kann CISCO PIX515E nicht pingen

[KeeneAhnung 10]

Hallo,

 

ich habe eine Cisco PIX 515E mit UR Lizenz und beschriebener Konfiguration (siehe unten). Das Gerät ist am Netz angeschlossen, die IP ist auch nicht das Problem (wenn ich die einem anderen Gerät verpasse läuft es problemlos), die physikalische Netzwerkverbindung ist in Ordnung (verschiedene Kabel und Ports getestet).

PROBLEM: Egal welches Interface (inside oder outside) ich konfiguriere, Freischaltungen zulasse (laut config manual 6.3 p 2-26 reicht es zum pingen die Befehle

access-list acl_out permit icmp any any

access-group acl_out in interface outside

einzugeben), ich kann nicht aus der PIX rauspingen (z.B. unseren Server oder meinen Desktop, was von allen anderen Rechnern in unserem Netz geht) und auch nicht von keinem beliebigen unserer Rechener die PIX pingen. Das endet immer in einem "Request timed out." (Windows-ping) oder "Destination Host Unreachable" (Linux-ping).

 

Wenn mir jemand helfen kann freue ich mich sehr :), vielen Dank im Voraus, Bernd.

 

:

PIX Version 6.3(1)

interface ethernet0 auto

interface ethernet1 auto

interface ethernet2 auto shutdown

interface ethernet3 auto shutdown

interface ethernet4 auto shutdown

interface ethernet5 auto shutdown

nameif ethernet0 outside security0

nameif ethernet1 inside security100

nameif ethernet2 intf2 security4

nameif ethernet3 intf3 security6

nameif ethernet4 intf4 security8

nameif ethernet5 intf5 security10

enable password ********* encrypted

passwd ********** encrypted

hostname ***********

domain-name **********

fixup protocol ftp 21

fixup protocol h323 h225 1720

fixup protocol h323 ras 1718-1719

fixup protocol http 80

fixup protocol ils 389

fixup protocol rtsp 554

fixup protocol sip 5060

fixup protocol sip udp 5060

fixup protocol skinny 2000

fixup protocol smtp 25

fixup protocol sqlnet 1521

names

: was fehlt um zu pingen?

access-list acl_out permit icmp any any

access-list acl_out permit tcp any any

access-list acl_out permit ip any any

access-list acl_out permit icmp any any echo-reply

pager lines 24

mtu outside 1500

mtu inside 1500

mtu intf2 1500

mtu intf3 1500

mtu intf4 1500

mtu intf5 1500

: IP Addressen natürlich etwas geändert!

ip address outside 192.168.33.125 255.255.255.0

ip address inside 192.168.31.123 255.255.255.0

no ip address intf2

no ip address intf3

no ip address intf4

ip audit info action alarm

ip audit attack action alarm

no failover

failover timeout 0:00:00

failover poll 15

no failover ip address outside

no failover ip address inside

no failover ip address intf2

no failover ip address intf3

no failover ip address intf4

no failover ip address intf5

pdm history enable

arp timeout 14400

access-group acl_out in interface outside

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00

timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00

timeout uauth 0:05:00 absolute

aaa-server TACACS+ protocol tacacs+

aaa-server RADIUS protocol radius

aaa-server LOCAL protocol local

no snmp-server location

no snmp-server contact

snmp-server community public

no snmp-server enable traps

floodguard enable

telnet timeout 5

ssh timeout 5

console timeout 0

terminal width 80

Cryptochecksum:*********************

: end

[czappb 10]

ICMP ist in der PIX nicht statefull und muss normalerweise in beide Richtungen erlaubt werden

[KeeneAhnung 10]

Sorry, das war zu knapp, ich verstehe die Antwort nicht (mein Unwissen), kannst Du mir sagen mit welchem Satz Befehle man das konkret bewerkstelligt?

 

Trotzdem Danke, B.

[Wordo 11]

Bin zwar nich so der PIX Experte aber ich glaub er meint:

 

access-group acl_in in interface inside

access-list acl_in permit icmp any any

access-list acl_in permit icmp any any echo-reply

 

Koennt n Dreher in der access-group drin sein ..

 

 

 

EDIT: das echo-reply ist bestimmt ueberfluessig ...

