Jump to content
Sign in to follow this  
hoffi-

Probleme bei Konfiguration PIX 501

Recommended Posts

hallo

 

hab mich mal wieder an meine PIX (501) gewagt. bin normaler tdsl-kunde, also keine feste IP. und nun moechte die pix so konfigurieren das ich trotzdem dyndns.org nutzen kann. habe also die entsprechenden updater auf die einzelnen rechner installiert und versuch den port freizugeben. nun passiert leider etwas extrem seltsames : nach jedem IP-wechsel (alle 24 std. ca) hat die pix im outline eine neue externe ip und vergisst die anderen zu loeschen bzw. die regel die auf outline erstellt ist ist nicht mehr gueltig. kann einer helfen ? ich denke mal das ich das nat nicht richtig konfiguriert habe.

 

fuer jede hilfe dankbar

hoffi

Share this post


Link to post
Share on other sites

hallo,

 

es würde extrem helfen, wenn du die pix-version angibst und vielleicht auch noch sagst, wie du deine internet-verbindung aufbaust (ppoe, dhcp)?

 

Meinst Du, dass die access-liste am outside-interface nicht mehr greift?

wenn Du Regeln definiert hast, die auf die externe IP der PIX zugeschnitten sind, ist klar, dass diese nicht mehr funktionieren, da ja die PIX nun eine neue IP bekommen hat. Wenn Du das meinst, ist das ja klar. Aber trotzdem sollten die Regeln bei "wr t" (in der cli) sichtbar sein.

 

Welche Regeln hast Du denn am outside-interface definiert? Ausser einer any-any-drop-rule + logging (die pix droppt von haus aus alle inbound verbindungen), würden die regeln bei einer dynamischen ip sowieso nichts bringen.

 

lg

Martin

Share this post


Link to post
Share on other sites

hallo martin,

danke erstmal fuer das posting hoffe du kannst mir helfen.

hier male configuration in ich nutze t-online als dsl-anbieter

 

Building configuration...

: Saved

:

PIX Version 6.3(3)

interface ethernet0 auto

interface ethernet1 100full

nameif ethernet0 outside security0

nameif ethernet1 inside security100

enable password XXXXXXX encrypted

passwd XXXXXXXXX encrypted

hostname XXXX

domain-name XXXXXX.com

clock timezone CEST 1

clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00

fixup protocol dns maximum-length 512

fixup protocol ftp 21

fixup protocol h323 h225 1720

fixup protocol h323 ras 1718-1719

fixup protocol http 80

fixup protocol rsh 514

fixup protocol rtsp 554

fixup protocol sip 5060

fixup protocol sip udp 5060

fixup protocol skinny 2000

fixup protocol smtp 25

fixup protocol sqlnet 1521

fixup protocol tftp 69

names

access-list ifout permit tcp any any

access-list ifout permit udp any any

access-list ifout permit icmp any any echo-reply

access-list ifout permit icmp any any source-quench

access-list ifout permit icmp any any unreachable

access-list ifout permit icmp any any time-exceeded

access-list icmp_acl permit tcp any any

access-list icmp_acl permit udp any any

access-list icmp_acl permit icmp any any echo

access-list icmp_acl permit icmp any any echo-reply

access-list icmp_acl permit icmp any any source-quench

access-list icmp_acl permit icmp any any unreachable

access-list icmp_acl permit icmp any any time-exceeded

access-list icmp_acl permit icmp any any traceroute

access-list icmp_acl permit tcp interface outside range 4242 4243 host 84.191.251.239 range 4242 4243

pager lines 24

 

 

