Speedo 10 Geschrieben 9. Juli 2004 Melden Teilen Geschrieben 9. Juli 2004 Hallo, ich bekomme einfach keine Verbindung zum Netz mit meiner Pix hin. Die Pix erreicht mit Pings das Gateway und die Clients. Letztere dürfen aber nicht nach outside pingen. :( Folgendes habe ich konfiguriert: PIX Version 6.1(4) nameif ethernet0 outside security0 nameif ethernet1 inside security100 hostname xxxxxx domain-name xxxxxxxxxxx fixup protocol ftp 21 fixup protocol http 80 fixup protocol h323 1720 fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol sip 5060 fixup protocol skinny 2000 names access-list acl_inside permit ip 10.0.0.0 255.255.255.0 any access-list acl_inside permit icmp 10.0.0.0 255.255.255.0 any access-list acl_inside deny ip any any access-list acl_outside permit ip any host xxxxxxxxx access-list acl_outside permit icmp any host xxxxxxxxx access-list acl_outside deny ip any any pager lines 24 logging on logging timestamp logging console debugging logging buffered debugging logging trap debugging logging history informational interface ethernet0 10baset interface ethernet1 10baset mtu outside 1500 mtu inside 1500 ip address outside xxxxxxxxx 255.255.255.192 ip address inside 10.0.0.1 255.255.255.0 ip audit info action alarm ip audit attack action alarm pdm history enable arp timeout 14400 nat (inside) 0 access-list acl_inside access-group acl_outside in interface outside access-group acl_inside in interface inside route outside 0.0.0.0 0.0.0.0 xxxxxxxxx [zum Gateway] 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 si p 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server RADIUS protocol radius no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps floodguard enable no sysopt route dnat telnet timeout 5 ssh timeout 5 dhcpd address 10.0.0.2-10.0.0.254 inside dhcpd lease 3600 dhcpd ping_timeout 750 dhcpd enable inside terminal width 80 nameif ethernet0 outside security0 nameif ethernet1 inside security100 Ich kann das Gateway nicht anpingen. Die PIX buildet zwar eine Verbindung, aber mehr passiert da nicht... Hin und wieder erscheint eine LogMes über "Teardown"... Was heißt das? Verbindung beendet? :suspect: Sollten weitere Infos nötig sein, poste ich sie gern... Danke!! Zitieren Link zu diesem Kommentar
Speedo 10 Geschrieben 12. Juli 2004 Autor Melden Teilen Geschrieben 12. Juli 2004 Hm, kann mir denn niemand einen Tip geben? :shock: Zitieren Link zu diesem Kommentar
Pretender 10 Geschrieben 12. Juli 2004 Melden Teilen Geschrieben 12. Juli 2004 Wenn ich mich recht erinnere, fehlt da ein "global (outside) 1 [interface]" hinzu und ein "nat (inside) 1 0.0.0.0 0.0.0.0 0 0" ! Füg das mal hinzu und probier es dann noch einmal.... Zitieren Link zu diesem Kommentar
Blacky_24 10 Geschrieben 12. Juli 2004 Melden Teilen Geschrieben 12. Juli 2004 nat (inside) 1 ... ist doch drin. Der global fehlt allerdings wirklich. Was ich nicht verstehe ist die "acl-outside", ohne einen entsprechenden "static" wirst Du an den Server von draussen nicht drankommen. Gruss Markus Zitieren Link zu diesem Kommentar
Pretender 10 Geschrieben 12. Juli 2004 Melden Teilen Geschrieben 12. Juli 2004 Hatte mich mit dem "nat (inside) 1 ..." auf eine Bsp.-Config von Cisco bezogen in der auch beide nat Einträge zu finden waren, da ging es jedoch um NoNat wg. IPSEC. Zitieren Link zu diesem Kommentar
Speedo 10 Geschrieben 12. Juli 2004 Autor Melden Teilen Geschrieben 12. Juli 2004 Danke für die Hilfe... @Blacky: Den global so einsetzen, wie Predator es nannte? Zum "static" bitte eine wen möglich nähere Erläuterung... Was wird da in der Pix gemacht und was ist danach erlaubt? Die Pix soll erstmal nur routen und maskieren. Von aussen sollen keine Verbindungen zu initiieren zu sein. Zitieren Link zu diesem Kommentar
Blacky_24 10 Geschrieben 12. Juli 2004 Melden Teilen Geschrieben 12. Juli 2004 Der "static" macht, wie der Name schon sagt, eine statische Adresszuordnung (statisches NAT) einer inside-Adresse auf eine outside-Adresse. Voraussetzung dafür ist u.a. dass Du outside Adressen zur Verfügung hast. static geht also (vereinfacht gesagt) nicht, wenn Du einen Internet-Connect für arme hast wo es nur eine (oder garkeine) feste IP gibt. Keine / eine feste IP koreliert mit dem o.a. erwähnten "global (outside) 1 interface", damit sagst Du der PIX dass sie outbound-Traffic auf die IP-Adresse des outside-Interface natten soll. Ohne NAT-Statement tut die PIX garnix von drinnen nach draussen (wobei ein Static NAT-äquivalent ist, also was über static statisch genattet wird geht am "global" vorbei nach dem Prinzip Spezialregel vor Generalregel). Gruss Markus Zitieren Link zu diesem Kommentar
