karakan87
Goto Top

NAT umgehen (Cisco PIX 515 7.23)

Hallo!

Habe folgendes Problem:

Ich habe mir eine Testumgebung zum Thema VPN aufgebaut. Zwischen meinen 2 Cisco Firewalls klappts auch soweit.
Nun möchte ich meine Tesumgebung um eine Checkpoint Firewall erweitern.

Bevor ich zwischen der Checkpoint und der Cisco Firewall VPN einrichte, möchte eine ganz normale Netzwerkverbindung.

Mein Problem ist, dass ich "nat-control" aktiviert habe und deshalb meine Cisco Firewall nicht mit der Checkpoint kommunizieren kann. Sobald ich "nat-control" deaktiviere funktioniert die Kommunikation, jedoch brauche ich "nat-control" damit weiterhin meine VPN-Verbindung zwischen meinen beiden Cisco Firewalls funktioniert.

Wie muss ich vorgehen? Wenn ich versuche von einem Client an der Checkpoint Firewall einen Client an der Cisco Firewall zu pingen bekomme ich folgende Meldung über das logging:

No translation group found for icmp src OUTSIDE:192.168.3.3 dst INSIDE:192.168.3.3(type 8, code 0)

Content-Key: 102078

Url: https://administrator.de/contentid/102078

Ausgedruckt am: 29.03.2024 um 09:03 Uhr

Mitglied: aqui
aqui 18.11.2008 um 12:54:20 Uhr
Goto Top
Die Fehlermeldung gibt dir doch schon die Antwort:

Du musst lediglich eine static NAT Zuweisung machen und natürlich auch das ICMP Protokoll per ACL von aussen erlauben was ja normalerweise bei einer Firewall natürlich geblockt ist auf dem outbound Interface !
Mitglied: Karakan87
Karakan87 18.11.2008 um 13:12:00 Uhr
Goto Top
Ja die ACL hab ich ja sowieso schon drin sonst würds ja mit deaktiviertem "nat-control" nicht gehen.

Hab auch schon versucht eine static NAT reinzumachen aber das hat auch nicht geholfen, mein NAT sah dann folgendermassen aus:

access-list 121 extended permit ip 192.168.1.0 255.255.255.0 192.168.3.0 255.255.255.0

nat (INSIDE) 1 access-list 121

die Anweisung ist ja anscheinend nicht richtig, wie muss sie also aussehen?
Mitglied: aqui
aqui 18.11.2008 um 13:55:09 Uhr
Goto Top
IP ist natürlich nicht ICMP ! Du musst also explizit das ICMP Protokoll zulassen !!
access-list 121 extended permit icmp...

Diese ACL wirkt dann aber auch auf dem INSIDE Interface. Du schreibst aber du kommst von extern (OUTSIDE) rein also muss die ACL auch dahin !
Mitglied: Karakan87
Karakan87 18.11.2008 um 14:22:18 Uhr
Goto Top
Also wenn ich dich richtig verstehe sollte es dann folgendermaßen aussehen

access-list 121 extended permit icmp 192.168.1.0 255.255.255.0 192.168.3.0 255.255.255.0

nat (OUTSIDE) 3 access-list 121

klappt aber leider auch nicht face-sad
Mitglied: Karakan87
Karakan87 19.11.2008 um 09:38:55 Uhr
Goto Top
Hiiiilfeee!

Keiner da der mir helfen kann?
Mitglied: Karakan87
Karakan87 19.11.2008 um 10:35:06 Uhr
Goto Top
Hab mein Problem endlich gelöst. Es hat komischerweise die folgende static gefehlt:


static (INSIDE,OUTSIDE) 192.168.1.2 192.168.1.2 netmask 255.255.255.255

aber ich habe ja hier eine pix 7er Version und keine 6er, kann mir jemand sagen warum er die static jetzt gebraucht hat?
Mitglied: aqui
aqui 19.11.2008 um 11:56:42 Uhr
Goto Top
Das braucht er um den NAT/PAT Prozess zu überwinden wie oben schon vermutet...


Wie kann ich einen Beitrag als gelöst markieren?
Mitglied: Karakan87
Karakan87 19.11.2008 um 13:06:19 Uhr
Goto Top
Hmm ok alles klar.

Vielen Dank für eure Hilfe!