supergecko
Goto Top

Cisco Pix 501 - Mail for Exchange Routing

Hallo Administrator.de Gemeinde,

ich habe folgendes Problem. Und zwar haben wir einen Kunden der sein neues Nokia E71 gerne benutzen würde um seine Mails die auf dem Exchange Server liegen zu syncen.
Ansich wäre das auch kein Problem denn das einrichten auf dem Handy ist recht einfach das habe ich soweit auch alles eingetragen. Das Problem stellt die Cisco Firewall Pix 501 dar.
Und zwar:

1. Ich kann auf das Gerät nur über das Webinterface zugreifen und das auch nur wenn ich es von einer Windows 2000 Maschine aufrufe. Von Windows XP Rechner geht das laut der Aussage des Kunden nicht oder nur mit sehr großen Umständen. Wenn ich per Hyperterminal drauf gehen will sagt er mir immer das der Port 23 nicht antworten würde.

2. Der oder die benötigten Ports die ich für Mail for Exchange benötige (80 und 443) sind meiner Meinung nach zwar eingetragen aber ich komme von aussen weder auf die OWA Seite des Exchange Servers noch schafft es das Handy sich mit dem Exchangeserver zu verbinden und abzugleichen.

Ich würde gerne wissen ob ich in der Konfig was falsch gemacht habe oder ob die Weboberfläche einfach nur Schrott ist. Ich hätte es wie gesagt lieber per console gemacht aber auf die komme ich ja leider nicht drauf.

Hier noch die Konfig:

Building configuration...
Saved

PIX Version 6.3(3)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 2KFQnbNIdI.2KYOU encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall
domain-name ciscopix.com
clock timezone CEST 1
clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
name 192.168.1.6 ExchangeServer
access-list 100 permit icmp any any echo-reply
access-list 100 permit icmp any any time-exceeded
access-list 100 permit icmp any any unreachable
access-list 100 permit tcp any eq https host ExchangeServer eq https
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside 192.168.2.5 255.255.255.0
ip address inside 192.168.1.5 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm location 192.168.1.40 255.255.255.255 inside
pdm location ExchangeServer 255.255.255.255 inside
pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) ExchangeServer ExchangeServer netmask 255.255.255.255 0 0
access-group 100 in interface outside
route outside 0.0.0.0 0.0.0.0 192.168.2.1 1
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
aaa authentication enable console LOCAL
aaa authentication http console LOCAL
aaa authorization command LOCAL
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd address 192.168.1.9-192.168.1.129 inside
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd auto_config outside
username admin password 57nn9lj1mSmNzyaP encrypted privilege 15
privilege show level 0 command version
privilege show level 0 command curpriv
privilege show level 3 command pdm
privilege show level 3 command blocks
privilege show level 3 command ssh
privilege configure level 3 command who
privilege show level 3 command isakmp
privilege show level 3 command ipsec
privilege show level 3 command vpdn
privilege show level 3 command local-host
privilege show level 3 command interface
privilege show level 3 command ip
privilege configure level 3 command ping
privilege show level 3 command uauth
privilege configure level 5 mode enable command configure
privilege show level 5 command running-config
privilege show level 5 command privilege
privilege show level 5 command clock
privilege show level 5 command ntp
privilege show level 5 mode configure command logging
privilege show level 5 command fragment
terminal width 80
Cryptochecksum:5d089f18a4403da79230fb05af884b55
: end
[OK]


Ich wusste leider nicht wie ich die Formatierung hinbekomme das vor der Konfig Nummern stehen.

Ich danke euch schonmal für eure Hilfe.

