die Grundkonfiguration jetzt über den VPN-Wizard vom PDM gemacht mit folgenden Einstelluungen:

Remote Access VPN

enabled auf dem OUTSIDE nterface

Cisco VPN Client als Client ausgewählt

VPN Client Group:

Name: Benutzergruppe (eigentlich der Firmenname)

Pre shared Key

Extended Client Authentication erstmal nicht

Adress-Pool:

vpn-benutzer

Start-Adress 192.168.15.60

End-Adress 192.168.15.70

Unser internes Lan befindet sich im selben Segment

DNS Server 192.168.15.2

Default Domain Name: firma.local (wie auch unsere normale Domain im Lan)

IKE Policy:

Encryption: 3DES

Authentication: MD5

DH Group: 1024bit

Transform Set:

Encryption: 3des

Authentication: md5

Adress Translation Exemption (Optional):

alles leer gelassen, damit das gesamte LAN dem VPN-Client gezeigt wird.

Meine Frage: wie dringend braucht man einen XAuth-Server?

Irgendwelche Konfigurationslücken oder Fehler, die man sich über den Wizard bei diesen Einstellungen einhandeln kann?

Mein Ziel ist es, dass alle per VPN verbundenen Rechner kompletten Netzwerkzugriff über den VPN-Tunnel haben und sozusagen keinen Unterschied ausser die Geschwindigkeit zum Arbeiten im Büro haben.

Über den Wizard werden auch alle nötigen Ports usw. für das VPN auf der Pix eingetragen oder muss ich manuell noch Einstellungen hierfür vornehmen?

Danke schon mal für die Tipps

Fehler hat sich erledigt, nach nochmaligem reboot hat die PIX dann die access-group akzeptiert, danke nochmal an alle :jau:

Hallo, das habe ich jetzt verstanden (dämlich von mir), aber damit ein Problem

ich habe jetzt mturbas syntax 1:1 übernommen,

die access-list acl-outside für beide Ports gemacht,

die statics für beide Ports sind auch vorhanden,

allerdings wenn ich jetzt

"access-group acl-outside in interface outside" eingebe,kommt:

ERROR: access-list <acl-outside> does not exist

Aber

access-list acl_outside permit tcp any host 217.146.123.123 eq smtp

access-list acl_outside permit tcp any host 217.146.123.123 eq 5003

ist vorhanden

Wodran kann das liegen? Schreibfehler ist es nicht, hab ich 10x ausprobiert

hallo,

irgendwie steh ich wieder auf dem Schlauch,

für smtp habe ich die Weiterleitung auf die entsprechende IP gemacht, klappt auch,

der zweite Port muss jedoch auf eine andere IP weitergeleitet werden,

also habe ich für den Port 5003 (hoffentlich) alles identisch gemacht wie von Euch oben beschrieben, nur halt mit der anderen internen IP.

Aber hier verstehe ich die Syntax noch nicht, wie bekomme ich für den neuen Eintrag eine access-group hin, oder muss ich die irgendwie zusammenfassen für das outside interface?

Wenn ich eingebe

access-group filemaker in interface outside

überschreibt diese ja

access-group smtp in interface outside

wie sage ich der Pix für das outside-interface also zwei verschiedene Ports auf unterschiedliche interne ips :suspect: ?

Irgendwie gibt mir die PIX Syntax Rätsel auf :suspect: .

die dazugehörigen access-lists und statics sehen so aus:

access-list smtp permit tcp any eq smtp host 217.146.123.123 eq smtp

access-list filemaker permit tcp any eq 5003 host 217.123.123 eq 5003

static (inside,outside) tcp 217.146.123.123 smtp 192.168.13.6 smtp netmask 255.255.255.255 0 0

static (inside,outside) tcp 217.146.123.123 5003 192.168.13.3 5003 netmask 255.255.255.255 0 0

Hm, klingt irgendwie nach nem Problem mit NAT... hast du NAT konfiguriert?

ja, hab ich (die Standard-inside ist alles erlaubt-rule)

aber hat sich auch erledigt, es geht jetzt, auf dem "neuen" DNS war die IP der PIX noch nicht richtig eingetragen, jetzt läuft alles nach plan, trotzdem danke für die Antwort

So, ich wollte jetzt das Wochenende mal nutzen um testweise unseren alten Linuxserver durch die PIX zu ersetzen.

