Cisco 871 - Companyweb

[alkumuc 10]

Hallo liebes Forum,

ich bin fast fertig mit dem Einrichten des SBS 2003 Servers den ich als Praktikumsaufgabe bekommen habe.

 

Ich habe nur ein Problem beim Zugriff auf die Companywebsite übers Internet.

Man kann über die IP-Adresse die Standartwebsite des SBS2003 Server erreichen, wenn man jedoch auf einen link wie z.b. "Interne Firmenwebsite" oder "Remote-Webarbeitsplatz" klickt bekommt die Fehlermeldung das der Server nicht erreichbar ist.

 

Zu Testzwecken hatte ich die Access-list kurzzeitig ausgeschaltet und (tada) man konnte auf alles zugreifen. Da ich jedoch die Access-List (verständlicherweise) anlassen will, steh ich jetzt vor einem Problem

 

Hier die Access-list:

access-list 150 remark *** no NAT to private IP's

access-list 150 deny ip any 10.0.0.0 0.255.255.255

access-list 150 deny ip any 172.16.0.0 0.15.255.255

access-list 150 deny ip any 192.168.0.0 0.0.255.255

access-list 150 remark *** NAT-List

access-list 150 permit ip 10.0.0.0 0.255.255.255 any

access-list 150 permit ip 172.16.0.0 0.15.255.255 any

access-list 150 permit ip 192.168.0.0 0.0.255.255 any

access-list 160 remark ********************

access-list 160 remark *** FIREWALL: Inbound-Rules for Internet-Interface

access-list 160 remark *** IKE/ESP allowed

access-list 160 permit esp any any

access-list 160 permit udp any any eq isakmp

access-list 160 permit udp any any eq non500-isakmp

access-list 160 permit gre any any

access-list 160 permit tcp any any eq 1723

access-list 160 remark *** ICMP-subset allowed

access-list 160 permit icmp any any echo

access-list 160 permit icmp any any echo-reply

access-list 160 permit icmp any any unreachable

access-list 160 permit icmp any any time-exceeded

access-list 160 permit icmp any any ttl-exceeded

access-list 160 permit icmp any any packet-too-big

access-list 160 remark *** Allow Management

access-list 160 remark *** NTP-Response from Time-servers

access-list 160 permit udp host 192.53.103.103 eq ntp any eq ntp

access-list 160 permit udp host 129.69.1.153 eq ntp any eq ntp

access-list 160 permit udp host 192.43.244.18 eq ntp any eq ntp

access-list 160 remark *** ElabNET WC

access-list 160 permit ip 213.68.224.0 0.0.0.31 any

access-list 160 permit ip 213.69.234.112 0.0.0.15 any

access-list 160 permit tcp any eq domain any

access-list 160 permit udp any eq domain any

access-list 160 remark *** Drop selected without log

access-list 160 deny icmp any any echo

access-list 160 deny tcp any any eq 57

access-list 160 deny tcp any any eq ftp

access-list 160 deny tcp any any eq sunrpc

access-list 160 deny tcp any any eq ident

access-list 160 deny udp any any range 135 netbios-ss

access-list 160 deny tcp any any range 135 139

access-list 160 deny udp any any eq rip

access-list 160 deny tcp any any eq 554

access-list 160 deny tcp any any eq 593

access-list 160 deny tcp any any eq 901

access-list 160 deny tcp any any eq 1234

access-list 160 deny tcp any any eq 1433

access-list 160 deny udp any any eq 1434

access-list 160 deny tcp any any eq 1434

access-list 160 deny tcp any any eq 2014

access-list 160 deny udp any any eq 2301

access-list 160 deny tcp any any eq 4899

access-list 160 deny tcp any any eq 17300

access-list 160 deny tcp any any eq 27374

access-list 160 deny ip host 127.0.0.1 any

access-list 160 remark *** DENY anything else with log

access-list 160 deny ip any any log

access-list 160 permit tcp any 0.0.0.0 192.168.123.16 eq 443

access-list 160 permit tcp any 0.0.0.0 192.168.123.16 eq 444

access-list 160 permit tcp any 0.0.0.0 192.168.123.16 eq www // was beduetet wildcard

access-list 160 deny tcp any any eq 445

access-list 160 permit tcp any host 192.168.123.16 eq www // was bedeuetet wildcard?

 

 

vielleicht kann da ja mal jemand einen kurz Blick drauf werfen und mir sagen was ich noch umstellen muss!

thx ( ihr seids die Besten!) :D

mfg Alex

[alkumuc 10]

und natürlich die nat :

 

ip nat inside source list 150 interface Dialer11 overload

ip nat inside source static tcp 192.168.123.16 444 interface Dialer11 444

ip nat inside source static tcp 192.168.123.16 443 interface Dialer11 443

ip nat inside source static tcp 192.168.123.16 25 interface Dialer11 25

ip nat inside source static tcp 192.168.123.16 110 interface Dialer11 110

ip nat inside source static tcp 192.168.123.16 80 interface Dialer11 80

ip nat inside source static tcp 192.168.123.16 47 interface Dialer11 47

ip nat inside source static tcp 192.168.123.16 1723 interface Dialer11 1723

ip dns server

 

 

192.168.123.16 ist die IP des SBS2003 Servers

thx für euer Hilfe!

mfg Alex

[Wordo 11]

Die Frage ist glaub ich eher auf welche IP die Links verweisen.

