Konfigurationsprobleme PIX 501 Firewall
Hi Leute,
ich habe mich durch alle Beiträge zum Thema PIX 501 durchgekämpft und auch sehr vieles probiert aber leider nichts wirklich hinbekommen und bitte daher um eure Hilfe.
Mein Ziel:
Ich möchte gerne mit 7 PC's über die Firewall ins Internet (DSL Anschluss).
Problem:
Kann nicht von meinem PC aus auf die PDM zugreifen und habe daher einiges über Hyperterminal konfiguriert. Da ich nicht genau weiß was ich gemacht habe poste ich hier einfach mal meine aktuelle Config.
: Written by enable_15 at 13:33:27.020 UTC Tue Feb 21 2006
PIX Version 6.3(4)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password xxxxxx encrypted
passwd xxxxxx encrypted
hostname pixfirewall
domain-name cisco.com
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside 192.122.1.1 255.255.255.255
ip address inside 192.168.1.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm history enable
arp timeout 14400
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 192.168.1.1 255.255.255.255 inside
no snmp-server location
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0
terminal width 80
Frage:
Was muss ich an meiner aktuelle Config noch alles ändern und einstellen damit ich sie für den eigentlichen Zweck einsetzen kann!?
Wieso komme ich nicht mehr auf die PDM drauf wenn ich https://192.168.1.1/startup.html eingebe. Was mache ich falsch!?
Ich weiß das mit Sicherheit vieles auf der Homepage von Cisco steht aber leider kann ich nicht so gut Englisch und bin schon mehrmals daran verzweifelt.
Über ein paar Antworten würde ich mich sehr freuen und danke euch schon jetzt dafür.
Gruss Indianspower
ich habe mich durch alle Beiträge zum Thema PIX 501 durchgekämpft und auch sehr vieles probiert aber leider nichts wirklich hinbekommen und bitte daher um eure Hilfe.
Mein Ziel:
Ich möchte gerne mit 7 PC's über die Firewall ins Internet (DSL Anschluss).
Problem:
Kann nicht von meinem PC aus auf die PDM zugreifen und habe daher einiges über Hyperterminal konfiguriert. Da ich nicht genau weiß was ich gemacht habe poste ich hier einfach mal meine aktuelle Config.
: Written by enable_15 at 13:33:27.020 UTC Tue Feb 21 2006
PIX Version 6.3(4)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password xxxxxx encrypted
passwd xxxxxx encrypted
hostname pixfirewall
domain-name cisco.com
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside 192.122.1.1 255.255.255.255
ip address inside 192.168.1.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm history enable
arp timeout 14400
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 192.168.1.1 255.255.255.255 inside
no snmp-server location
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0
terminal width 80
Frage:
Was muss ich an meiner aktuelle Config noch alles ändern und einstellen damit ich sie für den eigentlichen Zweck einsetzen kann!?
Wieso komme ich nicht mehr auf die PDM drauf wenn ich https://192.168.1.1/startup.html eingebe. Was mache ich falsch!?
Ich weiß das mit Sicherheit vieles auf der Homepage von Cisco steht aber leider kann ich nicht so gut Englisch und bin schon mehrmals daran verzweifelt.
Über ein paar Antworten würde ich mich sehr freuen und danke euch schon jetzt dafür.
Gruss Indianspower
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 26565
Url: https://administrator.de/forum/konfigurationsprobleme-pix-501-firewall-26565.html
Ausgedruckt am: 14.05.2025 um 15:05 Uhr
15 Kommentare
Neuester Kommentar
Hallo indianspower,
du hast zwar den Webserver aktiviert
http server enable
das folgende Kommando spezifiziert die Clients sowie das IF, von denen auf den PDM zugegriffen werden kann.
Du hast hier http 192.168.1.1 255.255.255.255 inside angegeben, demnach könntest du nur von der PIX selbst auf den PDM zugreifen.
Das kann nicht funktionieren:
a) bietet die PIX keine Möglichkeit dazu und
b) würde das bedeuten, dass der Traffic die PIX auf der selben Schnittstelle verlässt auf der er ankommt. Das blockiert die PIX von Haus aus.
Du musst eine Client-IP am Inside-IF angeben, oder das ganze Segment.
http 192.168.1.0 255.255.255.0 inside
Den Rest deiner Konfig hab ich nur überflogen, schaut aber noch relativ fungfräulich aus.
Die Standardkonfig der 501 ist so angelegt, dass outbound alles erlaubt ist und inbound nichts.
Hope it helps.
H.
du hast zwar den Webserver aktiviert
http server enable
das folgende Kommando spezifiziert die Clients sowie das IF, von denen auf den PDM zugegriffen werden kann.
Du hast hier http 192.168.1.1 255.255.255.255 inside angegeben, demnach könntest du nur von der PIX selbst auf den PDM zugreifen.
Das kann nicht funktionieren:
a) bietet die PIX keine Möglichkeit dazu und
b) würde das bedeuten, dass der Traffic die PIX auf der selben Schnittstelle verlässt auf der er ankommt. Das blockiert die PIX von Haus aus.
