Arkijack 10 Geschrieben 15. September 2009 Melden Teilen Geschrieben 15. September 2009 Moin, hab mal wieder ein kleines Problemchen beim Kunden. Ich versuch es zu beschreiben. Wenn er auf bestimmte Internet-Seiten will werden diese Seiten nicht geladen. z.B. wenn er auf t-online.de geht, lädt die Startseite. Wenn er von da aus in die Unterrubriken rein will, wird nur Header und so geladen, der Inhalt aber nicht. Hab mit meinem Schläppi ausprobiert... in seinem Netzwerk passiert bei mir dasgleiche, bei mir im Büro geht alles einwandfrei. Kunde hat eine Cisco Pix (506 glaub ich) als Firewall. Ich vermute, dass weil die Drittanbieter auf der T-Online Seite mit der Werbung und so ihre Cookies setzen wollen und vermuttlich so Informationen wie IP-Adresse, Domänename, Browsertyp oder BS sammeln wollen werden diese Requests von der Pix aufgehalten. Es ist auch sehr schön und meiner Meinung nach auch sinnvoll. Problem ist, dass es Seiten im Netz gibt auf die der Kunde unbedingt drauf muss, um z.B. einen Flieger zu buchen und so. Ich dacht es liegt vielleicht an ICMP und hab es temporär gänzllich erlaubt (bitte nicht steinigen). Hat nur leider nichts gebracht. Hat jemand eine Idee was ich noch machen kann? Falls nötig - ich hab die Conf von der Pix da. Danke vorab Gruß Arkijack Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 15. September 2009 Melden Teilen Geschrieben 15. September 2009 dan her mit der config :) sows sind eher MTU Probleme, ist ausser Pix sonst noch ein Layer3 Gerät vorhanden das da evtl was dreht ? Zitieren Link zu diesem Kommentar
Arkijack 10 Geschrieben 15. September 2009 Autor Melden Teilen Geschrieben 15. September 2009 Hallo Otaku, ganze conf passt nicht, ich mach 2 draus :) hab ein paar Sachen am Schluß weggelassen und natürlich IP´s manipuliert Building configuration... : Saved : PIX Version 6.3(5) interface ethernet0 auto interface ethernet1 auto nameif ethernet0 outside security0 nameif ethernet1 inside security100 enable password xxx encrypted passwd xxx encrypted hostname xx-host domain-name xx-domain clock timezone CEST 1 clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00 fixup protocol dns fixup protocol ftp 21 fixup protocol h323 h225 1720 fixup protocol h323 ras 1718-1719 fixup protocol http 80 fixup protocol rsh 514 fixup protocol rtsp 554 no fixup protocol sip 5060 fixup protocol sip udp 5060 fixup protocol skinny 2000 no fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol tftp 69 names name IP-1 host1 name IP-2 Host-2 name IP-3 Host-3 name IP-4 Host-4 name IP-5 Host-5 access-list inside_outbound_nat0_acl permit ip 172.16.104.0 255.255.255.0 Host-2 255.255.255.0 access-list inside_outbound_nat0_acl permit ip 172.16.104.0 255.255.255.0 Host-3 255.255.255.0 access-list inside_outbound_nat0_acl permit ip 172.16.104.0 255.255.255.0 Host-4 255.255.255.0 access-list inside_outbound_nat0_acl permit ip 172.16.104.0 255.255.255.0 Host-5 255.255.0.0 access-list inside_outbound_nat0_acl permit ip 172.16.104.0 255.255.255.0 172.16.104.240 255.255.255.240 access-list inside_outbound_nat0_acl permit ip 172.16.104.0 255.255.255.0 172.16.104.232 255.255.255.248 access-list inside_outbound_nat0_acl permit ip any 172.16.104.240 255.255.255.240 access-list inside_outbound_nat0_acl permit ip any 172.16.104.232 255.255.255.248 access-list inside_access_in permit ip 172.16.104.0 255.255.255.0 any access-list inside_access_in permit icmp 172.16.104.0 255.255.255.0 any access-list inside_access_in deny icmp any any log access-list inside_access_in deny ip any any log access-list outside_cryptomap_40 permit ip 172.16.104.0 255.255.255.0 Host-2 255.255.255.0 access-list