[onedread 10]

HI

 

Ich glaub dieser Dienst verwendet nen anderen Port als der StandardHTTP Server.

 

Ich kann mich nur wage daran erinnern aber ich glaube zu wissen das der Port anders ist.

 

Weiters kann das auch nicht gehen

 

access-list 160 deny ip any any log

access-list 160 permit tcp any 0.0.0.0 192.168.123.16 eq 443

access-list 160 permit tcp any 0.0.0.0 192.168.123.16 eq 444

access-list 160 permit tcp any 0.0.0.0 192.168.123.16 eq www // was beduetet wildcard

 

Das Deny sollte am Schluss stehen weil mit diesem Befehl das niemand mehr nichts.

 

MfG

onedread

[alkumuc 10]

Ich habe diese rules nachträglich zur ,schon bevor ich hier angefangen habe bestehende, access-list hinzugefügt!

Wie kann ich die vor den :" access-list 160 deny ip any any log " schieben (?)

und macht das wirklich einen Unterschied?

 

Was ist eine Wildcard und warum muss ich sie angeben wenn ich eine Ziel-IP angebe?

 

Die Ports sind die wie oben angegeben (443 & 444). und den Companyweb-Link habe ich mit der externen IP verlinkt, wie hier beschrieben.

The "My Company's Internal Web Site" link on the default Web site Welcome page does not work when you connect to the site over the Internet in Windows SBS 2003

 

mfg Alex

[Wordo 11]

Verschieben geht bei IOS nicht. Erst "no access-list 160" und dann alles wieder rein in richtiger Reihenfolge. Evtl. davor noch die access-group ausm IF raus und spaeter wieder rein.

[onedread 10]

Hi

 

Das sollte mit no access-l 160 deny ip any any log auch gehen und dann schreibst es wieder rein. dann sollte dieser Kommand am Ende stehen.

 

Zumindest gehts bei dir PIX so.

 

One thing to observe about access lists is that instead of netmasks, they use what Cisco calls "wildcard masks." These masks function very similarly to netmasks with one important difference. Network masks operate from left to right. Wildcard masks operate from right to left. Therefore, when looking at the above configuration line, what the wildcard mask is matching is the 32 addresses that begin at 5.10.10.32. (Since zero is a valid mask, it counts as one address. Hence 31 is used in the mask instead of 32.)

 

MfG

onedread

[alkumuc 10]

So mal zur Access-list 160 im generellen.

Ich bin ja kein Cisco Experte aber ist es nicht völlig schwachsinnig die so zu konfigurieren?

 

Ich geh mal davon aus, dass die Access-list im Grundzustand alle Verbindungen denied oder?

Und deshalb nur die "permits" von Bedeutung sind.

Alleine diese beiden settings heben sich ja im Prinzip schon selber auf:

 

access-list 160 permit icmp any any echo

 

access-list 160 remark *** Drop selected without log

access-list 160 deny icmp any any echo

 

Wäre es deshalb nicht einfacher nur die protokolle zu permiten die man brauch und der Rest ist eh Standart auf deny?

 

Würde mich sehr über eine Antwort diesbezüglich freuen.

 

Bin jetzt zuhause und teste gerade den Server:

Wie mein Kumpel (der_tester) ^^ mir das Problem schon erklärt hat:

 

Ich browse auf die (Feste IP) und gelange auf die Startpage die so gegliedert ist (die dazugehörige Fehlermeldung in Klammern) [Adresse] :

______________

Willkommen

Klicken Sie zum Starten auf einen Link.

 

 

Interne Firmenwebsite ( Die Webseite kann nicht angezeigt werden. ) [http://IP:444]

Ermöglicht es, Dokumente auf der internen Firmenewebsite gemeinsam zu nutzen.

 

Netzwerkkonfigurations-Assistent (HTTP-Fehler 403.6 - Verboten: IP-Adresse des Clients wurde verweigert.) [https://IP/ConnectComputer]

Fügt einen Clientcomputer dem Windows Small Business Server-Netzwerk hinzu.

 

Remote-Webarbeitsplatz (funktioniert bis auf "Interne Firmenwebsite verwalten") [https://IP/Remote]

Stellt eine Verbindung mit dem Windows Small Business Server-Netzwerk über das Internet her.

 

Informationen und Antworten (funktioniert ohne Probleme) [https://IP/ClientHelp]

Zeigt weitere Informationen über Windows Small Business Server an.

__________

 

Meine Vermutung für die "Interne Firmenwebsite" ist, wie Wordo schon angedeutet hat, dass die verlinkung evtl nicht stimmt. Dabei habe ich das Problem versucht zu lösen wie hier beschrieben:

The "My Company's Internal Web Site" link on the default Web site Welcome page does not work when you connect to the site over the Internet in Windows SBS 2003

 

Jetzt raubt mir das Problem sogar meine Freizeit, ist furchtbar ein Problem zu haben und man die ganze Zeit überlegt wie man es lösen könnte...

 

Vielen Dank schon mal für die Antworten

mcseboard ihr seid die besten! :)

mfg Alex

[onedread 10]

Hi

 

das ist zwar nur eine Vermutung aber vielleicht musst du beim IIS einstellen das auch externe IPS zugreifen dürfen. Das ist beim IIS unter Verzeichnissicherheit Beschränkungne für Ip und Domains oder so ähnlich überprüf mal diese Settings.

 

mfg

onedread