3
Cisco PIX NAT bzw. PAT config
Hi,
ich habe in einer Labkonfiguration eine PIX hinter einen 1700 Router geschaltet. Der Router
benutzt PPPoE und soll Internetzugriff ermöglichen. Der Router kommt problemlos ins Internet
sowie der dahinterliegende Client durch eine definierte access-list. Mein Problem ist der Durchgang
bei der Pix. Wenn ich die PIX dazwischen schalte, outside in den 1700er FastEthernet port(crossover), inside ins
Switch, Client auch ins Switch. Wie zu erwarten bekomme ich keinen Zugriff. smiley
Wie ist es hier mit dem NAT bzw. PAT? Auf dem 1700er läuft schon NAT, bei der PIX auch, liegt hier
der Fehler? Evtl. hab ich noch die access-list der Pix nicht richtig konfiguriert. Vielleicht kann mir jemand
sagen wie ich diese zu definieren habe. afro
Ich habe hierzu noch die configs:
1700er:
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
enable secret XXXXXXXXXXXXXXXXXxx
!
no aaa new-model
ip subnet-zero
!
!
!
!
ip name-server xxxxxxxxxxx
ip name-server xxxxxxxxxxx
ip cef
ip audit notify log
ip audit po max-events 100
ip ssh break-string
vpdn enable
!
no ftp-server write-enable
no scripting tcl init
no scripting tcl encdir
!
!
!
!
no crypto isakmp enable
!
!
!
bba-group pppoe global
virtual-template 1
!
!
interface BRI0
no ip address
shutdown
!
interface Ethernet0
no ip address
half-duplex
pppoe enable
pppoe-client dial-pool-number 1
!
interface FastEthernet0
ip address 10.10.1.1 255.255.255.0
ip nat inside
speed 10
half-duplex
!
interface Virtual-Template1
mtu 1492
no ip address
peer default ip address dhcp-pool PPPoE
ppp authentication pap
!
interface Dialer1
ip address negotiated
ip mtu 1492
ip nat outside
encapsulation ppp
ip tcp adjust-mss 1452
no ip mroute-cache
dialer pool 1
dialer-group 1
ppp authentication chap callin
ppp chap hostname XXXXXXXXXXXXXXX
ppp chap password XXXXXXXXXXXXXXX
ppp ipcp dns request
!
ip nat inside source list 101 interface Dialer1 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
no ip http server
no ip http secure-server
!
ip dns server
!
!
access-list 101 permit ip host 10.10.1.2 any
access-list 101 permit ip host 10.10.10.3 any
dialer-list 1 protocol ip permit
!
!
control-plane
!
line con 0
password xxxxxxxxxxxxx
login
!
no scheduler allocate
!
end
PIX:
PIX
interface ethernet0 10baset
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password XXXXXXXXXXXXXXX
passwd XXXXXXXXXXXXXX
hostname Pix
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside 10.10.1.2 255.255.255.0
ip address inside 10.10.10.1 255.255.0.0
ip audit info action alarm
ip audit attack action alarm
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
ssh timeout 5
console timeout 0
dhcpd auto_config outside
terminal width 80
Cryptochecksum:XXXXXXXXXXXXXXXXXxxx
: end
die Route habe ich hinzugefügt mit:
route outside 0.0.0.0 0.0.0.0 10.10.1.1 1
wenn ich mit:
!--- Define a Network Address Translation (NAT) pool that
!--- internal hosts use when going out to the Internet.
Muss ich diese beiden Einträge am 1700er entfernen?
ip nat inside source list 101 interface Dialer1 overload
ip route 0.0.0.0 0.0.0.0 Dialer1
an der PIX habe ich dann folgendes hinzugefügt:
global (outside) 1 10.10.1.20-10.10.1.30 netmask 255.255.255.0
!--- Allow all internal hosts to use
!--- the NAT or PAT addresses specified previously.
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
Vielleicht fällt jemandem was auf...
