Verbindungsprobleme PIX 501

[plvoy 10]

Servus,

ich versuche zur Zeit eine PIX 501 zu konfigurieren. Die Einwahl ins DSL mit pppoe klappt, ich kann übers CLI externe hosts anpingen. Ich bekomme aber keine Verbindung vom Client zum Internet. Die PIX scheint alles zu blocken und ich weiss nicht genau warum. Anbei die conf

 

Building configuration...

: Saved

:

PIX Version 6.3(5)

interface ethernet0 auto

interface ethernet1 100full

nameif ethernet0 outside security0

nameif ethernet1 inside security100

enable password ###### encrypted

passwd ########## encrypted

hostname #####

domain-name ######

fixup protocol dns maximum-length 512

fixup protocol ftp 21

fixup protocol h323 h225 1720

fixup protocol h323 ras 1718-1719

fixup protocol http 80

fixup protocol rsh 514

fixup protocol rtsp 554

fixup protocol sip 5060

fixup protocol sip udp 5060

fixup protocol skinny 2000

fixup protocol smtp 25

fixup protocol sqlnet 1521

fixup protocol tftp 69

names

name 192.168.1.10 ####

name 192.168.1.4 ####

access-list inside_access_in permit ip 192.168.1.0 255.255.255.0 any

access-list inside_outbound_nat0_acl permit ip any 192.168.1.64 255.255.255.192

access-list outside_cryptomap_dyn_20 permit ip any 192.168.1.64 255.255.255.192

pager lines 24

logging on

icmp permit any outside

icmp permit any inside

mtu outside 1500

mtu inside 1500

ip address outside pppoe setroute

ip address inside 192.168.1.30 255.255.255.0

ip audit info action alarm

ip audit attack action alarm

ip local pool ####### 192.168.1.90-192.168.1.99

pdm location ###### 255.255.255.255 inside

pdm logging informational 100

pdm history enable

arp timeout 14400

global (outside) 10 interface

nat (inside) 0 access-list inside_outbound_nat0_acl

nat (inside) 10 0.0.0.0 0.0.0.0 0 0

access-group inside_access_in in interface inside

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00

timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00

timeout sip-disconnect 0:02:00 sip-invite 0:03:00

timeout uauth 0:05:00 absolute

aaa-server TACACS+ protocol tacacs+

aaa-server TACACS+ max-failed-attempts 3

aaa-server TACACS+ deadtime 10

aaa-server RADIUS protocol radius

aaa-server RADIUS max-failed-attempts 3

aaa-server RADIUS deadtime 10

aaa-server LOCAL protocol local

ntp server #### source inside

http server enable

http #### 255.255.255.255 inside

no snmp-server location

no snmp-server contact

snmp-server community public

no snmp-server enable traps

floodguard enable

sysopt connection permit-ipsec

crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac

crypto dynamic-map outside_dyn_map 20 match address outside_cryptomap_dyn_20

crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-MD5

crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map

crypto map outside_map interface outside

isakmp enable outside

isakmp policy 20 authentication pre-share

isakmp policy 20 encryption 3des

isakmp policy 20 hash md5

isakmp policy 20 group 2

isakmp policy 20 lifetime 86400

vpngroup #### address-pool #####

vpngroup #### dns-server 192.168.1.2

vpngroup #### default-domain ##################

vpngroup #### idle-time 1800

vpngroup #### password ********

telnet timeout 5

ssh timeout 5

console timeout 0

vpdn group pppoe_group request dialout pppoe

vpdn group pppoe_group localname ###############

vpdn group pppoe_group ppp authentication chap

vpdn username ############# password *********

username #### password ############## encrypted privilege 15

terminal width 80

Cryptochecksum:c6a80e79aabe121f81657bb0d8ff7be3

: end

[OK]

 

besten dank schon mal im vorraus :)

[hegl 10]

Schon mal an den echo-reply gedacht, der zurückgeschickt wird?

Du läst zwar durch ..ip any... icmp-Pakete raus, aber für den ech-reply hast du weder eine ACL noch die dazugehörende access-group.

Während bei z.B. http die PIX die Rückantwort automatisch zulässt, musst Du beim ping dies explizit freischalten!

[plvoy 10]

Es klappen nicht nur die Pings nicht, auch http/https nach aussen klappt nicht...

[hegl 10]

Hmm, auf den ersten Blick sehe ich auch nichts.

Was sagt denn das logging?

[Wordo 11]

Namensaufloesung? Default-GW der Clients richtig?

[plvoy 10]

okay problem 1 ist erlegt... ist ja fast schon peinlich.. ich habe beim testen vergessen dem DNS Server das neue Gateway auch zu geben ^^... okay nun hänge ich aber noch am port forwarding fest.. die ACLs, die ich finde z.b.

 

access-list In_Outside permit tcp any host 1.2.3.4 eq 80

access-group In_Outside in interface outside

 

klappen nicht und wenn ich im PDM eine ACL hinzufügen will mit source any dest 192.168.1.4 http möchte er immer eine statische nat hinzufügen, aber die kann ich doch wegen dem PPPOE und dyn IP nicht angeben oder?