Ich habe die interne IP auf die selbe wie vorher der Linuxserver hatte, gesetzt damit nicht alle clients das default-gateway neu eintragen müssen.

Die outside-ip ist auch auf unsere statische IP eingetragen, trotzdem bekomme ich zu nichts ausserhalb mit einem Client Verbindung.

Wenn ich Ping von der PIX selbst nach ausserhalb und intern abgebe funktioniert dies.

Als Defaultgateway auf der PIX ist die IP des ISP-Routers eingetragen, auf den Clients die IP der PIX.

Dazu sei noch gesagt das der ausgetauschte Linuxserver bis vor kurzem unser DNS Server war, allerdings läuft dieser jetzt auf einem Windowsserver seit ca. einer Woche ohne Probleme (wobei der Linux-DNS noch parallel lief, aber als DNS nirgends mehr eingestellt war).

Jemand eine Idee, wo ich mit der Fehlerbehebung anfangen sollte ?

Die PiX506e mit Standardeinstellungen sollte ja von intern erstmal alles erlauben, so dass ich auf ein DNS-Problem oder ähnliches tippe aber keine Idee habe wodran es liegt, was meint ihr ?

ja, danke schon mal, scheint ja tatsächlich auch mit console ganz gut zu machen sein,

zumal der pdm bei zweien dieser Rules auch unter "Show Comands ignored by PDM" diese auflistet.

Somit scheint er ja tatsächlich nicht alles abzubilden, was die pix kann.

smtp funktioniert hier unter testbedingung schon mal.

Sollte man noch irgendetwas beachten, wenn man alle benötigten Ports (wie oben) freigegeben hat und sonst alles auf "Standard" von outside alles weiter denied und von intern alles allowed.

Irgendwelche nicht-standards die man bei einem einfachen netz mit firewall zum internet umbedingt noch machen sollte?

Danke für die Infos.

Eigentlich wird in dem o.g. zweiten Link alles dargestellt!

In deiner ACL "Mail" musst du nicht die lokale IP angeben, sondern die globale, sprich 217.146.x.x oder wie soll die interne IP auf dem outside-intreface ziehen?

 

Heisst also im Detail:

 

1. Erstelle eine ACLfür smtp und definiere dort, wer (welche IP, in deinem Fall also any) auf Deinen Mailserver zugreifen darf. Dabei musst du beachten, dass die Freigabe auf die NAT-Adresse des Mailservers verweist, also auf die 217.146.x.x

 

ok , dass habe ich jetzt gemacht, ist logisch ich erlaube also allen von aussen auff unsere öffentliche IP smtp zu senden, und alles von port 25 wird dann durch die static auf die interne IP des Mailservers weitergeleitet.

Deine DNS-Konfiguration sollte dann so aussehen, dass der MX-Record auf die 217-er IP zeigt.

Das verstehe ich allerdings nicht, warum reicht bei unserem Internen DNS Server nicht die LAn-IP des Servers ?

Von aussen ist der MX Eintrag ja eh von unserem ISP DNS auf die 217.146.... gesetzt, oder meintest Du den ?

ok, danke, dann werd ich mal consolidieren :D

Schon mal danke und nur zum Verständnis hier mal wie ich es dann machen würde:

HI

 

Aber jetzt musst du einmal einen Access-liste für das outside interface anlegen da jeder auf die server ip address auf port 25 und die beiden anderen ports die du brauchst zugriff haben soll.

 

wäre also bei mir als Befehl

access-list MAIL permit tcp any host 192.168.13.XXX eq smtp

um auf diesen Rechner im Inside den Port 25 zu bringen

 

dann mappst du diese alc aufs outside interface mit den befalle access-group ACL in interface outside

 

würde dann so aussehen, oder?

access-group MAIL in interface outside

 

dann brauchst du noch ein Static, hast du ne fixe ip addresse?