outside_cryptomap_40 permit icmp 172.16.104.0 255.255.255.0 Host-2 255.255.255.0 access-list outside_access_in permit ip 172.16.104.0 255.255.255.0 any access-list outside_access_in permit icmp 172.16.104.0 255.255.255.0 any log access-list outside_access_in permit ip Host-5 255.255.0.0 any access-list outside_access_in permit icmp Host-5 255.255.0.0 any access-list outside_access_in permit ip host 172.16.224.131 any access-list outside_access_in permit icmp host 172.16.224.131 any access-list outside_access_in permit ip Host-2 255.255.255.0 172.16.104.0 255.255.255.0 access-list outside_access_in permit icmp Host-2 255.255.255.0 172.16.104.0 255.255.255.0 access-list outside_access_in permit icmp Host-3 255.255.255.0 172.16.104.0 255.255.255.0 access-list outside_access_in permit ip Host-3 255.255.255.0 172.16.104.0 255.255.255.0 access-list Admin-FFM_splitTunnelAcl permit ip 172.16.104.0 255.255.255.0 any access-list Admin-FFM_splitTunnelAcl permit ip Host-5 255.255.0.0 any access-list outside_cryptomap_60 permit ip 172.16.104.0 255.255.255.0 Host-3 255.255.255.0 access-list outside_cryptomap_60 permit icmp 172.16.104.0 255.255.255.0 Host-3 255.255.255.0 access-list outside_cryptomap_80 permit ip 172.16.104.0 255.255.255.0 Host-4 255.255.255.0 access-list outside_cryptomap_80 permit icmp 172.16.104.0 255.255.255.0 Host-4 255.255.255.0 access-list outside_cryptomap_10 permit ip 172.16.104.0 255.255.255.0 Host-5 255.255.0.0 access-list outside_cryptomap_10 permit icmp 172.16.104.0 255.255.255.0 Host-5 255.255.0.0 access-list outside_cryptomap_dyn_20 permit icmp any 172.16.104.240 255.255.255.240 access-list outside_cryptomap_dyn_20 permit ip any 172.16.104.240 255.255.255.240 access-list outside_cryptomap_dyn_40 permit icmp any 172.16.104.232 255.255.255.248 access-list outside_cryptomap_dyn_40 permit ip any 172.16.104.232 255.255.255.248 pager lines 24 Zitieren Link zu diesem Kommentar
Arkijack 10 Geschrieben 15. September 2009 Autor Melden Teilen Geschrieben 15. September 2009 und das Zweite Teil . . . logging on logging trap warnings logging facility 23 logging host outside 225.128.102.36 format emblem mtu outside 1380 mtu inside 1500 ip address outside pppoe setroute ip address inside 172.16.104.1 255.255.255.0 ip audit info action alarm ip audit attack action alarm ip local pool Administrator 172.16.104.232-172.16.104.233 mask 255.255.255.0 ip local pool ttt 172.16.104.244-172.16.104.250 mask 255.255.255.0 pdm location 192.168.1.0 255.255.255.0 inside pdm location 225.128.102.35 255.255.255.255 outside pdm location 225.128.102.57 255.255.255.255 outside pdm location Host-1 255.255.128.0 outside pdm location Host-2 255.255.255.0 outside pdm location 192.168.0.0 255.255.192.0 outside pdm location 225.128.102.36 255.255.255.255 outside pdm location 172.16.130.34 255.255.255.255 outside pdm location 172.16.224.131 255.255.255.255 outside pdm location 172.16.130.0 255.255.255.0 outside pdm location 192.168.5.0 255.255.255.0 outside pdm location 225.128.102.34 255.255.255.255 outside pdm location 172.16.24.131 255.255.255.255 outside pdm location Host-3 255.255.255.0 outside pdm location Host-4 255.255.255.0 outside pdm location Host-5 255.255.0.0 outside pdm location 136.266.189.144 255.255.255.240 outside pdm location 172.16.104.0 255.255.255.0 outside pdm location 172.16.104.240 255.255.255.248 outside pdm location 172.16.104.232 255.255.255.248 outside pdm location 172.16.104.240 255.255.255.240 outside pdm location 172.16.104.0 255.255.255.128 inside pdm location 172.16.104.128 255.255.255.128 outside pdm logging warnings 100 pdm history enable arp timeout 14400 global (outside) 1 interface nat (inside) 