mike1017

Hallo Team, noch eine Anmerkung. Mann/Frau kann das Nat`en auch ausschalten in dem ein NAT 0 statement eingefügt wird, dass der PIX sagt es muss/soll kein NAT gemacht werden. Dies macht nätürlich nur dann Sinn wenn das outside Interface für einen Bereich im local LAN konfiguriert werden soll/muss. Der Mike

Hallo ich würde noch das fixup protocol für Port 25 aktivieren. Dieses Kommando der Pix schützt Deinen Mail Server zusätzlich gegen Attacken die über das SMTP möglich sind Also : fixup protocol smtp 25 Der Mike

Hallo Basti, die Pix arbeitet default mäßig nach folgendem Schema : - Es gibt security Levels pro Interface : Outside interface ist die Verbindung zum SP oder Internet und hat immer Security Level 0 (d.h. absolut unsecure aus Sicht der PIX) Inside interface ist das interface ins lokale Netzwerk und hat immer Security Level 100 (d.h. absolut secure aus Sicht der Pix) Daraus leitet die Pix folgendes regelwerk ab, ohne dass dieses konfiguriert werden muss : Traffic von inside nach outside immer erlaubt, Traffic von outside nach inside default mäßig verboten. Wenn eine Verbindung von inside nach outside aufgebaut wird und es nur eine IP Adresse auf dem outside Interface gibt, arbeitet die PIX im PAT Modus d.h. Pix ersetzt alle source Adressen des inside Netzes durch die IP Adresse des outside interfaces. Daraus läßt sich erklären dass nur Traffic vom outside interface zum inside interface flißen können die zu einer Verbindung gehören die vom inside Interface initiiert wurden (uups... etwas schwierig zu verstehen......) Weitere wichtiger Punkt : Access control listen werden pro interface zugewiesen und beziehen sich immer auf den incoming Traffic aus Sicht des Interfaces !!!!!!!!!! Möchtest Du nun eine Verbindung vom outside interface zum inside Interface erlauben, muss als erstes folgendes gemacht werden : Ein statisches mapping zwischen einer outside IP Adresse und einer inside IP Adresse d.h. outside Netwerk 172.168.0.0 inside Netzwerk 10.0.0.0 Mapping muss wie folgt realisiert werden : Outside IP Adresse 172.168.0.1 zu inside IP Adresse 10.0.0.1 d.h die Verbingung wird nicht von outside zur IP Adresse 10.0.0.1 aufgebaut sondern zur IP Adresse 172.168.0.1 und die PIX weiß jetzt dass die IP Adresse 10.0.0.1 gemeint ist. Jetzt kommt die Access contol Liste. In der ACL definierts Du alle permit statements auf die IP Adresse 172.168.0.1 und bindest diese ACL auf das outside Interface Dies zum Verständniss. Du kannst den PDM (Pix device Manager verwenden der Dir bei der konfiguration hilft. Die PIX (PDM) kannst Du aber nur über das inside interface / die IP Adresse des inside interfaces erreichen. Anbei noch ein link zu Beispiel Konfigurationen der PIX bei Cisco http://www.cisco.com/en/US/products/sw/secursw/ps2120/products_configuration_guide_chapter09186a008008cd36.html Viel Spaß beim konfigurieren Der Mike

Hallo This, her we go. Lade die config auf den AP. Du kannst dann über den Web browser Dir die config genauer anschauen Have fun cheers Mike aaa new−model !−−− This command reinitializes the authentication, !−−− authorization and accounting functions ! ! aaa group server radius rad_eap server 192.168.2.108 auth−port 1812 acct−port 1813 !−−− a server group for RADIUS is created called "rad_eap" !−−− using the server at 192.168.2.108 on ports 1812 and 1813 ! aaa authentication login eap_methods group rad_eap ! !−−− authentication [user validation] is to be done for !−−− users in a group called "eap_methods" who will use server group "rad_eap" ! bridge irb ! interface Dot11Radio0 no ip address no ip route−cache ! encryption key 1 size 128bit 12345678901234567890123456 transmit−key !−−− The value here seeds the initial key for use with !−−− broadcast [255.255.255.255] traffic. If more than one VLAN is Cisco − LEAP Authentication with Local RADIUS Server !−−− used, then keys must be set for each VLAN. encryption mode wep mandatory !−−− This defines the policy for the use of WEP. If more than one !−−− VLAN is used, the policy must be set to mandatory for each VLAN. ! ssid labap1200 authentication network−eap eap_methods !−−− Expect that users attaching to SSID "labap1200" will be !−−− requesting authentication with the type 128 Network EAP authentication !−−− bit set in the headers of those requests, and group those users into !−−− a group called "eap_methods." ! speed basic−1.0 basic−2.0 basic−5.5 basic−11.0 rts threshold 2312 channel 2437 station−role root bridge−group 1 bridge−group 1 subscriber−loop−control bridge−group 1 block−unknown−source no bridge−group 1 source−learning no bridge−group 1 unicast−flooding bridge−group 1 spanning−disabled ! ! ! interface FastEthernet0 no ip address no ip route−cache duplex auto speed auto bridge−group 1 no bridge−group 1 source−learning bridge−group 1 spanning−disabled ! interface BVI1 ip address 192.168.2.108 255.255.255.0 !−−− Address of this unit no ip route−cache ! ip default−gateway 192.168.2.1 ip http server ip http help−path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag/ivory/1100 ip radius source−interface BVI1 snmp−server community cable RO snmp−server enable traps tty radius−server local ! !−−− Engages Local RADIUS Server feature nas 192.168.2.108 key shared_secret !−−− Identifies itself as a RADIUS server, reiterating !−−− "localness" and defining key between server (itself) and AP ! group testgroup !−−− Groups are optional ! user user1 nthash password1 group testgroup ! Cisco − LEAP Authentication with Local RADIUS Server !−−− Individual user ! user user2 nthash password2 group testgroup !−−− Individual user ! radius−server host 192.168.2.108 auth−port 1812 acct−port 1813 key shared_secret !−−− Defines where RADIUS server is and key between AP (itself) and server ! radius−server retransmit 3 radius−server attribute 32 include−in−access−req format %h radius−server authorization permit missing Service−Type radius−server vsa send accounting bridge 1 route ip ! ! line con 0 line vty 5 15 ! end

Thiss, lokal radius Server ist möglich. Telnet auf die Box geht ebenfalls. wenn Du mir sagen kannst, wie ich Dir eine Doku zu kommen lassen kann , dann tu ich das Mike