sebmichel 10 Geschrieben 21. März 2009 Melden Teilen Geschrieben 21. März 2009 Hi zusammen, ich habe ein Problem mit einer Cisco PIX 501 an einem T-DSL-Business Anschluss mit einer festen IP. Ich habe die Firewall soweit konfiguriert und ich kann von der PIX auch Hosts im Internet als auch im lokalen Netzwerk erreichen. Jedoch komme ich mit den Rechnern im LAN nicht online da die PIX die Daten nicht forwarded. Könnte jemand mal über die Konfiguration schauen und gucken ob ich irgendwo etwas übersehen habe. Das lokale Netzwerk hat den Adressbereich 192.168.0.1/24. Ich bedanke mich schon mal für eure Hilfe. MfG S.Michel PIX Version 6.3(5) interface ethernet0 auto interface ethernet1 100full nameif ethernet0 outside security0 nameif ethernet1 inside security100 enable password xxxx encrypted passwd xxxx encrypted hostname gw-inet domain-name abc.de fixup protocol dns maximum-length 512 fixup protocol ftp 21 fixup protocol h323 h225 1720 fixup protocol h323 ras 1718-1719 fixup protocol http 80 fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol sip 5060 fixup protocol sip udp 5060 fixup protocol skinny 2000 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol tftp 69 names access-list pos_splitTunnelAcl permit ip 192.168.0.0 255.255.255.0 any access-list inside_outbound_nat0_acl permit ip 192.168.0.0 255.255.255.0 192.168.5.0 255.255.255.0 access-list outside_cryptomap_dyn_40 permit ip any 192.168.5.0 255.255.255.0 pager lines 24 logging on logging console alerts mtu outside 1492 mtu inside 1500 ip address outside pppoe setroute ip address inside 192.168.0.1 255.255.255.0 ip verify reverse-path interface outside ip audit info action alarm ip audit attack action alarm ip local pool pos-pool 192.168.5.10-192.168.5.99 pdm location 192.168.5.0 255.255.255.0 outside pdm location 195.227.112.2 255.255.255.255 outside pdm logging informational 100 pdm history enable arp timeout 14400 global (outside) 1 interface nat (inside) 0 access-list inside_outbound_nat0_acl nat (inside) 1 192.168.0.0 255.255.255.0 0 0 nat (inside) 1 0.0.0.0 0.0.0.0 0 0 timeout xlate 0:05:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout sip-disconnect 0:02:00 sip-invite 0:03:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server TACACS+ max-failed-attempts 3 aaa-server TACACS+ deadtime 10 aaa-server RADIUS protocol radius aaa-server RADIUS max-failed-attempts 3 aaa-server RADIUS deadtime 10 aaa-server LOCAL protocol local http server enable http 192.168.0.0 255.255.255.0 inside no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps floodguard enable sysopt connection permit-ipsec crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac crypto dynamic-map outside_dyn_map 40 set transform-set ESP-AES-256-SHA crypto map outside_map 10 ipsec-isakmp dynamic outside_dyn_map crypto map outside_map interface outside isakmp enable outside isakmp policy 20 authentication pre-share isakmp policy 20 encryption aes-256 isakmp policy 20 hash md5 isakmp policy 20 group 2 isakmp policy 20 lifetime 86400 vpngroup ATplus address-pool pos-pool vpngroup ATplus split-tunnel pos_splitTunnelAcl vpngroup ATplus idle-time 1800 vpngroup ATplus password ******** vpngroup remote-x address-pool pos-pool vpngroup remote-x split-tunnel pos_splitTunnelAcl vpngroup remote-x idle-time 1800 telnet timeout 5 ssh 195.227.112.2 255.255.255.255 outside ssh 192.168.0.0 255.255.255.0 inside ssh timeout 5 console timeout 0 vpdn group t-com request dialout pppoe vpdn group t-com localname feste-ip4/xxxxxxxxx@t-online-com.de vpdn group t-com ppp authentication pap vpdn username feste-ip4/xxxxxxxx@t-online-com.de password ********* store-local username user password xxxx encrypted privilege 2 terminal width 80 Cryptochecksum:00360bbcb78709f8b549b81fb2a209a7 Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 21. März 2009 Melden Teilen Geschrieben 21. März 2009 Hi, so direkt sehe ich nichts - du hast den "NAT" zwar doppelt drin : nat (inside) 1 192.168.0.0 255.255.255.0 0 0 nat (inside) 1 0.0.0.0 0.0.0.0 0 0 Aber das sollte trotzdem gehen - was heisst für dich - er forwartet nicht - immer dran denken - die ICMP Pakete (PING) werden Default mässig geblockt - zum testen am besten auf einen "IP" surfen (um den DNS auszuschliessen) oder ein Telnet auf eine IP mit zB. Port 25 Mailserver oder so - dann sieht man ob was kommt. Zitieren Link zu diesem Kommentar
sebmichel 10 Geschrieben 21. März 2009 Autor Melden Teilen Geschrieben 21. März 2009 Das er nicht forwarded soll heißen dass ich keine Internet-Seite aufrufen kann und die Namensauflösung auch nicht funktioniert :( Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 21. März 2009 Melden Teilen Geschrieben 21. März 2009 Hi, wie gesagt - du hast das NAT dippelt drin - notfalls mal beides raus und das passende neu rein und dann mal auf eine "IP" Seite surfen. Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 23. März 2009 Melden Teilen Geschrieben 23. März 2009 Das er nicht forwarded soll heißen dass ich keine Internet-Seite aufrufen kann und die Namensauflösung auch nicht funktioniert :( logging einschalten und schauen, was denied wird! Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 23. März 2009 Melden Teilen Geschrieben 23. März 2009 und gucken was n sh xlate sagt Zitieren Link zu diesem Kommentar
sebmichel 10 Geschrieben 24. März 2009 Autor Melden Teilen Geschrieben 24. März 2009 Hey, danke für die Antworten. Das Problem lag jedoch an viel einfacherer Stelle. Ich habe die PIX an den Clients als DNS eingetragen statt einen externen zu nehmen. Jetzt läuft es soweit. MfG S.Michel Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 24. März 2009 Melden Teilen Geschrieben 24. März 2009 Hallo, sowas hatte ich ja vermutet - deswegen solltest du einfach versuchen auf eine IP ne Verbindung zu machen :-) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.