gelöst Cisco Pix 501 Config modifizieren
Ich habe eine Cisco Pix 501 im Einsatz, wenn wir unterwegs sind dann bauen wir vpn tunnel die verbindung zu unserem server auf. wenn der tunnel steht kann ich aber nichtmehr ins internet. wie muss ich die pix umkonfigurieren.
01.
PIX Version 6.3(4) 02.
interface ethernet0 auto 03.
interface ethernet1 100full 04.
nameif ethernet0 outside security0 05.
nameif ethernet1 inside security100 06.
enable password xxxxxxxxxxxxxx encrypted 07.
passwd xxxxxxxxxxxx encrypted 08.
hostname xxxxxxxxxxx 09.
fixup protocol dns maximum-length 512 10.
fixup protocol ftp 21 11.
fixup protocol h323 h225 1720 12.
fixup protocol h323 ras 1718-1719 13.
fixup protocol http 80 14.
fixup protocol ils 389 15.
fixup protocol rsh 514 16.
fixup protocol rtsp 554 17.
fixup protocol sip 5060 18.
fixup protocol sip udp 5060 19.
fixup protocol skinny 2000 20.
fixup protocol smtp 25 21.
fixup protocol sqlnet 1521 22.
fixup protocol tftp 69 23.
names 24.
access-list outgoing permit ip any any 25.
access-list outgoing permit icmp any any 26.
access-list incoming permit icmp any any echo-reply 27.
access-list incoming permit tcp any host xxx.xxx.xxx.xxx eq https 28.
access-list incoming permit tcp any host xxx.xxx.xxx.xxx eq 3389 29.
access-list incoming permit tcp any host xxx.xxx.xxx.xxx eq smtp 30.
access-list incoming permit tcp any host xxx.xxx.xxx.xxx eq pop3 31.
access-list incoming permit tcp any host xxx.xxx.xxx.xxx eq domain 32.
access-list incoming permit udp any host xxx.xxx.xxx.xxx eq domain 33.
access-list incoming permit tcp any host xxx.xxx.xxx.xxx eq 1272 34.
access-list incoming permit tcp any host xxx.xxx.xxx.xxx eq 1273 35.
access-list noNATLAN remark NO NAT LAN 36.
access-list noNATLAN permit ip any 192.168.98.0 255.255.255.0 37.
access-list noNATLAN remark NO NAT LAN 38.
access-list noNATLAN permit ip any 192.168.99.0 255.255.255.0 39.
access-list noNATLAN remark NO NAT LAN 40.
access-list noNATLAN remark NO NAT LAN 41.
access-list noNATLAN remark NO NAT LAN 42.
access-list noNATLAN remark NO NAT LAN 43.
access-list noNATLAN remark NO NAT LAN 44.
access-list noNATLAN remark NO NAT LAN 45.
pager lines 24 46.
mtu outside 1500 47.
mtu inside 1500 48.
ip address outside xxx.xxx.xxx.xxx 255.255.255.240 49.
ip address inside 192.168.10.1 255.255.255.0 50.
ip verify reverse-path interface outside 51.
ip verify reverse-path interface inside 52.
ip audit info action alarm 53.
ip audit attack action alarm 54.
ip local pool dynVPN 192.168.98.1-192.168.98.10 55.
pdm logging informational 100 56.
no pdm history enable 57.
arp timeout 14400 58.
global (outside) 1 interface 59.
nat (inside) 0 access-list noNATLAN 60.
nat (inside) 1 0.0.0.0 0.0.0.0 0 0 61.
static (inside,outside) tcp xxx.xxx.xxx.xxx https 192.168.10.200 https netmask 255 62.
.255.255.255 0 0 63.
static (inside,outside) tcp xxx.xxx.xxx.xxx 3389 192.168.10.200 3389 netmask 255.2 64.
55.255.255 0 0 65.
static (inside,outside) tcp xxx.xxx.xxx.xxx smtp 192.168.10.200 smtp netmask 255.2 66.
55.255.255 0 0 67.
static (inside,outside) tcp xxx.xxx.xxx.xxx pop3 192.168.10.200 pop3 netmask 255.2 68.
55.255.255 0 0 69.
static (inside,outside) tcp xxx.xxx.xxx.xxx domain 192.168.10.200 domain netmask 2 70.
55.255.255.255 0 0 71.
static (inside,outside) udp xxx.xxx.xxx.xxx domain 192.168.10.200 domain netmask 2 72.
55.255.255.255 0 0 73.
static (inside,outside) tcp xxx.xxx.xxx.xxx 1272 192.168.10.200 1272 netmask 255.2 74.
55.255.255 0 0 75.
static (inside,outside) tcp xxx.xxx.xxx.xxx 1273 192.168.10.190 1273 netmask 255.2 76.
55.255.255 0 0 77.
access-group incoming in interface outside 78.
access-group outgoing in interface inside 79.
route outside 0.0.0.0 0.0.0.0 81.223.206.81 1 80.
timeout xlate 3:00:00 81.
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 82.
