Cisco PIX PDM has encountered a Firewall configuration command statement that PDM does not support

Cisco PIX 501 Firewall für VPN

Leider erhalte ich nach einer Einstellung folgende Fehlermeldung beim aufrufen der Management Konsole der PIX

Des weiteren bitte ich alle die sich mit Cisco auskennen mir folgende Frage eventuell zu beantworten.

Nach erfolgreichem Aufbau des VPN Tunnels kann der Client zwar unseren Proxy Server anpingen, und auch den WTS (gleicher Server) nutzen aber alle anderen Server und auch Clients im Netz können nicht angesprochen werden.

Welche Daten benötigt ihr von mir, und vor allem, kann ich das nach Anleitung von euch einstellen?

Vielen Dank für eure Mühen

Please also mark the comments that contributed to the solution of the article

Content-Key: 143683

Url: https://administrator.de/contentid/143683

Printed on: April 16, 2024 at 19:04 o'clock

7 Comments

Latest comment

Hallo,

über den PDM kannst du keine ACL's " mehrfach benutzen"
Das sagt dir die Fehlermeldung aber auch...
Mach sowas über die Console dann klappt das auch.

Dann siehst du auch ob die einzelnen Befehle auch angenommen werden, ansonsten suchst du Fehler in der Annahme das der Befehl in der Konfiguration drin ist
vor allen hast du mit der Console auch ein funktionierendes Debugging.
Die Erreichbarkeit der anderen Teilnehmer in deinem Netz dürfte auch schlicht darin liegen das die ACL nicht sauber übernommen wurde.

brammer

Hallo Brammer,

und wie bekomme ich die Hinweismeldung wieder weg?

Und kannst du mir evtl. dabei helfen die PIX so einzustellen dass alle Clients und Server im Netz über VPN ansprechbar sind?

Hallo,

die Fehlermeldung musst du mit okay bestätigen, dann ist diese weg.

Poste hier mal deine Config, bitte entsprechend anonymisieren, und dann kann man mal drüberschauen.

