7
Cisco Pix DNS Problem
Hallo Jungs,
schreibe zum ersten Mal einen Beitrag in euer Forum, deshalb bitte ich um Rücksicht ;)
zu meinem Problem:
Ich habe eine Pix 501 die ich bereits soweit konfiguriert habe.
Meine Frage ist, benötige ich einen DNS Server im Netzwerk um die Namensauflösung zu erledigen?
Soweit ich weiß löst die Pix Namen nicht auf, jedoch konnte ich bereits in einem anderen Artikel lesen,
dass dies funktioniert wenn der DHCP Server an der Pix aktiviert ist. Dies möchte ich jedoch im
jetzigen Moment nicht. Die Pix holt sich auch über den TK-Anbieter eine externe IP (dynamisch), dies
wird mir auch korrekt angezeigt. Soweit
so gut. Ein Durchkommen auf Internetseiten ist aber leider nicht möglich.
Der DNS-Server funktioniert jedoch im Intranet einwandfrei und löst sauber auf. Auch leitet er auf einen
Root DNS weiter wenn er die Anfrage nicht auflösen kann.
Muss ich eine Access-Rule für den DNS Server im lokalen Netz erstellen?
Benötige ich Translation Rules? Muss ich die Hosts im inside interface alle eintragen?
Habe bereits im 500seitigen Manual nachgelesen, leider ohne Erfolg.
Vielleicht hat der eine oder andere eine Idee ;)
Viele Grüße
Bärder
schreibe zum ersten Mal einen Beitrag in euer Forum, deshalb bitte ich um Rücksicht ;)
zu meinem Problem:
Ich habe eine Pix 501 die ich bereits soweit konfiguriert habe.
Meine Frage ist, benötige ich einen DNS Server im Netzwerk um die Namensauflösung zu erledigen?
Soweit ich weiß löst die Pix Namen nicht auf, jedoch konnte ich bereits in einem anderen Artikel lesen,
dass dies funktioniert wenn der DHCP Server an der Pix aktiviert ist. Dies möchte ich jedoch im
jetzigen Moment nicht. Die Pix holt sich auch über den TK-Anbieter eine externe IP (dynamisch), dies
wird mir auch korrekt angezeigt. Soweit
so gut. Ein Durchkommen auf Internetseiten ist aber leider nicht möglich.
Der DNS-Server funktioniert jedoch im Intranet einwandfrei und löst sauber auf. Auch leitet er auf einen
Root DNS weiter wenn er die Anfrage nicht auflösen kann.
Muss ich eine Access-Rule für den DNS Server im lokalen Netz erstellen?
Benötige ich Translation Rules? Muss ich die Hosts im inside interface alle eintragen?
Habe bereits im 500seitigen Manual nachgelesen, leider ohne Erfolg.
Vielleicht hat der eine oder andere eine Idee ;)
Viele Grüße
Bärder
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 108862
Url: https://administrator.de/contentid/108862
Printed on: April 25, 2024 at 18:04 o'clock
7 Comments
Latest comment
Die PIX ist kein DNS Proxy wie die Masse aller DSL Billigrouter. Du kannst zwar auf der PIX mit "ip dns server x.x.x.x" einen DNS konfigurieren der gilt aber nur fuer DNS Aufloesungen auf der PIX selber (CLI).
Du muss also un der ACL TCP/UDP 53 (DNS) freigeben und auf den Clients den DNS deines Providers eintragen !
Die Pix reicht DNS nur weiter wie ein Router.
Du muss also un der ACL TCP/UDP 53 (DNS) freigeben und auf den Clients den DNS deines Providers eintragen !
Die Pix reicht DNS nur weiter wie ein Router.
Zitat von @aqui:
Die PIX ist kein DNS Proxy wie die Masse aller DSL Billigrouter. Du
kannst zwar auf der PIX mit "ip dns server x.x.x.x" einen
DNS konfigurieren der gilt aber nur fuer DNS Aufloesungen auf der PIX
selber (CLI).
Du muss also un der ACL TCP/UDP 53 (DNS) freigeben und auf den
Clients den DNS deines Providers eintragen !
Die Pix reicht DNS nur weiter wie ein Router.
Vielen Dank für die schnelle Nachricht aqui,Die PIX ist kein DNS Proxy wie die Masse aller DSL Billigrouter. Du
kannst zwar auf der PIX mit "ip dns server x.x.x.x" einen
DNS konfigurieren der gilt aber nur fuer DNS Aufloesungen auf der PIX
selber (CLI).
