Jump to content

PIX 501 Konfiguration


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Foren User,

 

ich bin ein blutiger Anfänger der nun eine PIX 501 konfigurieren soll. Ich habe versucht mich durch zu wühlen, aber ich verstehe ein paar Sachen nicht. Vorab die PIX 501 hängt am outside Interface direkt am KabelModem. Intern läuft ein DC und ein Mailserver so wie ein Webserver. Was ich möchte ist, dass der Mailserver e-Mails senden und empfangen kann und ebenso der webserver erreichbar ist zwecks OWA. Ich habe es mit folgender konfiguration versucht. Läuft aber leider nicht.

interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password **** encrypted
passwd ***** encrypted
hostname ferouter01
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
access-list acl_out permit tcp any host 10.200.100.2 eq smtp
access-list acl_in permit tcp host 10.200.100.2 eq smtp any
access-list acl_in permit tcp 10.200.100.0 255.255.255.0 eq www any
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside dhcp setroute
ip address inside 10.200.100.254 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) tcp interface smtp 10.200.100.2 smtp netmask 255.255.255.255 0 0
access-group acl_out in interface outside
access-group acl_in in interface inside
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 10.200.100.0 255.255.255.0 inside
no snmp-server enable traps
floodguard enable
telnet 10.200.100.0 255.255.255.0 inside
telnet timeout 5
ssh timeout 5
console timeout 0
terminal width 80

 

Was ich nicht ganz verstehe ist, alle Beispiele die ich finde, gehen davon aus, dass man am outside interface eine statische IP Adresse hat. Habe ich aber leider nicht. Wie kann ich den nun die ganzen Regeln definieren?

 

Ich habe herausgefunden, dass folgend Einträge für NAT zuständig sind:

ip address outside dhcp setroute
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0

Was bedeuten denn die letzen beiden Zeilen???

Wir hatten bisher einen Draytek 2910 im Einsatz. Dieser hat auch DNS anfragen weitergeleitet bzw. aufgelöst. Kann das die PIX auch? Sprich wenn ich als DNS Server in der DHCP konfiguration die IP Adresse der PIX angebe, funktioniert das dann?

 

Wie Ihr seht laufe ich gerade voll im Nebel, bin für jede Hilfe dankbar.

 

Gruß Daniel

Link zu diesem Kommentar

 

Wir hatten bisher einen Draytek 2910 im Einsatz. Dieser hat auch DNS anfragen weitergeleitet bzw. aufgelöst. Kann das die PIX auch? Sprich wenn ich als DNS Server in der DHCP konfiguration die IP Adresse der PIX angebe, funktioniert das dann?

 

Gruß Daniel

 

Heisst das, Du hast einen internen DNS-Server und nutzt nicht die PIX als DHCP-Server? Dann hast Du schlechte Karten und musst die DNS-Server eintragen und eine ACL definieren.

Nutzt Du aber die PIX als DHCP-Server, so gibts Du in der config die DHCP-Server an und bei den Clients lässt Du diese dynamisch durch die PIX zuweisen.

Link zu diesem Kommentar

Hallo hegl,

 

genau ich habe einen DC auf dem läuft DNS und DHCP. Bisher war es so, dass der DNS auf dem DC die Namensauflösung innerhalb des netzwerkes gemacht hat, und sobald was kahm was er nicht konnte wurde das an den Router (draytek 2910) weitergeleitet.

 

Ich interpretiere deine antwort nun als ein Nein. Das bedeutet ich muss meinen DNSso einstellen, dass er diese Anfragen bearbeitet. Dazu muss ich einen acl Eintrag anlegen oder? Theoretisch muss ich meinem DC erlauben DNS Abfragen zu machen.

 

Geht das so:

access-list acl_out permit tcp host server_IP any eq domain

access-list acl_out permit udp host server_IP any eq domain

access-group acl_out in interface inside

 

Kann damit mein DC DNS anfragen durch die PIX absetzen?

 

Gruß Daniel

Link zu diesem Kommentar
Jepp und wenn Du nun auch noch die Zieladressen einschränkst...statt any also <DNSServer-IP> konfigurierst biste sauber.

Und noch was: wir kommen allerdings mit udp/53 aus und benötigen tcp/53 nicht!