FORTSETZUNG

Share this post


Link to post
Share on other sites

FORTSETZUNG

 

logging on

logging timestamp

logging trap warnings

logging history warnings

logging facility 23

logging host inside 192.168.1.1

mtu outside 1492

mtu inside 1500

ip address outside pppoe setroute

ip address inside 192.168.1.1 255.255.255.0

ip audit info action alarm

ip audit attack action alarm

pdm location 192.168.1.5 255.255.255.255 inside

pdm location 192.168.1.20 255.255.255.255 inside

pdm location 84.191.210.51 255.255.255.255 outside

pdm location 84.191.239.124 255.255.255.255 outside

pdm location 192.168.1.7 255.255.255.255 inside

pdm location 84.191.212.192 255.255.255.255 outside

pdm logging informational 100

pdm history enable

arp timeout 14400

global (outside) 10 interface

nat (inside) 10 0.0.0.0 0.0.0.0 0 0

static (inside,outside) tcp interface 5905 192.168.1.5 5905 netmask 255.255.255.255 0 0

static (inside,outside) udp interface 5805 192.168.1.5 5805 netmask 255.255.255.255 0 0

static (inside,outside) tcp interface 4242 192.168.1.7 4242 netmask 255.255.255.255 0 0

static (inside,outside) udp 84.191.212.192 4252 192.168.1.7 4252 netmask 255.255.255.255 0 0

static (inside,outside) tcp 84.191.212.192 5907 192.168.1.7 5907 netmask 255.255.255.255 0 0

static (inside,outside) udp 84.191.212.192 5807 192.168.1.7 5807 netmask 255.255.255.255 0 0

static (inside,outside) tcp 84.191.251.239 8888 192.168.1.20 8888 netmask 255.255.255.255 0 0

static (inside,outside) tcp 84.191.251.239 8481 192.168.1.20 8481 netmask 255.255.255.255 0 0

access-group icmp_acl in interface outside

access-group ifout in interface inside

timeout xlate 0:05:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00

timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00

timeout uauth 0:05:00 absolute

aaa-server TACACS+ protocol tacacs+

aaa-server RADIUS protocol radius

aaa-server LOCAL protocol local

http server enable

http 192.168.1.0 255.255.255.0 inside

no snmp-server location

no snmp-server contact

snmp-server community public

no snmp-server enable traps

floodguard enable

sysopt noproxyarp outside

sysopt noproxyarp inside

telnet timeout 5

ssh timeout 5

console timeout 0

vpdn group pppoe_group request dialout pppoe

vpdn group pppoe_group localname XXXXXXXXX#0001@t-online.de

vpdn group pppoe_group ppp authentication pap

vpdn username XXXXXXXXXXX#0001@t-online.de password *********

dhcpd lease 3600

dhcpd ping_timeout 750

username xxxxx password xxxxxx encrypted privilege 15

terminal width 80

Cryptochecksum:xxxxxxx

: end

[OK]

 

vielen danke fuer eure hilfe

Share this post


Link to post
Share on other sites

hallo,

 

am eines ist mir mal sofort aufgefallen:

 

Du hast die access-liste:

 

access-list icmp_acl permit tcp any any

access-list icmp_acl permit udp any any

access-list icmp_acl permit icmp any any echo

access-list icmp_acl permit icmp any any echo-reply

access-list icmp_acl permit icmp any any source-quench

access-list icmp_acl permit icmp any any unreachable

access-list icmp_acl permit icmp any any time-exceeded

access-list icmp_acl permit icmp any any traceroute

access-list icmp_acl permit tcp interface outside range 4242 4243 host 84.191.251.239 range 4242 4243

 

Diese ist am OUTSIDE Interface gebunden. Dir ist schon klar, dass Du tcp und udp komplett OFFEN hast!!

 

So wo liegt denn nun das Problem?

 

Deine statics sind so konfiguriert, dass die IP 84.191.212.192 verwendet bzw. die externe-IP vom Interface verwendet wird. So weit so gut. Ist die 84.191.212.192 eine Deiner pupIPs, oder ist das eine von denen die immer wechselt. Wenn diese nicht mehr aktuell ist, weil eben die IPs wechseln, dann ist klar, dass das nicht funktioniert.

Die Access-Lists sind zwar vorhanden, die statics greifen aber nicht mehr, da ja die pupIP sich von Dir geändert hat. Du müsstes also ALLE statics immer mit dem interface verwenden. Dann passen sich diese an die NEUE pupIP von Dir an. Wichtig ist auch noch, dass Du dann bei den statics auch noch die Ports angibts, aber das machst Du ja e schon.

 

LG

Martin

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...