meister00
Jun 30, 2008, updated at 17:56:42 (UTC)
view3571
view4
0
Goto Top

Cisco Pix 501 Config modifizieren

GermanQuestionRouters, RoutingNetworks
Ich habe eine Cisco Pix 501 im Einsatz, wenn wir unterwegs sind dann bauen wir vpn tunnel die verbindung zu unserem server auf. wenn der tunnel steht kann ich aber nichtmehr ins internet. wie muss ich die pix umkonfigurieren.
PIX Version 6.3(4)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password xxxxxxxxxxxxxx encrypted
passwd xxxxxxxxxxxx encrypted
hostname xxxxxxxxxxx
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
access-list outgoing permit ip any any
access-list outgoing permit icmp any any
access-list incoming permit icmp any any echo-reply
access-list incoming permit tcp any host xxx.xxx.xxx.xxx eq https
access-list incoming permit tcp any host xxx.xxx.xxx.xxx eq 3389
access-list incoming permit tcp any host xxx.xxx.xxx.xxx eq smtp
access-list incoming permit tcp any host xxx.xxx.xxx.xxx eq pop3
access-list incoming permit tcp any host xxx.xxx.xxx.xxx eq domain
access-list incoming permit udp any host xxx.xxx.xxx.xxx eq domain
access-list incoming permit tcp any host xxx.xxx.xxx.xxx eq 1272
access-list incoming permit tcp any host xxx.xxx.xxx.xxx eq 1273
access-list noNATLAN remark NO NAT LAN
access-list noNATLAN permit ip any 192.168.98.0 255.255.255.0
access-list noNATLAN remark NO NAT LAN
access-list noNATLAN permit ip any 192.168.99.0 255.255.255.0
access-list noNATLAN remark NO NAT LAN
access-list noNATLAN remark NO NAT LAN
access-list noNATLAN remark NO NAT LAN
access-list noNATLAN remark NO NAT LAN
access-list noNATLAN remark NO NAT LAN
access-list noNATLAN remark NO NAT LAN
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside xxx.xxx.xxx.xxx 255.255.255.240
ip address inside 192.168.10.1 255.255.255.0
ip verify reverse-path interface outside
ip verify reverse-path interface inside
ip audit info action alarm
ip audit attack action alarm
ip local pool dynVPN 192.168.98.1-192.168.98.10
pdm logging informational 100
no pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list noNATLAN
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) tcp xxx.xxx.xxx.xxx https 192.168.10.200 https netmask 255
.255.255.255 0 0
static (inside,outside) tcp xxx.xxx.xxx.xxx 3389 192.168.10.200 3389 netmask 255.2
55.255.255 0 0
static (inside,outside) tcp xxx.xxx.xxx.xxx smtp 192.168.10.200 smtp netmask 255.2
55.255.255 0 0
static (inside,outside) tcp xxx.xxx.xxx.xxx pop3 192.168.10.200 pop3 netmask 255.2
55.255.255 0 0
static (inside,outside) tcp xxx.xxx.xxx.xxx domain 192.168.10.200 domain netmask 2
55.255.255.255 0 0
static (inside,outside) udp xxx.xxx.xxx.xxx domain 192.168.10.200 domain netmask 2
55.255.255.255 0 0
static (inside,outside) tcp xxx.xxx.xxx.xxx 1272 192.168.10.200 1272 netmask 255.2
55.255.255 0 0
static (inside,outside) tcp xxx.xxx.xxx.xxx 1273 192.168.10.190 1273 netmask 255.2
55.255.255 0 0
access-group incoming in interface outside
access-group outgoing in interface inside
route outside 0.0.0.0 0.0.0.0 81.223.206.81 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
crypto ipsec transform-set xxxxxxxxxxxxxxxxxxxxxx esp-des esp-md5-hmac
crypto dynamic-map xxxxxxxxxxxxxxxxxx 20 set transform-set xxxxxxx
crypto map newmap 20 ipsec-isakmp dynamic xxxxxxxxxxxxxxxxxxxxxxxxx
crypto map newmap interface outside
isakmp enable outside
isakmp key ******** address xxx.xxx.xxx.xxx netmask 255.255.255.255 no-xauth no-co
nfig-mode
isakmp identity address
isakmp policy 20 authentication pre-share

isakmp policy 20 encryption des
isakmp policy 20 hash md5
isakmp policy 20 group 2
isakmp policy 20 lifetime 86400
vpngroup xxxxxxxxxxxxxxxxxxxxxxxx address-pool dynVPN
vpngroup xxxxxxxxxxxxxxxxxxxxxxxx dns-server 192.168.10.200
vpngroup xxxxxxxxxxxxxxxxxxxxxxxx idle-time 1800
vpngroup xxxxxxxxxxxxxxxxxxxxxxxx password ********
telnet 192.168.10.0 255.255.255.0 inside
telnet timeout 5
ssh timeout 5
management-access inside
console timeout 0
terminal width 80
Cryptochecksum:
end
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 90970

Url: https://administrator.de/contentid/90970

Printed on: April 25, 2024 at 01:04 o'clock

4 Comments
Latest comment
Goto Top
Member: Dani
Dani Jun 30, 2008 at 16:39:29 (UTC)
Goto Top
Hi,
ich frag mich grad, warum man *immer* die 100 Seiten Konfiguartion dazu posten muss?! Falls einer die Antwort kennt, weiß er eine Seite bzw. die Config dazu auswendig.
Verwendet ihr den Cisco VPN Client?


Gruss,
Dani
Member: aqui
aqui Jun 30, 2008 at 16:40:37 (UTC)
Goto Top
Die PIX gar nicht, sondern deinen VPN Client. Da du es aber leider versäumst uns mitzuteilen welchen VPN Client du benutzt ist eine qualifizierte Antwort nicht möglich face-sad

Nur soviel: Ist es der Windows PPTP VPN Clinet hilft ein Haken in den erweiterten Eigenschaften von TCP in den Client Eigenschaften, das der Tunnel nicht gleich Standardgateway ist. Damit laufen lokale Internetverbindungen nicht mehr in den Tunnel sondern werden lokal bedient.

Hast du einen Cisco VPN Client ist das nicht möglich, da Cisco bei Enterprise Kunden auf seinem VPN Client diese Option nicht zulässt. Aus Sicherheitsgründen geht dann immer alles in den Tunnel und wenn eure Fa. den VPN Usern keinen Internet Zugang über das VPN erlaubt hast du keine Chance !
Member: meister00
meister00 Jun 30, 2008 at 16:49:14 (UTC)
Goto Top
Wir verwenden den Cisco VPN Client.
Aber ein Kollege von mir verwendet auch den Cisco Client und der kann mit seinem NB ins Internet.
Member: spacyfreak
spacyfreak Jun 30, 2008 at 17:56:30 (UTC)
Goto Top
Eine Möglichkeit...
Falls ihr nen Firmenproxy verwendet muss man nach Tunnelaufbau den Proxyserver im Browser eintragen.
GermanQuestionRouters, RoutingNetworks
Hotly discussed
gleixnerdCheck of ZFW Firewallgleixnerd - 5 CommentsjstrickerWireguard VPN on UDM Pro behind Fritzbox - Handshake did not completejstricker - 3 Comments