Hindin 10 Geschrieben 15. September 2007 Melden Teilen Geschrieben 15. September 2007 Hallo Foren User, ich bin ein blutiger Anfänger der nun eine PIX 501 konfigurieren soll. Ich habe versucht mich durch zu wühlen, aber ich verstehe ein paar Sachen nicht. Vorab die PIX 501 hängt am outside Interface direkt am KabelModem. Intern läuft ein DC und ein Mailserver so wie ein Webserver. Was ich möchte ist, dass der Mailserver e-Mails senden und empfangen kann und ebenso der webserver erreichbar ist zwecks OWA. Ich habe es mit folgender konfiguration versucht. Läuft aber leider nicht. interface ethernet0 auto interface ethernet1 100full nameif ethernet0 outside security0 nameif ethernet1 inside security100 enable password **** encrypted passwd ***** encrypted hostname ferouter01 fixup protocol dns maximum-length 512 fixup protocol ftp 21 fixup protocol h323 h225 1720 fixup protocol h323 ras 1718-1719 fixup protocol http 80 fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol sip 5060 fixup protocol sip udp 5060 fixup protocol skinny 2000 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol tftp 69 names access-list acl_out permit tcp any host 10.200.100.2 eq smtp access-list acl_in permit tcp host 10.200.100.2 eq smtp any access-list acl_in permit tcp 10.200.100.0 255.255.255.0 eq www any pager lines 24 mtu outside 1500 mtu inside 1500 ip address outside dhcp setroute ip address inside 10.200.100.254 255.255.255.0 ip audit info action alarm ip audit attack action alarm pdm logging informational 100 pdm history enable arp timeout 14400 global (outside) 1 interface nat (inside) 1 0.0.0.0 0.0.0.0 0 0 static (inside,outside) tcp interface smtp 10.200.100.2 smtp netmask 255.255.255.255 0 0 access-group acl_out in interface outside access-group acl_in in interface inside timeout xlate 0:05:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout sip-disconnect 0:02:00 sip-invite 0:03:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server TACACS+ max-failed-attempts 3 aaa-server TACACS+ deadtime 10 aaa-server RADIUS protocol radius aaa-server RADIUS max-failed-attempts 3 aaa-server RADIUS deadtime 10 aaa-server LOCAL protocol local http server enable http 10.200.100.0 255.255.255.0 inside no snmp-server enable traps floodguard enable telnet 10.200.100.0 255.255.255.0 inside telnet timeout 5 ssh timeout 5 console timeout 0 terminal width 80 Was ich nicht ganz verstehe ist, alle Beispiele die ich finde, gehen davon aus, dass man am outside interface eine statische IP Adresse hat. Habe ich aber leider nicht. Wie kann ich den nun die ganzen Regeln definieren? Ich habe herausgefunden, dass folgend Einträge für NAT zuständig sind: ip address outside dhcp setroute global (outside) 1 interface nat (inside) 1 0.0.0.0 0.0.0.0 0 0 Was bedeuten denn die letzen beiden Zeilen??? Wir hatten bisher einen Draytek 2910 im Einsatz. Dieser hat auch DNS anfragen weitergeleitet bzw. aufgelöst. Kann das die PIX auch? Sprich wenn ich als DNS Server in der DHCP konfiguration die IP Adresse der PIX angebe, funktioniert das dann? Wie Ihr seht laufe ich gerade voll im Nebel, bin für jede Hilfe dankbar. Gruß Daniel Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 17. September 2007 Melden Teilen Geschrieben 17. September 2007 Was bedeuten denn die letzen beiden Zeilen??? Alle Verbindungen nach ueberallhin werden auf die IP des externen IFs genattet. Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 17. September 2007 Melden Teilen Geschrieben 17. September 2007 Wir hatten bisher einen Draytek 2910 im Einsatz. Dieser hat auch DNS anfragen weitergeleitet bzw. aufgelöst. Kann das die PIX auch? Sprich wenn ich als DNS Server in der DHCP konfiguration die IP Adresse der PIX angebe, funktioniert das dann? Gruß Daniel Heisst das, Du hast einen internen DNS-Server und nutzt nicht die PIX als DHCP-Server? Dann hast Du schlechte Karten und musst die DNS-Server eintragen und eine ACL definieren. Nutzt Du aber die PIX als DHCP-Server, so gibts Du in der config die DHCP-Server an und bei den Clients lässt Du diese dynamisch durch die PIX zuweisen. Zitieren Link zu diesem Kommentar
