5
Client - DNS Server - Pix 501 - Internet funktioniert nicht
Hallo Zusammen,
habe ein Problem meine Clients ins Internet zu bekommen. Das ganze Netzwerk hängt hinter einer Pix. Mit dem Server komme ich auch ohne Probleme ins Internet.
Versuche ich nun mit den Clients ins Internet zu kommen, bekomme ich vom Browser immer gesagt das die Seite nicht gefunden werden kann.
Ein Ping auf www.heise.de zeigt mir allerdings die IP-Adresse an. Auch ein NSLookup liefert folgendes.
Nicht-autorisierende Antwort:
Name: www.heise.de
Address: 193.99.144.85
Diese Antwort kommt auch recht zügig. Was muß ich nun noch anstellen damit auch die Clients Internetseiten anzeigen?
Hoffe ihr könnt mir helfen.
Gruß porschefan
habe ein Problem meine Clients ins Internet zu bekommen. Das ganze Netzwerk hängt hinter einer Pix. Mit dem Server komme ich auch ohne Probleme ins Internet.
Versuche ich nun mit den Clients ins Internet zu kommen, bekomme ich vom Browser immer gesagt das die Seite nicht gefunden werden kann.
Ein Ping auf www.heise.de zeigt mir allerdings die IP-Adresse an. Auch ein NSLookup liefert folgendes.
Nicht-autorisierende Antwort:
Name: www.heise.de
Address: 193.99.144.85
Diese Antwort kommt auch recht zügig. Was muß ich nun noch anstellen damit auch die Clients Internetseiten anzeigen?
Hoffe ihr könnt mir helfen.
Gruß porschefan
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 62619
Url: https://administrator.de/contentid/62619
Printed on: April 25, 2024 at 00:04 o'clock
5 Comments
Latest comment
Es wäre hilfreich wenn du deine Konfig postest, bereinigt um öffentliche IP und Passworte natürlich. Wenn du das nicht möchtest kannst du mir auch gerne eine persönliche Nachricht schreiben.
Basierend auf deinem letzten posting mutmaße ich mal, dass der Server, von dem aus du im Internet surfen kannst, auch für DNS zuständig ist. Evtl. fehlt eine NAT Regel damit die internetn IP Adressen übersetzt werden auf das externe Interface oder eine access-list Regel die deinen Clients überhaubt erlaubt ins Internet zu surfen.
Ich bevorzuge es allerdings, dass die Clients eben nicht selber im Internet Surfen sondern einen Proxy Server verwenden müssen. Das erhöht die Sicherheit ungemein wenn der Proxy zusätzlich eine "Filter den ganzen schei... raus" funktion hat. z.b. von TrendMicro oder Marshal.com oder div. anderen Anbietern.
Ein guter einfacher Proxy, leider ohne Virusfilter, ist FreeProxy
Beschreibung: http://www.snapfiles.com/reviews/FreeProxy/freeproxy.html
Anbieter: http://www.handcraftedsoftware.org/
Damit du nicht jedem Client einzeln den neuen Proxy beibringen mußt hier ein Vorschlag.
Gruppenrichtlinie nicht anwenden, wenn der Laptop nicht im Firmennetz hängt
Gruß Rafiki
Basierend auf deinem letzten posting mutmaße ich mal, dass der Server, von dem aus du im Internet surfen kannst, auch für DNS zuständig ist. Evtl. fehlt eine NAT Regel damit die internetn IP Adressen übersetzt werden auf das externe Interface oder eine access-list Regel die deinen Clients überhaubt erlaubt ins Internet zu surfen.
Ich bevorzuge es allerdings, dass die Clients eben nicht selber im Internet Surfen sondern einen Proxy Server verwenden müssen. Das erhöht die Sicherheit ungemein wenn der Proxy zusätzlich eine "Filter den ganzen schei... raus" funktion hat. z.b. von TrendMicro oder Marshal.com oder div. anderen Anbietern.
Ein guter einfacher Proxy, leider ohne Virusfilter, ist FreeProxy
Beschreibung: http://www.snapfiles.com/reviews/FreeProxy/freeproxy.html
Anbieter: http://www.handcraftedsoftware.org/
Damit du nicht jedem Client einzeln den neuen Proxy beibringen mußt hier ein Vorschlag.
