PIX 501 und draytek2600

[hoffi- 10]

hallo,

vielleicht kann mir einer von euch bei meinem problem helfen.

ich habe einen bestehenden draytek2600 (ist dsl-modem mit router) da moechte ich eine pix 501 noch dran machen. hat einer erfahrungen mit sollch einer konstruktion ?. waere schoen wenn ich hier kompetente hilfe finden wuerde.

 

danke

peter

[osirus01 10]

Hi Hoffi,

 

habe mir zuhause etwas ähnliches gebaut, um mein LAN vorm unsicheren WLAN zu schützen.

Habe meine(n) Rechner an die PIX gehangen und mache über die PIX ein statisches NAT in ein Transfernetz zwischen dem Router und der PIX. Die übersetzte Adresse wird dann noch mal vom Router in die IP von deinem Provider übersetzt.

 

PC PIX ROUTER

192.168.0.1 -> 192.168.0.254 - 172.16.1.1 -> 172.16.1.2 -IP-Provider

 

Das ganze funktioniert einwandfrei. Was willst Du denn genau wissen?

 

Gruß

 

Osirus

[hoffi- 10]

danke fuer die schnelle antwort.

ich wuerde gern mehr erfahren, dachte schon ich bin der einzige mit sollchen ideen ;O)

hast du eine mail adresse die ich nutzen kann ?

 

danke

peter

[osirus01 10]

Hast ne PN.

[hoffi- 10]

der mail addy funktioniert weder mit puretek noch mit gmx selber .... oder hast du noch einen ? aber nicht wieder so einen spassigen ;O)

 

danke peter

[osirus01 10]

Mail an gelöscht@gelöscht.ded

[nerd 28]

Hi,

 

klärt das ganze doch hier im Board - dann haben die anderen auch was davon (davon sind solche Boards doch da.

 

@osirus01: ich habe deine Mailadresse mal gelöscht. Wir sind sehr gut besucht, wenn es um Suchmaschinen etc. geht. Daher könnte die Adresse schnell ein Spam opfer werden...

 

Gruß

[osirus01 10]

Ok :D

 

Danke Dir...

[hoffi- 10]

hoffe das ihr mich versteht ;O)

also ich benoetige info wie du die pix mit dem dsl-modem/router

verkabels.

ich hab gestern mal probiert an der dafuer vorgesehen stelle 0port on

pix) eine normales netzwerklkabel von ausgang vigor (Router-ausgang) in

den pix eingang zu stecken. no ping. wenn ich den router/modem mit dem

normalen ausgaengen der pix (1-4 port) verbinde klappt der ping. waere

dir dankbar wenn du mir als erstes dabei helfen koenntest. von der

logik muesste es doch so gehen, oder ? oder ist da ein denkfehler.

vielleicht ist die pix muss auch was in der pix konfiguriert werden ??

danke fuer eure hilfe

 

h

[osirus01 10]

Kabelmässig nimmst Du normale Patchkabel. Dann verbindest Du den Port 0 der PIX mit einem Port auf deinem Router. (Muss aber ein Interner sein.)

 

In wie weit kennst Du dich mit der PIX aus?

Ist die PIX schon konfiguriert?

Telent oder Consolen Zugang möglich?

 

GRuß

 

Osirus

[hoffi- 10]

also da der draytek ein modem mit router eingebaut ist werde ich den 0port der pix mit einen der router ausgaenge verbinden. hab ich gemacht kein ping ect. bin in hinsicht pix ein anfaenger und fuer jede hilfe dankbar. aber wenn ich nich pingen kann muesste es doch auch nicht mit telnet bzw. webinterface klappen ,oder ???

hab das gestern versucht no way. nur wenn ich an die ports 1-4 der pix gehe komm ich auch auf die ip der pix. aber das ist ja nicht sinnvoll. was muss ich machen das port 0 der pix errreichbar ist. vielleicht sendest du mir kurz deine konfiguration. meine ist intern 192.168.1.xxx und extern 10.100.1.XX der geway ist der DSLmodem/router mit der 192.168.1.100 ... ist das richtig so ??

 

danke

h

[osirus01 10]

Hi, hier meine Config. Aber wie ich sehe hast Du wohl auch noch ein IP-Adressen Problem. Der Router braucht ne IP aus dem Netz der PIX. Also z.b. 10.100.1.2 . Dann kannst Du den Router auch Pingen. Wichtig ist wenn Du pingst das Du ping outside 10.100.1.2 machst. Habe mal noch ne Zeichnung mit dran gehangen. Hoffe die macht das verständlich.

