Jump to content
Sign in to follow this  
Speedo

Cisco PIX 506E

Recommended Posts

Hallo,

ich bekomme einfach keine Verbindung zum Netz mit meiner Pix hin. Die Pix erreicht mit Pings das Gateway und die Clients. Letztere dürfen aber nicht nach outside pingen. :(

 

Folgendes habe ich konfiguriert:

 

 

PIX Version 6.1(4)

nameif ethernet0 outside security0

nameif ethernet1 inside security100

hostname xxxxxx

domain-name xxxxxxxxxxx

fixup protocol ftp 21

fixup protocol http 80

fixup protocol h323 1720

fixup protocol rsh 514

fixup protocol rtsp 554

fixup protocol smtp 25

fixup protocol sqlnet 1521

fixup protocol sip 5060

fixup protocol skinny 2000

names

access-list acl_inside permit ip 10.0.0.0 255.255.255.0 any

access-list acl_inside permit icmp 10.0.0.0 255.255.255.0 any

access-list acl_inside deny ip any any

access-list acl_outside permit ip any host xxxxxxxxx

access-list acl_outside permit icmp any host xxxxxxxxx

access-list acl_outside deny ip any any

pager lines 24

logging on

logging timestamp

logging console debugging

logging buffered debugging

logging trap debugging

logging history informational

interface ethernet0 10baset

interface ethernet1 10baset

mtu outside 1500

mtu inside 1500

ip address outside xxxxxxxxx 255.255.255.192

ip address inside 10.0.0.1 255.255.255.0

ip audit info action alarm

ip audit attack action alarm

pdm history enable

arp timeout 14400

nat (inside) 0 access-list acl_inside

access-group acl_outside in interface outside

access-group acl_inside in interface inside

route outside 0.0.0.0 0.0.0.0 xxxxxxxxx [zum Gateway] 1

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 si

p 0:30:00 sip_media 0:02:00

timeout uauth 0:05:00 absolute

aaa-server TACACS+ protocol tacacs+

aaa-server RADIUS protocol radius

no snmp-server location

no snmp-server contact

snmp-server community public

no snmp-server enable traps

floodguard enable

no sysopt route dnat

telnet timeout 5

ssh timeout 5

dhcpd address 10.0.0.2-10.0.0.254 inside

dhcpd lease 3600

dhcpd ping_timeout 750

dhcpd enable inside

terminal width 80

 

nameif ethernet0 outside security0

nameif ethernet1 inside security100

 

Ich kann das Gateway nicht anpingen. Die PIX buildet zwar eine Verbindung, aber mehr passiert da nicht... :confused:

 

Hin und wieder erscheint eine LogMes über "Teardown"... Was heißt das? Verbindung beendet? :suspect:

 

Sollten weitere Infos nötig sein, poste ich sie gern...

 

Danke!!

Share this post


Link to post

Wenn ich mich recht erinnere, fehlt da ein

 

"global (outside) 1 [interface]" hinzu

 

und ein

 

"nat (inside) 1 0.0.0.0 0.0.0.0 0 0" !

 

Füg das mal hinzu und probier es dann noch einmal....

Share this post


Link to post

nat (inside) 1 ... ist doch drin. Der global fehlt allerdings wirklich.

 

Was ich nicht verstehe ist die "acl-outside", ohne einen entsprechenden "static" wirst Du an den Server von draussen nicht drankommen.

 

Gruss

Markus

Share this post


Link to post

Hatte mich mit dem "nat (inside) 1 ..." auf eine Bsp.-Config von Cisco bezogen in der auch beide nat Einträge zu finden waren, da ging es jedoch um NoNat wg. IPSEC.

Share this post


Link to post

Danke für die Hilfe...

 

@Blacky: Den global so einsetzen, wie Predator es nannte?

 

Zum "static" bitte eine wen möglich nähere Erläuterung... Was wird da in der Pix gemacht und was ist danach erlaubt?

Die Pix soll erstmal nur routen und maskieren. Von aussen sollen keine Verbindungen zu initiieren zu sein.

Share this post


Link to post

Der "static" macht, wie der Name schon sagt, eine statische Adresszuordnung (statisches NAT) einer inside-Adresse auf eine outside-Adresse. Voraussetzung dafür ist u.a. dass Du outside Adressen zur Verfügung hast. static geht also (vereinfacht gesagt) nicht, wenn Du einen Internet-Connect für arme hast wo es nur eine (oder garkeine) feste IP gibt.

