gelöst NAT umgehen (Cisco PIX 515 7.23)

Mitglied: Karakan87

Karakan87 (Level 1) - Jetzt verbinden

18.11.2008, aktualisiert 19.11.2008, 7145 Aufrufe, 8 Kommentare

Hallo!

Habe folgendes Problem:

Ich habe mir eine Testumgebung zum Thema VPN aufgebaut. Zwischen meinen 2 Cisco Firewalls klappts auch soweit.
Nun möchte ich meine Tesumgebung um eine Checkpoint Firewall erweitern.

Bevor ich zwischen der Checkpoint und der Cisco Firewall VPN einrichte, möchte eine ganz normale Netzwerkverbindung.

Mein Problem ist, dass ich "nat-control" aktiviert habe und deshalb meine Cisco Firewall nicht mit der Checkpoint kommunizieren kann. Sobald ich "nat-control" deaktiviere funktioniert die Kommunikation, jedoch brauche ich "nat-control" damit weiterhin meine VPN-Verbindung zwischen meinen beiden Cisco Firewalls funktioniert.

Wie muss ich vorgehen? Wenn ich versuche von einem Client an der Checkpoint Firewall einen Client an der Cisco Firewall zu pingen bekomme ich folgende Meldung über das logging:

No translation group found for icmp src OUTSIDE:192.168.3.3 dst INSIDE:192.168.3.3(type 8, code 0)
Mitglied: aqui
18.11.2008 um 12:54 Uhr
Die Fehlermeldung gibt dir doch schon die Antwort:

Du musst lediglich eine static NAT Zuweisung machen und natürlich auch das ICMP Protokoll per ACL von aussen erlauben was ja normalerweise bei einer Firewall natürlich geblockt ist auf dem outbound Interface !
Bitte warten ..
Mitglied: Karakan87
18.11.2008 um 13:12 Uhr
Ja die ACL hab ich ja sowieso schon drin sonst würds ja mit deaktiviertem "nat-control" nicht gehen.

Hab auch schon versucht eine static NAT reinzumachen aber das hat auch nicht geholfen, mein NAT sah dann folgendermassen aus:

access-list 121 extended permit ip 192.168.1.0 255.255.255.0 192.168.3.0 255.255.255.0

nat (INSIDE) 1 access-list 121

die Anweisung ist ja anscheinend nicht richtig, wie muss sie also aussehen?
Bitte warten ..
Mitglied: aqui
18.11.2008 um 13:55 Uhr
IP ist natürlich nicht ICMP ! Du musst also explizit das ICMP Protokoll zulassen !!
access-list 121 extended permit icmp...

Diese ACL wirkt dann aber auch auf dem INSIDE Interface. Du schreibst aber du kommst von extern (OUTSIDE) rein also muss die ACL auch dahin !
Bitte warten ..
Mitglied: Karakan87
18.11.2008 um 14:22 Uhr
Also wenn ich dich richtig verstehe sollte es dann folgendermaßen aussehen

access-list 121 extended permit icmp 192.168.1.0 255.255.255.0 192.168.3.0 255.255.255.0

nat (OUTSIDE) 3 access-list 121

klappt aber leider auch nicht
Bitte warten ..
Mitglied: Karakan87
19.11.2008 um 09:38 Uhr
Hiiiilfeee!

Keiner da der mir helfen kann?
Bitte warten ..
Mitglied: Karakan87
19.11.2008 um 10:35 Uhr
Hab mein Problem endlich gelöst. Es hat komischerweise die folgende static gefehlt:


static (INSIDE,OUTSIDE) 192.168.1.2 192.168.1.2 netmask 255.255.255.255

aber ich habe ja hier eine pix 7er Version und keine 6er, kann mir jemand sagen warum er die static jetzt gebraucht hat?
Bitte warten ..
Mitglied: aqui
19.11.2008 um 11:56 Uhr
Das braucht er um den NAT/PAT Prozess zu überwinden wie oben schon vermutet...


https://www.administrator.de/index.php?faq=32
Bitte warten ..
Mitglied: Karakan87
19.11.2008 um 13:06 Uhr
Hmm ok alles klar.

