mturba

Du kannst z.B. auch nen 2511 dazu nehmen:

Configuring a Terminal/Comm Server - Cisco Systems

Gruß,

Martin

Hi,

nach dem in der RFC vorgestellten Schema wäre das dann 233.123.42.0/24, da

01111011 = 123

00101010 = 42

Hast du mal versucht, zunächst direkt Port 80 und 3389 in deinen static-Statements zu verwenden?

static (inside,outside) tcp x.x.x.x www 192.168.1.2 www netmask 255.255.255.255
static (inside,outside) tcp x.x.x.x 3389 192.168.1.2 3389 netmask 255.255.255.255

und die ACL dann entsprechend

[...]
access-list outside_access_in extended permit tcp any host x.x.x.x eq www
access-list outside_access_in extended permit tcp any host x.x.x.x eq 3389

Wenn das erstmal funktioniert, kannst du ja dann im nächsten Schritt versuchen, das auch über 30080 bzw. 33389 zum Laufen zu kriegen...

Welche Adressen verwendest Du denn als Destination-Adressen in deiner Access-Liste outside_access_in? Die Adresse deines Dialer-Interfaces oder die internen Adressen? Zu dem Zeitpunkt, zu dem diese Access-Liste ausgewertet wird, ist nämlich noch kein NAT passiert...

Wobei er zusätzlich noch

permit icmp any any unreachable 
permit icmp any any time-exceeded 

in seine Outside-Accessliste aufnehmen sollte, damit auch ein Traceroute durch die PIX funktioniert. Im Gg.satz zu der IOS-Firewall oder dem FWSM kann die ICMP-Inspection der ASA nur mit ICMP-Echos umgehen.

Hi,

hier meine funktionierende Konfiguration:

ip ddns update method dyndns
HTTP
 add http://username:password@<s>/nic/update?system=dyndns&hostname=<h>&myip=<a>
interval maximum 28 0 0 0

[...]

interface Dialer0
ip ddns update hostname myhostname.dyndns.org
ip ddns update dyndns host 63.208.196.94

Bevor Du auf der CLI das Fragezeichen eingibst, musst du "Ctrl-V" drücken. Probiers damit nochmal...

"icmp permit" bezieht sich nur auf den ICMP-Traffic der ASA-Interfaces selbst, nicht aber auf den Verkehr, der durch die ASA durchgeht.

Du solltest also noch ICMP-Inspection anschalten:

policy-map global_policy
class inspection_default
   inspect icmp

Richtig.

Ist z.B. praktisch, wenn man eine Outgoing-Policy hat und diese nicht in der Accessliste jedes einzelnen Interfaces pflegen muss...

Hi,

conf t
interface Dialer1
 no ip address dhcp
 ip address negotiated
end

Konfiguration?

Poste bitte nochmal die Ausgabe folgender Befehle:

show run int ethernet0
show run int dialer0
show dsl int atm 0
show int dialer0

Wie Wordo schon geschrieben hat:

conf t

int dialer 0

no ip address dhcp client-id Ethernet0

ip addre neg

exit

exit

ATM0 hat damit nix am Hut...

Ah, Wordo war schneller ;)

Wieso hast du denn jetzt plötzlich am Dialer-Interface

ip address dhcp client-id Ethernet0

anstelle von

ip address negotiated

konfiguriert?

Das klingt nach einem Mißverständnis...

Sicherlich meinte der Kursleiter, dass nicht zwingend VTP verwendet werden muss, um eine funktionierende Kommunikation zwischen zwei Switchen über einen Trunk zu erreichen. Allerdings müssen in diesem Fall die VLANs auf jedem Switch von Hand gepflegt werden.

Für das automatische Propagieren von VLANs ist bei Cisco das VTP vorgesehen. Wenn dieses nicht verwendet wird, müssen die VLANs auf den Switchen, auf denen sie Verwendung finden sollen, manuell erzeugt werden.