[KeeneAhnung 10]

Danke, "access-group" stimmt, allerdings noch immer kein ping. Schade, Gruss, B.

[Wordo 11]

Gabs bei PIX nicht noch diesen "conduit" Befehl? Ansonsten solltest du mal das Logging aktivieren und dann mal in den Logs schaun was genau geblockt wird

[osirus01 10]

Hi, probier mal

 

icmp permit 1.1.1.1 255.255.255.255 int inside/outside

 

1.1.1.1 255.255.255.255 durch deine Netz oder Host-Adresse ersetzen.

 

Gruß

 

Osirus

[osirus01 10]

Hi, probier mal

 

icmp permit 1.1.1.1 255.255.255.255 int inside/outside

 

1.1.1.1 255.255.255.255 durch deine Netz oder Host-Adresse ersetzen.

 

Gruß

 

Osirus

[KeeneAhnung 10]

Danke, aber es klappt immer noch nicht.

 

SIE SPRICHT NICHT MIT MEINEM NETZ!

 

Prinzipielle Frage: Um das "inside" Interface zu pingen muesste es doch reichen die Firewall anzustecken (Strom und "inside" Interface ans lokale Netz) und wie folgt zu konfigurieren:

 

interface ethernet1 auto

nameif ethernet1 inside security100

ip address inside 192.168.99.12 255.255.255.0

domain-name MYDOMAIN

access-list acl_in permit ip any any

access-group acl_in in interface inside

 

Das "inside" Interface haengt ueber einen Switch an einem Netz(192.168.99.xxx 255.255.255.0, Domainname: MYDOMAIN), an diesem Switch haengt auch mein Rechner (192.168.99.10 255.255.255.0). "access-list acl_in permit ip any any" gibt laut Cisco Anleitung alle Internet Protokolle frei, inkl. ICMP, TCP und UDP (Comm. Ref. p 3-28), also auch "ping". Das ist schon mehr Freiheit als es "Testing connectivity" in Conf. Guide p 2-22 vorschlaegt.

 

Das Ding soll sich einfach nur ganz b***d am Netz anmelden und pingbar sein, wie alle meine anderen Netzgeraete auch.

 

Es funkioniert so nicht. Warum? Fuer diesen schlichten Test muss ich doch wohl kein outside Interface kofigurieren, NAT, PAT, RIP, OSPF und Konsorten sollten damit nichts zu tun haben, oder?

 

Ich habe die vorigen Antworten alle schon probiert, auch in verschiedenen Kombinationen, es tut sich nichts. Koennte mir evtl. jemand eine absolute Minimalkonfiguration mit der es dann geht schicken? Mir sagen warum es nicht geht? Gibt es Gruende ausserhalb der Firewall, die hier blockieren? Ich bin verzweifelt.

 

Gruss, B.

[Wordo 11]

Speicher die Konfiguration ab, dann mit "write erease" (oder so aehnlich) die Konfiguration loeschen und neu starten. Dann hast du eine Minimalkonfiguration. Du hast aber noch keine Logs gepostet, das wuerde mit Sicherheit weiterhelfen. Vielleicht haste dich auch nur bei der IP oder Subnet vertippt? Schau mal in deinem ARP-Cache ob die PIX da drin is (und umgekehrt auch).

[s21it21 10]

hallo,

 

willst du jetzt durch die pix durch pingen (also zb. einen anderen server), oder willst du die pix selbst pingen. Das ist nämlich ein Unterschied bei der Kiste.

 

Wenn Du durch die PIX pingen willst, dann muss man das mit access-listen freischalten (und zwar den Weg hin und zurück --> icmp ist nicht stateful). Willst Du die PIX direkt pingen, dannn geht das nur, wenn du das mit dem icmp-befehl machst.

 

ABER ACHTUNG: Bei der PIX ist es NICHT möglich, ein anderes Interface, als das direkte zu pingen. Beispiel: Hängst Du hinter dem Inside-Interface, kannst Du von dort aus NICHT das Outside-Interface pingen! Das kann zwar manchmal sehr dumm sein, ist aber leider so (ist halt auch nur eine PIX *g*).

 

Probiere mal von der PIX aus den Host zu pingen, funktioniert das?

 

 

lg

Martin

 

PS: Conduits werden bei der PIX nicht mehr untersützt und sollte man nicht mehr verwenden.