Du musst eine Client-IP am Inside-IF angeben, oder das ganze Segment.
http 192.168.1.0 255.255.255.0 inside
Den Rest deiner Konfig hab ich nur überflogen, schaut aber noch relativ fungfräulich aus.
"Was muss ich an meiner aktuelle Config noch alles ändern und einstellen
damit ich sie für den eigentlichen Zweck einsetzen kann!?"
Was soll der eigentliche Zweck sein? Was soll die PIX denn alles bereitstellen?damit ich sie für den eigentlichen Zweck einsetzen kann!?"
Die Standardkonfig der 501 ist so angelegt, dass outbound alles erlaubt ist und inbound nichts.
Hope it helps.
H.
Hallo,
und zuerst einmal vielen Dank für deine schnelle Antwort!
Ich habe den von dir vorgeschlagenen Befehl http 192.168.1.0 255.255.255.0 inside eingegeben und nun startet der PDM auch wieder. Vielen Dank dafür.
Allerdings frägt er mich dann gleich ob ich diese Zertifikat von der Website "pixfirewall.cisco.com zum Austausch von verschlüsselten Informationen annehmen soll? Wenn ich dies mit ja bestätige verlangt er mein festgelegtes Passwort und danach bekomme ich die Fehlermeldung: Warnung HTTPS, Rechnernamen-Konflikt, Der Rechnername im Sicherheitszertifikat des Servers stimmt nicht mit dem Namen des Servers überein.
Rechnername der URL: 192.168.1.1
Rechnername des Zertifikats: pixfirewall.cisco.com
Möchten sie fortfahren? Wenn ich ja anklicke verlangt er von mir ein Benutzer und Passwort was ich nicht kenne und wenn ich nein anklicke passiert gar ncihts mehr. Muss ich das Zertifikat denn überhaupt von Cisco akzeptieren um an den PDM zu gelangen?
<<"Was soll der eigentliche Zweck sein? Was soll die PIX denn alles bereitstellen?
Die Standardkonfig der 501 ist so angelegt, dass outbound alles erlaubt ist und inbound nichts. ">>
Ich wäre in erster Linie schon sehr froh darüber wenn ich mit der Pix ins Internet komme und später würde ich dann gerne noch einen VPN-Verbindung aufbauen können.
Über eure Hilfe würde ich mich sehr freuen, da ich leider nciht so die grosse Ahnung habe.
Gruss Indianspower
und zuerst einmal vielen Dank für deine schnelle Antwort!
Ich habe den von dir vorgeschlagenen Befehl http 192.168.1.0 255.255.255.0 inside eingegeben und nun startet der PDM auch wieder. Vielen Dank dafür.
Allerdings frägt er mich dann gleich ob ich diese Zertifikat von der Website "pixfirewall.cisco.com zum Austausch von verschlüsselten Informationen annehmen soll? Wenn ich dies mit ja bestätige verlangt er mein festgelegtes Passwort und danach bekomme ich die Fehlermeldung: Warnung HTTPS, Rechnernamen-Konflikt, Der Rechnername im Sicherheitszertifikat des Servers stimmt nicht mit dem Namen des Servers überein.
Rechnername der URL: 192.168.1.1
Rechnername des Zertifikats: pixfirewall.cisco.com
Möchten sie fortfahren? Wenn ich ja anklicke verlangt er von mir ein Benutzer und Passwort was ich nicht kenne und wenn ich nein anklicke passiert gar ncihts mehr. Muss ich das Zertifikat denn überhaupt von Cisco akzeptieren um an den PDM zu gelangen?
<<"Was soll der eigentliche Zweck sein? Was soll die PIX denn alles bereitstellen?
Die Standardkonfig der 501 ist so angelegt, dass outbound alles erlaubt ist und inbound nichts. ">>
Ich wäre in erster Linie schon sehr froh darüber wenn ich mit der Pix ins Internet komme und später würde ich dann gerne noch einen VPN-Verbindung aufbauen können.
Über eure Hilfe würde ich mich sehr freuen, da ich leider nciht so die grosse Ahnung habe.
Gruss Indianspower
Hi again,
Wenn du im Browser https://pixfirewall.cisco.com eingibst kommt der Namenskonflikt nicht mehr.
Sinnigerweise solltest du die Domäne in deine eigene lokale Domäne ändern, sonst kann der Name nicht aufgelöst werden. Natürlich musst du die PIX dann auch in deinem DNS eintragen.
In der PIX kannst du Benutzer mit unterschiedlichen Berechtigungen anlegen.
Es existiert auch ein ein Konto enable mit der Berechtigung 15 (das kommt gleich nach Gott!)
Das Standardpasswort dafür findest du in den Unterlagen, ich _glaube_ es lautet cisco
Geht natürlich auch übers CLI
Wie du sicher schon festgestellt hast, zeigt Cisco keine allzugroße Affinität zur deutschen Sprache. Um ein wenig Englisch wirst du wohl nicht rumkommen.
In den beiden mitgelieferten PDF-Handbüchern (insges. ca. 900 Seiten) Firewall and VPN Configuration Guide und Firewall Command Reference findest du jede Menge Informationen.
Als deutschsprachiges Buch kann ich dir Cisco PIX Firewall von Syngress empfehlen.
