Ambix 10 Geschrieben 16. April 2010 Melden Teilen Geschrieben 16. April 2010 Hallo zusammen, folgendes Problem: Ich habe in meinem internen Netz einen PPTP Server und einen SSL Server, die sich eine öffentliche IP teilen müssen. Gemacht wird das über eine PIX 6.3(5), die Konfig sieht so aus: static (inside,outside) tcp externalIP pptp PPTP-Server pptp netmask 255.255.255.255 0 0 static (inside,outside) tcp externalIP https SSL-Server https netmask 255.255.255.255 0 0 dazu noch die entsprechenden access list Einträge fürs outside Interface gemacht, funktioniert prima. Jetzt kommt eine neue Anforderung: Der SSL Server soll nun auf Port 443 (und später auch auf 10090) Verbindungen über die gleiche öffentliche IP wie oben initiieren können. Ich wollte einfach nur in der inside access list einen Eintrag hinzunehmen: access-list acc_inside permit tcp host SSL-Server any eq 443 Aber nein, PDM sagt mir, dass mir dafür eine translation rule fehlt und bietet mir an, den kompletten SSL Server ohne jede Porteinschränkung auf die öffentliche IP zu packen - was wiederum misslingt, weil das mit den oben aufgeführten rules kollidiert. Ich habe dann einfach den access-list Eintrag per Konsole hinzugefügt. Der erscheint jetzt als nullified im PDM und es funktioniert tatsächlich auch nicht. Was mache ich falsch? Oder geht das gar nicht? ratlos Frank Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 16. April 2010 Melden Teilen Geschrieben 16. April 2010 da wirst du ein dynamisches nat hinzufügen müssen nat (inside) 1 SSL-Server (INTERNE IP) global (outside) 1 externalIP und dann eben deien inside ACL, da muss auch die interne IP des SSL Servers hin Zitieren Link zu diesem Kommentar
Ambix 10 Geschrieben 26. April 2010 Autor Melden Teilen Geschrieben 26. April 2010 Nicht nur, dass es elend lange gedauert hat, Deine Lösung auszuprobieren, schlimmer noch, ich kriegs nicht hin... Hier mal ein bisschen mehr von meiner Konfig: PIX Version 6.3(5) access-list acc_inside permit tcp host SSL-Server any eq https access-list acc_inside deny ip any any access-list acc_outside permit tcp any host ExternalIP eq pptp access-list acc_outside permit tcp any host ExternalIP eq https access-list acc_outside deny ip any any access-list acc_inside_to_lower permit ip inside_lan 255.255.248.0 object-group VPN_Locations access-list acc_crypto_outside permit ip inside_lan 255.255.248.0 object-group VPN_Locations global (outside) 1 ExternalIP nat (inside) 0 access-list acc_inside_to_lower nat (inside) 1 SSL-Server 255.255.255.255 0 0 static (inside,outside) tcp ExternalIP pptp RAS-Server pptp netmask 255.255.255.255 0 0 static (inside,outside) tcp ExternalIP https SSL-Server https netmask 255.255.255.255 0 0 access-group acc_outside in interface outside access-group acc_inside in interface inside Da funktioniert nicht. PDM sagt mir bei der Translation rule nat (inside) 1, dass er keinen Pool 1 auf einem Interface mit lower security level finden kann. Gut, lege ich halt einen Pool auf dem outside Interface an, mit einer einzigen IP: ExternalIP. Das geht aber leider auch nicht, weil das mit static (inside,outside) https kollidiert. Langsam verzweifle ich, das muss doch gehen... frank Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 27. April 2010 Melden Teilen Geschrieben 27. April 2010 global (outside) 1 ExternalIP Was hast Du hier als ExternalIP konfiguriert, die des interface? Dann solltest Du statt der IP-Adresse einfach interface schreiben. Versteh´ ich zwar auch nicht, aber das Problem hatte ich mal, obwohl es ja eigentlich auf´s Gleiche hinausläuft, hat es mit der Angabe der Interface-IP-Adresse nicht funktioniert, mit Angabe interface schon. Ansonsten sollte der dynamische NAT-Eintrag die Lösung gewesen sein. Zitieren Link zu diesem Kommentar
Ambix 10 Geschrieben 27. April 2010 Autor Melden Teilen Geschrieben 27. April 2010 Pest Hölle und Verdammnis, ich würde den ansonstem immer gern genutzen PDM am liebsten in kleinste Stückchen zerhacken... Ich hatte wie überall sonst auch einen Alias definiert, die Konfig sah also so aus: name 1.2.3.4 RAS_External global (outside) 1 RAS_External Und genau das funktioniert nicht! In dem Moment, wo ich den name Eintrag gelöscht habe und in der Konfig daraufhin global (outside) 1 1.2.3.4 stand, funktionierte alles wie geschmiert! Ich nutze übrigens PDM 3.0(4). Hegl, was Du beschreibst, könnte dieselbe Ursache haben, denn auch die Interface IP hat zumindest bei mir einen Alias. Herzlichen Dank für Eure Hilfe Frank Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 27. April 2010 Melden Teilen Geschrieben 27. April 2010 tjo, das kommt vom alten Schrott: uralt Device, uralt Software,... ;) bei alles unter 7.0 rollts mir so und so die Zehennägel auf, damit lässt es sich doch nicht arbeiten. Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 27. April 2010 Melden Teilen Geschrieben 27. April 2010 tjo, das kommt vom alten Schrott: uralt Device, uralt Software,... ;) bei alles unter 7.0 rollts mir so und so die Zehennägel auf, damit lässt es sich doch nicht arbeiten. Zumindest beim PDM würde ich Dir da bedenkenlos zustimmen ;) Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 27. April 2010 Melden Teilen Geschrieben 27. April 2010 auch das CLI, keine autovervollständigung und was mir mittlerweile oft auffällt, Devices mit 6.3 OS (iirc) können keinen _ in einer Suche vertragen sagen wir: sh run i i SAP_Ports findet einem nicht die Zeile object-group network SAP_Ports, sh run object-group id blabla gibts auch nicht, kein packet-tracer, nat-control und und und....6.3 stinkt :) Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 27. April 2010 Melden Teilen Geschrieben 27. April 2010 @otaku19 Wenn 6.3 auch stinkt - dann ändere mal fix deine Signatur :-)) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.