0 access-list inside_outbound_nat0_acl nat (inside) 1 0.0.0.0 0.0.0.0 dns 0 0 access-group outside_access_in in interface outside access-group inside_access_in in interface inside timeout xlate 0:05:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout sip-disconnect 0:02:00 sip-invite 0:03:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server TACACS+ max-failed-attempts 3 aaa-server TACACS+ deadtime 10 aaa-server RADIUS protocol radius aaa-server RADIUS max-failed-attempts 3 aaa-server RADIUS deadtime 10 aaa-server LOCAL protocol local aaa authentication enable console LOCAL aaa authentication http console LOCAL aaa authentication ssh console LOCAL aaa authentication telnet console LOCAL ntp server 197.55.103.104 source outside prefer http server enable http 225.128.102.35 255.255.255.255 outside http 225.128.102.57 255.255.255.255 outside http 225.128.102.34 255.255.255.255 outside http 136.266.199.144 255.255.255.240 outside http 172.16.104.0 255.255.255.0 inside snmp-server location hier snmp-server contact ich snmp-server community public no snmp-server enable traps tftp-server outside 215.128.102.36 /firma/ordner floodguard enable sysopt connection tcpmss 0 sysopt connection permit-ipsec sysopt noproxyarp outside crypto ipsec transform-set crypto map outside_map isakmp vpngroup ssh . . . : end [OK] Danke noch mal Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 15. September 2009 Melden Teilen Geschrieben 15. September 2009 Hallo, das wird kein Pix Problem sein - das wird viel viel eher ein MTU Problem sein. Ich würde als erstes mal die MTU auf dem Outside Interface der PIX mal überprüfen - sehe gerade 1380 - hast du da schon dran gedreht - ist kein wirklich überlicher Wert. So tief - das die PIX Cookies oder so "blocken" kann - geht die 506 definitiv nicht (und ICMP blockt sie default) - und das ist 100% nicht dein Problem. Was hast du den für einen Provider - was für ein Modem davor ? Der Rest der config ist "standard" alla Wizard - da sollte es kein Problem geben. Zitieren Link zu diesem Kommentar
Arkijack 10 Geschrieben 15. September 2009 Autor Melden Teilen Geschrieben 15. September 2009 Hi, Jetzt wo du es sagst. Der Kunde sagte mal, dass es Probleme bei der Telekom gab (ist der Provider) und der frühere Admin wohl die Packetgrößen anpassen musste. Vielleicht liegt es ja da dran. So nach dem Moto: "Telekom stellt wieder alles wie früher ein und gibt wie immer nicht Bescheid" als Modem ist irgend ein D-Link dran, weiß genau nicht ausm Kopf Wie hoch soll MTU-Wert sein? 1480? Danke Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 16. September 2009 Melden Teilen Geschrieben 16. September 2009 Hi, korrekt wäre die 1492 - du ich habe aber auch sehr viele PIX mit 1500er laufen - und wundere mich auch immer das es geht - aber 1492 wäre der richtige Wert. Zitieren Link zu diesem Kommentar
Arkijack 10 Geschrieben 18. September 2009 Autor Melden Teilen Geschrieben 18. September 2009 Moin, hab heute beim Kunden mit den Werten von MTU rumgespielt, ohne erfolg. Dann hab ich gesehen dass gesehen: access-list outside_access_in permit icmp 172.16.104.0 255.255.255.0 any log ist ja in der Config weiter oben drin... die Adresse ist ja Interne, dacht ich und hab die dann auf Outside-Interface umgestellt, dabei wurde die Externe Feste IP in die Liste reingeschrieben (hab via PDM gemacht). Danach ging alles. Ich dacht mir es ist aber in dem Moment nicht wirklich gut wenn der gesamte ICMP-Verkehr durch geht. Oder was meint Ihr, kann ich es irgendwie beschränken? Danke nochmal Zitieren Link zu diesem Kommentar
