s21it21
-
Gesamte Inhalte
166 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von s21it21
-
-
hallo,
wenn du einen tunnel einrichtest, dann kannst du auch access-list für diesen tunnel konfigurieren. dabei legst du einfach den erlaubten datenverkehr fest und jenachdem was du als quelle-ziel angibst, wird/kann dann auch der tunnel aufgebaut werden...so mache ich das...
lg
martin
-
hallo,
welche java-version verwendest du denn auf dem client-pc (von wo aus du den pdm startest). wenn da was nicht passt kann es auch sein, dass der pdm nicht hochkommt (unter der vorraussetzung du hast auf der pix direkt nichts geändert).
lg
martin
-
hello,
icmp ist auf der pix nicht stateful, darum musst du den hin und retour-weg extra freischalten.
lg
martin
-
Hallo,
Ich bin nun seit fast 10 Jahren in der IT-Branche tätig. Seit gut 7 Jahren in der Security/Netzwerk-Branche (bin Checkpoint und ISS zertifiziert). Darum bin ich natürlich auch im Netzwerkbereich tätig (oder sogar hauptsächlich). Ich würde sagen mit einem CCSA alleine holst Du heute keinen Hund mehr vor den Ofen. Der CCSA deckt die absoluten Grundlagen ab und ist sicher eine gute Basis, aber alleine mit diesem wird das nichts. Viel mehr zählt Berufserfahrung, technisches Gesamtwissen und Einsatzvermögen zu wichtigen Einstellungskriterien. Wenn Du dann unter anderem einen CCSA hast, ist das nicht schlecht, aber es ist heute kein Hauptkriterium mehr.
Wie ich in der Security-Branche angefangen hatte, hatte ich bereits zwei Jahre Erfahrungen unter anderem mit Checkpoint (damals FW 4.1) und der Cisco PIX. Checkpointzertifizierungen hatte ich damals auch schon. Wie gesagt, diese waren zwar nett als Draufgabe, aber ausschlaggebend war meine Erfahrung und meine zahlreichen anderen Zusatzausbildungen (Solaris-Schulungen, zwei Management-Schulungen, etc.).
LG
Martin
-
Hallo,
Prinzipiell kann ich bei Deinen Einstellungen nichts schlechtes findne.
Beim preshared key würde ich vorschlagen, dass Du min. 12 Zeichen verwendest (und dabei wirklich alles verwendes, Gross/Kleinschreibung, Sonderzeichen, etc.).
3DES würde ich heutzutage als absolut minimale Verschlüsselung wählen, wenn möglich dann sogar AES.
LG
Martin
-
hallo,
soweit ich bescheid weis, geht bis zur pix-version 6.3x beides nicht.
lg
martin
-
hallo,
immer die gleichen fragen mit zu wenig infos. mit diesen angaben wird dir keiner helfen.
als it-administrator (ich gehe mal davon aus) solltest du schon beim troubleshooten schon etwas strukturierter vorgehen.
Folgendes wäre hilfreich:
1) welche pix-version
2) wie schaut die struktur (netz, security-policy) aus
3) was (ok ftps) willst du von wo, wohin freischalten.
Um Deine Fragen zu beantworten:
Du kannst die Pix dazu bringen, in dem Du es einfach freischaltest.
Ja Erfahrungen gibt es sicher dazu.
Entschuldige bitte wenn ich etwas unfreundlich wirke, aber mit solchen Fragen (ohne genaueren Angaben) kann Dir niemand helfen und der Threat wird unnötig lange (weil man alles erst erfragen muss).
lg
Martin
-
Hallo,
Ja klar geht das. Der Link von oben sollte Dein Problem lösen.
LG
Martin
-
Hallo Wordo,
Uppps, da dürfte ich ja ein wenig geschlafen haben oder besoffen gewesen sein. Habe mir gerade alles durchgelesen. Das Wort PIX fällt ja hier wirklich nirgends. Sorry!!!!
LG
Martin
-
Hallo Thomas,
Ja, aber wir reden hier von der Cisco PIX. Da gibts nur eine access-group pro Interface die regelt in- und outbound.
lg
Martin
-
hallo,
ok danke...dachte schon an mir ist was vorbei gegangen. :)
lg
martin
-
hallo,
auf einer cisco pix? bei welcher version denn?
lg
martin
-
hello,
access-group kann immer nur EINE auf ein Interface gebunden sein. access-groups kann man soviele man will eintragen. aber wie gesagt, pro interface kann nur immer eine aktiv sein.
rules innerhabl einer access-group sind im prinzip unbeschränkt.
lg
martin
-
hallo,
also ganz ehrlich, das kann ja wohl nicht wahr sein. das sind absolute 08/15 pix-grundlagen. dazu findet man bei google 1000 dokus, anleitungen, etc.
wiese fragt man immer zu erst und denkt/sucht nacher!!