Gruß
Mireux
ich habe in einer Labkonfiguration eine PIX hinter einen 1700 Router geschaltet. Der Router
benutzt PPPoE und soll Internetzugriff ermöglichen. Der Router kommt problemlos ins Internet
sowie der dahinterliegende Client durch eine definierte access-list. Mein Problem ist der Durchgang
bei der Pix. Wenn ich die PIX dazwischen schalte, outside in den 1700er FastEthernet port(crossover), inside ins
Switch, Client auch ins Switch. Wie zu erwarten bekomme ich keinen Zugriff. smiley
Wie ist es hier mit dem NAT bzw. PAT? Auf dem 1700er läuft schon NAT, bei der PIX auch, liegt hier
der Fehler? Evtl. hab ich noch die access-list der Pix nicht richtig konfiguriert. Vielleicht kann mir jemand
sagen wie ich diese zu definieren habe. afro
Ich habe hierzu noch die configs:
1700er:
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
enable secret XXXXXXXXXXXXXXXXXxx
!
no aaa new-model
ip subnet-zero
!
!
!
!
ip name-server xxxxxxxxxxx
ip name-server xxxxxxxxxxx
ip cef
ip audit notify log
ip audit po max-events 100
ip ssh break-string
vpdn enable
!
no ftp-server write-enable
no scripting tcl init
no scripting tcl encdir
!
!
!
!
no crypto isakmp enable
!
!
!
bba-group pppoe global
virtual-template 1
!
!
interface BRI0
no ip address
shutdown
!
interface Ethernet0
no ip address
half-duplex
pppoe enable
pppoe-client dial-pool-number 1
!
interface FastEthernet0
ip address 10.10.1.1 255.255.255.0
ip nat inside
speed 10
half-duplex
!
interface Virtual-Template1
mtu 1492
no ip address
peer default ip address dhcp-pool PPPoE
ppp authentication pap
!
interface Dialer1
ip address negotiated
ip mtu 1492
ip nat outside
encapsulation ppp
ip tcp adjust-mss 1452
no ip mroute-cache
dialer pool 1
dialer-group 1
ppp authentication chap callin
ppp chap hostname XXXXXXXXXXXXXXX
ppp chap password XXXXXXXXXXXXXXX
ppp ipcp dns request
!
ip nat inside source list 101 interface Dialer1 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
no ip http server
no ip http secure-server
!
ip dns server
!
!
access-list 101 permit ip host 10.10.1.2 any
access-list 101 permit ip host 10.10.10.3 any
dialer-list 1 protocol ip permit
!
!
control-plane
!
line con 0
password xxxxxxxxxxxxx
login
!
no scheduler allocate
!
end
PIX:
PIX
interface ethernet0 10baset
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password XXXXXXXXXXXXXXX
passwd XXXXXXXXXXXXXX
hostname Pix
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside 10.10.1.2 255.255.255.0
ip address inside 10.10.10.1 255.255.0.0
ip audit info action alarm
ip audit attack action alarm
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
ssh timeout 5
console timeout 0
dhcpd auto_config outside
terminal width 80
Cryptochecksum:XXXXXXXXXXXXXXXXXxxx
: end
die Route habe ich hinzugefügt mit:
route outside 0.0.0.0 0.0.0.0 10.10.1.1 1
wenn ich mit:
!--- Define a Network Address Translation (NAT) pool that
!--- internal hosts use when going out to the Internet.
Muss ich diese beiden Einträge am 1700er entfernen?
ip nat inside source list 101 interface Dialer1 overload
ip route 0.0.0.0 0.0.0.0 Dialer1
an der PIX habe ich dann folgendes hinzugefügt:
global (outside) 1 10.10.1.20-10.10.1.30 netmask 255.255.255.0
!--- Allow all internal hosts to use
!--- the NAT or PAT addresses specified previously.
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
Vielleicht fällt jemandem was auf...
Gruß
Mireux
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 111046
Url: https://administrator.de/contentid/111046
Printed on: April 24, 2024 at 16:04 o'clock
3 Comments
Latest comment
nicht nur aufrufen, auch lesen und kommentieren bzw. Lösungsvorschläge einbringen ;)
sind ja zum lernen hier oder ?
Gruß
Mireux
sind ja zum lernen hier oder ?
Gruß
Mireux
keiner ne Idee?
Gruß
langsam verzweifel ich hier, bitte gebt mir mal
ne konstruktive Rückantwort....
Gruß
ne konstruktive Rückantwort....
Gruß
