osirus01 10 Geschrieben 1. März 2007 Melden Teilen Geschrieben 1. März 2007 Hallo zusammen, stehe vor einem Problem und ich weiss nicht, ob das technisch umsetzbar ist. Aber vielleicht kann mir hier jemand helfen. :) Folgendes Szenario: [PC1]--->[RT1]-->(outside)[PIX](inside)--->[RT2 ]--->(INSIDE)[ASA](OUTSIDE)--->*I-NET Nun wird auf PC1 eine Anwendung installiert, die eine Verbindung zum Internet benötigt. Und hier stehe ich irgendwie auf dem Schlauch. Wie bekommen ich es hin, das PC1 durch die PIX ins Internet kommt? Ich gehe mal davon aus das ich das ganze mit nem Static und nem NAT0 evt. hinbekomme!? [PC1] = 192.168.13.1 [RT1] = Routing zwischen Transfernetz PIX und PC1 Lan [PIX] = Statefullfiltering + NAT zwischen Inside (10.248.204.0) und outside (172.16.192.0) [RT2] = Default Gateway für Inside LAN [ASA]= INET-Gateway Ich hoffe ich konnte das Problem einigermassen rüberbringen. ;) Gruß Osirus Zitieren Link zu diesem Kommentar
Pretender 10 Geschrieben 3. März 2007 Melden Teilen Geschrieben 3. März 2007 Hallo, als erstes denke ich das deine Konstellation, eigentlich so aussehen sollte: [PC1]--->[RT1]-->(inside)[PIX](outside)--->[RT2 ]--->(INSIDE)[ASA](OUTSIDE)--->*I-NET und NICHT: [PC1]--->[RT1]-->(outside)[PIX](inside)--->[RT2 ]--->(INSIDE)[ASA](OUTSIDE)--->*I-NET Für die Konfiguration der PIX hat Cisco genau für dein Beispiel eine Konfiguration online: Cisco Secure PIX Firewall with Two Routers Configuration Example [Cisco PIX 500 Series Security Appliances] - Cisco Systems Neben dieser Konfiguration gibt es dort auch viele Bsp. für die Verwendung von NAT etc. Grüße, Pretender Zitieren Link zu diesem Kommentar
osirus01 10 Geschrieben 5. März 2007 Autor Melden Teilen Geschrieben 5. März 2007 Hi, danke für Deine Antwort. Ja, da hast Du wohl recht. Aber es ist leider wirklich so. ;) Die Firma die am Outside Interface hängt, war vorher über einen ISDN Router angebunden und hat bis dahin einen eigenen Internet Zugang gehabt. Mit der Firewall sollte somit halt das Backdoor zugemacht werden. :) Jetzt ist die Firma aber zu uns in ein Nachbargebäude gezogen und hat auch keinen eigenen Internetzugang mehr, sondern Surft mit über unseren Proxy. Jetzt ist aber das Problem aufgetaucht, dass die unbedingt eine Anwendung einsetzen wollen die sich nicht über den Proxy betreiben lässt. Daher wieder zurück zur meiner Problemstellung... Gruß Osirus Zitieren Link zu diesem Kommentar
Pretender 10 Geschrieben 5. März 2007 Melden Teilen Geschrieben 5. März 2007 Nur zum Verständnis: Zwischen RTR2 und PIX hängt also noch das LAN eurer Firma? Und die PIX soll eine Sub-Firma abschotten ? Zitieren Link zu diesem Kommentar
osirus01 10 Geschrieben 5. März 2007 Autor Melden Teilen Geschrieben 5. März 2007 Jup, genau so ist es. Wenn wir in diesem Chaos-Netz dann irgendwann mal alles wieder auf Vordermann gebracht haben, wird auch die Firewall wegfallen. Aber bis dahin muss ich mir halt was einfallen lassen, wie ich diese ****e Anwendung ans Rennen kriege... Zitieren Link zu diesem Kommentar
osirus01 10 Geschrieben 8. März 2007 Autor Melden Teilen Geschrieben 8. März 2007 Hallo, hat hier noch jemand eine Idee? Oder lässt sich das wirklich nicht umsetzen. Glaube ja selbst nicht wirklich dran, aber vielleich gibt es ja doch noch eine Möglichkeit... Zitieren Link zu diesem Kommentar
czappb 10 Geschrieben 9. März 2007 Melden Teilen Geschrieben 9. März 2007 Ja und wo ist nun genau das Problem? Macht ihr NAT auf der PIX oder wird zwischen LAN1 und LAN2 normal geroutet? Muss die Anwendung nur selber ins Internet oder braucht sie gar eingehende Verbindungen? Wenn normal geroutet wird kannst du doch einfach eine Regel auf der PIX schreiben und auf der ASA ebenfalls - dann zusehen das NAT auf der ASA konfiguriert ist. Falls beide NAT machen mußt du halt bei den Regeln entsprechend drauf achten, auch wenn NAT im LAN eher seltsam wäre - sofern die LANs nicht die selben Netze nutzen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.