ronaldscherzer
Goto Top

Cisco PIX 506 - Keine DNS Anfragen an Server

Hallo Leute!

Hab schon seit längerer Zeit ein Problem mit meiner PIX 506. Ich baue eine Verbindung von meiner Firma aus, per Cisco VPN Client zu meiner PIX auf. Funktioniert wunderbar - versuche ich jedoch über den Computername per MSTSC zuzugreifen, funktioniert das nicht. Gebe ich die FIXE IP ein, funktioniert es einwandfrei. Habe die DNS Weiterleitung jedoch auf die 2 DNS-Server in meinem Netzwerk gemacht.

Hier meine Config:

Saved
Written by enable_15 at 10:17:44.533 CEDT Fri Aug 7 2009


PIX Version 6.3(5)
interface ethernet0 auto
interface ethernet1 auto
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password * encrypted
passwd * encrypted
hostname hostname
domain-name domain-name (google)
clock timezone CEST 1
clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol pptp 1723
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
access-list 80 permit ip 192.168.0.0 255.255.255.0 192.168.2.0 255.255.255.0
access-list superteam_splitTunnelAcl permit ip 192.168.0.0 255.255.255.0 any
access-list 81 permit ip 192.168.0.0 255.255.255.0 any
access-list INBOUND permit tcp any any eq smtp
access-list INBOUND permit tcp any any eq ftp
access-list INBOUND permit tcp any any eq https
access-list INBOUND permit tcp any any eq www
pager lines 24
logging on
mtu outside 1500
mtu inside 1500
ip address outside 88.116.*.* 255.255.255.252
ip address inside 192.168.0.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
ip local pool vpn_ip_ppol 192.168.2.1-192.168.2.10
ip local pool vpn_ip_pool2 192.168.2.11-192.168.2.20
pdm location 192.168.2.0 255.255.255.0 outside
pdm location 192.168.0.101 255.255.255.255 inside
pdm location 192.168.0.104 255.255.255.255 inside
pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list 80
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) tcp interface smtp 192.168.0.101 smtp netmask 255.255.255.255 0 0
static (inside,outside) tcp interface ftp 192.168.0.104 ftp netmask 255.255.255.255 0 0
static (inside,outside) tcp interface https 192.168.0.101 https netmask 255.255.255.255 0 0
static (inside,outside) tcp interface www 192.168.0.100 www netmask 255.255.255.255 0 0
access-group INBOUND in interface outside
access-group 81 in interface inside
route outside 0.0.0.0 0.0.0.0 88.116.*.* 1
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 192.168.0.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
crypto ipsec transform-set strong-des esp-3des esp-sha-hmac
crypto dynamic-map vpn-dyn-map 1 set transform-set strong-des
crypto map vpn-map 20 ipsec-isakmp dynamic vpn-dyn-map
crypto map vpn-map interface outside
isakmp enable outside
isakmp key address 0.0.0.0 netmask 0.0.0.0
isakmp identity address
isakmp nat-traversal 20
isakmp policy 8 authentication pre-share
isakmp policy 8 encryption 3des
isakmp policy 8 hash md5
isakmp policy 8 group 2
isakmp policy 8 lifetime 86400
vpngroup superteam address-pool vpn_ip_ppol
vpngroup superteam dns-server 192.168.0.100 192.168.0.200
vpngroup superteam default-domain bignetwork.local
vpngroup superteam split-tunnel superteam_splitTunnelAcl
vpngroup superteam split-dns bigntwork.local
vpngroup superteam idle-time 1800
vpngroup superteam password
vpngroup bigjoe address-pool vpn_ip_pool2
vpngroup bigjoe dns-server 192.168.0.100 192.168.0.200
vpngroup bigjoe default-domain bignetwork
vpngroup bigjoe split-dns bignetwork
vpngroup bigjoe idle-time 1800
vpngroup bigjoe password
telnet 192.168.0.0 255.255.255.0 inside
telnet timeout 5
ssh timeout 5
console timeout 30
terminal width 80

