3
Kein Ping von der PIX 501 zum ISA Server möglich
PIX to ISA --- Site to Site, ping von der PIX zum remote Standort nicht möglich.
Hallo Leute,
vielleicht könnt ihr mir bei diesen Problem vielleicht weiter helfen.
Folgende Situation, in der Zentralle steht ein ISA Server und in den Filialen Cisco PIX´n 501. Die PIX´n bauen eine Site to Site IPSEC Verbindung zum ISA Server auf.
Regeln "IP und ICMP any " auf der PIX zum ISA, vom ISA zur PIX "Gesamter Verkehr zugelassen"
Ich kann von der Zentralle alle Geräte am Remotestandort pingen aber die PIX nicht.
Von einer Workstation am Remote Standort können alle Geräte in der Zentralle gepingt werden.
Kann aber von der PIX per Website oder Console den Remotestandort nicht pingen und laut ISA log kommen auch keine Pakete an.
HELP ME!!!
PIXGM# show config
PIX Version 6.3(5)
interface ethernet0 10baset
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
hostname PIX
domain-name domain
clock timezone CEST 1
clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol pptp 1723
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
name 192.168.0.0 ISA
name 0.0.0.0 intern
name 192.168.1.252 DC03
access-list inside_outbound_nat0_acl permit ip 192.168.1.0 255.255.255.0 ISA 255.255.255.0
access-list outside_cryptomap_20 permit ip 192.168.1.0 255.255.255.0 ISA 255.255.255.0
access-list inside_access_in permit ip 192.168.1.0 255.255.255.0 any
access-list outside_access_in permit icmp any any echo-reply
access-list ping_acl permit icmp any any
pager lines 24
logging on
logging console warnings
logging monitor warnings
logging buffered warnings
logging trap warnings
icmp permit ISA 255.255.255.0 outside
icmp permit 192.168.1.0 255.255.255.0 inside
mtu outside 1500
mtu inside 1500
ip address outside 1.1.1.2 255.255.255.0
ip address inside 192.168.1.254 255.255.255.0
ip verify reverse-path interface outside
ip audit info action alarm
ip audit attack action alarm
pdm location 192.168.1.0 255.255.255.0 inside
pdm location ISA 255.255.255.0 outside
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list inside_outbound_nat0_acl
nat (inside) 1 192.168.1.0 255.255.255.0 0 0
access-group ping_acl in interface outside
access-group inside_access_in in interface inside
route outside intern intern 1.1.1.1 1
route outside ISA 255.255.255.0 2.2.2.2 1
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http ISA 255.255.255.0 outside
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
crypto ipsec transform-set ESP
crypto map outside_map 20
crypto map outside_map 20
crypto map outside_map 20
crypto map outside_map 20 set peer 2.2.2.2
crypto map outside_map 20
crypto map outside_map 20
crypto map outside_map interface outside
isakmp enable outside
isakmp key address 2.2.2.2 netmask 255.255.255.255
isakmp policy 20
isakmp policy 20
isakmp policy 20
isakmp policy 20
isakmp policy 20
telnet ISA 255.255.255.0 outside
telnet 192.168.1.0 255.255.255.0 inside
telnet timeout 5
console timeout 0
dhcpd auto_config outside
terminal width 80
vielleicht könnt ihr mir bei diesen Problem vielleicht weiter helfen.
Folgende Situation, in der Zentralle steht ein ISA Server und in den Filialen Cisco PIX´n 501. Die PIX´n bauen eine Site to Site IPSEC Verbindung zum ISA Server auf.
Regeln "IP und ICMP any " auf der PIX zum ISA, vom ISA zur PIX "Gesamter Verkehr zugelassen"
Ich kann von der Zentralle alle Geräte am Remotestandort pingen aber die PIX nicht.
Von einer Workstation am Remote Standort können alle Geräte in der Zentralle gepingt werden.
Kann aber von der PIX per Website oder Console den Remotestandort nicht pingen und laut ISA log kommen auch keine Pakete an.
HELP ME!!!
