Zodiac

Beim Client habe ich auch diese Option gesetzt. Hmm, so langsam gehen mir die Tips aus. Die Pix reagiert nicht auf Deine Anfrage. Momentan weiß ich auch nicht so ganz weiter. :-( Gruß Zodiac

Cool, danke schön Leute, dann habe ich jetzt was zum testen. :D Gruß Zodiac

Hi, erstmal danke für den Tip lacher. Danke auch an Martin. Ich würde gerne folgendes tun Martin. Ich möchte z.B. 3 Webserver im Internet zur Verfügung stellen. Natürlich sollen alle über Port 80 erreicht werden. ;-) Das Problem welches ich jetzt habe dürfte Dir klar sein. Wenn ich der Firewall jetzt nur eine öffentliche IP zuweisen kann, dann habe ich ein großes Problem. Es kann ja nicht sein, daß man der Firewall nur eine öffentliche IP pro Interface zuweisen kann. Alleine mit einer Pix 535 kann man höchstens nur 10 Interfaces einbauen wobei eins als Inside fungieren muß. Dann könnte ich der Firewall nur 9 öffentliche Ip-Adressen zuweisen. Es muß doch noch eine andere Möglichkeit geben. Momentan hatte ich auch nicht wirklich Zeit um mich um diese Angelegenheit zu kümmern. Mußte noch andere Sachen erledigen. :D Bin jetzt mal für jeden Tip dankbar. :) Gruß Zodiac

Hi Tobi, Deine Konfig sieht ganz gut aus bloß Du hast statt vpn bei vpngroup bittz stehen. Ich habe Dir folgendes geschrieben: "Ich habe noch etwas falsch gemacht und zwar überall wo superteam steht, bittz durch vpn ersetzen." dabei habe ich bei bitte das "e" mit einem "z" verwechselt. ;-) Vielleicht funktioniert es deswegen nicht. Deine Einstellungen beim Vpn-Client sind auch richtig. Jetzt mal eine Frage, was meldet Dir der VPN-Client? Unten befindet sich nämlich eine Statusleiste in welcher z.B. Connecting to .... steht oder securing comunication channel usw.. Was steht eigentlich bei der Verbindung bei Dir? Deine IP ändert sich auch ständig. Versuchst Du Dich denn mit der richtigen IP zu verbinden? Gruß Zodiac

Hi Tobi, teste es mal von außen und nicht aus dem internen Netz. Denn aus demm internen Netz funktioniert es nicht. :-) Gruß Zodiac

Danke schön. ;) Gruß Zodiac

Hi Tobi, füge noch eine Zeile ein und zwar: vpngroup vpn password ++++++++ ein. Ich habe noch etwas falsch gemacht und zwar überall wo superteam steht, bittz durch vpn ersetzen. Ich benutze nur einen VPN-Client von Cisco und dort authentifiziere ich mich mit der Vpngruppe (vpn) und dem dazugehörigen Passwort (+++++++). Deswegen kann ich leider nichts zu eine Microsoft Client sagen. Soweit ich weiß, kannst Du, wenn Du Dich erfolgreich eingewählt hast auf den Server 192.168.1.x zugreifen, denn die Pix fungiert dann als Router. Bei uns in der Firma ist es auch so, denn ich Verbinde 2 Pix übers Internet und dort habe ich das eine Netzwerk mit 192.168.1.0 und das andere mit 192.168.2.0. Beide können ohne Probleme miteinander kommunizieren. isakmp key cisco1234 address 0.0.0.0 netmask 0.0.0.0 wurde deswegen gesetzt damit die Pix alle anfragen akzeptiert. isakmp ist für andere Pix wichtig, denn damit diese mit Deiner eine Verbindung eingehen können brauchen die auch den cisco1234 Eintrag. Ich kann auch nicht 100%ig sagen, ob es notwendig ist, doch Du hast die Authentifizierung auf pre-share gesetzt. Hoffe es klappt jetzt. ;-) Gruß Zodiac

