pix501 configurieren

[katze78 11]

ich habe via "securecrt" die PIX PDM und NP updaten können.

danach habe ich mit show version und write term die jetztigen infos ausgelesen und habe so die URL der Pix.

 

habe die webpage von pix öffnen können und als ich die ip-adresse der pix ändern wollte, konnte ich es auch, als ich es speichern wollte, meldet er mir, das er es nicht speichern kann. als ich wieder rein ging, war wieder die alte ip-adresse.

 

folgendes habe ich bereits probiert aber es klappte nicht.

 

habe die pix gestartet

folgendes eingegeben.

 

ena

passwort

conf t

address 194.62.15.20

write memory

 

 

aber irgend wie hat er es nicht geändert, aber auch kein fehler.

 

nun meine frage, wie kann ich entweder die pix ganz reseten, wie wenn sie neu aus der fabrik kommt, oder wenigstens die ip-adresse und die subnetzmaske.

 

 

ich möchte dies erreichen.

 

 

pix einstellungen zurzeit:

pix ip 172.30.1.1

sub255.255.0.0

gateway 172.30.1.1

range 172.30.1.2 - 172.30.1.20

 

pix einstellungen wo ich erreichen möchte

pix ip 194.62.15.20

sub255.255.255.0

gateway 194.62.1.1

range 194.62.15.21 - 194.62.15.32

 

 

mein dsl-Router einstellungen.

router ip 194.62.1.1

sub255.255.255.0

gateway 194.62.1.1

range 194.62.1.2 - 194.62.1. 10

[blackbox 10]

Hallo,

 

klar - das du nicht mehr auf die Pix kammst nachdem du die IP geändert hast - sie hatte ja eine andere und du hast ggf. für den IP Range nicht den WebAccess freigegeben. Nachdem du sie aus und wieder an gemacht hast - hatte sie wieder die alte COnfig. Wenn du den IP Range änderst - erst für den neuen den HTTP Access freigeben, damit du wieder über den PDM dran kommst.

 

Oder am Interface :

 

ena

passwort

conf t

ip address inside 194.62.15.20 255.255.255.0

write memory

 

Was nicht gehen wird - ist eine 194.63.25.30 255.255.255.0 mit dem GW 194.62.1.1 - da passt was nicht. Bitte überprüfe mal deine Angaben, die du oben gemacht hast - da passend div. Werte nicht zusammen und erkläre mal was du genau vorhast.

[katze78 11]

habe dies eingegeben.

 

ena

passwort

conf t

ip address inside 194.62.15.20 255.255.255.0

write memory

 

danach das gerät neu gespeichert.

nun habe ich auf 194.62.15.20 ein ping gemacht und er antwortet mir.

 

aber auf die pdm komme ich nicht. ist ev. sie noch inaktiv oder ist die interne ip-range noch nicht definiert?

[blackbox 10]

hi,

 

du musst mit http ..... den Bereich definieren, wer auf das PDM zugreifen darf - am besten über serial.

[katze78 11]

und wie kann ich dies über die console (serial) mit "securecrt" die https adresse der pix definieren sprich aktivieren?

[AIK 10]

Über die Console kannst Du diverse Befehle absetzen um PDM zu konfigurieren, oder den Status anzusehen:

show pdm sessions

pdm disconnect session_id

pdm history enable

pdm history [view {all | 12h | 5d | 60m | 10m}] [snapshot] [feature {all | blocks | cpu | failover |

ids | interface if_name | memory | perfmon | xlates}] [pdmclient]

pdm group real_group_name associated_intf_name

pdm group ref_group_name ref_intf_name reference real_group_name

pdm location ip_address netmask if_name

pdm logging [level [messages]]

show pdm history

show pdm logging

show pdm sessions

clear pdm

 

Hier der Link zur Command Referenz für PIX OS 6.3 bei cisco:

http://www.cisco.com/en/US/docs/security/pix/pix63/command/reference/63_cmd.pdf

 

Wenn du eine andere Version hast,

Cisco PIX Firewall Software Command References - Cisco Systems

 

 

Wenn Du die PIX in "factory default" setzen willst, kannst du dei gesamte config löschen z. B. mit "write erase"

Im Handbuch sind diese Sachen recht übersichtlich erklärt:

 

Cisco PIX Firewall Software Configuration Guides - Cisco Systems

 

Hoffe das hilft weiter.