DANKE jetzt schon mal für eure Hilfe face-smile

Content-Key: 126992

Url: https://administrator.de/contentid/126992

Ausgedruckt am: 29.03.2024 um 11:03 Uhr

Mitglied: StefanKittel
StefanKittel 13.10.2009 um 10:54:54 Uhr
Goto Top
Hallo,

was bekommst Du denn für eine IP und DNS zugewiesen?
"ipconfig /all"

Steht dort der richtige DNS Server drin?
Nein: DHCP Problem
Ja: Firewall Problem

Stefan
Mitglied: ronaldscherzer
ronaldscherzer 13.10.2009 um 10:58:44 Uhr
Goto Top
Hallo!

Ich bekomme beim Firewall Adapter die richtigen DNS-Server zugewiesen (192.168.0.100/192.168.0.200).

Somit dürfte es sich um ein Firewall Problem handeln.

Aber welches?

ronald
Mitglied: aqui
aqui 13.10.2009 um 11:10:11 Uhr
Goto Top
Das ist auch weniger ein Problem der Firewall selber denn des Clients. An der Firewall ist ja so oder so gar kein DNS Server konfiguriert wie man in der Konfig sieht.

Wichtig ist welchen DNS Server dein Client Rechner verwendet. Wenn du also einmal nslookup in der Eingabeaufforderung bei eingewähltem Client angibst.
Vermutlich ignoriert er den DNS und nimmt den der in der Adapter Bindungsreihenfolge am ersten konfiguriert ist.

Trag dir doch ganz einfach den Namen des Zielsystems statisch in die Datei hosts oder lmhosts ein um das problem zu lösen.
Du findest sie unter C:\windows\system32\drivers\etc\ und sie ist selbsterklärend wenn du sie editierst !!
Mitglied: ronaldscherzer
ronaldscherzer 13.10.2009 um 11:50:14 Uhr
Goto Top
Hmmm ... das mit der hosts Datei hab ich bereits gemacht, dass zumindest der EXCHANGE läuft. Aber wenn ich nslookup mache, dann steht der Erste DNS als Standardserver - so wie es sein wollte - mach ich jedoch ein nslookup auf diesen Server mit dem Namen bekommt er ein request timed out.

Vor allem möchte ich nicht unbedingt bei jedem Client die hosts Datei konfigurieren, bzw. ausrollen - wenn dann mal ne Änderung ist, dann muss ich diese bei jedem Client durchführen - da muss es sicherlich eine andere Möglichkeit auch geben, welche per PIX zu konfigurieren ist.
Mitglied: aqui
aqui 13.10.2009 um 14:38:32 Uhr
Goto Top
Nochmals: Die PIX hat damit aktiv nichts zu tun, denn sie realisiert ja nur den nackten IPsec Tunnel, hat aber mit der DNS Auflösung nichts zu tun.
Das ist allein Sache des Clients, denn nur der initiiert ja den DNS Request. Die PIX ist kein DNS Proxy oder sowas !!
Ausnahme wäre nur du hättest UDP 53 Pakete gefiltert auf der PIX.
Bedenklich das trotz richtig übermittelter DNS IP der DNS Server nichts antwortet.
Da gibt es nur 3 Möglichkeiten:
a.) Du filterst wirklich UDP/TCP Port 53 auf der PIX (Da hilft das Logging anzuschalten und mitzulesen ob dem so ist !)
b.) Dein DNS hat keinen IP Eintrag für diesen Namen
c.) Wie b. aber der DNS Server hat keine Weiterleitung an den DNS Server der diesen IP Eintrag besitzt.

Solange nslookup nichts Gescheites zurückgibt, bleibt dein Problem...
Mitglied: ronaldscherzer
ronaldscherzer 13.10.2009 um 14:44:01 Uhr
Goto Top
Hmmm - mit dem a Punkt werde ich mich gleich beschäftigen ... dass könnte der Fehler sein. Ist mir klar, dass die PIX selber kein DNS Request entgegennimmt. Is ja kein DNS Server bzw. Forwarder.