Gruß
H.
Muss ich das Zertifikat denn überhaupt
von Cisco akzeptieren um an den PDM zu gelangen?
Ja, weil das eine verschlüsselte Verbindung ist.von Cisco akzeptieren um an den PDM zu gelangen?
Wenn du im Browser https://pixfirewall.cisco.com eingibst kommt der Namenskonflikt nicht mehr.
Sinnigerweise solltest du die Domäne in deine eigene lokale Domäne ändern, sonst kann der Name nicht aufgelöst werden. Natürlich musst du die PIX dann auch in deinem DNS eintragen.
In der PIX kannst du Benutzer mit unterschiedlichen Berechtigungen anlegen.
Es existiert auch ein ein Konto enable mit der Berechtigung 15 (das kommt gleich nach Gott!)
Das Standardpasswort dafür findest du in den Unterlagen, ich _glaube_ es lautet cisco
Ich wäre in erster Linie schon sehr froh darüber wenn ich mit der Pix ins Internet komme
Das sollte bereits möglich sein.und später würde ich dann gerne noch einen VPN-Verbindung aufbauen können.
Dafür hat der PDM einen tollen Klicki-Bunti-Wizard Geht natürlich auch übers CLI
Wie du sicher schon festgestellt hast, zeigt Cisco keine allzugroße Affinität zur deutschen Sprache. Um ein wenig Englisch wirst du wohl nicht rumkommen.
In den beiden mitgelieferten PDF-Handbüchern (insges. ca. 900 Seiten) Firewall and VPN Configuration Guide und Firewall Command Reference findest du jede Menge Informationen.
Als deutschsprachiges Buch kann ich dir Cisco PIX Firewall von Syngress empfehlen.
Gruß
H.
Vielen Dank für den Buchtipp habe mir das Buch bestellt und hoffe das es morgen bei mir sein wird!
Bis dahin hätte ich aber trotzdem noch ein paar Fragen:
1. Wir sind gerade dabei eine 2003er Domäne aufzubauen und besitzen bisher nur eine Arbeitsgruppe mit ca. 15 Rechner. Kann ich die Pix auch in einer Arbeitsgruppe anwenden? Wenn ja, wie lautet dann die Kommandozeile für "domain name"?
2. Ich hatte gestern eingetragen http 192.168.1.0 255.255.255.0 inside und das hat auch einwandfrei funktioniert. Wenn ich allerdings show http sage zeigt er mir mehrere Bereiche an unter anderem auch diese http 192.168.1.1 255.255.255.255 inside. Kann ich auch einzelne IP-Bereiche wieder löschen? Wenn ja wie?
Sorry wenn ich so blöde Fragen stelle aber hab dieses Projekt mehr oder weniger auf das Auge gedrückt bekommen.
Gruss Indianspower
Bis dahin hätte ich aber trotzdem noch ein paar Fragen:
1. Wir sind gerade dabei eine 2003er Domäne aufzubauen und besitzen bisher nur eine Arbeitsgruppe mit ca. 15 Rechner. Kann ich die Pix auch in einer Arbeitsgruppe anwenden? Wenn ja, wie lautet dann die Kommandozeile für "domain name"?
2. Ich hatte gestern eingetragen http 192.168.1.0 255.255.255.0 inside und das hat auch einwandfrei funktioniert. Wenn ich allerdings show http sage zeigt er mir mehrere Bereiche an unter anderem auch diese http 192.168.1.1 255.255.255.255 inside. Kann ich auch einzelne IP-Bereiche wieder löschen? Wenn ja wie?
Sorry wenn ich so blöde Fragen stelle aber hab dieses Projekt mehr oder weniger auf das Auge gedrückt bekommen.
Gruss Indianspower
Hallo indianpower,
Wenn ein DNS läuft kannst du die PIX per Name ansprechen bspw. pix.meinedomäne.loc.
Wenn du eine Internetdomäne verwendest und im DNS einen A-Record für die PIX erstellst funktioniert es auch. Ist aber erstens nicht sauber und zweitens, falls der A-Record aus irgendeinem Grund verschwindet, wird die Anfrage nach außen weitergeleitet.
Beim löschen wird lediglich das Wort no vorangestellt.
In deinem Fall also no http 192.168.1.1 255.255.255.255 inside
Die Konfiguration einer Firewall ist alles andere als eine triviale Angelegenheit.
Das wirst du spätestens dann merken, wenn die Konfiguration mal komplexer wird; und das wird sie werden. Bspw. wenn eingehende Verbindungen nötig werden, für best. Banking-Software, Fernwartungszugänge o.ä.
Dann würde ich dir auf alle Fälle empfhehlen, nochmal einen Fachmann drüberschauen zu lassen.
Gruß
H.
1.
Die PIX ist nicht Mitglied der Windows-Domäne. Du kannst die Domäne nennen wie du willst, allerdings solltest du keine Internetdomäne verwenden, schon gar nicht, wenn diese dir nicht gehört.Wenn ein DNS läuft kannst du die PIX per Name ansprechen bspw. pix.meinedomäne.loc.