Arkijack 10 Geschrieben 18. September 2009 Autor Melden Teilen Geschrieben 18. September 2009 hmm, komisch.. hab gerade beim aktiven Monitoring eine T-Online seite geladen die vorher nicht ging und jetzt wegen der ober beschriebenen Änderung geht. Keinerlei ICMP aktivitäten :) weder request, noch response.. muss ich dass jetzt verstehen? Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 18. September 2009 Melden Teilen Geschrieben 18. September 2009 Wie gesagt - für http oder ähnlichen Traffik brauchst du kein ICMP - wenn du ICMP erlaubst (das was die meisten FW default mässig haben) - kann man halt rein/raus/ping/trace und Co. machen - ob man es offen läßt oder nicht ist eher eine Philosopie Frage. Zu ist besser - aber im Diagnose sollte man halt dran denken. Es kann natürlich sein - das dein Regelwerk einfach aus was für einem Grund auch "kuddel" "Muddel" war obwohl alles gut aussieht - schonmal vorher ne Reboot gemacht gehabt ? Zitieren Link zu diesem Kommentar
Arkijack 10 Geschrieben 18. September 2009 Autor Melden Teilen Geschrieben 18. September 2009 Hi, Ja reboot hatte ich vorher schon gemacht, hat nichts genutzt. Mein Problem ist, dass ich mich noch nicht so lange mit der Pix beschäftige. Zu dem wurde die Pix beim Kunden vor meiner Zeit von einem anderen Admin eingerichtet. Nach meinem Verständnis sah die config eben gut aus. Da einzige Problem war eben diese I-Net Seiten die scheinbar via Cookies was abfragen. Das mit ICMP hab ich auch so gelernt, dass man eben für Verbindungs-daignose gut gebrauchen kann und primär für die internet Verbindung aber nicht wirklich relevant ist. Was mich aber echt verunsichert hat, ist dass die I-Net seiten funktionieren wenn ich es "access-list outside_access_in permit icmp interface outside any" mach. Deshalb hab ich auch einen Rat gesucht. Und ich muss echt sagen, ich finde die Reaktionszeiten hier im Forum genial :) Ich danke euch Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 19. September 2009 Melden Teilen Geschrieben 19. September 2009 grade in zusammenhang mit MTU Probs ist ICMP doch auch interessant: Path MTU Discovery ? Wikipedia aber wenn da eh keine ICMP Pakete daherkommen spielt das keine Rolle Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 19. September 2009 Melden Teilen Geschrieben 19. September 2009 Hi, nur Cookies habe ja nix mit ICMP zu tun - ich vermute eher - die COnfig hat sich aus irgendeinem Grund an der Zeile verschluckt - das hat die Pix gerne schon mal gemacht. Zitieren Link zu diesem Kommentar
Arkijack 10 Geschrieben 6. Oktober 2009 Autor Melden Teilen Geschrieben 6. Oktober 2009 Moin, wo langsam versteh ich hier die Welt nicht mehr... Hab seit dem letzten Mal an der Pix nichts verändert und es funkts wieder nicht... Ich dacht zuerst, vielleicht liegt es an den Benutzer-Richtlinien, oder an MTU von T-com business, oder so. ABER Es gibt 1 Rechner im Netz bei dem es funktioniert. Bei dem ist nichts anderes eingerichtet. Total irre. bin für jeden guten Gedanken dankbar. Gruß Zitieren Link zu diesem Kommentar
ShineDaStar 10 Geschrieben 12. Oktober 2009 Melden Teilen Geschrieben 12. Oktober 2009 Moin, wo langsam versteh ich hier die Welt nicht mehr... Hab seit dem letzten Mal an der Pix nichts verändert und es funkts wieder nicht... Ich dacht zuerst, vielleicht liegt es an den Benutzer-Richtlinien, oder an MTU von T-com business, oder so. ABER Es gibt 1 Rechner im Netz bei dem es funktioniert. Bei dem ist nichts anderes eingerichtet. Total irre. bin für jeden guten Gedanken dankbar. Gruß Hast Du mal den ARP Cache im client gelöscht? Hat bei mir geholfen... Edit: Selbstverständlich an dem Rechner, wo es nicht geht. Bekommen die clients Ihre IP via DHCP? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.