[katze78 11]

ipadresse und netmask

konnte ich für inside und outside fixieren.

was muss ich machen, das ich auf pdm komme, den die webpage von pdm kommt nicht (seite nicht gefunden)

link habe ich angesehen, aber nichts über pdm gefunden.

[blackbox 10]

hallo,

 

per serial cable mit der fw verbinden und dort :

 

ena

passwort

conf t

http 194.62.15.0 255.255.255.0 inside

write memory

 

eingeben.

[katze78 11]

nun konnte ich alle einstellungen machen, aber wenn ich die outside ip-adresse an pinge, meldet er mir zeitüberschreitung.

wo habe ich mix manager 3.0 (web) was falsch gemacht?

aber bei interface status meldet er mir, grün, das der outside IO ist.

ich weiss, das die outside adresse IO

oder müsste ich die ip-adresse des routers angeben.

den bei outside habe ich eine ip-adresse des router-range angegeben. und nicht die ip des routers

[blackbox 10]

die Pix läßt per default kein ICMP durch.

[katze78 11]

ich möchte auch nicht zwingend, das pings gehen, aber wollte eben heraus finden, warum ich nicht raus aufs internet komme.

den die pix habe ich interner ip-range vergebeen, eine outside, wo zum router geht (ip-range des router) um so nach drausen aufs internet zu gehen.

[AIK 10]

Versuche den Fehler von einem Client aus dem "LAN" die verschiedenen IPs Richtung internet anzupingen (inside PIX, outside PIX, Router Interface zur PIX, Router Interface zu Internet).

Damit solltest Du herausbekommen wo es haken könnte.

Per default lässt die Pix von innen nach außen alles durch. Wenn Du daran was geändert hast, dann muß die die ACL um Deine Tests erweitern.

 

Hat die PIX eine default Route zum Router ins Internet?

Hast Du ein Global definiert, mit dem die Clients vom inside ins outside kommunizieren?

Ohne NAT oder STATIC Einträge mag die Pix nicht wirklich.

–

ach ja, das habe ich noch vergessen, prüfe die Logs.

Die Pix dekumentiert recht gut, wenn etwas wegen ACL oder NAT gelockt wird.

[katze78 11]

pings vom pc aus via cmd kann ich auf folgende ip machen. auf pix und eigener pc = io, auf router = nicht io.

also routet die pix es nicht weiter zum router (internet)

–

icdh weiss nicht, was die pix macht, aber im device mangaer unter interface status steht folgendes

 

inside = up 5kbps

ouside = up 0kbps, ab und zu geht es hoch auf 2 und senkt sich wieder.

aber die SBB: Home - Online-Fahrplan, Ticket Shop, Reisen buchen, Online-Reisebüro kann ich nicht ansehen an dem pc, wo über die pix geht.

[AIK 10]

hast du die NAT/Global und Routing Konfiguration geprüft?

 

Wenn das Logging aktiv ist, schaue doch mal per console auf die Pix schaue per

" show logg" oder "show pdm log" was die Pix Dir ausgibt.

 

Wenn Du willst, kannst du auch die Configuration der Pix per Console wegschreiben (z.B. "sh run" und über die Zwischenablage in ein Notepad kopieren, oder per TFTP mit "wr net". Dafür muß Du aber zuvor eine TFTP Server IP auf der Pix hinterlegen), anonymisieren (passwörter, user und IPs rausnehmen) und per Mail zukommen lassen.

Dann prüfe ich die Config und schicke Sie Dir kommentiert zurück.

[katze78 11]

pings via pix (console) gibt es folgende antwort:

--router "response received 9ms"

--outside ip von pix (router-range ip)

"response received 0ms"

-- pc an pix angeschlossen "response received 0ms"

-- pixn "response received 0ms"

 

pings via cmd (PC)gibt es folgende antwort:

--router "4Verlorene"

--ip-adresse wo als outside bei pix eingetragen ist"4Verlorene"

-- pc an pix angeschlossen "4Empfangene"

-- pix "4Empfangene"

 

mit dem pc, welche via pix angeschlossen ist, komme ich nicht aufs internet.

pc wo direkt am router angeschlossen ist komme ich aufs internet.