Wenn du eine Internetdomäne verwendest und im DNS einen A-Record für die PIX erstellst funktioniert es auch. Ist aber erstens nicht sauber und zweitens, falls der A-Record aus irgendeinem Grund verschwindet, wird die Anfrage nach außen weitergeleitet.
2.
Im CLI werden Einträge normalerweise in der Form < Parameter > < Wert > erstellt.Beim löschen wird lediglich das Wort no vorangestellt.
In deinem Fall also no http 192.168.1.1 255.255.255.255 inside
Sorry wenn ich so blöde Fragen stelle aber hab dieses Projekt mehr oder weniger
auf das Auge gedrückt bekommen.
Es gibt keine blöden Fragen, allerdings finde ich es auch einigermaßen unverantwortlich sowas jemandem 'aufs Auge zu drücken', hängt ja schließlich auch ne Menge Verantwortung dran.auf das Auge gedrückt bekommen.
Die Konfiguration einer Firewall ist alles andere als eine triviale Angelegenheit.
Das wirst du spätestens dann merken, wenn die Konfiguration mal komplexer wird; und das wird sie werden. Bspw. wenn eingehende Verbindungen nötig werden, für best. Banking-Software, Fernwartungszugänge o.ä.
Dann würde ich dir auf alle Fälle empfhehlen, nochmal einen Fachmann drüberschauen zu lassen.
Gruß
H.
Sorry ich bin es schon wieder...
Also ich habe den Domain Name auf test.local festgelegt und mich dann darauf versucht zu verbinden. Mit https://192.168.100.232/startup.html bekomme ich nach dem bestätigen des Zertifikats und nach Eingabe des Passworts diese Fehlermeldung: Rechnernamen-Konflikt
Rechnername der URL: 129.168.100.232
Rechnername des Zertifikats pixfirewall.test.local
Möchten Sie fortfahren? Bei ja verlangt er nochmal ein Passwort von mir und wenn ich es eingetragen habe frägt er mich ob ich das signierte Applet installieren möchte bei ja sehe ich dann unten in der Statuszeile eine Fehlermeldung: Ausnahme java.security.AccessControlException: access denied (java.util.ProbertyPermision.java.version read) bei Nein macht er gar nichts mehr.
Wenn ich die Adresse: https://pixfirewall.test.local/startup.html (auch in anderen denkbaren Varianten) eingebe bekomme ich immer nur die Seite kann nicht gefunden werden. Soweit ich weiß haben wir keinen lokalen DNS Server.
Help me, please...
Thanx Indianspower
Also ich habe den Domain Name auf test.local festgelegt und mich dann darauf versucht zu verbinden. Mit https://192.168.100.232/startup.html bekomme ich nach dem bestätigen des Zertifikats und nach Eingabe des Passworts diese Fehlermeldung: Rechnernamen-Konflikt
Rechnername der URL: 129.168.100.232
Rechnername des Zertifikats pixfirewall.test.local
Möchten Sie fortfahren? Bei ja verlangt er nochmal ein Passwort von mir und wenn ich es eingetragen habe frägt er mich ob ich das signierte Applet installieren möchte bei ja sehe ich dann unten in der Statuszeile eine Fehlermeldung: Ausnahme java.security.AccessControlException: access denied (java.util.ProbertyPermision.java.version read) bei Nein macht er gar nichts mehr.
Wenn ich die Adresse: https://pixfirewall.test.local/startup.html (auch in anderen denkbaren Varianten) eingebe bekomme ich immer nur die Seite kann nicht gefunden werden. Soweit ich weiß haben wir keinen lokalen DNS Server.
Help me, please...
Thanx Indianspower
Hi indianpower,
der Namenskonflikt kommt daher, dass das Zertifikat auf den FQDN der PIX lautet, jedoch mit der IP derselben angefordert wird.
Das ist aber zum jetztigen Zeitpunkt ein kosmetisches Problem.
Die startup.html musst ud übrigens nicht im URL angeben.
Das Passwörter verlangt werden ist normal; soll ja nicht jeder rankommen können.
Der Java-Fehler beruht auf einer dokumentierten Inkompatibilität der PDM-Versionen <= 3.0(2) mit best. Java-Versionen.
http://www.cisco.com/en/US/products/hw/vpndevc/ps4077/products_field_no ...
Die aktuelle PIX-OS Version ist übrigens 6.3(5), die des PDM 3.0(4).
Ein Upgrade des PDM löst dieses Problem, alternativ kannst du auch eine kompatible Java-Version installieren.
Die aktuellen Cisco-Versionen wirst du mit einen Guest-Level-Access nicht bekommen.
Der Cisco-Partner, der dir die PIX verkauft hat kann dir aber einen (möglichst kostenlosen) Zugang auf den Cisco-FTP-Server bereitstellen.
Im Cisco-Doc 4801 ist der Upgrade beschrieben:
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_tech_not ...
Was spricht dagegegen, den URL einzugeben und das Zertifikat zu bestätigen?
Zumindest bis das ganze mal läuft.
Momentan sollten solche Dinge dein kleinstes Problem sein.
Gruß
H.
der Namenskonflikt kommt daher, dass das Zertifikat auf den FQDN der PIX lautet, jedoch mit der IP derselben angefordert wird.