 

wenn ja.

 

dann kommt noch das hinzu

 

static (inside,outside) tcp EXTERNE IP 25 INTERNE IP 25 netmask 255.255.255.255 0 0

 

also so:

static (inside,outside) tcp 217.146.XXX.XXX 25 192.168.001.001 25 netmask 255.255.255.255 0 0

fertig arbeit.

du siehst du musst ganze 3 zeilen in die config eintragen und fertig.

mfg

onedread

so hab mich da jetzt mal soweit durchgelesen, ist auch verständlich

unser Mailserver hat NUR die interne 192.168.XXX.XXX IP,so dass das Beispiel mit der zweiten IP aus dem Outsideadressbereich es scho verkompliziert.

Es soll also alles was auf Port 25 ankommt einfach auf diese interne Adresse weitergeleitet werden (so wie es zur Zeit bei unserer Linux-Firewall auch ist).

Eigentlich geht es mir auch nur um eine geschickte Anleitung/Übersetzung zwischen den Console-Befehlen und dem PDM 3 (bin von natur aus eher der Mausbediener als der Console-tipper. Wie müsste ich zum Beispiel das Beispiel aus Deinem Link im PDM konfigrieren, kannst Du das sagen oder geht das eventuell garnicht darüber?

danke für die Infos

danke schon mal !

Aber genau das ist ja der Punkt:

es ist wieder in der Console erklärt, ich möchte aber genau diese Einstellungen im PDM machen und den versteh ich nicht,

möchte ich aber.

Das Dokument hilft mir für die Console gut weiter aber um jetzt zu wissen was ich im PDM einstellen muss, würde ich es jetzt so per console einstellen und mir dann im PDM angucken, ist irgendwie von hinten durchs Knie ins Auge geschossen.

Hallo Forum !

So, habe jetzt nach der Grundkonfiguration für die PIX 506e endlich die (knappe) Zeit sie testweise mal komplett einzurichten.

Ich denke, dass man die Grundkonfiguration für ein einfaches LAN mit Anbindung an das Internet auch gut über den PDM hinbekommen sollte.

Allerdings finde ich meist nur die Console-Befehle in Tutorials und Anleitungen.

Unsere Konfig ist:

Inside-> 1 Netzwerk

Es sollen SMTP-Mails auf einen Exchangeserver in diesem Netz von aussen ankommen

Ausserdem sollen auf dem selben Rechner noch 2 Ports für Filemakerdatenbanken durchgelassen werden

Outside-> Internet

Ich muss doch z.B. für SMTP nur auf "Add Rule"

-> permit

Source Host

Interface Outside

Protocol and Service

Source Port

TCP ->Service -> SMTP

Destination Host

Interface Inside

IP Adresse 192.168.XX.XX des Servers

Mask 255.255.255.255

Und als Destination Port / Service ebenfalls SMTP

angeben oder bin ich da komplett vom Verständnis dieses Dialoges falsch gewickelt ?

Danke für die Infos

Grüsse

IP-Adressen für die Interfaces sind soweit konfiguriert

aber die Durchleitung für die Ports finde ich über den PDM irgendwie unverständlich.

Hallo !

Vielen Dank für die Hilfe :D , es war tatsächlich die Baudgeschwindigkeit vom Console Port, mit 2400 kam die Verbindung zustande, Defaults geladen-> wieder voller Zugriff über Web.

aber das mit dem DHCP-Bereich ist ja ein bissl nervig:

wenn man das Interface in ein anderes Subnet bringen will, meckert es das, der dhcp Pool nicht in diesem Subnet ist und übernimmt die Änderung nicht ,

will man aber den DHCP Pool erst in das entsprechende subnet bringen, meckerts ebenso, dass das Interface nicht in diesem Subnet ist :suspect: ein Teufelskreis ! :) Und das obwohl ich dhcp eh nicht aktiviert habe.

Schon eine etwas seltsame Konfigurationsbremse...