totaleasy
Goto Top

Cisco pix 501 Konfiguration etc...

Ein paar Fragen zum Cisco Produkt

hey Leute,

das Forum hier hat mich echt inspiriert...hier liest man oft einige Interessante Sachen =)
Hab auch schon geschaut ob davon etwas zu meinem thema passt, n paar sachen hab ich mir auch schon notiert =)

Also mal zu meinem Problem, ich hab mir nun auch das produkt "Cisco Pix 501" erworben. Aus dem Grund weil ich gerne VPN hätte und das teil schön viele connections auf einmal aufbauen kann face-smile

Also hab ich das Teil angeschlossen, is soweit auch alles kein Thema (mit Netzwerken kenn ich mich n bisel aus)
Hab auch alles in dem Gerät eingetragen...also sprich die T-online Daten...Mit dem Internet verbunden war das gerät auch (konnte mit dem Gerät wo anders hinpingen) - aber mehr ging auch nicht
es kam weder ein anderer rechner ausm Netzwerk ins Internet oder sonstiges...
nun meine Frage...muss man beim einrichten auf was achten, damit das normale Internet erstmal geht ? Ich wollte nur n paar Ports freigeben und sowas.. aber soweit kam ich logischerweise nich !

vll könnt ihr mir ja helfen...

danke schon einmal

Content-ID: 22050

Url: https://administrator.de/contentid/22050

Ausgedruckt am: 22.11.2024 um 21:11 Uhr

gemini
gemini 20.12.2005 um 22:35:32 Uhr
Goto Top
Hallo TotalEasy,

die Phase mit dem blauen Kabel hast du demnach also abgeschlossen?!
Die PIX hat auf dem Inside-Interface eine IP und der PPPoE-Client ist konfiguriert?

Die PIX ist ja die Cisco-Variante einer Plug'n'Play Firewall, d.h. sie ist standardmäßig so konfiguriert dass outbound alles zugelassen ist und inbound nichts.
Aus diesem Grund sollte das Internet jetzt erreichbar sein, sofern das Standardgateway der Clients auf die PIX zeigt.

Jetzt ist die Frage, was hast du alles verstellt?

Gruß
gemini
TotalEasy
TotalEasy 20.12.2005 um 23:19:06 Uhr
Goto Top
hab das ganze nun noch einmal versucht, bzw bin schon wieder 2 std dabei..

hab bestimmt das Gerät schon 5 mal zurück gesetzt auf den "normal Zustand"
Das mit dem blauen kabel ist soweit abgeschlossen, kann ich ja über telnet drauf!
blaue kabel hab ich trotzdem auch noch dran :D das haut alles hin
PPPoE ist auch konfiguriert und im CUI bekomm ich auch eine IP von Telekom "show ip".

Sieht soweit auch alles gut aus, sonst hab ich bisher nichts verstellt aber trotzdem passiert nichts.
Aufgefallen ist mir das der DHCP keinen DNS verteilt....also hab ich den mal manuel vergeben um das mal auszuschließen aber das haut auch nicht hin. Also hab ich aus Frust mal einfach 4 Routen eingetragen wo alle protolle rein und raus können...aber auch kein Ergebnis

ich poste hier mal meine confing, vielleicht sagt jemandem das mehr als mir
(werd übrigens im halben jahr n cisco einsteiger kurs belegen :D)

und nun gehts los ans scrollen :P

Config:
PIX Version 6.3(1)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall
domain-name ciscopix.com
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
names
access-list inside_access_in permit tcp interface inside interface outside
access-list inside_access_in permit udp interface inside interface outside
access-list inside_access_in permit icmp interface inside interface outside
access-list inside_access_in permit ip interface inside interface outside
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside pppoe
ip address inside 192.168.0.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
access-group inside_access_in in interface inside
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
http server enable
http 192.168.0.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet 192.168.0.0 255.255.255.0 inside
telnet timeout 5
ssh timeout 5
console timeout 0
vpdn group pppoe_group request dialout pppoe
vpdn group pppoe_group localname telekomblabla@t-online.de
vpdn group pppoe_group ppp authentication pap
vpdn username ################@t-online.de password
dhcpd address 192.168.0.2-192.168.0.33 inside
dhcpd dns 192.168.0.1 194.25.2.129
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd enable inside
username admin password encrypted privilege 15
terminal width 80
Cryptochecksum:7e5ed186b913149f875b2b442c811e61
pixfirewall(config)#
meinereiner
meinereiner 21.12.2005 um 00:00:29 Uhr
Goto Top
wenn du den Internet Exploorer aufmachst und https://192.168.0.1 eingibst, kommst du dann auf die Webkonsole (PDM) der PIX?
Damit tust du dich dann schon mal ne ecke leichter als übers CLI.
gemini
gemini 21.12.2005 um 06:28:26 Uhr
Goto Top
enable password xxxxxxxxxxxxxxx encrypted
passwd xxxxxxxxxxxxxxxxxx encrypted
Das Passwort, das enable passwort und Userpasswörter solltest du beim posten immer unkenntlich machen, die Verschlüsselung ist rückrechenbar.