Speedo 10 Geschrieben 12. Juli 2004 Autor Melden Teilen Geschrieben 12. Juli 2004 Was ist bei der NAT-ID zu beachten? Muss die gleich oder dürfen auch beide 0 sein? Zitieren Link zu diesem Kommentar
Blacky_24 10 Geschrieben 12. Juli 2004 Melden Teilen Geschrieben 12. Juli 2004 "nat (inside) 0" sagt der PIX dass sie NICHT natten soll (NAT 0). Du musst die gleiche ID verwenden wie beim "global (outside)" damit die PIX die aufeinander abbilden kann. Man kann mit unterschiedlichen NAT-IDs verschiedene IPs/Netze abbilden. Benutz mal die Suche auf Cisco.com, da ist das alles erschöpfend dokumentiert. Gruss Markus Zitieren Link zu diesem Kommentar
Speedo 10 Geschrieben 12. Juli 2004 Autor Melden Teilen Geschrieben 12. Juli 2004 Danke für die Erklärung, jetzt wird mir einges klar... Die Cisco-Seite habe ich betrefflich der Pix wohl mittlerweile komplett durch. Man wird da ja förmlich von Infos erschlagen... Werde mich nochmal melden, wenn ich Fragen hab oder es funktioniert. Zitieren Link zu diesem Kommentar
Speedo 10 Geschrieben 13. Juli 2004 Autor Melden Teilen Geschrieben 13. Juli 2004 Mir ist der 'Static'-Befehl noch nicht ganz klar. Funktion und Syntax ist verständlich, jedoch weis ich nicht, welche IPs ich da eintragen soll... static (inside, outside) [iP öffentliches Pix-Beinchen oder IP des Gateways?] [iP privates Pix-Beinchen=10.0.0.1?] Muss ich eine Netmask angeben, wenn ja, welche? EDIT: Beim Eintragen des NAT kam eine Notiz, das ich überlappende IPs mit der Broadcast-Adresse hätte... Im Handbuch unter static steht, daß man diese nicht verwenden solle... Kann ich das auch auf das NAT transferieren? Zitieren Link zu diesem Kommentar
Blacky_24 10 Geschrieben 13. Juli 2004 Melden Teilen Geschrieben 13. Juli 2004 http://www.cisco.com/en/US/products/sw/secursw/ps2120/products_command_reference_chapter09186a00801cd841.html#wp1026694 Zitieren Link zu diesem Kommentar
Speedo 10 Geschrieben 13. Juli 2004 Autor Melden Teilen Geschrieben 13. Juli 2004 Hm, hilft mir nicht viel weiter... Gleiches habe ich in gebundener Form vor mit liegen. Meine obigen Fragen erklären sich für mich daraus nicht. Zitieren Link zu diesem Kommentar
Speedo 10 Geschrieben 15. Juli 2004 Autor Melden Teilen Geschrieben 15. Juli 2004 So, habe mich bis hierher durchgeboxt, jetzt haperts noch am http... Die Clients können auf das externe Beinchen pingen, sich am Novell anmelden und auch FTP-Sitzungen eröffnen, nur spielt das Internet nicht mit. Proxyeinstellungen habe ich durchprobiert, kein Erfolg. Bitte schaut euch die Config nochmal an: : Saved : PIX Version 6.1(4) nameif ethernet0 outside security0 nameif ethernet1 inside security100 hostname ******** domain-name ******** no fixup protocol sip 5060 no fixup protocol skinny 2000 no fixup protocol h323 1720 no fixup protocol rsh 514 no fixup protocol ftp 21 no fixup protocol rtsp 554 no fixup protocol smtp 25 no fixup protocol sqlnet 1521 no fixup protocol http 80 names ermit icmp any host 10.0.0.1 pager lines 24 logging on logging timestamp logging console debugging logging buffered debugging logging trap debugging logging history informational interface ethernet0 10baset interface ethernet1 10baset mtu outside 1500 mtu inside 1500 ip address outside ******** ip address inside 10.0.0.1 255.255.255.0 ip audit info action alarm ip audit attack action alarm pdm history enable arp timeout 14400 global (outside) 1 interface nat (inside) 1 0.0.0.0 0.0.0.0 0 0 conduit permit icmp any any route outside 0.0.0.0 0.0.0.0 [iP-Gateway] 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 si p 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server RADIUS protocol radius no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps floodguard enable no sysopt route dnat telnet timeout 5 ssh timeout 5 dhcpd address 10.0.0.2-10.0.0.254 inside dhcpd lease 3600 dhcpd ping_timeout 750 dhcpd enable inside terminal width 80 Dank und Gruß! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.