Das ist aber zum jetztigen Zeitpunkt ein kosmetisches Problem.
Die startup.html musst ud übrigens nicht im URL angeben.
Das Passwörter verlangt werden ist normal; soll ja nicht jeder rankommen können.
Der Java-Fehler beruht auf einer dokumentierten Inkompatibilität der PDM-Versionen <= 3.0(2) mit best. Java-Versionen.
http://www.cisco.com/en/US/products/hw/vpndevc/ps4077/products_field_no ...
Die aktuelle PIX-OS Version ist übrigens 6.3(5), die des PDM 3.0(4).
Ein Upgrade des PDM löst dieses Problem, alternativ kannst du auch eine kompatible Java-Version installieren.
Die aktuellen Cisco-Versionen wirst du mit einen Guest-Level-Access nicht bekommen.
Der Cisco-Partner, der dir die PIX verkauft hat kann dir aber einen (möglichst kostenlosen) Zugang auf den Cisco-FTP-Server bereitstellen.
Im Cisco-Doc 4801 ist der Upgrade beschrieben:
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_tech_not ...
Wenn ich die Adresse: https://pixfirewall.test.local/startup.html
(auch in anderen denkbaren Varianten) eingebe bekomme ich immer nur die Seite kann
nicht gefunden werden. Soweit ich weiß haben wir keinen lokalen DNS Server.
Das ist klar, ohne Nameserver kann der Name nicht aufgelöst werden.(auch in anderen denkbaren Varianten) eingebe bekomme ich immer nur die Seite kann
nicht gefunden werden. Soweit ich weiß haben wir keinen lokalen DNS Server.
Was spricht dagegegen, den URL einzugeben und das Zertifikat zu bestätigen?
Zumindest bis das ganze mal läuft.
Momentan sollten solche Dinge dein kleinstes Problem sein.
Gruß
H.
Hallo,
vielen Dank für den Tipp mit der Java Version. Es hat geklappt und ich bin nun endlich auf den PDM draufgekommen und habe dann gleich mal ein paar Dinge konfiguriert. Nun aber habe ich mal wieder ein Problem und dazu eine Frage:
Wie kann ich denn jetzt von meinem Rechner aus über die Firewall ins Internet gehen? Dafür muss ich doch das Gateway von der PIX eintragen, oder? Wenn ja woher weiß ich diese Adresse oder ist dies die IP Adresse der Firewall? Kann ich bzw. muss ich das Gateway erst setzen?
Hier mal meine momentane Config:
Written by enable_15 at 15:33:54.383 UTC Wed Feb 22 2006
PIX Version 6.3(4)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password xxx encrypted
passwd xxx encrypted
hostname pix501
domain-name TEST.LOCAL
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside pppoe setroute
ip address inside 129.168.110.232 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm history enable
arp timeout 14400
global (outside) 10 192.122.1.1-192.122.1.200
nat (inside) 10 0.0.0.0 0.0.0.0 0 0
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 129.168.110.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0
vpdn group pppoe_group request dialout pppoe
vpdn group pppoe_group localname xxx#0001@t-online.de
vpdn group pppoe_group ppp authentication chap
vpdn username xxx#0001@t-online.de password
terminal width 80
Was bedeutet denn diese beide Einträge und sind die denn überhaupt richtig gesetzt?
global (outside) 10 192.122.1.1-192.122.1.200
nat (inside) 10 0.0.0.0 0.0.0.0 0 0
Vielen Dank schonmal für die Antwort!
Gruss Indianspower
vielen Dank für den Tipp mit der Java Version. Es hat geklappt und ich bin nun endlich auf den PDM draufgekommen und habe dann gleich mal ein paar Dinge konfiguriert. Nun aber habe ich mal wieder ein Problem und dazu eine Frage:
Wie kann ich denn jetzt von meinem Rechner aus über die Firewall ins Internet gehen? Dafür muss ich doch das Gateway von der PIX eintragen, oder? Wenn ja woher weiß ich diese Adresse oder ist dies die IP Adresse der Firewall? Kann ich bzw. muss ich das Gateway erst setzen?
Hier mal meine momentane Config:
Written by enable_15 at 15:33:54.383 UTC Wed Feb 22 2006
PIX Version 6.3(4)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password xxx encrypted
passwd xxx encrypted
hostname pix501
domain-name TEST.LOCAL
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside pppoe setroute
ip address inside 129.168.110.232 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm history enable
arp timeout 14400
global (outside) 10 192.122.1.1-192.122.1.200
nat (inside) 10 0.0.0.0 0.0.0.0 0 0
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 129.168.110.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0
vpdn group pppoe_group request dialout pppoe
vpdn group pppoe_group localname xxx#0001@t-online.de
vpdn group pppoe_group ppp authentication chap
vpdn username xxx#0001@t-online.de password
terminal width 80
Was bedeutet denn diese beide Einträge und sind die denn überhaupt richtig gesetzt?
global (outside) 10 192.122.1.1-192.122.1.200
nat (inside) 10 0.0.0.0 0.0.0.0 0 0
Vielen Dank schonmal für die Antwort!
