comping 10 Geschrieben 13. Juni 2006 Melden Teilen Geschrieben 13. Juni 2006 Hallo Admins, ich stehe vor einem kleinen Problem: Hab eine Cisco Pix 501 eingerichtet und den VPN-Server aufgesetzt. VPN-Einwahl und Remotesteuerung des W2k3-Servers und der Clients funktioniert auch sehr gut. Ich kann jedoch keine Verbindung zum PDM hinbekommen, um auch die Pix remote steuern zu können... Das muss aber doch machbar sein irgendwie... Die Konsole ist leider nicht angeschlossen, da ich dazu erstmal noch ne Leitung legen müsste (Firewall steht räumlich ziemlich entfernt von irgendeinem PC)... Wenn ich mich per VPN verbunden habe, kann ich selber gar keine Verbindung hinbekommen zur Firewall, wenn ich im Browser https://192.168.1.1 eingebe. Wenn ich einen der PCs (egal ob Server oder Client) remote über RDP steuere, komme ich bis zum Bild: PDM wird geladen mit der kleinen Sanduhr dahinter und dem Cisco-Bild drüber, aber nix tut sich... Ist das nun ne Fehlkonfig von mir oder geht das generell nicht? Die Pix muss aber doch ne Möglichkeit der Fernwartung haben. Im Handbuch hab ich bloß die Möglichkeit der Fernsteuerung einer Pix über eine andere Pix gefunden (Kapitel 9 Configuration Guide). Vielen Dank für jegliche Hilfe, Stefan Zitieren Link zu diesem Kommentar
Blacky_24 10 Geschrieben 13. Juni 2006 Melden Teilen Geschrieben 13. Juni 2006 http://www.cisco.com/en/US/products/sw/netmgtsw/ps2032/products_configuration_example09186a0080094497.shtml Gruss Markus Zitieren Link zu diesem Kommentar
comping 10 Geschrieben 13. Juni 2006 Autor Melden Teilen Geschrieben 13. Juni 2006 Hallo Markus, danke für den Link. IMHO wird da aber lediglich die Möglichkeit der Fernsteuerung der Pix über eine andere Pix beschrieben... Ich suche aber die Möglichkeit der Fernsteuerung über den Cisco VPN Client. Ich wähle mich per VPN Client ein und möchte dann die Pix fernsteuern, über den PDM, da kein Konsolenkabel an die Pix angeschlossen ist... Weiß hierzu noch einer Rat? Danke und viele Grüße, Stefan Zitieren Link zu diesem Kommentar
fu123 10 Geschrieben 14. Juni 2006 Melden Teilen Geschrieben 14. Juni 2006 Ich wähle mich per VPN Client ein und möchte dann die Pix fernsteuern, über den PDM, da kein Konsolenkabel an die Pix angeschlossen ist... Hi, schon mal dran gedacht die IP mit der du über den Tunnel kommst auf der PIX freizugeben? Also http xxxx.xxxx.xxxx.xxxx inside Und dann brauchst du vielleicht auch noch: management-access Link fu Zitieren Link zu diesem Kommentar
Blacky_24 10 Geschrieben 14. Juni 2006 Melden Teilen Geschrieben 14. Juni 2006 Es ist doch relativ egal ob auf der anderen Seite eine PIX steht oder ein VPN-Client? Ich muss allerdings zugeben dass ich das noch nicht getestet habe, ich arbeite zu 99,999% über das CLI weil ich da flexibler bin - und bei SSH von Outside braucht man auch keinen Tunnel aussenrum. Werde den PDM von Outside mit VPN-Client nachher mal testen. Gruss Markus Zitieren Link zu diesem Kommentar
maho 10 Geschrieben 14. Juni 2006 Melden Teilen Geschrieben 14. Juni 2006 Hallo, da wir gerade beim Thema sind. Ich schaffe es auch nicht, mich per Telnet auf die inside IP der PIX aufzuschalten. Ich kann von 10.99.99.0/24 auf alles Rechner im Inside-Netz der PIX 192.168.55.0/24 zugreifen, aber bloss nicht auf die 192.168.55.1, das ist die inside Ip des PIX. Kann mir jemand sagen, was dafür notwendig ist? Oder gibt es einen anderen Weg die PIX remote zu administrieren? Hier die Konfig.: pixmix(config)# wr t Building configuration : Saved : PIX Version 6.3(5) interface ethernet0 auto interface ethernet1 100full nameif ethernet0 outside security0 nameif ethernet1 inside security100 enable password xxx encrypted passwd xxx encrypted hostname pixmix fixup protocol dns maximum-length 512 fixup protocol ftp 21 fixup protocol h323 h225 1720 fixup protocol h323 ras 1718-1719 fixup protocol http 80 fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol sip 5060 fixup protocol sip udp 5060 fixup protocol skinny 2000 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol tftp 69 names access-list ipsec_zentrale permit ip 192.168.55.0 255.255.255.0 10.99.99.0 255.255.255.0 access-list nonat permit ip 192.168.55.0 255.255.255.0 10.99.99.0 255.255.255.0 pager lines 24 logging on logging buffered debugging mtu outside 1500 mtu inside 1500 ip address outside pp ip address inside 192.168.55.1 255.255.255.0 ip audit info action alarm ip audit attack action alarm pdm logging debugging 100 pdm history enable arp timeout 14400 global (outside) 1 interface nat (inside) 0 access-list nonat timeout xlate 8:00:00 timeout conn 8:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout sip-disconnect 0:02:00 sip-invite 0:03:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server TACACS+ max-failed-attempts 3 aaa-server TACACS+ deadtime 10 aaa-server RADIUS protocol radius aaa-server RADIUS max-failed-attempts 3 aaa-server RADIUS deadtime 10 aaa-server LOCAL protocol local http server enable http 192.168.55.0 255.255.255.0 inside no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps tftp-server inside 10.99.99.119 pixmix-confg floodguard enable sysopt connection tcpmss 0 sysopt connection permit-ipsec crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac crypto ipsec security-association lifetime seconds 3600 crypto map mymap 10 ipsec-isakmp crypto map mymap 10 match address ipsec_zentrale crypto map mymap 10 set peer x.x.x.x crypto map mymap 10 set transform-set ESP-3DES-MD5 crypto map mymap interface outside isakmp enable outside isakmp key ******** address x.x.x.x netmask 255.255.255.255 isakmp identity address isakmp policy 10 authentication pre-share isakmp policy 10 encryption 3des isakmp policy 10 hash md5 isakmp policy 10 group 2 isakmp policy 10 lifetime 86400 telnet 10.99.99.0 255.255.255.0 inside telnet 192.168.55.0 255.255.255.0 inside telnet timeout 60 ssh timeout 5 console timeout 0 vpdn group pppoe_group request dialout pppoe vpdn group pppoe_group localname feste-ip/xxx@t-online-com.de vpdn group pppoe_group ppp authentication pap vpdn username feste-ip/xxx@t-online-com.de password ********* dhcpd lease 3600 dhcpd ping_timeout 750 dhcpd auto_config outside terminal width 80 Cryptochecksum:bf714f86d7e2196b8bf38e799eaec0ee : end [OK] Gruß, Maho Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 14. Juni 2006 Melden Teilen Geschrieben 14. Juni 2006 Fehlt da nicht ne Route ins 10er Netz? Zitieren Link zu diesem Kommentar
Blacky_24 10 Geschrieben 14. Juni 2006 Melden Teilen Geschrieben 14. Juni 2006 Fehlt da nicht ne Route ins 10er Netz? Eher nicht, das 10.99.99/24 ist am anderen Ende des Tunnels. Gruss Markus Zitieren Link zu diesem Kommentar
comping 10 Geschrieben 14. Juni 2006 Autor Melden Teilen Geschrieben 14. Juni 2006 Hallo fleißige Helfer, der Beitrag von fu123 hat mich zur Lösung des Problems geführt. Das interne Netz 192.168.x.x hatte ich schon freigegeben zur Nutzung des PDM / der Pix. Was allerdings noch nicht aktiviert war, ist der Management-Access über das interne Interface inside. Nun geht es wunderbar, dass ich mich, sobald ich per VPN verbunden bin im Browser über https://192.168.1.1 in die Pix bzw. den PDM einwähle. Herzlichen Dank, Stefan Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.