Also dann fangen wir mal an. :D isakmp enable outside isakmp policy 8 encr 3des isakmp policy 8 hash md5 isakmp policy 8 authentication pre-share isakmp policy 8 group 2 isakmp key cisco1234 address 0.0.0.0 netmask 0.0.0.0 access-list 80 permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0 nat (inside) 0 access-list 80 crypto ipsec transform-set strong-des esp-3des esp-sha-hmac crypto dynamic-map vpn-dyn-map 1 set transform-set strong-des crypto map vpn-map 20 ipsec-isakmp dynamic vpn-dyn-map crypto map vpn-map interface outside ip local pool vpn_ip_pool 192.168.2.1-192.168.2.10 vpngroup vpn address-pool vpn_ip_pool vpngroup superteam dns-server x.x.x.x (optional) vpngroup superteam wins-server x.x.x.x (optional) vpngroup superteam split-tunnel 80 vpngroup superteam idle-time 1800 sysopt connection permit-ipsec Mit diesen Zusätzen zu Deiner Konfig müßte es jedenfalls funktionieren. Bei Fragen, weißt Du wo Du mich findest. ;) Gruß Zodiac

Darf ich mal fragen ob Du eine VPN zu einer anderen Pix aufbauen möchtest oder von außen über einen VPN-Client zugreifen möchtest? Eine Frage habe ich mal zu Deiner Konfig. Bedeutet das, daß Du über folgende Befehle auch on außen erreichbar bist? Sprich Du könntest http anfragen an einen Webserver im internen Netzwerk senden? static (inside,outside) tcp interface 6881 Tobias 6881 netmask 255.255.255.255 0 0 static (inside,outside) udp interface 6881 Tobias 6881 netmask 255.255.255.255 0 0 Gruß Zodiac

Hi, gestern habe ich mich an 2 PIX 501 versucht und diese auch erfolgreich über VPN verbunden. An diesem Tag habe ich das erste mal an einer VPN-Verbindung gebastelt. :) Poste mal Deine Konfig, vielleicht kann ich Dir dann irgendwie helfen. Kann nur leider nichts versprechen. Gruß Zodiac

Hi Leute, habe mal eine totale Anfängerfrage. Ich besitze eine Cisco Pix 501 mit einem Inside (192.168.1.1) und einem outside (111.111.111.111) Interface. Kann ich der Firewall über den Befehl global (outside) 2 111.111.111.112 eine zusätzliche IP-Adresse zusätzlich zu dem outside Interface hinzufügen? Ich möchte nämlich über die Inteface-Adresse ins Internet und über die 2te IP-Adresse eine Weiterleitung an einen Webserver machen. Ist sowas überhaupt möglich, oder brauche ich mehrere Interfaces dafür? Danke Gruß Knaur@gmx.de

Da ich mich da leider gar nicht auskenne, kann ich nichts zu sagen. :) Ich werde mal die Tage mir der Pix rumexperimentieren und das testen. Vielleicht kriege ich es auf anhieb hin. :) Dank Dir für Deine Mühe. Gruß knaur@gmx.de

Ok, also die CCIE's haben gasagt es geht nicht? Hmm, da bin ich jetzt mal gespannt ob es funktioniert. :)

Wieso diskutiert? Ist etwas daran verkehrt bzw. nicht empfehlenswert? :) Gruß knaur@gmx.de

Hi, die Oberfläche taugt aber nicht wirklich viel, wenn ich das mal so ehrlich sagen darf. Mit den Befehlen kommst Du viel weiter. Die Erfahrung habe ich jedenfalls gemacht. Du hast geschrieben es müßte machbar sein, das eine raus, das andere raus. Dir ist schon klar, das ich mit dem outside(0) ins Internet gehe, ich nur zwei Interfaces habe und das inside nicht von außen erreichbar ist (100), daß heißt ich könnte nur das outside Interface dazu benutzen. Ich frage mich jetzt nur, ob ich über PAT raus gehen kann und gleichzeitig eine statische Verbindung zum Webserver herstellen kann, bzw. ob ich für jede öffentliche IP-Adresse ein Interface brauche, oder kann ich der Pix 501 irgendwie mitteilen, daß Sie auf 2 IP-Adressen reagieren soll? Gruß knaur@gmx.de

Hi Leute, ich bin ein totaler Neuling in Sachen Firewalls, deswegen habe ich mal ne Frage. :) Ich habe eine Pix 501, das IOS ist 6.3(4) und es befindet sich auch ein PDM 3 auf der Firewall. Diese Firewall hat nur zwei Interfaces doch ich möchte über das outside Interface die User ins Internet bringen (PAT) und ich möchte über das outside Interface eine statische Umleitung zu einem internen Webserver realisieren (192.168.1.10). Kriege ich das mit zwei Interfaces überhaupt hin oder war da die Pix 501 eine Fehlinvestition? Außerdem läuft die Pix als ein VPN-Server. (nur als Info) Bitte für diese Frage nicht in der Luft zerreißen. :D Gruß knaur@gmx.de