Gruss Indianspower
Moin indianpower,
das Gateway auf den Clients muss auf das Inside-IF der PIX zeigen.
Bei dir also auf 129.168.110.232, wobei ich denke, dass es eigentlich 192.168.110.232 lauten sollte.
Das ist imo falsch, müsste lauten: global (outside) 10 interface
Für alle ausgehenden Verbindungen der NAT-Regel 10 wird auf dem Outside-IF die IP des Outside-IF verwendet.
Woher hast du die IP-Adressen 192.122.1.x?
nat (local_interface) id local_ip mask dns outside
Erstellt eine Outside-NAT-Regel auf dem Inside-IF mit der ID 10, die von allen Hosts (0.0.0.0 0.0.0.0) ohne DNS-Rewrite übersetzt.
Ich hoffe das war einigermaßen verständlich.
H.
das Gateway auf den Clients muss auf das Inside-IF der PIX zeigen.
Bei dir also auf 129.168.110.232, wobei ich denke, dass es eigentlich 192.168.110.232 lauten sollte.
Was bedeutet denn diese beide Einträge und sind die denn überhaupt richtig gesetzt?
global (outside) 10 192.122.1.1-192.122.1.200
c PIX Command Reference pg 6-1 ffglobal (outside) 10 192.122.1.1-192.122.1.200
Das ist imo falsch, müsste lauten: global (outside) 10 interface
Für alle ausgehenden Verbindungen der NAT-Regel 10 wird auf dem Outside-IF die IP des Outside-IF verwendet.
Woher hast du die IP-Adressen 192.122.1.x?
nat (inside) 10 0.0.0.0 0.0.0.0 0 0
c PIX Command Reference pg 7-12 ffnat (local_interface) id local_ip mask dns outside
Erstellt eine Outside-NAT-Regel auf dem Inside-IF mit der ID 10, die von allen Hosts (0.0.0.0 0.0.0.0) ohne DNS-Rewrite übersetzt.
Ich hoffe das war einigermaßen verständlich.
H.
Moin Moin,
IP-Adresse: 129.168.110.229
Standardmaske: 255.255.255.0
Gateway: 129.168.110.229
DNS: Kein Eintrag
Aber immer wenn ich eine Seite im Internet aufrufen möchte sagt er mir die Seite kann nicht angezeit werden. Liegt es daran das ich keinen DNS eingetragen habe oder hängt es mit dem NAT zusammen? Hier mal denn hierfür wichtigen Teil aus der Config:
ip address outside pppoe setroute
ip address inside 129.168.110.232 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm history enable
arp timeout 14400
global (outside) 10 interface
nat (inside) 10 0.0.0.0 0.0.0.0 0 0
Vielen Dank und ganz nette Grüsse Indianspwer
das Gateway auf den Clients muss auf das Inside-IF der PIX zeigen.
Bei dir also auf 129.168.110.232, wobei ich denke, dass es eigentlich 192.168.110.232
lauten sollte.
Die IP Adresse 129.168.110.232 stimmt schon! Also auf den Clients sind die folgende Einstellungen gemacht:Bei dir also auf 129.168.110.232, wobei ich denke, dass es eigentlich 192.168.110.232
lauten sollte.
IP-Adresse: 129.168.110.229
Standardmaske: 255.255.255.0
Gateway: 129.168.110.229
DNS: Kein Eintrag
Aber immer wenn ich eine Seite im Internet aufrufen möchte sagt er mir die Seite kann nicht angezeit werden. Liegt es daran das ich keinen DNS eingetragen habe oder hängt es mit dem NAT zusammen? Hier mal denn hierfür wichtigen Teil aus der Config:
ip address outside pppoe setroute
ip address inside 129.168.110.232 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm history enable
arp timeout 14400
global (outside) 10 interface
nat (inside) 10 0.0.0.0 0.0.0.0 0 0
Vielen Dank und ganz nette Grüsse Indianspwer
Hi indianpower,
Wenn du keinen eigenen DNS mit Weiterleitung betreibst musst du als DNS einen NS deines ISP eintragen.
Allerdings vergibt die PIX in der Standardkonfig die ID 1 (nicht 10) für die NAT-Regel.
Das hat aber auch die Funktion momentan keinen Einfluss.
Womöglich aber, da bin ich mir aber nicht sicher, wenn du eine ACL mit einer ID <10 erstellst.
Die ID nimmt imo Einfluß auf die Verarbeitungsreihenfolge.
Schönen Tag
H.
Die IP Adresse 129.168.110.232 stimmt schon!
Das ist KEIN privater Adressbereich, siehe hierzu rfc1918 Punkt 3.Also auf den Clients sind die folgende Einstellungen gemacht:
IP-Adresse: 129.168.110.229
Standardmaske: 255.255.255.0
Gateway: 129.168.110.229
DNS: Kein Eintrag
Der Standardgateway MUSS auf das Inside-IF der PIX verweisen.IP-Adresse: 129.168.110.229
Standardmaske: 255.255.255.0
Gateway: 129.168.110.229
DNS: Kein Eintrag
Wenn du keinen eigenen DNS mit Weiterleitung betreibst musst du als DNS einen NS deines ISP eintragen.
global (outside) 10 interface
nat (inside) 10 0.0.0.0 0.0.0.0 0 0
Sollte so funktionieren.nat (inside) 10 0.0.0.0 0.0.0.0 0 0
Allerdings vergibt die PIX in der Standardkonfig die ID 1 (nicht 10) für die NAT-Regel.