Verwende mal die Suche + Google dann komm wieder!
lg
Martin
-
hello,
wenn du interface ethernet0 100full einstellst muss das gehen (habe ich schon 100mal gemacht).
das mit dem sec-level ist komisch, bei meiner pix (v6.3(4)) gehts das wunderbar (ob es sinnvoll ist, ist wieder eine andere sache).
lg
martin
-
hallo,
was meinst du mit empfangen??
Gehts nur um Pakte die zurück gehen sollten über die Pix, dann wie oben ists das Routing.
Oder meinst Du den externen Zugriff durch die PIX auf Dein Netzwerk? Dann liegst an einem fehlden static oder an der fehlenden access-list..oder beidem.
Bitte definiere "Daten empfangen"?
LG
Martin
-
Hello,
So gehts fast :)
Und so richtig:
nameif ethernet0 outside security50 (ACHTUNG zwischen security und 50 KEIN ABSTAND!).
LG
Martin
-
Hallo Data,
Vielen Dank für den Tipp!!
LG
Martin
-
Hallo Leute!
Mich als UNIX/LINUX Mensch quält folgendes Problem:
Wie ist es möglich, dass ich von einem WinXP-Client via Doppelklick auf eine zb. Batch-Datei klicke, und dann ein bestimmer Befehl remote auf einem anderen Rechner mit Adminrechten ausgeführt wird (und sofort gestartet wird).
Mit dem "at-Befehl kann ich das zwar, aber da schaffe ich es eben nicht einen User zu übergeben. Google spuckt zwar x-Seiten zum Thema vbscripting aus, aber zum Ziel bin ich noch nicht gekommen.
Vielleicht kann mir jemand da helfen.
DANKE!
lg
Martin P.
-
Hallo!
Lies Dir das nochmal durch:
Site-to-Site-VPN zwischen zwei PIXEN:
Zum PDM:
Schau mal ob Du überhaupt einen PDM auf der PIX drauf hast. Das machst Du über die CLI im enable modus: "show ver". Dort siehst Du die Version vom PDM (wenn er installiert ist).
Wenn ja, dann aktivierst Du den so:
1) CLI einsteigen
2) in den enable modus wechseln
3) conf t eintippen (=configmodus)
4) http server enable (Webserver wird aktiviert)
5) pdm history enable (Logging für den PDM)
6) http 192.168.1.2 255.255.255.255 inside (hier wird der Host 192.168.1.2 am Inside-Interface erlaubt den PDM zu starten). Das kannst DU jetzt für Dich anpassen.
So und jetzt kannst Du via Broswer den PDM nutzen (aber NUR über das INSIDE Interface der Firewall!!!!!).
Mach das mal und dann melde Dich wieder (aber mit einer vernünftigen Fehlerbeschreibung *g*).
LG
Martin
-
Hallo,
Versuchen wir es noch mal:
Wenn Du sagst "...es passiert einfach nichts..." kann Dir niemand helfen. Analysiere doch mal die LOG/syslog/Debug Messages. Irgendetwas müssen die zwei PIXen ausspucken (Meldungen, etc.).
Was heisst beim PDM, dass auch nichts passiert?? Du verbindest Dich via https auf die PIX. Bekommst Du einen Userlogin? Oder funktioniert nicht mal das. NIMM BITTE das Handbuch, da steht einfach drinen wie der PDM zu aktivieren geht!!
Sorry, das kann ja nicht so schwer sein!!!
LG
Martin
-
Hallo,
Sorry, ohne genauere Fehlerbeschreibung kann Dir hier keiner helfen (oder es dauert sehr lange). Schreibe bitte mal geordnet was geht und was eben nicht.
1) Können sich die zwei Pixen pingen
2) Funktioniert der PDM schon? Wenn nein, welchen Fehler bekommst Du?
3) Welche Fehlermeldung bekommst DU beim VPN-Aufbau (den Du ja schon versucht hast)?
4) Hast Du debug/syslog-Meldungen für uns?
Sorry, aber Du gehst auch nicht zum Automechaniker und sagst, dass das Auto nicht fährt. Wie es sich verhält oder was passiert ist, sagst Du aber nicht.