Aktuelle Software ist 6.3(5), PDM 3.0(4)

Den MTU hab ich für unseren T-Com Zugang auf 1456 gesetzt
mtu outside 1456

Die ACLs brauchst du nicht, außerdem sind tcp und udp Teil von ip.
Nimm sie mal raus, genauso die access-group

Gruß
gemini
TotalEasy
TotalEasy 21.12.2005 um 09:03:19 Uhr
Goto Top
stimmt das mit den passwörtern hab ich nich dran gedacht aber da es eh nur zur testzwecken (zur zeit) gilt, stört es mich nich :D :D aber für die Zukunft - Danke =)

Über das Web interface komm ich drauf(manchmal geht das zwar nicht aber das scheint bekannt zu sein bei der Pix 501) hab darüber auch nochmal alles konfiguriert...aber mal wieder erfolglos, bis auf den ping den ich absetzen kann vom gerät direkt.

Die Software kann man bei cisco nicht downloaden (die aktuelle) oder seh ich das falsch ?!
hab das gerade versucht aber dort findet man auch nichts zum downloaden...

das gerät kann sich ja auch selber updaten...aber nur mit username und passwort (was ich natürlich nich habe - woher auch :P )

MTU wert hab ich nun auch mal auf 1456 gesetzt...(was ist das überhaupt?!?)
jedoch unverändert...
gemini
gemini 21.12.2005 um 19:05:47 Uhr
Goto Top
Über das Web interface komm ich drauf(manchmal geht das zwar nicht aber das
scheint bekannt zu sein bei der Pix 501) hab
Mir nicht, hmmm *grübel*
Es gibt aber eine Inkompatibilität zwischen best. PDM-Versionen und best. Java-Versionen
http://www.cisco.com/warp/public/770/fn62051.pdf

darüber auch nochmal alles konfiguriert...aber mal wieder erfolglos,
bis auf den ping den ich absetzen kann vom gerät direkt.
Also, die Konfig sieht gut aus, von den ACLs auf dem Inside-Interface mal abgesehen.
Der Standardgateway der Clients zeigt sicher auf 192.168.0.1?

Stell mal das Logging auf Informational.
Configuration > System Properties > Logging > PDM-Logging (Apply und Save nicht vergessen!)
Monitoring > PDM-Log > Informational > View
Nun schau, ob im PDM-Log 'Deny' oder 'Denied' oder ähnliches zu finden ist. Den Viewer musst du manuell refreshen.

Die Software kann man bei cisco nicht downloaden (die aktuelle) oder seh ich das falsch ?!
Cisco ist etwas, ich sag mal zurückhaltend mit der Vergabe von höheren Zugriffsberechtigungen.
Normalerweise bekommen die nur Cisco-Partner.
Diese wiederum können sie ihren Kunden bereitstellen.
So kann ich über einen Zugang zu T-Systems auf den Cisco FTP zugreifen.

MTU wert hab ich nun auch mal auf 1456 gesetzt...(was ist das überhaupt?!?)
http://de.wikipedia.org/wiki/Maximum_Transfer_Unit
TotalEasy
TotalEasy 18.01.2006 um 22:14:38 Uhr
Goto Top
So Jungs, endlich kam ich mal wieder dazu alles aus der ecke zu holn :P
ollen dienstreisen.. aber nun gut..

hab nochma alle in ruhe angehen lassen und mitlerweile hab ich auch internetzugang und
alles läuft ganz gut...bis auf die "port forwardings" bzw Regeln dafür klappen bei mir nicht.
Ich will das bestimme ports, wie Webserver,ftp, etc.. auf eine bestimme Adresse hindürfen..