Vielen Dank für eure Hilfe!
Bitte warten ..
Heiß diskutierte Inhalte
Off Topic
Adventskalender 2020
LochkartenstanzerInformationOff Topic18 Kommentare

Was haltet ihr von einer Sammlung von Adventskalendern? (Hier im Thread z.B.) Ich fang mal mit dem Heise-Kalender an: ...

Router & Routing
RDP nur im internen Netz möglich nicht aber per vpn?
einfach112FrageRouter & Routing17 Kommentare

Hallo zusammen. Beim Kunden habe ich einen Server mit VMWARE laufen. Darauf ein Windows Server 2016 Essentials als VM ...

Internet
Über meinen WAN ist lidl.de nicht ereichbar
gelöst NetGodFrageInternet16 Kommentare

Hallo zusammen, mit meinem DTAG-Anschluß ist derzeit kein Durchkommen zu www.lidl.de möglich. Zu den selben Zeitpunkten ist es aber ...

Netzwerke
Router1, Router2 + Repeater untereinander erreichbar machen (OpenWrt)
WinstarFrageNetzwerke15 Kommentare

Guten Abend! Kurz vorweg ja, ich weiß dass es hier bereits eine Anleitung gibt, wie man verschiedene Netzwerke zusammen ...

DSL, VDSL
Router für getrenntes Heim- und Gästenetzwerk (Pension)
GoldkindlFrageDSL, VDSL14 Kommentare

Hallo zusammen, wir sind Endverbraucher und haben durch Google dieses Forum in der Hoffnung gefunden, dass uns jemand weiterhelfen ...

Hardware
Verwertung alter Hardware
quin83FrageHardware13 Kommentare

Hallo zusammen, bei uns liegt immer mehr Hardware im Lager, welche eigentlich nicht alt ist, aber bei uns keine ...

Ähnliche Inhalte
Firewall

Cisco ASA5506 Static NAT - Konfigurationsfrage

silent-danielFrageFirewall2 Kommentare

Hallo, Ich habe hier eine Cisco ASA 5506 mit ASA Version 9.9(2)27 und ASDM Version 7.9(1) Netz extern: 1.2.3.176 ...

Router & Routing

Cisco 886va hinter Fritzbox mit NAT

gelöst Windows10GegnerFrageRouter & Routing25 Kommentare

Hallo, es soll demnächst ein 886va hinter einer KabelFritte eingesetzt werden. Meine Planung sieht so aus: Die Fritte wird ...

Firewall

Cisco Pix 501 - Fehler Unable to launch device manager !!?

babyloniaFrageFirewall7 Kommentare

Hi, Cisco Pix 501 Version 6.3(5) Ich habe den PIX Device Manager pdm304.bin installiert. Dann habe ich versucht den ...

Netzwerkmanagement

Virtualbox NAT

TechTobiFrageNetzwerkmanagement8 Kommentare

Hallo Leute, ich habe mal eine Netzwerkfrage mit der Verbindung im Bereich virtualbox. Laut diesem Blog wird der Host ...

LAN, WAN, Wireless

Verständnisproblem NAT

BytedreherFrageLAN, WAN, Wireless1 Kommentar

Hallo zusammen, ich habe eine ZyWALL USG 50 und ein "Problem", was ich mir leider nicht selbst erklären kann. ...

Router & Routing

Lancom Router macht NAT trotz deaktiviertem NAT

gelöst Evil2000FrageRouter & Routing10 Kommentare

Hallo Leute. Kennt sich jemand mit o.g. Lancom 1781VAW Router (LCOS 9.10.0629/05.04.2016) aus und kann mir erklären warum der ...

Neue Fragen
Administrator Magazin
11 | 2020 Virtualisierung ist aus der IT nicht mehr wegzudenken. In der November-Ausgabe des IT-Administrator Magazins dreht sich der Schwerpunkt um das Thema "Server- und Storage-Virtualisierung". Darin erfahren Sie, wie sich die Virtualisierungstechnologie entwickelt hat, welche Varianten es im Bereich Server und Speicher gibt und wie ...
Neue Beiträge
Neue Jobangebote
Server- und Storage-VirtualisierungServer- und Storage-VirtualisierungBerechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid Cloud