Hindin 10 Geschrieben 17. September 2007 Autor Melden Teilen Geschrieben 17. September 2007 Hallo hegl, genau ich habe einen DC auf dem läuft DNS und DHCP. Bisher war es so, dass der DNS auf dem DC die Namensauflösung innerhalb des netzwerkes gemacht hat, und sobald was kahm was er nicht konnte wurde das an den Router (draytek 2910) weitergeleitet. Ich interpretiere deine antwort nun als ein Nein. Das bedeutet ich muss meinen DNSso einstellen, dass er diese Anfragen bearbeitet. Dazu muss ich einen acl Eintrag anlegen oder? Theoretisch muss ich meinem DC erlauben DNS Abfragen zu machen. Geht das so: access-list acl_out permit tcp host server_IP any eq domain access-list acl_out permit udp host server_IP any eq domain access-group acl_out in interface inside Kann damit mein DC DNS anfragen durch die PIX absetzen? Gruß Daniel Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 17. September 2007 Melden Teilen Geschrieben 17. September 2007 Hallo hegl, Kann damit mein DC DNS anfragen durch die PIX absetzen? Gruß Daniel Jepp und wenn Du nun auch noch die Zieladressen einschränkst...statt any also <DNSServer-IP> konfigurierst biste sauber. Und noch was: wir kommen allerdings mit udp/53 aus und benötigen tcp/53 nicht! Zitieren Link zu diesem Kommentar
Hindin 10 Geschrieben 17. September 2007 Autor Melden Teilen Geschrieben 17. September 2007 Jepp und wenn Du nun auch noch die Zieladressen einschränkst...statt any also <DNSServer-IP> konfigurierst biste sauber. Und noch was: wir kommen allerdings mit udp/53 aus und benötigen tcp/53 nicht! Muss ich nun einen externen DNS-Server angeben? Oder was meinst du mit <DNSServer-IP>. Dachte ich gebe interne DNS Server IP auf any an. gut ich könnte alle root DNS Server IP Adressen anstelle con any angeben, aber macht das wirklich Sinn? Oder meinst du die DNS-Server die ich von meinem ISP zugewiesen bekomme? Gruß Daniel Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 17. September 2007 Melden Teilen Geschrieben 17. September 2007 Muss ich nun einen externen DNS-Server angeben? Oder was meinst du mit <DNSServer-IP>. Dachte ich gebe interne DNS Server IP auf any an. gut ich könnte alle root DNS Server IP Adressen anstelle con any angeben, aber macht das wirklich Sinn? Oder meinst du die DNS-Server die ich von meinem ISP zugewiesen bekomme?Gruß Daniel Da Du ja Deinen DC auch als DNS-Server betreibst, leitest Du von diesem für ihn unbekannte Domains an einen (oder mehrere) externe DNS-Server weiter. In der Regel sind dies natürlich die DNS-Server Deines Providers. Entsprechend musst Du Anfragen von Deinen DC auf die ext. DNS-Server per ACL erlauben. Zitieren Link zu diesem Kommentar
Hindin 10 Geschrieben 17. September 2007 Autor Melden Teilen Geschrieben 17. September 2007 Ok danke hegl, werde das heute abend mal ausprobieren. Werde mich aber bestimmt wieder melden, denn als nächstes steht die VPN einwahl an. :) Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 17. September 2007 Melden Teilen Geschrieben 17. September 2007 Werde mich aber bestimmt wieder melden, denn als nächstes steht die VPN einwahl an. :) voilá Cisco PIX 500 Series Security Appliances Configuration Examples and TechNotes - Cisco Systems Zitieren Link zu diesem Kommentar
Hindin 10 Geschrieben 17. September 2007 Autor Melden Teilen Geschrieben 17. September 2007 Hallo hegl, also ich melde mich doch wieder. Aber keine Agnst es hat fast alles funktioniert. Also ich habe nun eine VPN Verbindung herstellen können. Der Client bekommt auch eine gültige IP-Adresse aus dem ippool. Ich sehe auch im Statusbild des PDM dass eine Verbindung besteht. Allerdings kann ich auf nichts zugreofen, also keinen ping machen, nicht auf den internen webserver zugreifen. Also ich nehme mal an dass ich noch eine acl erstellen muss, nur weis ich nicht wo ich die dann einbinden soll, bzw. was ich da freigeben muss. anbei meine Konfiguration: :PIX Version 6.3(5) interface ethernet0 auto interface ethernet1 100full nameif ethernet0 outside security0 nameif ethernet1 inside security100 enable password *** encrypted passwd *** encrypted hostname ferouter01 domain-name test.xxxx fixup protocol dns maximum-length 512 fixup protocol ftp 21 fixup protocol h323 h225 1720 fixup protocol h323 ras 1718-1719 fixup protocol http 80 fixup protocol pptp 