vielleicht habt ihr ja n tip für mich..(am besten was man im pdm machen kann :D)

Pix: 192.168.0.1
Gerät wos hin soll: 192.168.0.2

Saved
Written by admin at 17:15:43.379 CEST Wed Jan 18 2006


PIX Version 6.3(1)
interface ethernet0 10baset
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall
domain-name ciscopix.com
clock timezone CEST 1
clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
no names
object-group service Emuleudp udp
description Emule udp
port-object range 4665 4665
port-object range 4672 4672
object-group service Emule tcp-udp
description TCP UDP
port-object range 4661 4662
access-list inside_outbound_nat0_acl permit ip 192.168.0.0 255.255.255.0 any
access-list inside_access_in deny udp any any eq netbios-dgm
access-list inside_access_in deny udp any any eq netbios-ns
access-list inside_access_in deny udp any any eq 135
access-list inside_access_in deny udp any any eq 445
access-list inside_access_in deny tcp any any eq 445
access-list inside_access_in permit ip any any
access-list inside_access_in remark Emule TCP
access-list inside_access_in permit tcp any eq 4661 any eq 4661
access-list inside_access_in remark Emule TCP
access-list inside_access_in permit tcp any eq 4662 any eq 4662
access-list inside_access_in remark Emule UDP
access-list inside_access_in permit udp any eq 4665 any eq 4665
access-list inside_access_in remark Emule UDP
access-list inside_access_in permit udp any eq 4672 any eq 4672
access-list inside_access_in remark Webserver
access-list inside_access_in permit tcp any eq www any eq www
access-list inside_access_in remark FTP
access-list inside_access_in permit tcp any eq ftp any eq ftp
access-list outside_access_in remark Webserver
access-list outside_access_in permit tcp any eq www any eq www
access-list outside_access_in remark Emule TCP
access-list outside_access_in permit tcp any eq 4662 any eq 4662
pager lines 24
logging on
logging timestamp
logging console warnings
logging monitor warnings
logging buffered debugging
logging trap warnings
logging queue 0
icmp permit any outside
mtu outside 1500
mtu inside 1500
ip address outside pppoe setroute
ip address inside 192.168.0.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm logging debugging 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) 192.168.0.2 192.168.0.1 netmask 255.255.255.255 0 0
access-group outside_access_in in interface outside
access-group inside_access_in in interface inside
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
aaa authentication http console LOCAL
aaa authentication ssh console LOCAL
http server enable
http 192.168.0.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
crypto ipsec transform-set
isakmp enable outside
isakmp identity address
telnet 192.168.0.1 255.255.255.255 inside
telnet timeout 5
ssh 192.168.0.0 255.255.255.0 inside
ssh timeout 5
management-access inside
console timeout 0
vpdn group pppoe_group request dialout pppoe
vpdn group pppoe_group localname #####
vpdn group pppoe_group ppp authentication pap
vpdn username ##### password
dhcpd address 192.168.0.3-192.168.0.25 inside
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd auto_config outside
dhcpd enable inside
username admin *** encrypted privilege 15
terminal width 80
Cryptochecksum:dbc8ff98add018cf6afe3b5edb6701d2
pixfirewall#
heweniger
heweniger 07.02.2006 um 17:39:04 Uhr
Goto Top
Hi
habe im CLI erfolreich Komandos abgesetzt.
- Jetzt geht der WEB Modus nicht mehr (https://...

wie geht der wieder einzuschalten ???
TotalEasy
TotalEasy 07.02.2006 um 17:59:20 Uhr
Goto Top
Entweder mit SSH verbinden, oder wenn konfiguriert kommst auch über telnet drauf..

dann
http server enable
http deinNetz 255.255.255.0 inside

danach sollte das wieder funktionieren
chevron-9
chevron-9 22.02.2011 um 10:45:36 Uhr
Goto Top
Hello face-smile

Ich habe hier auch eine Cisco Pix 501 vor mir... Per Telnet komme ich drauf, sind aber ohne tieferes Knowhow nur bömische Dörfer...

Das Webinterface läßt sich starten, beendet aber jegliche Zusammenarbeit mit dem geöffneten Dialog "Cisco Pix Device Manager Information Window" und dem kommentar "Loading PIX Device Manager . Please Wait"... Mehr kommt da nicht mehr... ist das normal ? Ob ich den IE benutze oder den Firefox ist wurst...