 

Keine / eine feste IP koreliert mit dem o.a. erwähnten "global (outside) 1 interface", damit sagst Du der PIX dass sie outbound-Traffic auf die IP-Adresse des outside-Interface natten soll.

 

Ohne NAT-Statement tut die PIX garnix von drinnen nach draussen (wobei ein Static NAT-äquivalent ist, also was über static statisch genattet wird geht am "global" vorbei nach dem Prinzip Spezialregel vor Generalregel).

 

Gruss

Markus

Share this post


Link to post

"nat (inside) 0" sagt der PIX dass sie NICHT natten soll (NAT 0).

 

Du musst die gleiche ID verwenden wie beim "global (outside)" damit die PIX die aufeinander abbilden kann.

 

Man kann mit unterschiedlichen NAT-IDs verschiedene IPs/Netze abbilden.

 

Benutz mal die Suche auf Cisco.com, da ist das alles erschöpfend dokumentiert.

 

Gruss

Markus

Share this post


Link to post

Danke für die Erklärung, jetzt wird mir einges klar... Die Cisco-Seite habe ich betrefflich der Pix wohl mittlerweile komplett durch. Man wird da ja förmlich von Infos erschlagen...

Werde mich nochmal melden, wenn ich Fragen hab oder es funktioniert.

Share this post


Link to post

Mir ist der 'Static'-Befehl noch nicht ganz klar. Funktion und Syntax ist verständlich, jedoch weis ich nicht, welche IPs ich da eintragen soll...

 

static (inside, outside) [iP öffentliches Pix-Beinchen oder IP des Gateways?] [iP privates Pix-Beinchen=10.0.0.1?]

 

Muss ich eine Netmask angeben, wenn ja, welche?

 

EDIT: Beim Eintragen des NAT kam eine Notiz, das ich überlappende IPs mit der Broadcast-Adresse hätte... Im Handbuch unter static steht, daß man diese nicht verwenden solle... Kann ich das auch auf das NAT transferieren?

Share this post


Link to post

Hm, hilft mir nicht viel weiter... Gleiches habe ich in gebundener Form vor mit liegen. Meine obigen Fragen erklären sich für mich daraus nicht.

Share this post


Link to post

So, habe mich bis hierher durchgeboxt, jetzt haperts noch am http... Die Clients können auf das externe Beinchen pingen, sich am Novell anmelden und auch FTP-Sitzungen eröffnen, nur spielt das Internet nicht mit. Proxyeinstellungen habe ich durchprobiert, kein Erfolg.

 

Bitte schaut euch die Config nochmal an:

 

 

: Saved

:

PIX Version 6.1(4)

nameif ethernet0 outside security0

nameif ethernet1 inside security100

 

hostname ********

domain-name ********

no fixup protocol sip 5060

no fixup protocol skinny 2000

no fixup protocol h323 1720

no fixup protocol rsh 514

no fixup protocol ftp 21

no fixup protocol rtsp 554

no fixup protocol smtp 25

no fixup protocol sqlnet 1521

no fixup protocol http 80

names

ermit icmp any host 10.0.0.1

pager lines 24

logging on

logging timestamp

logging console debugging

logging buffered debugging

logging trap debugging

logging history informational

interface ethernet0 10baset

interface ethernet1 10baset

mtu outside 1500

mtu inside 1500

ip address outside ********

ip address inside 10.0.0.1 255.255.255.0

ip audit info action alarm

ip audit attack action alarm

pdm history enable

arp timeout 14400

global (outside) 1 interface

nat (inside) 1 0.0.0.0 0.0.0.0 0 0

conduit permit icmp any any

route outside 0.0.0.0 0.0.0.0 [iP-Gateway] 1

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 si

p 0:30:00 sip_media 0:02:00

timeout uauth 0:05:00 absolute

aaa-server TACACS+ protocol tacacs+

aaa-server RADIUS protocol radius

no snmp-server location

no snmp-server contact

snmp-server community public

no snmp-server enable traps

floodguard enable

no sysopt route dnat

telnet timeout 5

ssh timeout 5

dhcpd address 10.0.0.2-10.0.0.254 inside

dhcpd lease 3600

dhcpd ping_timeout 750

dhcpd enable inside

terminal width 80

 

 

Dank und Gruß!

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...