brammer

PIX Version 6.3(5)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password encrypted
passwd* encrypted
hostname *
domain-name *
fixup protocol dns maximum-length 512
fixup protocol
fixup protocol
fixup protocol
fixup protocol
fixup protocol
fixup protocol
fixup protocol
fixup protocol
fixup protocol
fixup protocol
fixup protocol
fixup protocol
fixup protocol
names
name xx.xx.xx.xx
name xx.xx.xx.xx
name xx.xx.xx.xx
name xx.xx.xx.xx
name xx.xx.xx.xx
name xx.xx.xx.xx
name xx.xx.xx.xx
access-list inside_outbound_nat0_acl permit ip any xx.xx.xx.xx xx.xx.xx.xx
access-list outside_cryptomap_dyn_20 permit ip any xx.xx.xx.xx. xx.xx.xx.xx
access-list outside_access_in deny tcp any host xx.xx.xx.xx eq www
access-list outside_access_in deny tcp any host xx.xx.xx.xx eq www
access-list outside_access_in deny ip any any
access-list inside_access_in permit ip host any
access-list inside_access_in permit ip host xx.xx.xx.xx any
access-list inside_access_in permit ip host any
access-list inside_access_in permit ip host any
access-list inside_access_in remark 2nd Port-Forwarding Mail Access
access-list inside_access_in permit tcp host * eq xxx any eq xxx
access-list inside_access_in remark Port-Forwarding Message Identification Services
access-list inside_access_in permit tcp host eq xxxxx any
access-list inside_access_in permit tcp host any
access-list inside_access_in deny ip any any
access-list 102 remark Mail-Access Port-Forwarding
access-list 102 permit tcp any eq xxx host xx.xx.xx. eq xxx
access-list permit tcp any eq xxx host xx.xx.xx. eq xxx
access-list permit icmp any any echo-reply
access-list remark Message Identification Services
access-list permit tcp any host xx.xx.xx.xx eq xxxxx
access-list 140 permit ip xx.xx.xx.xx xx.xx.xx.xx xx.xx.xx.xx xx.xx.xx.xx
pager lines 24
logging on
logging timestamp
icmp deny any outside
mtu outside xxxx
mtu inside xxxx
ip address outside xx.xx.xx.xx xx.xx.xx.xx
ip address inside xx.xx.xx.xx xx.xx.xx.
ip audit info action alarm
ip audit attack action alarm
ip local pool VPN_IP_POOL xx.xx.xx.xx-xx.xx.xx.xx
ip local pool VPN_POOL2 xx.xx.xx.xx-xx.xx.xx.xxx
pdm location xx.xx.xx.inside
pdm location xx.xx.xx.inside
pdm location xx.xx.xx.inside
pdm location xx.xx.xx.inside
pdm location xx.xx.xx.inside
pdm location xx.xx.xx.inside
pdm location xx.xx.xx.xx xx.xx.xx.inside
pdm location * xx.xx.xx.inside
pdm location xx.xx.xx.xx xx.xx.xx.inside
pdm location xx.xx.xx.xx xx.xx.xx.inside
pdm location xx.xx.xx.xx xx.xx.xx.inside
pdm location xx.xx.xx.xx xx.xx.xx.outside
pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list inside_outbound_nat0_acl
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) xx.xx.xx.xx * netmask xx.xx.xx.xx 0 0
static (inside,outside) xx.xx.xx.xx * netmask xx.xx.xx.xx 0 0
access-group in interface outside
access-group inside_access_in in interface inside
route outside 0.0.0.0 0.0.0.0 xx.xx.xx.xx
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 xxxx 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server RADIUS (inside) host Passwort timeout 5
aaa-server RADIUS (inside) host Passwort timeout 5
aaa-server LOCAL protocol local
http server enable
http xx.xx.xx.xx xx.xx.xx.xx inside
snmp-server host inside xx.xx.xx.xx
snmp-server host inside *
snmp-server host inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection tcpmss 0
sysopt connection permit-ipsec
crypto ipsec transform-set xxx-xxx-xxx-xxx xxx-xxx xxx-xxx-xxx
crypto dynamic-map outside_dyn_map 20 match address outside_cryptomap_dyn_20
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-MD5
crypto map outside_map xxxx ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map client authentication RADIUS
crypto map outside_map interface outside
isakmp enable outside
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption xxx
isakmp policy 20 hash xxx
isakmp policy 20 group 2
isakmp policy 20 lifetime xxxxx
vpngroup VPN_USER address-pool VPN_IP_POOL
vpngroup VPN_USER dns-server *
vpngroup VPN_USER default-domain *
vpngroup VPN_USER split-tunnel outside_cryptomap_dyn_20
vpngroup VPN_USER split-dns xx.xx.xx.xx xx.xx.xx.xx
vpngroup VPN_USER idle-time 1800
vpngroup VPN_USER password
vpngroup split-tunnel idle-time 1800
vpngroup .** idle-time 1800
telnet xx.xx.xx.xx xx.xx.xx.xx inside
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd address xx.xx.xx.xx-xx.xx.xx.xx inside
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd auto_config outside
terminal width 80
Cryptochecksum:Checksum

Vielen Dank für deine Mühen

PS: Nur OK klicken bringt leider nichts. Komme weiterhin nicht in die Configuration, nur eben in die Konsole ;)

Hallo,

eigentlich sagt die Fehlermeldung alles aus.
Über den PDM ist die Konfiguration der ACL so nicht möglich.
Das heißt du musst die ACL über die Console konfigurieren.
Wenn du damit Probleme hast einfach mal mit einer offenen Pix anfangen und danach Schritt für Schritt zu machen.

brammer

Die Fehlermeldung ist komischerweise verschwunden.
Aber wie stell ich die PIX jetzt so ein dass ich von extern das komplette Netzwerk sehen kann?

Vielen Dank für die Unterstützung. Dinge die ich nicht kenne beantworte ich nicht. 08/15 Tipps sind nicht nur aus dem ersten Weltkrieg sondern leider meistens unsinnig.

Das Problem habe ich nun selbst über die AccessRules der PIX gelöst.

Falls irgendjemand erneut diesen Fehler haben sollte. Die Fehlermeldung verschwindet tatsächlich, allerdings nicht nur durch den einfack Klick auf OK. In meinem Fall hat es 1 Woche gedauert, ohne Handeln war die Fehlermeldung verschwunden.

servatal

German solved Question Firewall Security

Hotly discussed

End of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment