Gefan 10 Geschrieben 23. April 2004 Melden Teilen Geschrieben 23. April 2004 Hallo zusammen, ich habe hier ein super Problem mir einer Cisco Pix 515. Vor 2 Wochen ist auf einmal unser Internetzugang ausgefallen. Ein Reset hat nichts bewirkt. Auch die Config wurde nicht verändert. Als Ersatz habe ich eine ander Cisco Pix eingebaut und die Config von der "defekten" eingespielt und der Internet Zugang war wieder hergestellt. Ich habe mich heute nochmal der Pix angenommen und eine komplette neue Config geschrieben. Mit der alten sowie der neuen Config, kann alles gepingt werden (externe DNS Server), aber der Webbrowser kann keine Seiten öffnen. Per Telnet wollte ich übers Internet auf die Pix zugreifen, funzt auch nicht (intern geht, ist auch für extern freigeschaltet). Ich habe so langsam echt keine Ahnung mehr, was ich noch tun kann (am besten in die Tonne:-)). Wenn jemand Vorschläge hat, würde mich sehr über hilfreiche Antworten freuen. Cu Stefan Zitieren Link zu diesem Kommentar
MrBraum 10 Geschrieben 26. April 2004 Melden Teilen Geschrieben 26. April 2004 Hi ... Da du keine config o.Ä. dabei hast kann ich dir nur allg Ratschläge geben... Ist http von inside nach outside und anders herum >1023 erlaubt? Ist "telnet" Port 23 auf das outside Interf erlaubt? (solltest besser "ssh" 22 benutzen) Sind die Interf richtig ..also 0= out 0(WAN) und 1= in 100(LAN)? vG Mr Braum Zitieren Link zu diesem Kommentar
Gefan 10 Geschrieben 26. April 2004 Autor Melden Teilen Geschrieben 26. April 2004 Hallo, hier meine Configuration: : Saved : Written by enable_15 at 09:47:01.085 UTC Fri Apr 23 2004 PIX Version 6.3(3) interface ethernet0 auto interface ethernet1 auto nameif ethernet0 outside security0 nameif ethernet1 inside security100 enable password ******************* encrypted passwd ********************* encrypted hostname Pix domain-name ciscopix.com fixup protocol dns maximum-length 512 fixup protocol ftp 21 fixup protocol h323 h225 1720 fixup protocol h323 ras 1718-1719 fixup protocol http 80 fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol sip 5060 fixup protocol sip udp 5060 fixup protocol skinny 2000 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol tftp 69 names access-list inside_outbound_nat0_acl permit ip any 192.168.66.96 255.255.255.240 ??? access-list outside_cryptomap_dyn_20 permit ip any 192.168.66.96 255.255.255.240 ??? pager lines 24 icmp permit any outside icmp permit any inside mtu outside 1500 mtu inside 1500 ip address outside 193.158.3.86 255.255.255.248 ip address inside 192.168.66.20 255.255.255.0 ip audit info action alarm ip audit attack action alarm ip local pool PTC1 192.168.66.100-192.168.66.110 pdm location 192.168.66.0 255.255.255.255 inside pdm history enable arp timeout 14400 route outside 0.0.0.0 0.0.0.0 193.158.3.81 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server RADIUS protocol radius aaa-server LOCAL protocol local http server enable http 192.168.66.0 255.255.255.0 inside no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps floodguard enable telnet 0.0.0.0 0.0.0.0 outside telnet 192.168.66.0 255.255.255.0 inside telnet timeout 5 ssh timeout 5 console timeout 0 dhcpd address 192.168.66.21-192.168.66.254 inside dhcpd lease 3600 dhcpd ping_timeout 750 dhcpd auto_config outside terminal width 80 Crypto : end Zitieren Link zu diesem Kommentar
Blacky_24 10 Geschrieben 26. April 2004 Melden Teilen Geschrieben 26. April 2004 Hi, Ich vermute mal, das ist die "... Ich habe mich heute nochmal der Pix angenommen und eine komplette neue Config geschrieben ..."-Konfig? Dass man mit dieser Konfig nicht ins Internet kommt ist klar, was auch klar ist ist dass man mit dieser Konfig nicht wie im ersten Beitrag hier geschrieben irgendeinen externen DNS anpingen kann - zumindest nicht vom internen Netz aus, direkt von der PIX weg mag das gehen. Gruss Markus Zitieren Link zu diesem Kommentar
Gefan 10 Geschrieben 27. April 2004 Autor Melden Teilen Geschrieben 27. April 2004 Hey Blacky_24, ich finds ja super das du hier tolle sprüche klopfst, aber wenn du glaubst es besser zu wissen, warum verbessert du dann mich an den entsprechenden Stellen nicht?? Außerdem muss ich dazu sagen, das diese Konfig bereits funktioniert hat. Leider bin ich im Cisco Bereich neu und daher dürfen Fehler wohl erlaubt sein. Der Ping von der Pix aus funzt. Ich hatte auch schon eine Access-List dafür eingetragen, aber damit hats leider auch nicht funktioniert. Was noch wichtig ist: Vor der PIX hängt noch ein Router!! Gruss Zitieren Link zu diesem Kommentar
Blacky_24 10 Geschrieben 27. April 2004 Melden Teilen Geschrieben 27. April 2004 Tu mir einen Gefallen und erzähl mir hier nicht die chinesischen Nachrichten. Es ist definitiv unmöglich dass diese Konfig funktioniert i.S.v. Internetzugriff von drinnen nach draussen. Genausowenig kannst Du mit dieser Konfig von drinnen durch die PIX pingen. Genau genommen kannst Du mit dieser Konfig die PIX auch ausschalten, ausser dass Du von drinnen auf das interne Interface telnetten kannst geht damit nämlich garnichts - achso, doch, die macht noch DHCP - ziemlich teurer DHCP-Server. Warum ich Dir nicht helfen kann / will? Ganz einfach: ich habe absolut keine Lust, hier im Blindflug, versorgt mit der Hälfte der notwendigen Informationen, irgendwelche Konfigs zu debuggen. Es gibt mindestens vier Konfigs: - eine die mal irgendwie grundsätzlich funktioniert hat (siehe Deinen ersten Beitrag) - eine die Du selber hingebastelt hast und mit der man von drinnen nach draussen pingen konnte (siehe Deinen ersten Beitrag) - die gepostete Konfig im zweiten Beitrag - das kann weder die erste noch die zweite sein - eine mit Accesslisten (siehe Deinen dritten Beitrag) Welches Schweinderl hätten Sie denn gerne? Die gepostete Konfig ist zusammengebastelt aus irgendwelchen anderen Konfigs, Host- und Domain-Name deuten darauf hin dass Teile mit Copy & Paste aus einer Musterkonfig von cisco.com übernommen wurde - anhand der geposteten IP-Adressen weiss ich auch dass die Domain "ciscopix.com" nicht zu diesem Adressraum gehört, die beiden Access-Listen stammen nach der Benamsung aus einer Konfig in der ein VPN-Tunnel definiert war - der in der geposteten Konfig fehlt. To make a long story short: Ich verstehe von Cisco und der PIX genug um zu sehen dass Deine Story so nicht stimmt. Ich bin gerne bereit zu helfen, dafür musst Du aber die Karten auf den Tisch legen. Ansonsten kann ich Dir nur empfehlen, eine entsprechende Schulung zu besuchen, da lernst Du das und wirst dann vielleicht auch verstehen warum Deine Konfig nicht funktioniert. Wenn Du die PIX(en) immer noch in die Tonne klopfen willst sag mir bitte vorher Bescheid, ich komme gerne nach Wörthsee und hole sie mir aus der Tonne. Gruss Markus Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.