klenn

die öffendliche ip des hostes liegt im netz der pix

ÖFFENTLICHE IP ist die des hostes wo der port freigeschalten werden soll testen tu ich von zu hause nicht im netz der pix;) die vpns funktionieren aber das mit dem ftp port verstehe ich nicht würde ich was in der config finden hätte ich die lösung geschafft hatte ich mit conduit www für den rechner frei zu schalten ging auch update muss man sicherlich kaufen?

erstmal 1000 X danke markus will euch auch nicht von weihnachten abhalten hat leder nicht funktioniert komme mit telnet nicht auf den port seltsamerweise komme ich auf ftp 21 nach dem ich mich erkundigt habe muss es nicht zwingend port 9157 sein hier die config PIX Version 6.3(1) interface ethernet0 auto interface ethernet1 auto interface ethernet2 aut0 nameif ethernet0 outside security0 nameif ethernet1 inside security100 nameif ethernet2 public security50 enable password xxxxxx encrypted passwd xxxxxx encrypted hostname PIX515E domain-name xxxx.de fixup protocol ftp 21 fixup protocol ftp 10126 fixup protocol ftp 10127 fixup protocol h323 h225 1720 fixup protocol h323 ras 1718-1719 fixup protocol http 80 fixup protocol http 10120 fixup protocol http 10121 fixup protocol http 10122 fixup protocol http 10123 fixup protocol http 10124 fixup protocol http 10125 fixup protocol ils 389 fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol sip 5060 fixup protocol skinny 2000 fixup protocol smtp 25 fixup protocol sqlnet 1521 names name vpn1.0.0.0 kunde1 name vpn2.0.0.0 kunde2 access-list acl_kunde1 permit ip host ip des hostes kunde1 255.255.255.240 access-list outside_cryptomap_20 permit ip interface outside kunde1 255.255.255.240 access-list acl_kunde2 permit ip host ip des hostes kunde2 255.255.255.0 access-list outside_cryptomap_40 permit ip interface outside kunde2 255.255.255.0 access-list OUTSIDE-IN permit tcp any host ip des hostes eq 9157 access-list OUTSIDE-IN permit udp any host ip des hostes eq 9157 p ager lines 24 mtu outside 1500 mtu inside 1500 mtu public 1500 ip address outside ip pix 255.255.255.248 ip address inside 192.168.1.1 255.255.255.0 ip address public 192.168.100.1 255.255.255.0 ip audit info action alarm ip audit attack action alarm pdm location 192.168.1.149 255.255.255.255 inside pdm history enable arp timeout 7200 global (outside) 1 ip des hostes global (outside) 1 ip dmz nat (inside) 1 0.0.0.0 0.0.0.0 0 0 nat (public) 1 0.0.0.0 0.0.0.0 0 0 static (inside,outside) ip des hostes 192.168.1.149 netmask 255.255.255.255 0 0 access-group OUTSIDE-IN in interface outside route outside 0.0.0.0 0.0.0.0 (ip isp router) 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server RADIUS protocol radius aaa-server LOCAL protocol local http server enable http 192.168.1.149 255.255.255.255 inside no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps floodguard enable sysopt connection permit-ipsec crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac crypto map outside_map 20 ipsec-isakmp crypto map outside_map 20 match address acl_kunde1 crypto map outside_map 20 set pfs group2 crypto map outside_map 20 set peer pix kunde 1 crypto map outside_map 20 set transform-set ESP-DES-MD5 crypto map outside_map 20 set security-association lifetime seconds 3600 kilobytes 460800 crypto map outside_map 40 ipsec-isakmp crypto map outside_map 40 match address acl_kunde2 crypto map outside_map 40 set peer pix kunde1 crypto map outside_map 40 set transform-set ESP-DES-MD5 crypto map outside_map interface outside isakmp enable outside isakmp key ******** address kunde2 netmask 255.255.255.255 no-xauth no-config-mode isakmp key ******** address kunde1 netmask 255.255.255.255 no-xauth no-config-mode isakmp policy 20 authentication pre-share isakmp policy 20 encryption des isakmp policy 20 hash sha isakmp policy 20 group 1 isakmp policy 20 lifetime 86400

danke für die infos habe mitr das schon fast gedacht wie geht das mit dem acl befehlen? und mit acl s muss ich keine cryptomaps erstelle?