1723 fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol sip 5060 fixup protocol sip udp 5060 fixup protocol skinny 2000 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol tftp 69 names access-list acl_in permit tcp any any eq www access-list acl_in permit tcp any any eq smtp access-list acl_in permit tcp any any eq https access-list acl_in permit tcp any any eq 44444 access-list acl_in permit icmp any any echo-reply access-list acl_out permit tcp host 192.168.0.2 any eq www access-list acl_out permit udp any any eq domain access-list acl_out permit icmp any any echo access-list vpn_nat permit ip 192.168.0.0 255.255.255.0 192.168.2.0 255.255.255.0 pager lines 24 mtu outside 1500 mtu inside 1500 ip address outside dhcp setroute ip address inside 192.168.0.254 255.255.255.0 ip audit info action alarm ip audit attack action alarm ip local pool ippool 192.168.2.1-192.168.2.254 pdm location 192.168.0.2 255.255.255.255 inside pdm logging informational 100 pdm history enable arp timeout 14400 global (outside) 1 interface nat (inside) 0 access-list vpn_nat nat (inside) 1 0.0.0.0 0.0.0.0 0 0 static (inside,outside) tcp interface www 192.168.0.2 www netmask 255.255.255.255 0 0 static (inside,outside) tcp interface smtp 192.168.0.2 smtp netmask 255.255.255.255 0 0 static (inside,outside) tcp interface https 192.168.0.2 https netmask 255.255.255.255 0 0 static (inside,outside) tcp interface 44444 192.168.0.2 44444 netmask 255.255.255.255 0 0 access-group acl_in in interface outside access-group acl_out in interface inside timeout xlate 0:05:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout sip-disconnect 0:02:00 sip-invite 0:03:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server TACACS+ max-failed-attempts 3 aaa-server TACACS+ deadtime 10 aaa-server RADIUS protocol radius aaa-server RADIUS max-failed-attempts 3 aaa-server RADIUS deadtime 10 aaa-server LOCAL protocol local ntp server 192.53.103.108 source outside http server enable http 192.168.0.0 255.255.255.0 inside no snmp-server enable traps floodguard enable sysopt connection permit-ipsec crypto ipsec transform-set myset esp-des esp-md5-hmac crypto dynamic-map dynmic 10 set transform-set myset crypto map mymap 10 ipsec-isakmp dynamic dynmic crypto map mymap interface outside isakmp enable outside isakmp identity address isakmp policy 10 authentication pre-share isakmp policy 10 encryption des isakmp policy 10 hash md5 isakmp policy 10 group 2 isakmp policy 10 lifetime 86400 vpngroup ler address-pool ippool vpngroup ler dns-server 10.200.100.1 vpngroup ler default-domain test.xx vpngroup ler split-tunnel vpn_nat vpngroup ler idle-time 1800 vpngroup ler password ******** Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 18. September 2007 Melden Teilen Geschrieben 18. September 2007 Mir fällt leider so auch nichts auf :mad: , denn die ACL vpn_nat hast Du schon richtig gesetzt. Logge mal auf der PIX mit, vielleicht ist da was zu sehen. Schau auch mal, welche IP Du zugewiesen bekommst (siehst Du z.B. im Client). Dort siehst Du auch unter den statistics\route details die secured routes, also das, auf das du per VPN zugreifen darfst. Zitieren Link zu diesem Kommentar
mturba 10 Geschrieben 18. September 2007 Melden Teilen Geschrieben 18. September 2007 Da du PAT über dein Outside-Interface machst, solltest du noch isakmp nat-traversal konfigurieren und deinem Client sagen, dass er Transparent Tunneling over UDP machen soll. Zitieren Link zu diesem Kommentar
Hindin 10 Geschrieben 19. September 2007 Autor Melden Teilen Geschrieben 19. September 2007 Hallo hegl, also beim zweiten mal hat die VPN- Verbindung funktioniert. :-) Jetzt wollte ich meine Test Konfiguration produktiv schalten und es funktioniert mal wieder gar nichts. Ich habe im Test auf meinen Web- Server zugreifen können. Ich habe einfach die IP-Adressen verändert, damit das ganze in mein produktives System passt. Mit der folge dass der Mail-Server keine e-Mails entgegen nimmt und der Webserver keine web anfragen. e-Mails senden funktioniert, aber nicht empfangen. Ich habe das Logging mal angeschalten, aber ich sehe nur dass die acl_out ständig etwas verbietet. Hat jemand eine Idee, mir fällt nichts auf, da ich