 

Muss ich nun einen externen DNS-Server angeben? Oder was meinst du mit <DNSServer-IP>. Dachte ich gebe interne DNS Server IP auf any an. gut ich könnte alle root DNS Server IP Adressen anstelle con any angeben, aber macht das wirklich Sinn? Oder meinst du die DNS-Server die ich von meinem ISP zugewiesen bekomme?

 

Gruß Daniel

Link zu diesem Kommentar
Muss ich nun einen externen DNS-Server angeben? Oder was meinst du mit <DNSServer-IP>. Dachte ich gebe interne DNS Server IP auf any an. gut ich könnte alle root DNS Server IP Adressen anstelle con any angeben, aber macht das wirklich Sinn? Oder meinst du die DNS-Server die ich von meinem ISP zugewiesen bekomme?

Gruß Daniel

 

Da Du ja Deinen DC auch als DNS-Server betreibst, leitest Du von diesem für ihn unbekannte Domains an einen (oder mehrere) externe DNS-Server weiter. In der Regel sind dies natürlich die DNS-Server Deines Providers. Entsprechend musst Du Anfragen von Deinen DC auf die ext. DNS-Server per ACL erlauben.

Link zu diesem Kommentar

Hallo hegl,

 

also ich melde mich doch wieder. Aber keine Agnst es hat fast alles funktioniert. Also ich habe nun eine VPN Verbindung herstellen können. Der Client bekommt auch eine gültige IP-Adresse aus dem ippool. Ich sehe auch im Statusbild des PDM dass eine Verbindung besteht. Allerdings kann ich auf nichts zugreofen, also keinen ping machen, nicht auf den internen webserver zugreifen. Also ich nehme mal an dass ich noch eine acl erstellen muss, nur weis ich nicht wo ich die dann einbinden soll, bzw. was ich da freigeben muss.

 

anbei meine Konfiguration:

:PIX Version 6.3(5)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password *** encrypted
passwd *** encrypted
hostname ferouter01
domain-name test.xxxx
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol pptp 1723
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
access-list acl_in permit tcp any any eq www
access-list acl_in permit tcp any any eq smtp
access-list acl_in permit tcp any any eq https
access-list acl_in permit tcp any any eq 44444
access-list acl_in permit icmp any any echo-reply
access-list acl_out permit tcp host 192.168.0.2 any eq www
access-list acl_out permit udp any any eq domain
access-list acl_out permit icmp any any echo
access-list vpn_nat permit ip 192.168.0.0 255.255.255.0 192.168.2.0 255.255.255.0
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside dhcp setroute
ip address inside 192.168.0.254 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
ip local pool ippool 192.168.2.1-192.168.2.254
pdm location 192.168.0.2 255.255.255.255 inside
pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list vpn_nat
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) tcp interface www 192.168.0.2 www netmask 255.255.255.255 0 0
static (inside,outside) tcp interface smtp 192.168.0.2 smtp netmask 255.255.255.255 0 0
static (inside,outside) tcp interface https 192.168.0.2 https netmask 255.255.255.255 0 0
static (inside,outside) tcp interface 44444 192.168.0.2 44444 netmask 255.255.255.255 0 0
access-group acl_in in interface outside
access-group acl_out in interface inside
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
ntp server 192.53.103.108 source outside
http server enable
http 192.168.0.0 255.255.255.0 inside
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
crypto ipsec transform-set myset esp-des esp-md5-hmac
crypto dynamic-map dynmic 10 set transform-set myset
crypto map mymap 10 ipsec-isakmp dynamic dynmic
crypto map mymap interface outside
isakmp enable outside
isakmp identity address
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
vpngroup ler address-pool ippool
vpngroup ler dns-server 10.200.100.1
vpngroup ler default-domain test.xx
vpngroup ler split-tunnel vpn_nat
vpngroup ler idle-time 1800
vpngroup ler password ********

Link zu diesem Kommentar

Mir fällt leider so auch nichts auf :mad: , denn die ACL vpn_nat hast Du schon richtig gesetzt. Logge mal auf der PIX mit, vielleicht ist da was zu sehen.

Schau auch mal, welche IP Du zugewiesen bekommst (siehst Du z.B. im Client). Dort siehst Du auch unter den statistics\route details die secured routes, also das, auf das du per VPN zugreifen darfst.