MfG

Supergecko

Content-ID: 96551

Url: https://administrator.de/contentid/96551

Ausgedruckt am: 22.11.2024 um 20:11 Uhr

aqui
aqui 11.09.2008 um 13:43:26 Uhr
Goto Top
Laut deiner ACL forwardest du nur TCP 443 auf den Exchange Server aber kein TCP 80 ! Da fehlt also was
Das Telnet (Putty, Hyperterm, TeraTerm) nicht klappt liegt vermutlich daran das Telnet Zugang abgeschaltet ist. (Telnet Server nicht aktiv) Ist auch normal, da was wie HTTP unsichere Zugänge für einen FW sind !
Das Der Webzugang nur mit einem 2k Rechner klappt ist eigentlich Unsinn, das funktioniert natürlich auch von XP, Linux oder MAC !
Vermutlich liegt es an der IP des Rechners denn die FW lässt nur Zugriffe aus 192.168.1.0 zu.

Am besten du plazierst einen Packet Sniffer zwischen FW und Exchange und snifferst mit was da ankommt.
Dann weistt du genau was die FW durchlässt und was nicht !!!
Sniffer SW ist z.B.
WIRESHARK
oder
MS-NetMonitor

(P.S.: Fomratierung bekommst du mit den code Tags in eckigen Klammern hin ! Siehe: Formatierungen in den Beiträgen )
Supergecko
Supergecko 19.09.2008 um 09:52:17 Uhr
Goto Top
Hallo nochmal also ich habe wie oben gesagt auch noch den Port 80 in die Accessliste eingetragen aber habe immernoch das Problem das ich an der Firewall garnicht vorbei komme. Ich bekomme es einfach nicht auf. Zusätzlich ist es so das ich wenn ich die Accesslisten bearbeite und den Eintrag für die Ports eintrage, ich zusätzlich noch einen NAT eintrag setzten muss der dann den Exchange Server vom Internet trennt. Ich bin mit meinem Wissen echt am Ende und würde gerne nochmal eure Hilfe beanspruchen. Hier nochmal die Konfiguration mit den Eingetragenen Port und der NAT Regel die leider nicht geht.

Building configuration...
: Saved
:
PIX Version 6.3(3)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 2KFQnbNIdI.2KYOU encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall
domain-name ciscopix.com
clock timezone CEST 1
clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
name 192.168.1.6 ExchangeSrv
access-list 100 permit icmp any any echo-reply 
access-list 100 permit icmp any any time-exceeded 
access-list 100 permit icmp any any unreachable 
access-list 100 permit tcp any host ExchangeSrv eq https 
access-list 100 permit tcp any host ExchangeSrv eq www 
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside 192.168.2.5 255.255.255.0
ip address inside 192.168.1.5 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm location 192.168.1.40 255.255.255.255 inside
pdm location ExchangeSrv 255.255.255.255 inside
pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) ExchangeSrv ExchangeSrv netmask 255.255.255.255 0 0 
access-group 100 in interface outside
route outside 0.0.0.0 0.0.0.0 192.168.2.1 1
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+ 
aaa-server RADIUS protocol radius 
aaa-server LOCAL protocol local 
aaa authentication enable console LOCAL
aaa authentication http console LOCAL
aaa authorization command LOCAL
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd address 192.168.1.9-192.168.1.129 inside
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd auto_config outside
username admin password 57nn9lj1mSmNzyaP encrypted privilege 15
privilege show level 0 command version
privilege show level 0 command curpriv
privilege show level 3 command pdm
privilege show level 3 command blocks
privilege show level 3 command ssh
privilege configure level 3 command who
privilege show level 3 command isakmp
privilege show level 3 command ipsec
privilege show level 3 command vpdn
privilege show level 3 command local-host
privilege show level 3 command interface
privilege show level 3 command ip
privilege configure level 3 command ping
privilege show level 3 command uauth
privilege configure level 5 mode enable command configure
privilege show level 5 command running-config
privilege show level 5 command privilege
privilege show level 5 command clock
privilege show level 5 command ntp
privilege show level 5 mode configure command logging
privilege show level 5 command fragment
terminal width 80
Cryptochecksum:c17dad8989a30658001a2e7788d7bef3
: end
[OK]