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 83.
timeout uauth 0:05:00 absolute 84.
aaa-server TACACS+ protocol tacacs+ 85.
aaa-server TACACS+ max-failed-attempts 3 86.
aaa-server TACACS+ deadtime 10 87.
aaa-server RADIUS protocol radius 88.
aaa-server RADIUS max-failed-attempts 3 89.
aaa-server RADIUS deadtime 10 90.
aaa-server LOCAL protocol local 91.
http server enable 92.
http 192.168.1.0 255.255.255.0 inside 93.
no snmp-server location 94.
no snmp-server contact 95.
snmp-server community public 96.
no snmp-server enable traps 97.
floodguard enable 98.
sysopt connection permit-ipsec 99.
crypto ipsec transform-set xxxxxxxxxxxxxxxxxxxxxx esp-des esp-md5-hmac 100.
crypto dynamic-map xxxxxxxxxxxxxxxxxx 20 set transform-set xxxxxxx 101.
crypto map newmap 20 ipsec-isakmp dynamic xxxxxxxxxxxxxxxxxxxxxxxxx 102.
crypto map newmap interface outside 103.
isakmp enable outside 104.
isakmp key ******** address xxx.xxx.xxx.xxx netmask 255.255.255.255 no-xauth no-co 105.
nfig-mode 106.
isakmp identity address 107.
isakmp policy 20 authentication pre-share 108.
109.
isakmp policy 20 encryption des 110.
isakmp policy 20 hash md5 111.
isakmp policy 20 group 2 112.
isakmp policy 20 lifetime 86400 113.
vpngroup xxxxxxxxxxxxxxxxxxxxxxxx address-pool dynVPN 114.
vpngroup xxxxxxxxxxxxxxxxxxxxxxxx dns-server 192.168.10.200 115.
vpngroup xxxxxxxxxxxxxxxxxxxxxxxx idle-time 1800 116.
vpngroup xxxxxxxxxxxxxxxxxxxxxxxx password ******** 117.
telnet 192.168.10.0 255.255.255.0 inside 118.
telnet timeout 5 119.
ssh timeout 5 120.
management-access inside 121.
console timeout 0 122.
terminal width 80 123.
Cryptochecksum: 124.
end4 Antworten
- LÖSUNG Dani schreibt am 30.06.2008 um 18:39:29 Uhr
- LÖSUNG aqui schreibt am 30.06.2008 um 18:40:37 Uhr
- LÖSUNG meister00 schreibt am 30.06.2008 um 18:49:14 Uhr
- LÖSUNG spacyfreak schreibt am 30.06.2008 um 19:56:30 Uhr
- LÖSUNG meister00 schreibt am 30.06.2008 um 18:49:14 Uhr
LÖSUNG 30.06.2008 um 18:39 Uhr
Hi,
ich frag mich grad, warum man *immer* die 100 Seiten Konfiguartion dazu posten muss?! Falls einer die Antwort kennt, weiß er eine Seite bzw. die Config dazu auswendig.
Verwendet ihr den Cisco VPN Client?
Gruss,
Dani
ich frag mich grad, warum man *immer* die 100 Seiten Konfiguartion dazu posten muss?! Falls einer die Antwort kennt, weiß er eine Seite bzw. die Config dazu auswendig.
Verwendet ihr den Cisco VPN Client?
Gruss,
Dani
LÖSUNG 30.06.2008 um 18:40 Uhr
Die PIX gar nicht, sondern deinen VPN Client. Da du es aber leider versäumst uns mitzuteilen welchen VPN Client du benutzt ist eine qualifizierte Antwort nicht möglich
Nur soviel: Ist es der Windows PPTP VPN Clinet hilft ein Haken in den erweiterten Eigenschaften von TCP in den Client Eigenschaften, das der Tunnel nicht gleich Standardgateway ist. Damit laufen lokale Internetverbindungen nicht mehr in den Tunnel sondern werden lokal bedient.
Hast du einen Cisco VPN Client ist das nicht möglich, da Cisco bei Enterprise Kunden auf seinem VPN Client diese Option nicht zulässt. Aus Sicherheitsgründen geht dann immer alles in den Tunnel und wenn eure Fa. den VPN Usern keinen Internet Zugang über das VPN erlaubt hast du keine Chance !
Nur soviel: Ist es der Windows PPTP VPN Clinet hilft ein Haken in den erweiterten Eigenschaften von TCP in den Client Eigenschaften, das der Tunnel nicht gleich Standardgateway ist. Damit laufen lokale Internetverbindungen nicht mehr in den Tunnel sondern werden lokal bedient.
Hast du einen Cisco VPN Client ist das nicht möglich, da Cisco bei Enterprise Kunden auf seinem VPN Client diese Option nicht zulässt. Aus Sicherheitsgründen geht dann immer alles in den Tunnel und wenn eure Fa. den VPN Usern keinen Internet Zugang über das VPN erlaubt hast du keine Chance !
LÖSUNG 30.06.2008 um 18:49 Uhr
Wir verwenden den Cisco VPN Client.
Aber ein Kollege von mir verwendet auch den Cisco Client und der kann mit seinem NB ins Internet.
Aber ein Kollege von mir verwendet auch den Cisco Client und der kann mit seinem NB ins Internet.
LÖSUNG 30.06.2008 um 19:56 Uhr
Eine Möglichkeit...
Falls ihr nen Firmenproxy verwendet muss man nach Tunnelaufbau den Proxyserver im Browser eintragen.
Falls ihr nen Firmenproxy verwendet muss man nach Tunnelaufbau den Proxyserver im Browser eintragen.
Ähnliche Inhalte
Neue Wissensbeiträge
Heiß diskutierte Inhalte