ja auch nur die IP-Adressen verändert habe: interface ethernet0 auto interface ethernet1 100full nameif ethernet0 outside security0 nameif ethernet1 inside security100 hostname ferouter01 domain-name xxxxx.xxx fixup protocol dns maximum-length 512 fixup protocol ftp 21 fixup protocol h323 h225 1720 fixup protocol h323 ras 1718-1719 fixup protocol http 80 fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol sip 5060 fixup protocol sip udp 5060 fixup protocol skinny 2000 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol tftp 69 names access-list acl_in permit tcp any any eq https access-list acl_in permit tcp any any eq 44444 access-list acl_in permit icmp any any echo-reply access-list acl_in permit tcp any any eq smtp access-list acl_in permit tcp any any eq www access-list acl_out permit tcp host 10.200.100.2 any eq smtp access-list acl_out permit tcp host 10.200.100.30 any eq 44444 access-list acl_out permit udp host 10.200.100.1 any eq domain access-list acl_out permit icmp any any echo access-list acl_out permit icmp any 10.200.20.0 255.255.255.0 echo-reply access-list acl_out permit tcp host 10.200.100.2 eq smtp any access-list acl_out permit tcp host 10.200.100.4 eq www any access-list acl_out permit tcp host 10.200.100.2 eq https any access-list acl_out permit tcp 10.200.100.0 255.255.255.0 any eq www access-list acl_out permit tcp 10.200.100.0 255.255.255.0 any eq https access-list acl_out permit tcp host 10.200.100.40 any pager lines 24 logging on logging trap debugging logging host inside 10.200.100.40 mtu outside 1500 mtu inside 1500 ip address outside dhcp setroute ip address inside 10.200.100.254 255.255.255.0 ip audit info action alarm ip audit attack action alarm pdm location 10.200.100.40 255.255.255.255 inside pdm history enable arp timeout 14400 global (outside) 1 interface nat (inside) 1 0.0.0.0 0.0.0.0 0 0 static (inside,outside) tcp interface www 10.200.100.4 www netmask 255.255.255.255 0 0 static (inside,outside) tcp interface smtp 10.200.100.2 smtp netmask 255.255.255.255 0 0 static (inside,outside) tcp interface https 10.200.100.2 https netmask 255.255.255.255 0 0 access-group acl_in in interface outside access-group acl_out in interface inside timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout sip-disconnect 0:02:00 sip-invite 0:03:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server TACACS+ max-failed-attempts 3 aaa-server TACACS+ deadtime 10 aaa-server RADIUS protocol radius aaa-server RADIUS max-failed-attempts 3 aaa-server RADIUS deadtime 10 aaa-server LOCAL protocol local http server enable http 10.200.100.0 255.255.255.0 inside floodguard enable telnet 10.200.100.0 255.255.255.0 inside telnet timeout 5 ssh timeout 5 console timeout 0 terminal width 80 Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 19. September 2007 Melden Teilen Geschrieben 19. September 2007 also beim zweiten mal hat die VPN- Verbindung funktioniert. :-) Jetzt wollte ich meine Test Konfiguration produktiv schalten und es funktioniert mal wieder gar nichts. Ich habe im Test auf meinen Web- Server zugreifen können. Ich habe einfach die IP-Adressen verändert, damit das ganze in mein produktives System passt. Mit der folge dass der Mail-Server keine e-Mails entgegen nimmt und der Webserver keine web anfragen. e-Mails senden funktioniert, aber nicht empfangen. Ich habe das Logging mal angeschalten, aber ich sehe nur dass die acl_out ständig etwas verbietet. dann stell doch mal das entsprechende syslog ein, dann dürfte es einfacher sein, zu analysieren, warum die acl_out etwas blockt! Zitieren Link zu diesem Kommentar
Hindin 10 Geschrieben 20. September 2007 Autor Melden Teilen Geschrieben 20. September 2007 Hallo Jungs, also die PIX läuft nun produktiv, der Fehler lag nicht an der Konfig, sondern einzig und allein daran, dass der DynDNS Updater meinen CustomDNS Account nicht aktualisiert hat. So hat wenn ich die PIX angschlossen habe, die IP-Adresse nicht gepasst. Habe ich den alten Router angeschlossen, hat alles wieder funktioniert, da der automatisch die IP Adresse Updates. Das habe ich nun behoben. Nun tut alles. Danke für eure Hilfe. Gruß Daniel Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.