Das hat aber auch die Funktion momentan keinen Einfluss.
Womöglich aber, da bin ich mir aber nicht sicher, wenn du eine ACL mit einer ID <10 erstellst.
Die ID nimmt imo Einfluß auf die Verarbeitungsreihenfolge.
Schönen Tag
H.
Hi,
hatte mich vorhin verschrieben und das Gateway verwies auf die 192.168.110.232!
Habe auch das Netz ordnungsgemäß umgestellt und es stehen nun die folgenden Einstellungen drin:
Client:
IP-Adresse: 192.168.110.229
Subnetzmaske: 255.255.255.0
Gateway: 192.168.110.232
DNS Server: 194.25.2.129 (Telekom) alternativ 194.25.2.130 (Telekom)
Leider habe ich immer noch das Problem das ich kein Internetzugriff habe. Wenn ich im Dos-Fenster tracert heise.de angebe sagt er mir der Name kann nicht aufgelöst werden. Also dachte ich probiere mal einen anderen DNS Server aus. Ich habe nun ca. 15 DNS Server von den verschiedenstens Internetprovider eingetragen aber ich bekomme immer die gleiche Fehlermeldung! Woran kann das liegen? Komme ich überhaupt durch die Firewall nach draußen bzw. von draußen wieder rein?
Ich habe auch noch schnell die ID von 10 auf 1 geändert und hier ist meine aktuelle Config:
Written by enable_15 at 12:14:01.017 UTC Thu Feb 23 2006
PIX Version 6.3(4)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password xxx encrypted
passwd xxx encrypted
hostname pix501
domain-name AUTOWI.LOCAL
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside pppoe setroute
ip address inside 192.168.110.232 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 192.168.110.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0
vpdn group pppoe_group request dialout pppoe
vpdn group pppoe_group localname xxx#0001@t-online.de
vpdn group pppoe_group ppp authentication chap
vpdn username xxx#0001@t-online.de password
terminal width 80
Ich bin echt noch am verzweifeln...
Gruss Indianspower
Der Standardgateway MUSS auf das Inside-IF
der PIX verweisen.
Wenn du keinen eigenen DNS mit Weiterleitung
betreibst musst du als DNS einen NS deines
ISP eintragen.
der PIX verweisen.
Wenn du keinen eigenen DNS mit Weiterleitung
betreibst musst du als DNS einen NS deines
ISP eintragen.
hatte mich vorhin verschrieben und das Gateway verwies auf die 192.168.110.232!
Habe auch das Netz ordnungsgemäß umgestellt und es stehen nun die folgenden Einstellungen drin:
Client:
IP-Adresse: 192.168.110.229
Subnetzmaske: 255.255.255.0
Gateway: 192.168.110.232
DNS Server: 194.25.2.129 (Telekom) alternativ 194.25.2.130 (Telekom)
Leider habe ich immer noch das Problem das ich kein Internetzugriff habe. Wenn ich im Dos-Fenster tracert heise.de angebe sagt er mir der Name kann nicht aufgelöst werden. Also dachte ich probiere mal einen anderen DNS Server aus. Ich habe nun ca. 15 DNS Server von den verschiedenstens Internetprovider eingetragen aber ich bekomme immer die gleiche Fehlermeldung! Woran kann das liegen? Komme ich überhaupt durch die Firewall nach draußen bzw. von draußen wieder rein?
Ich habe auch noch schnell die ID von 10 auf 1 geändert und hier ist meine aktuelle Config:
Written by enable_15 at 12:14:01.017 UTC Thu Feb 23 2006
PIX Version 6.3(4)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password xxx encrypted
passwd xxx encrypted
hostname pix501
domain-name AUTOWI.LOCAL
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside pppoe setroute
ip address inside 192.168.110.232 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 192.168.110.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0
vpdn group pppoe_group request dialout pppoe
vpdn group pppoe_group localname xxx#0001@t-online.de
vpdn group pppoe_group ppp authentication chap
vpdn username xxx#0001@t-online.de password
terminal width 80
Ich bin echt noch am verzweifeln...
Gruss Indianspower
Hi,
das Modem hat aber schon eine Verbindung aufgebaut?
Ist die Verbindung im PDM aktiv markiert?
An der PIX müssen mind. folgende LEDs leuchten: Power, die im Segment 0 und mind. 1 im Segment 1-4.
Lass mal das PDM Logging mitlaufen, Monitoring > PDM Log.
Das Logging Level auf Informational oder Debugging > View
Der Logviewer aktualisiert nicht automatisch > Refresh
Nun versuche einen Ping nach außen abzusetzen, im PDM unter Tools.
Poste mal die relevanten Inhalte.
Gruß
H.
das Modem hat aber schon eine Verbindung aufgebaut?
Ist die Verbindung im PDM aktiv markiert?