Du muss also un der ACL TCP/UDP 53 (DNS) freigeben und auf den
Clients den DNS deines Providers eintragen !
Die Pix reicht DNS nur weiter wie ein Router.
wie ist diese Freigabe zu verstehen? Source Host/Network das inside Interface und Destination Host/Network outside Interface mit den Daten des DNS vom Provider?
Bei Protocol and Service wie ist das gemeint mit Service = not= <> range? Kenne solche Sachen zwar von Digitaltechnik aber bin hier mit meinem Latein am Ende.
Kann dort nur Service auswählen bzw. Service Group
Wie muss ich im PDM genau die ACL definieren? Zur Auswahl habe ich = < > etc.
Denke = aber dort kann ich keine Ports freigeben. Könnte mir jemand eine kurze Erklärung dazu liefern? Habe auch schon das Handbuch nach ACL's durchsucht, bin aber
nicht auf eine plausible Erklärung gekommen.
Ist es sinnvoll die PIX direkt hinter das DSL Modem zu schalten oder sollte besser ein 1720 Router direkt hinter das Modem um die DNS Auflösung zu betreiben? Wie gesagt, ein DNS Server läuft auch noch im Intranet.
Villeicht hat der eine oder andere konstruktive Tipps für mich
Viele Grüße
Bärder
Denke = aber dort kann ich keine Ports freigeben. Könnte mir jemand eine kurze Erklärung dazu liefern? Habe auch schon das Handbuch nach ACL's durchsucht, bin aber
nicht auf eine plausible Erklärung gekommen.
Ist es sinnvoll die PIX direkt hinter das DSL Modem zu schalten oder sollte besser ein 1720 Router direkt hinter das Modem um die DNS Auflösung zu betreiben? Wie gesagt, ein DNS Server läuft auch noch im Intranet.
Villeicht hat der eine oder andere konstruktive Tipps für mich
Viele Grüße
Bärder
Keiner eine Idee?
Kommt schon, der eine oder andere weiß doch bestimmt etwas zu diesem Thema.
Gruß
Kommt schon, der eine oder andere weiß doch bestimmt etwas zu diesem Thema.
Gruß
Normalerweise wenn du nur ein PAT/NAT vom grünen (inbound) zurm roten (outbound) Interface machst sollte Port 53 einfach so durchgehen, da die PIX so alles weiterreicht !
Entsprechende Konfigs siehst du hier:
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/prod_configuratio ...
bzw. speziell hier:
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configur ...
Entsprechende Konfigs siehst du hier:
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/prod_configuratio ...
bzw. speziell hier:
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configur ...
Hallo aqui,
vielen Dank für die Nachricht. Ich werde das heute bzw. morgen ausprobieren ;)
werde entsprechend berichten...
Gruß
vielen Dank für die Nachricht. Ich werde das heute bzw. morgen ausprobieren ;)
werde entsprechend berichten...
Gruß
Hi,
ok, ich bin jetzt schon viel weiter gekommen.
Ich habe aber das Problem dass ich vom ISP eine dynamische IP zugewiesen bekomme.
Als Beispiel verwende ich dieses Schema für das Lab: http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configur ...
!--- Define a Network Address Translation (NAT) pool that
!--- internal hosts use when going out to the Internet.
global (outside) 1 10.165.200.227-10.165.200.254 netmask 255.255.255.224
!--- Allow all internal hosts to use
!--- the NAT or PAT addresses specified previously.
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
!--- Define a default route to the ISP router.
route outside 0.0.0.0 0.0.0.0 10.165.200.225 1
!--- Output Suppressed
Wie kann ich dies über die PIX realisieren? (dyn. IP)
ok, ich bin jetzt schon viel weiter gekommen.
Ich habe aber das Problem dass ich vom ISP eine dynamische IP zugewiesen bekomme.
Als Beispiel verwende ich dieses Schema für das Lab: http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configur ...
!--- Define a Network Address Translation (NAT) pool that
!--- internal hosts use when going out to the Internet.
global (outside) 1 10.165.200.227-10.165.200.254 netmask 255.255.255.224
!--- Allow all internal hosts to use
!--- the NAT or PAT addresses specified previously.
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
!--- Define a default route to the ISP router.
route outside 0.0.0.0 0.0.0.0 10.165.200.225 1
!--- Output Suppressed
Wie kann ich dies über die PIX realisieren? (dyn. IP)
