klenn

ÖFFENTLICHE IP ist die des hostes wo der port freigeschalten werden soll

 

testen tu ich von zu hause nicht im netz der pix;)

 

die vpns funktionieren

 

aber das mit dem ftp port verstehe ich nicht würde ich was in der config finden

hätte ich die lösung

 

geschafft hatte ich mit conduit www für den rechner frei zu schalten ging auch

 

 

update muss man sicherlich kaufen?

die öffendliche ip des hostes liegt im netz der pix

ÖFFENTLICHE IP ist die des hostes wo der port freigeschalten werden soll

testen tu ich von zu hause nicht im netz der pix;)

die vpns funktionieren

aber das mit dem ftp port verstehe ich nicht würde ich was in der config finden

hätte ich die lösung

geschafft hatte ich mit conduit www für den rechner frei zu schalten ging auch

update muss man sicherlich kaufen?

erstmal 1000 X danke markus

will euch auch nicht von weihnachten abhalten

hat leder nicht funktioniert

komme mit telnet nicht auf den port

seltsamerweise komme ich auf ftp 21

nach dem ich mich erkundigt habe muss es nicht zwingend port 9157 sein

hier die config

PIX Version 6.3(1)

interface ethernet0 auto

interface ethernet1 auto

interface ethernet2 aut0

nameif ethernet0 outside security0

nameif ethernet1 inside security100

nameif ethernet2 public security50

enable password xxxxxx encrypted

passwd xxxxxx encrypted

hostname PIX515E

domain-name xxxx.de

fixup protocol ftp 21

fixup protocol ftp 10126

fixup protocol ftp 10127

fixup protocol h323 h225 1720

fixup protocol h323 ras 1718-1719

fixup protocol http 80

fixup protocol http 10120

fixup protocol http 10121

fixup protocol http 10122

fixup protocol http 10123

fixup protocol http 10124

fixup protocol http 10125

fixup protocol ils 389

fixup protocol rsh 514

fixup protocol rtsp 554

fixup protocol sip 5060

fixup protocol skinny 2000

fixup protocol smtp 25

fixup protocol sqlnet 1521

names

name vpn1.0.0.0 kunde1

name vpn2.0.0.0 kunde2

access-list acl_kunde1 permit ip host ip des hostes kunde1 255.255.255.240

access-list outside_cryptomap_20 permit ip interface outside kunde1 255.255.255.240

access-list acl_kunde2 permit ip host ip des hostes kunde2 255.255.255.0

access-list outside_cryptomap_40 permit ip interface outside kunde2 255.255.255.0

access-list OUTSIDE-IN permit tcp any host ip des hostes eq 9157

access-list OUTSIDE-IN permit udp any host ip des hostes eq 9157

p

ager lines 24

mtu outside 1500

mtu inside 1500

mtu public 1500

ip address outside ip pix 255.255.255.248

ip address inside 192.168.1.1 255.255.255.0

ip address public 192.168.100.1 255.255.255.0

ip audit info action alarm

ip audit attack action alarm

pdm location 192.168.1.149 255.255.255.255 inside

pdm history enable

arp timeout 7200

global (outside) 1 ip des hostes

global (outside) 1 ip dmz

nat (inside) 1 0.0.0.0 0.0.0.0 0 0

nat (public) 1 0.0.0.0 0.0.0.0 0 0

static (inside,outside) ip des hostes 192.168.1.149 netmask 255.255.255.255 0 0

access-group OUTSIDE-IN in interface outside

route outside 0.0.0.0 0.0.0.0 (ip isp router) 1

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00

timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00

timeout uauth 0:05:00 absolute

aaa-server TACACS+ protocol tacacs+

aaa-server RADIUS protocol radius

aaa-server LOCAL protocol local

http server enable

http 192.168.1.149 255.255.255.255 inside

no snmp-server location

no snmp-server contact

snmp-server community public

no snmp-server enable traps

floodguard enable

sysopt connection permit-ipsec

crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac

crypto map outside_map 20 ipsec-isakmp

crypto map outside_map 20 match address acl_kunde1

crypto map outside_map 20 set pfs group2

crypto map outside_map 20 set peer pix kunde 1

crypto map outside_map 20 set transform-set ESP-DES-MD5

crypto map outside_map 20 set security-association lifetime seconds 3600 kilobytes 460800

crypto map outside_map 40 ipsec-isakmp

crypto map outside_map 40 match address acl_kunde2

crypto map outside_map 40 set peer pix kunde1

crypto map outside_map 40 set transform-set ESP-DES-MD5

crypto map outside_map interface outside

isakmp enable outside

isakmp key ******** address kunde2 netmask 255.255.255.255 no-xauth no-config-mode

isakmp key ******** address kunde1 netmask 255.255.255.255 no-xauth no-config-mode

isakmp policy 20 authentication pre-share

isakmp policy 20 encryption des

isakmp policy 20 hash sha

isakmp policy 20 group 1

isakmp policy 20 lifetime 86400

danke für die infos habe mitr das schon fast gedacht

wie geht das mit dem acl befehlen?