 

 

 

GRuß

Osirus

zeichnung.doc

[osirus01 10]

PIX Version 6.3(3)

interface ethernet0 auto

interface ethernet1 100full

nameif ethernet0 outside security0

nameif ethernet1 inside security100

enable password sag_ich_nüscht encrypted

passwd sag_ich_nüschtencrypted

hostname PIXel

domain-name ciscopix.com

fixup protocol dns maximum-length 512

fixup protocol ftp 21

fixup protocol h323 h225 1720

fixup protocol h323 ras 1718-1719

fixup protocol http 80

fixup protocol rsh 514

fixup protocol rtsp 554

fixup protocol sip 5060

fixup protocol sip udp 5060

fixup protocol skinny 2000

fixup protocol smtp 25

fixup protocol sqlnet 1521

fixup protocol tftp 69

names

name 192.168.x.x Osirus

name 172.16.1.2 Router

name 192.168.x.x Laptop

name 192.168.x.x PC2

object-group network INTERNET

description Zugriff HTTP, HTTPS, SMTP, POP3, 2710

network-object host Osirus

network-object host Laptop

object-group network FTP

description Zugriff FTP 21

network-object host Osirus

object-group network EMULE

description Zugriff EMULE-SERVER 4662, 4661, 4242

network-object host Osirus

access-list outside_in permit tcp any host 172.16.1.10 eq 4662

access-list outside_in deny icmp host Router host 172.16.1.10 echo-reply

access-list outside_in deny ip any any

access-list inside_in permit udp object-group INTERNET gt 1023 host Router eq do

main

access-list inside_in permit tcp object-group INTERNET gt 1023 any eq www

access-list inside_in permit tcp object-group INTERNET gt 1023 any eq smtp

access-list inside_in permit tcp object-group INTERNET gt 1023 any eq pop3

access-list inside_in permit tcp object-group INTERNET gt 1023 any eq https

access-list inside_in permit tcp object-group INTERNET gt 1023 any eq 2710

access-list inside_in permit tcp object-group FTP gt 1023 any eq ftp

access-list inside_in permit tcp object-group EMULE any eq 4242

access-list inside_in permit tcp object-group EMULE any eq 4662

access-list inside_in permit tcp object-group EMULE any eq 4661

access-list inside_in permit tcp host Osirus gt 1023 host Router eq www

access-list inside_in deny ip any any

pager lines 24

logging on

logging monitor debugging

logging trap errors

logging facility 23

logging host inside Osirus

mtu outside 1500

mtu inside 1500

ip address outside 172.16.1.1 255.255.255.224

ip address inside 192.168.x.x 255.255.255.0

ip verify reverse-path interface outside

ip verify reverse-path interface inside

ip audit info action alarm

ip audit attack action alarm

pdm location Osirus 255.255.255.255 inside

pdm location Router 255.255.255.255 outside

pdm location Laptop 255.255.255.255 inside

pdm group INTERNET inside

pdm group FTP inside

pdm group EMULE inside

pdm logging informational 100

pdm history enable

arp timeout 14400

global (outside) 1 172.16.1.3-172.16.1.30

nat (inside) 1 192.168.x.x 255.255.255.0 0 0

static (inside,outside) 172.16.1.10 Osirus netmask 255.255.255.255 0 0

static (inside,outside) 172.16.1.11 Laptop netmask 255.255.255.255 0 0

static (inside,outside) 172.16.1.20 Snoop netmask 255.255.255.255 0 0

access-group outside_in in interface outside

access-group inside_in in interface inside

route outside 0.0.0.0 0.0.0.0 Router 1

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00

timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00

timeout uauth 0:05:00 absolute

aaa-server TACACS+ protocol tacacs+

aaa-server RADIUS protocol radius

aaa-server LOCAL protocol local

aaa authentication ssh console LOCAL

http server enable

http Osirus 255.255.255.255 inside

no snmp-server location

no snmp-server contact

snmp-server community public

no snmp-server enable traps

floodguard enable

telnet Osirus 255.255.255.255 inside

telnet timeout 15

ssh Osirus 255.255.255.255 inside

ssh timeout 5

console timeout 0

username osirus password sag_ich_nüscht encrypted privilege 15

terminal width 80

Cryptochecksum:4d5b2543ew66ac94142cx08fx7f115b3

: end

PIXel#

[hoffi- 10]

danke erstmal werde ich heute abend mal ausprobieren. bist mir auf jedenfall eine grosse hilfe. vielleicht frage ich morgen mehr. danke nochmal

 

h

[hoffi- 10]

im moment hab ich als standartgeway die ip des routers und auch als dns. ist das so richtig oder muss da die pix ip rein ?

ansonsten hab ich alles verstanden und werde versuchen es umzusetzen.

 

danke nochmal fuer deine hilfe

 

h