Hi Ramtho,

das Stichwort hier ist "split tunneling":

Use the vpngroup split-tunnel command to enable split tunneling on the PIX Firewall. Split tunneling allows a remote VPN client or Easy VPN Remote device simultaneous encrypted access to the corporate network and clear access to the Internet. Using the vpngroup split-tunnel command, specify the access list name to which to associate the split tunnelling of traffic. With split tunnelling enabled, the PIX Firewall downloads its local network IP address and netmask specified within the associated access list to the VPN client or Easy VPN Remote device as part of the policy push to the client. In turn, the VPN client or Easy VPN Remote device sends the traffic destined to the specified local PIX Firewall network via an IPSec tunnel and all other traffic in the clear. The PIX Firewall receives the IPSec-protected packet on its outside interface, decrypts it, and then sends it to its specified local network.

 

If you do not enable split tunneling, all traffic between the VPN client or Easy VPN Remote device and the PIX Firewall is sent through an IPSec tunnel. All traffic originating from the VPN client or Easy VPN Remote device is sent to the PIX Firewall's outside interface through a tunnel, and the client's access to the Internet from its remote site is denied.

(Quelle: Cisco PIX Firewall Command Reference, Version 6.3 - T through Z Commands [Cisco PIX Firewall Software] - Cisco Systems)

Ein Konfigurationsbeispiel von Cisco dazu:

How to Configure the Cisco VPN Client to PIX with AES - Cisco Systems

Auf einer PIX gibt's kein "established"-Keyword, auf nem Router erlaubt dieser Accesslisten-Eintrag alle TCP-Pakete von überall nach überall, die zu einer bestehenden Verbindung gehören. Als zu einer bestehenden Verbindung gehörend wird das Paket gewertet, wenn das ACK- oder das RST-Bit gesetzt sind.

Welche ICMP-Pakete zu den Interfaces der PIX selbst zugelassen wird, kann man über "icmp permit" bzw. "icmp deny" steuern. Willst du z.B. überhaupt keine ICMP-Pakete am Outside-Interface akzeptieren, geht das mit "icmp deny any outside".

Hi Wordo,

kann ich leider bestätigen... hab's auch schon mit dem Advanced IP Featureset versucht. Ging wirklich erst, als ich das Enterprise Featureset installiert hab.

Table 6. Cisco IOS Software Features on Cisco 870 Series Routers-Advanced Enterprise Services Feature Set (Optional Software Upgrade on Cisco 876 Only)

 

High-Availability Features

 

• Integrated dial backup for ADSL using ISDN S/T port

• Primary ISDN WAN

• ISDN Leased Line at 128Kbps

Cisco 870 Series Integrated Services Routers for Small Offices [Cisco 800 Series Routers] - Cisco Systems

Dass bei "show int dialer1" eine MTU von 1500 angezeigt wird, ist normal... wichtig ist, dass am Dialer-Interface eine MTU von 1492 konfiguriert ist ("show run int dialer1 | include mtu"). Hab mich allerdings auch schonmal drüber gewundert, wieso dann trotzdem 1500 bei "sh int" angezeigt werden... weiß jemand, wieso?

MehLan,

Du solltest -- bevor Du Dich abfällig über die Versuche von Forenmitgliedern äußerst, Dir zu helfen -- Dir darüber klar werden, dass es hier

1. sehr wohl viele qualifizierte Cisco-Admins gibt, die das auch schon einige Jahre praktizieren und

2. hier auf völlig ehenamtlicher Basis (sprich: kostenlos) in ihrer Freizeit versuchen, Fragen zu beantworten bzw. zu diskutieren.

Das bedeutet, Du findest hier möglicherweise Antworten auf konkrete Probleme. Allerdings wird Dir hier keiner die Arbeit abnehmen, die Du eigentlich selbst tun solltest. Deshalb ist auch mein Rat an Dich, Dich erstmal mit den Grundlagen zu beschäftigen. Entweder, indem du Dokumentation liest (und evtl. ein Wörterbuch zur Hand nimmst), oder eben deutsch- oder anderssprachige Cisco-Literatur dazu nimmst, da gibt es einiges...

Und vor allem: welche PIX-Version verwendest du, 6.x oder 7.x? Sollte da noch ne 6.x-Version drauf laufen, wirst du mit "no shut undsoweiter" keinen Erfolg haben, dann wäre die Syntax eher "interface ethernet0 auto" oder "interface ethernet0 100full".

Loop Attenuation klingt mir schwer nach dem Wert für die Dämpfung...

Nein, nur statische ARP-Einträge überleben einen Reboot.