hat natürlich auch nicht funktioniert mann ist das ding sicher :(

danke für die antworten habe da noch was gefunden sollte eventuell mit statik inside outside gehen das hatte ich noch nicht probiert. dann sollte conduit gehen melde mich sobald ich es getestet habe. mann so langsam werd ich dafür zu alt:D

noch ne frage wenn ich bei telnet den port mitangebe sollte der kurser blinken wenn ich den port erreiche?

acl wie macht man die ich fand nur das man mit conduit einzelne ports und und ips freischalten kann acl s habe ich nur für die vpns genutzt nur in meinem fall soll es keine vpn werden

also ich habe echte ip an der pix in der dmz und an dem rechner für den der port freigeschaltet werden soll mit statik nat ausgestattet habe 3 sec bereiche sec 0 sec 50(dmz) und sec 100 für den besagten pc. der pc baut auch vpn verbindungen in andere netze auf nur der dämliche port 9157 grige ich nicht frei

diese bücher von ciscopress sind schweine teuer bei terrashop gibt es sie etwas günstiger Suche nach 'cisco' bei terrashop.de ich hätte auch noch welche günstig abzugeben, muss aber mal nachsehen welche es sind bei interresse einfach melden.

habe ne pix 515e eine dmz eingerichtet für www mit echter ip und eine echte ip die einem rechner zugeordnet ist , der über vpn komuniziert und im sicheren bereich steht. leider habe ich nicht soviel damit zu tun alsonoch keine wenig ahnung:D ich muss einen port (9157) auf den rechner hinter der pix freischalten also im sicheren netzwerk, so das bestimmte ips oder namen im internet darüber kommunizieren können. ich hatte versucht das ganze mit conduit freizuschalten leider ohne erfolg nach einem portscann ist das ding dicht wie kann ich einen port freischalten der vom internet in das sichere netzwerk kommt:confused:

hi ich habe das gleiche proplem mit 12 usern auf 40 citrix servern hast du schon ne lösung gefunden?

verstanden hab ichs schon :mad: wozu solche zertifikate sind !!! würde auch unbeqemerweise 12 gpos mit den ensprechenden berechtigungen versehen wenns was nutzen würde allerdings das man mich versteht sieht meine umgebung so aus: 40 citrixserver mit 1300 usern nach updates unseres rechenzentrums haben wir öffters das problem dass wir userprofiele löschen müssen weil nach solchen updats die wichtigste anwendung mit den vorhandenen regeinträgen nicht mehr funktioniert welche das sind, weis keiner. weder rechenzentrum noch wir wir sind beide auf der suche!!! um eine grosse redundanz zu halten müssen diese 12 user auch auf allen 40 servern arbeiten das heist im klartext 480 certifikate manuell neu installieren nach einem update auf dem host:eek: :eek: :eek: alle 3 monate deppenarbeit meiner meinung nach denn so etwas muss nicht sein kosten unendlich user kann nicht arbeiten nerft die hotline, hotline nerft mich :mad: ich bekomme meine arbeit nicht gemacht kennt bestimmt jeder von euch. oder der absolute horror für irgendeine externe anwendung pro user ein zetifikat 52000 certifikate installieren alle 3 monate gibt es irgend eine möglichkeit diese zertifikate automatisiert zu installiern?????

es sind zertifikate um auf eine bestimmte internetseite zuzugreifen wie z.B autohändler auf die zulassung also privater informationsaustausch *.pfx 12 zertifikate mit 12 verschiedenen passwörtern

ich habe ca. 12 zertifikate mit passwort die bestimten usern unter citrix zugeordnet werden sollen da ich offters die userprofiele löschen muss und keine lust habe auf 40 citrix machienen 12 usern die zertifikate neu einzustellen meine frage: gibt es die möglichkeit die zertifikate mit einer gpo zu verteilen?

hat funktioniert danke :jau: :thumb1: und sorry kohn dacht währe hier richtig

Danke für die schnelle antwort ich werde es mal ausprobieren und Bericht erstatten :jau:

ich such in den gpo`s den eintrag für den iee das ich auf allen plätzen, die cookies in der option datenschutz auf mittel einstellen kann.