An der PIX müssen mind. folgende LEDs leuchten: Power, die im Segment 0 und mind. 1 im Segment 1-4.
Lass mal das PDM Logging mitlaufen, Monitoring > PDM Log.
Das Logging Level auf Informational oder Debugging > View
Der Logviewer aktualisiert nicht automatisch > Refresh
Nun versuche einen Ping nach außen abzusetzen, im PDM unter Tools.
Poste mal die relevanten Inhalte.
Gruß
H.
Hallöschen,
die Lampen leuchten soweit alle und es sollte daher funktionieren.
Ich habe im PDM noch ein paar Konfigurationsmöglichkeiten angeschaut und hier und da mal ein wenig herumgespielt und plötzlich hat es mit der Internetverbindung über die PIX funktioniert. Weiß allerdings nicht was ich gemacht haben soll, da in der Config nur eine Sache im Vergleich zu vorher verändert ist und das ist das aktivieren des PDM Log.
Kann es sein das ich einfach zu ungeduldig war und vielleicht erst mal ein paar Minuten warten musste bis die erste Vebindung stehte?
So nach diesem Erfolgserlebnis werde ich morgen mal versuchen ein paar Ports freizuschalten und nächste Woche werde ich micht mit dem Thema VPN beschäftigen.
Gruss vom gutgelaunten Indianspower
das Modem hat aber schon eine Verbindung aufgebaut?
Ist die Verbindung im PDM aktiv markiert? An der PIX müssen mind. folgende LEDs
leuchten: Power, die im Segment 0 und mind. 1 im Segment 1-4.
Ist die Verbindung im PDM aktiv markiert? An der PIX müssen mind. folgende LEDs
leuchten: Power, die im Segment 0 und mind. 1 im Segment 1-4.
die Lampen leuchten soweit alle und es sollte daher funktionieren.
Lass mal das PDM Logging mitlaufen, > Monitoring > PDM Log. Das Logging Level auf Informational oder Debugging > View
Der Logviewer aktualisiert nicht automatisch> Refresh
Nun versuche einen Ping nach außen abzusetzen, im PDM unter Tools.
Poste mal die relevanten Inhalte.
Der Logviewer aktualisiert nicht automatisch> Refresh
Nun versuche einen Ping nach außen abzusetzen, im PDM unter Tools.
Poste mal die relevanten Inhalte.
Ich habe im PDM noch ein paar Konfigurationsmöglichkeiten angeschaut und hier und da mal ein wenig herumgespielt und plötzlich hat es mit der Internetverbindung über die PIX funktioniert. Weiß allerdings nicht was ich gemacht haben soll, da in der Config nur eine Sache im Vergleich zu vorher verändert ist und das ist das aktivieren des PDM Log.
Kann es sein das ich einfach zu ungeduldig war und vielleicht erst mal ein paar Minuten warten musste bis die erste Vebindung stehte?
So nach diesem Erfolgserlebnis werde ich morgen mal versuchen ein paar Ports freizuschalten und nächste Woche werde ich micht mit dem Thema VPN beschäftigen.
Gruss vom gutgelaunten Indianspower
Hi,
Nach Klick auf Save bzw. wr mem wird die Konfig geschrieben und unmittelbar angewandt.
Ohne oberlehrerhaft wirken zu wollen; du solltest dir eine überlegte und dokumentierte Vorgehensweise angewöhnen.
Der kleine Blechkasten, den dein Boss dir aufs Auge gedrückt hat, ist kein Spielzeug und in seinen Möglichkeiten ziemlich mächtig. Das heißt aber auch, dass man viele Möglichkeiten hat Fehler zu machen.
Du hast damit eine ganze Menge Verantwortung für die Sicherheit eures LAN.
In der jetzigen Konstellation ohne Syslog würdest du nicht mal mitbekommen, wenn jemand eindringt.
Schönen Tag noch und viel Spaß beim spielen
H.
Kann es sein das ich einfach zu ungeduldig war und vielleicht erst mal ein paar Minuten
warten musste bis die erste Vebindung stehte?
Eigentlich nicht, die PIX ist kein Röhrenradio warten musste bis die erste Vebindung stehte?
Nach Klick auf Save bzw. wr mem wird die Konfig geschrieben und unmittelbar angewandt.
"... mal ein wenig herumgespielt ..." und
"Weiß allerdings nicht was ich gemacht haben soll ..."
...sind eine äußerst ungünstige Kombination."Weiß allerdings nicht was ich gemacht haben soll ..."
Ohne oberlehrerhaft wirken zu wollen; du solltest dir eine überlegte und dokumentierte Vorgehensweise angewöhnen.
Der kleine Blechkasten, den dein Boss dir aufs Auge gedrückt hat, ist kein Spielzeug und in seinen Möglichkeiten ziemlich mächtig. Das heißt aber auch, dass man viele Möglichkeiten hat Fehler zu machen.
Du hast damit eine ganze Menge Verantwortung für die Sicherheit eures LAN.
In der jetzigen Konstellation ohne Syslog würdest du nicht mal mitbekommen, wenn jemand eindringt.
Schönen Tag noch und viel Spaß beim spielen
H.