LG
Martin
-
Hallo,
Ich helfe gerne. Aber wie schon gesagt wurde, Deine Angaben zum Fehlerbild sind recht wenig. Dein Post klingt eher so nach dem Mott "..ich will das...ich schaffe es nicht..bitte macht es mir..danke" (vielleicht habe ich Dich auch falsch verstanden).
Damit ich auch was produktives beitrage:
Schaue mal zu aller erst, dass sich die zwei Pixen OHNE VPN unterhalten (=pingen) können.
So wie Du das netzwerktechnisch aufbaust, würde ich das sowieso nicht machen.
So ist es ein wenig einfacher (vor allem auch deswegen, weil das SEC-Modell der PIX etwas "eigen" ist --> sprich das interne LAN unterliegt einer höheren Security-Stufe als das externe. So wie DU das machst, könnten sich dann ganz andere Probleme ergeben (und das ist das was ich gemeint habe, schaue Dir die PIX mal grundsätzlich an und dann mache ein VPN). Aber egal.
Ich würde das so aufbauen:
Laptop 1 (simuliert fremdes LAN) ----- inside-PIX1-outside---------"INTERNET"-----outside-PIX2-inside------Laptop2 (simuliert eigenes LAN).
So schaue, dass das mal so funktioniert (ping von PIX1 nach PIX2 und UMGEKEHRT).
Dieser Aufbau ist viel realistischer als Deiner (=klassisches Site-to-Site-VPN).
Genau diese Teststellung entspricht auch den Vorraussetzungen der ganzen Cisco-DOKs.
Nun aktivierst Du den PDM (wie das geht kannst du in der quick-doku lesen).
So und JETZT kannst Du mit dem PDM ein simples Site-to-Site-VPN einrichten. Jetzt kannst Du Dir die Konfig via CLI anschauen und die Syntax studieren.
Wenn alles geklappt hat, kannst Du vom Laptop 1 den Laptop2 durchs VPN pingen!
Von dem aus kannst Du dann die gesamte Konfig an passen und erweitern.
So sehe ich das.
LG
Martin
-
Hallo,
Entschuldige bitte, aber ohne gute Englischkenntnisse und ohne gute PIX-Kenntnisse gleich ein VPN aufzubauen ist nicht ganz einfach und (so finde ich) der falsche Weg.
Du kannst nicht erwarten, dass Du hier Deine Konfig postest und sofort die Lösung bekommst. Ich weiss die Cisco-Dokus sind mühlselig, aber lies Dir das doch trotzdem mal durch. Die VPN-Dokus dazu (also für die PIX) sind sehr gut und sehr anschaulich erklärt. Gerdade die PIX ist ein teilweise eigenartiges Device und nicht ganz einfach zu bedienen. Um dann noch ein VPN (via CLI und ohne den beschxxx PDM) richtig zu machen (ohne die dazu benötigten Grundlagen zu haben) ist nicht sehr einfach.
Nimm das nicht persönlich, ich weiss in unserer Branche wird schnell einfach mal drauf los geklickt und probiert. Aber gerade bei VPNs und der PIX ist das der etwas falsche Weg.
Lade Dir mal die VPN-Howtos bei Cisco runter. Da wird auch das nötige Hintergrundwissen vermittelt. Und dann verstehst Du auch, warum das so konfiguriert wird. Das bring dir viel mehr, als einfach die fertige Lösung ins CLI reinzukopieren...Denn Troubleshooten solltest Du das ganze ja auch mal.
Um ein VPN auch sinnvoll zu analysieren mache Dich mit dem DEBUG Befehl vertraut. Gerade bei VPNs kommt es darauf an wo es hakt (Phase 1, 2) bzw. welche Log-Meldungen BEIDE Firewalls ausspucken.
LG
Martin
Verkaufe diverse CISCO-Bücher (CCNA, VoIP)
in Testsoftware & Bücher
Geschrieben
Hallo,
Folgende gut erhaltene Bücher sind abzugeben:
1) Cisco CallManager Fundamentals (Ciscopress, isbn:1587050080)
2) CCNA-Exam 640-801 (McGrawHill, Osborne, isbn:00072229349), ohne CDROM
3) Troubleshootng Cisco IP-Telephony (Ciscopress, isbn:1587050757
4) CCNA-Self-Study, Certification Lib for CCNA,ICND and Intro-Exams (Ciscopress, isbn:1587200945 und 158720093x)
Bei Interesse mail bitte an: martin.peinsipp@inode.at
lg
Martin