Gruppenrichtlinie nicht anwenden, wenn der Laptop nicht im Firmennetz hängt
Gruß Rafiki
Hallo Rafiki,
hier meine Config der Pix:
PIX Version 6.3(5)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password xxxxxx encrypted
passwd xxxxxx encrypted
hostname meine-pix
domain-name meins.loc
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
pager lines 24
logging on
icmp deny any outside
mtu outside 1500
mtu inside 1500
ip address outside pppoe setroute
ip address inside 10.10.10.250 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm location 10.10.10.0 255.255.255.0 inside
pdm logging debugging 100
pdm history enable
arp timeout 14400
global (outside) 10 interface
global (inside) 1 interface
nat (inside) 10 0.0.0.0 0.0.0.0 0 0
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 10.10.10.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0
vpdn group pppoe_group request dialout pppoe
vpdn group pppoe_group localname xxxxxx
vpdn group pppoe_group ppp authentication pap
vpdn username xxxxxx password *
username pix-admin password xxxxxx encrypted privilege 15
terminal width 80
: end
Gruß porschefan
hier meine Config der Pix:
PIX Version 6.3(5)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password xxxxxx encrypted
passwd xxxxxx encrypted
hostname meine-pix
domain-name meins.loc
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
pager lines 24
logging on
icmp deny any outside
mtu outside 1500
mtu inside 1500
ip address outside pppoe setroute
ip address inside 10.10.10.250 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm location 10.10.10.0 255.255.255.0 inside
pdm logging debugging 100
pdm history enable
arp timeout 14400
global (outside) 10 interface
global (inside) 1 interface
nat (inside) 10 0.0.0.0 0.0.0.0 0 0
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 10.10.10.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0
vpdn group pppoe_group request dialout pppoe
vpdn group pppoe_group localname xxxxxx
vpdn group pppoe_group ppp authentication pap
vpdn username xxxxxx password *
username pix-admin password xxxxxx encrypted privilege 15
terminal width 80
: end
Gruß porschefan
Deine config ist ja noch fast default. Schön übersichtlich.
Ich meine dein NAT sieht ungewöhlich aus. Bitte mal löschen:
no global (outside) 10 interface
no global (inside) 1 interface
no nat (inside) 10 0.0.0.0 0.0.0.0 0 0
Probier es bitte mal so:
nat (inside) 1 10.10.10.0 255.255.255.0
global (outside) 1 interface
gruß Rafiki
Ich meine dein NAT sieht ungewöhlich aus. Bitte mal löschen:
no global (outside) 10 interface
no global (inside) 1 interface
no nat (inside) 10 0.0.0.0 0.0.0.0 0 0
Probier es bitte mal so:
nat (inside) 1 10.10.10.0 255.255.255.0
global (outside) 1 interface
gruß Rafiki
hatte nicht viel Zeit da was einzurichten und zu versuchen.
Wichtig war erst mal das die Kollegen ins I-Net kommen und von Aussen nichts passieren darf.
Werde deinen Vorschlag aber mal testen. Melde mich dann noch mal.
Gruß porschefan
Wichtig war erst mal das die Kollegen ins I-Net kommen und von Aussen nichts passieren darf.
Werde deinen Vorschlag aber mal testen. Melde mich dann noch mal.
Gruß porschefan
Hallo Rafiki,
hab deinen Vorschlag eben testen können. Leider das gleiche Ergebnis wie vorher auch. Seiten werden nicht aufgebaut, nslookup gibt aber die IP zurück.
Wenn ich jetzt auf dem Client die Pix als Standardgateway eintrage funktioniert alles. Aber das sollte es meines Erachtens ja nicht sein, oder?
Also sollten die Einstellungen an der Pix doch OK sein. Könnte es sein das ich beim DNS was falsch eingetragen habe? Aber warum gibt er mir dann die IP zurück wenn ich z.B. Heise anpinge?
Hoffe du hast noch einen Tip auf Lager.
Gruß porschefan
hab deinen Vorschlag eben testen können. Leider das gleiche Ergebnis wie vorher auch. Seiten werden nicht aufgebaut, nslookup gibt aber die IP zurück.
Wenn ich jetzt auf dem Client die Pix als Standardgateway eintrage funktioniert alles. Aber das sollte es meines Erachtens ja nicht sein, oder?
Also sollten die Einstellungen an der Pix doch OK sein. Könnte es sein das ich beim DNS was falsch eingetragen habe? Aber warum gibt er mir dann die IP zurück wenn ich z.B. Heise anpinge?
Hoffe du hast noch einen Tip auf Lager.
Gruß porschefan