PIXGM# show config
PIX Version 6.3(5)
interface ethernet0 10baset
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
hostname PIX
domain-name domain
clock timezone CEST 1
clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol pptp 1723
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
name 192.168.0.0 ISA
name 0.0.0.0 intern
name 192.168.1.252 DC03
access-list inside_outbound_nat0_acl permit ip 192.168.1.0 255.255.255.0 ISA 255.255.255.0
access-list outside_cryptomap_20 permit ip 192.168.1.0 255.255.255.0 ISA 255.255.255.0
access-list inside_access_in permit ip 192.168.1.0 255.255.255.0 any
access-list outside_access_in permit icmp any any echo-reply
access-list ping_acl permit icmp any any
pager lines 24
logging on
logging console warnings
logging monitor warnings
logging buffered warnings
logging trap warnings
icmp permit ISA 255.255.255.0 outside
icmp permit 192.168.1.0 255.255.255.0 inside
mtu outside 1500
mtu inside 1500
ip address outside 1.1.1.2 255.255.255.0
ip address inside 192.168.1.254 255.255.255.0
ip verify reverse-path interface outside
ip audit info action alarm
ip audit attack action alarm
pdm location 192.168.1.0 255.255.255.0 inside
pdm location ISA 255.255.255.0 outside
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list inside_outbound_nat0_acl
nat (inside) 1 192.168.1.0 255.255.255.0 0 0
access-group ping_acl in interface outside
access-group inside_access_in in interface inside
route outside intern intern 1.1.1.1 1
route outside ISA 255.255.255.0 2.2.2.2 1
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http ISA 255.255.255.0 outside
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
crypto ipsec transform-set ESP
crypto map outside_map 20
crypto map outside_map 20
crypto map outside_map 20
crypto map outside_map 20 set peer 2.2.2.2
crypto map outside_map 20
crypto map outside_map 20
crypto map outside_map interface outside
isakmp enable outside
isakmp key address 2.2.2.2 netmask 255.255.255.255
isakmp policy 20
isakmp policy 20
isakmp policy 20
isakmp policy 20
isakmp policy 20
telnet ISA 255.255.255.0 outside
telnet 192.168.1.0 255.255.255.0 inside
telnet timeout 5
console timeout 0
dhcpd auto_config outside
terminal width 80
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 134981
Url: https://administrator.de/contentid/134981
Printed on: April 16, 2024 at 08:04 o'clock
3 Comments
Latest comment
Etwas ist unverständlich.... Du sagst: "Kann aber von der PIX per Website oder Console den Remotestandort nicht pingen .."
Oben beschreibst du das zentral ein ISA steht und remote die PIX.
Wenn du nun auf der remoten PIX bist (Console) welchen Remotestandort willst du denn pingen ?? Sich selber oder meinst du damit alle anderen bestehenden Remote Standorte mit den PIXen ???
2te Frage: Welchen Weg fürs Ping wählst du denn ??
a.) Den über die öffentliche IP Adresse zur öffentlichen IP gegenüber ? Oder..
b.) den über den VPN Tunnel zum lokalen Interface ??
Hast du auf der Console schon mal den extended Ping benutzt bei dem du die Quell IP angeben kannst ?? Ggf. ist das der Falls das du mit einer falschen Quell IP das falscheZiel pingst und so in der FW hängen bleibst.
Was sagt denn auch dein Syslog ?? Der protokolliert doch alles mit und sagt dir sofort wo das Problem ist !!
Oben beschreibst du das zentral ein ISA steht und remote die PIX.
Wenn du nun auf der remoten PIX bist (Console) welchen Remotestandort willst du denn pingen ?? Sich selber oder meinst du damit alle anderen bestehenden Remote Standorte mit den PIXen ???
2te Frage: Welchen Weg fürs Ping wählst du denn ??
a.) Den über die öffentliche IP Adresse zur öffentlichen IP gegenüber ? Oder..
b.) den über den VPN Tunnel zum lokalen Interface ??
Hast du auf der Console schon mal den extended Ping benutzt bei dem du die Quell IP angeben kannst ?? Ggf. ist das der Falls das du mit einer falschen Quell IP das falscheZiel pingst und so in der FW hängen bleibst.
Was sagt denn auch dein Syslog ?? Der protokolliert doch alles mit und sagt dir sofort wo das Problem ist !!
Danke für die schnelle Antwort.
Sorry hab mi verschieben, ich hab gemeint das ich von der PIX nicht in die Zentralle pingen kann.
Bin auserdem auf der PIX nicht so gut. Syslog ist eingeschalte kann aber keinen Fehler erkennen oder muss ich noch weiter Variablen eingeben.
Zur Info nochmal der Aufbau:
Dc01 -> ISA <- Site to Site -> PIX <- DC03
ISA
LAN 192.168.0.0/24
WAN 2.2.2.2
PIX
LAN 192.168.1.0/24
WAN 1.1.1.1
Ping von der PIX zur Zentralle
PIXGM# ping dc01 (192.168.0.2)
dc01 NO response received -- 1000ms
dc01 NO response received -- 1000ms
dc01 NO response received -- 1000ms
PIXGM# ping 192.168.0.1 (ISA)
192.168.0.1 NO response received -- 1000ms
192.168.0.1 NO response received -- 1000ms
192.168.0.1 NO response received -- 1000ms
PIX# show logging
Syslog logging: enabled
Facility: 20
Timestamp logging: enabled
Standby logging: disabled
Console logging: level warnings, 597 messages logged
Monitor logging: level warnings, 0 messages logged
Buffer logging: level warnings, 597 messages logged
Trap logging: level debugging, 881 messages logged
History logging: disabled
Device ID: disabled
Ping von DC03 am Remote Standort zum ISA und DC01 funktioniert
Ping vom ISA zu DC03 funktioniert aber zu der PIX nicht
Sorry hab mi verschieben, ich hab gemeint das ich von der PIX nicht in die Zentralle pingen kann.
Bin auserdem auf der PIX nicht so gut. Syslog ist eingeschalte kann aber keinen Fehler erkennen oder muss ich noch weiter Variablen eingeben.
Zur Info nochmal der Aufbau:
Dc01 -> ISA <- Site to Site -> PIX <- DC03
ISA
LAN 192.168.0.0/24
WAN 2.2.2.2
PIX
LAN 192.168.1.0/24
WAN 1.1.1.1
Ping von der PIX zur Zentralle
PIXGM# ping dc01 (192.168.0.2)
dc01 NO response received -- 1000ms
dc01 NO response received -- 1000ms
dc01 NO response received -- 1000ms
PIXGM# ping 192.168.0.1 (ISA)
192.168.0.1 NO response received -- 1000ms
192.168.0.1 NO response received -- 1000ms
192.168.0.1 NO response received -- 1000ms
PIX# show logging
Syslog logging: enabled
Facility: 20
Timestamp logging: enabled
Standby logging: disabled
Console logging: level warnings, 597 messages logged
Monitor logging: level warnings, 0 messages logged
Buffer logging: level warnings, 597 messages logged
Trap logging: level debugging, 881 messages logged
History logging: disabled
Device ID: disabled
Ping von DC03 am Remote Standort zum ISA und DC01 funktioniert
Ping vom ISA zu DC03 funktioniert aber zu der PIX nicht
Sind die WAN IP Adressen Platzhalter für die korrekten Adressen ??? Die WAN IPs müssen sich sehen, das sollte klar sein ?!
Hast du am ISA mal den MS Netmonitor
http://www.microsoft.com/downloads/details.aspx?displaylang=en&Fami ...
installiert um mal zu sehen ob dort überhaupt ICMP Echo requests der PIX ankommen ??
Hier hast du mal zum Vergleich eine PIX 501 Konfig wo ICMP (Ping) sauber funktioniert !
Cisco PIX Firewall IPsec VPN Tunnel auf pfsense Firewall
Hast du am ISA mal den MS Netmonitor
http://www.microsoft.com/downloads/details.aspx?displaylang=en&Fami ...
installiert um mal zu sehen ob dort überhaupt ICMP Echo requests der PIX ankommen ??
Hier hast du mal zum Vergleich eine PIX 501 Konfig wo ICMP (Ping) sauber funktioniert !
Cisco PIX Firewall IPsec VPN Tunnel auf pfsense Firewall