Link zu diesem Kommentar

Hallo hegl,

 

also beim zweiten mal hat die VPN- Verbindung funktioniert. :-)

Jetzt wollte ich meine Test Konfiguration produktiv schalten und es funktioniert mal wieder gar nichts. Ich habe im Test auf meinen Web- Server zugreifen können. Ich habe einfach die IP-Adressen verändert, damit das ganze in mein produktives System passt. Mit der folge dass der Mail-Server keine e-Mails entgegen nimmt und der Webserver keine web anfragen. e-Mails senden funktioniert, aber nicht empfangen. Ich habe das Logging mal angeschalten, aber ich sehe nur dass die acl_out ständig etwas verbietet.

 

Hat jemand eine Idee, mir fällt nichts auf, da ich ja auch nur die IP-Adressen verändert habe:

interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
hostname ferouter01
domain-name xxxxx.xxx
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
access-list acl_in permit tcp any any eq https
access-list acl_in permit tcp any any eq 44444
access-list acl_in permit icmp any any echo-reply
access-list acl_in permit tcp any any eq smtp
access-list acl_in permit tcp any any eq www
access-list acl_out permit tcp host 10.200.100.2 any eq smtp
access-list acl_out permit tcp host 10.200.100.30 any eq 44444
access-list acl_out permit udp host 10.200.100.1 any eq domain
access-list acl_out permit icmp any any echo
access-list acl_out permit icmp any 10.200.20.0 255.255.255.0 echo-reply
access-list acl_out permit tcp host 10.200.100.2 eq smtp any
access-list acl_out permit tcp host 10.200.100.4 eq www any
access-list acl_out permit tcp host 10.200.100.2 eq https any
access-list acl_out permit tcp 10.200.100.0 255.255.255.0 any eq www
access-list acl_out permit tcp 10.200.100.0 255.255.255.0 any eq https
access-list acl_out permit tcp host 10.200.100.40 any
pager lines 24
logging on
logging trap debugging
logging host inside 10.200.100.40
mtu outside 1500
mtu inside 1500
ip address outside dhcp setroute
ip address inside 10.200.100.254 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm location 10.200.100.40 255.255.255.255 inside
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) tcp interface www 10.200.100.4 www netmask 255.255.255.255 0 0
static (inside,outside) tcp interface smtp 10.200.100.2 smtp netmask 255.255.255.255 0 0
static (inside,outside) tcp interface https 10.200.100.2 https netmask 255.255.255.255 0 0
access-group acl_in in interface outside
access-group acl_out in interface inside
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 10.200.100.0 255.255.255.0 inside
floodguard enable
telnet 10.200.100.0 255.255.255.0 inside
telnet timeout 5
ssh timeout 5
console timeout 0
terminal width 80

Link zu diesem Kommentar

also beim zweiten mal hat die VPN- Verbindung funktioniert. :-)

Jetzt wollte ich meine Test Konfiguration produktiv schalten und es funktioniert mal wieder gar nichts. Ich habe im Test auf meinen Web- Server zugreifen können. Ich habe einfach die IP-Adressen verändert, damit das ganze in mein produktives System passt. Mit der folge dass der Mail-Server keine e-Mails entgegen nimmt und der Webserver keine web anfragen. e-Mails senden funktioniert, aber nicht empfangen. Ich habe das Logging mal angeschalten, aber ich sehe nur dass die acl_out ständig etwas verbietet.

 

dann stell doch mal das entsprechende syslog ein, dann dürfte es einfacher sein, zu analysieren, warum die acl_out etwas blockt!

Link zu diesem Kommentar

Hallo Jungs,

 

also die PIX läuft nun produktiv, der Fehler lag nicht an der Konfig, sondern einzig und allein daran, dass der DynDNS Updater meinen CustomDNS Account nicht aktualisiert hat. So hat wenn ich die PIX angschlossen habe, die IP-Adresse nicht gepasst. Habe ich den alten Router angeschlossen, hat alles wieder funktioniert, da der automatisch die IP Adresse Updates. Das habe ich nun behoben. Nun tut alles. Danke für eure Hilfe.

 

Gruß Daniel

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...