und mit acl s muss ich keine cryptomaps erstelle?

hat natürlich auch nicht funktioniert

mann ist das ding sicher :(

danke für die antworten

habe da noch was gefunden sollte eventuell mit statik inside outside gehen das hatte ich noch nicht probiert.

dann sollte conduit gehen melde mich sobald ich es getestet habe.

mann so langsam werd ich dafür zu alt:D

noch ne frage wenn ich bei telnet den port mitangebe sollte der kurser blinken wenn ich den port erreiche?

Willst du die oeffentliche (echte?!) IP vom Rechner ansprechen oder ein NAT auf der PIX machen? Eine ACL und ne Route sollte da eigentlich reichen (PIX bin ich nicht so routiniert)

acl wie macht man die ich fand nur das man mit conduit einzelne ports und und ips freischalten kann

acl s habe ich nur für die vpns genutzt

nur in meinem fall soll es keine vpn werden

also ich habe echte ip an der pix in der dmz und an dem rechner für den der port freigeschaltet werden soll mit statik nat ausgestattet

habe 3 sec bereiche sec 0 sec 50(dmz) und sec 100 für den besagten pc.

der pc baut auch vpn verbindungen in andere netze auf nur der dämliche port 9157 grige ich nicht frei

diese bücher von ciscopress sind schweine teuer bei terrashop gibt es sie etwas günstiger

Suche nach 'cisco' bei terrashop.de

ich hätte auch noch welche günstig abzugeben, muss aber mal nachsehen welche es sind

bei interresse einfach melden.

habe ne pix 515e

eine dmz eingerichtet für www mit echter ip

und eine echte ip die einem rechner zugeordnet ist , der über vpn komuniziert und im sicheren bereich steht.

leider habe ich nicht soviel damit zu tun alsonoch keine wenig ahnung:D

ich muss einen port (9157) auf den rechner hinter der pix freischalten also im sicheren netzwerk, so das bestimmte ips oder namen im internet darüber kommunizieren können.

ich hatte versucht das ganze mit conduit freizuschalten leider ohne erfolg

nach einem portscann ist das ding dicht

wie kann ich einen port freischalten der vom internet in das sichere netzwerk kommt:confused:

hi ich habe das gleiche proplem mit 12 usern auf 40 citrix servern

hast du schon ne lösung gefunden?

verstanden hab ichs schon :mad: wozu solche zertifikate sind !!! würde auch unbeqemerweise 12 gpos mit den ensprechenden

berechtigungen versehen wenns was nutzen würde

allerdings das man mich versteht sieht meine umgebung so aus:

40 citrixserver mit 1300 usern

nach updates unseres rechenzentrums haben wir öffters das problem dass wir userprofiele löschen müssen weil nach solchen updats die wichtigste anwendung mit den vorhandenen regeinträgen nicht mehr funktioniert welche das sind, weis keiner. weder rechenzentrum noch wir wir sind beide auf der suche!!!

um eine grosse redundanz zu halten müssen diese 12 user auch auf allen 40 servern arbeiten das heist im klartext 480 certifikate manuell neu installieren nach einem update auf dem host:eek: :eek: :eek: alle 3 monate

deppenarbeit meiner meinung nach denn so etwas muss nicht sein kosten unendlich

user kann nicht arbeiten nerft die hotline, hotline nerft mich :mad: ich bekomme meine arbeit nicht gemacht kennt bestimmt jeder von euch.

oder der absolute horror für irgendeine externe anwendung pro user ein zetifikat 52000 certifikate installieren alle 3 monate

gibt es irgend eine möglichkeit diese zertifikate automatisiert zu installiern?????

es sind zertifikate um auf eine bestimmte internetseite zuzugreifen

wie z.B autohändler auf die zulassung also privater informationsaustausch *.pfx

12 zertifikate mit 12 verschiedenen passwörtern

ich habe ca. 12 zertifikate mit passwort die bestimten usern unter citrix zugeordnet werden sollen da ich offters die userprofiele löschen muss und keine lust habe auf 40 citrix machienen 12 usern die zertifikate neu einzustellen meine frage:

gibt es die möglichkeit die zertifikate mit einer gpo zu verteilen?

hat funktioniert danke :jau: :thumb1: und sorry kohn dacht währe hier richtig

Danke für die schnelle antwort ich werde es mal ausprobieren und Bericht erstatten :jau:

ich such in den gpo`s den eintrag für den iee das ich auf allen plätzen,

die cookies in der option datenschutz auf mittel einstellen kann.