Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst NAT umgehen (Cisco PIX 515 7.23)

Mitglied: Karakan87

Karakan87 (Level 1) - Jetzt verbinden

18.11.2008, aktualisiert 19.11.2008, 6983 Aufrufe, 8 Kommentare

Hallo!

Habe folgendes Problem:

Ich habe mir eine Testumgebung zum Thema VPN aufgebaut. Zwischen meinen 2 Cisco Firewalls klappts auch soweit.
Nun möchte ich meine Tesumgebung um eine Checkpoint Firewall erweitern.

Bevor ich zwischen der Checkpoint und der Cisco Firewall VPN einrichte, möchte eine ganz normale Netzwerkverbindung.

Mein Problem ist, dass ich "nat-control" aktiviert habe und deshalb meine Cisco Firewall nicht mit der Checkpoint kommunizieren kann. Sobald ich "nat-control" deaktiviere funktioniert die Kommunikation, jedoch brauche ich "nat-control" damit weiterhin meine VPN-Verbindung zwischen meinen beiden Cisco Firewalls funktioniert.

Wie muss ich vorgehen? Wenn ich versuche von einem Client an der Checkpoint Firewall einen Client an der Cisco Firewall zu pingen bekomme ich folgende Meldung über das logging:

No translation group found for icmp src OUTSIDE:192.168.3.3 dst INSIDE:192.168.3.3(type 8, code 0)
Mitglied: aqui
18.11.2008 um 12:54 Uhr
Die Fehlermeldung gibt dir doch schon die Antwort:

Du musst lediglich eine static NAT Zuweisung machen und natürlich auch das ICMP Protokoll per ACL von aussen erlauben was ja normalerweise bei einer Firewall natürlich geblockt ist auf dem outbound Interface !
Bitte warten ..
Mitglied: Karakan87
18.11.2008 um 13:12 Uhr
Ja die ACL hab ich ja sowieso schon drin sonst würds ja mit deaktiviertem "nat-control" nicht gehen.

Hab auch schon versucht eine static NAT reinzumachen aber das hat auch nicht geholfen, mein NAT sah dann folgendermassen aus:

access-list 121 extended permit ip 192.168.1.0 255.255.255.0 192.168.3.0 255.255.255.0

nat (INSIDE) 1 access-list 121

die Anweisung ist ja anscheinend nicht richtig, wie muss sie also aussehen?
Bitte warten ..
Mitglied: aqui
18.11.2008 um 13:55 Uhr
IP ist natürlich nicht ICMP ! Du musst also explizit das ICMP Protokoll zulassen !!
access-list 121 extended permit icmp...

Diese ACL wirkt dann aber auch auf dem INSIDE Interface. Du schreibst aber du kommst von extern (OUTSIDE) rein also muss die ACL auch dahin !
Bitte warten ..
Mitglied: Karakan87
18.11.2008 um 14:22 Uhr
Also wenn ich dich richtig verstehe sollte es dann folgendermaßen aussehen

access-list 121 extended permit icmp 192.168.1.0 255.255.255.0 192.168.3.0 255.255.255.0

nat (OUTSIDE) 3 access-list 121

klappt aber leider auch nicht
Bitte warten ..
Mitglied: Karakan87
19.11.2008 um 09:38 Uhr
Hiiiilfeee!

Keiner da der mir helfen kann?
Bitte warten ..
Mitglied: Karakan87
19.11.2008 um 10:35 Uhr
Hab mein Problem endlich gelöst. Es hat komischerweise die folgende static gefehlt:


static (INSIDE,OUTSIDE) 192.168.1.2 192.168.1.2 netmask 255.255.255.255

aber ich habe ja hier eine pix 7er Version und keine 6er, kann mir jemand sagen warum er die static jetzt gebraucht hat?
Bitte warten ..
Mitglied: aqui
19.11.2008 um 11:56 Uhr
Das braucht er um den NAT/PAT Prozess zu überwinden wie oben schon vermutet...


https://www.administrator.de/index.php?faq=32
Bitte warten ..
Mitglied: Karakan87
19.11.2008 um 13:06 Uhr
Hmm ok alles klar.

Vielen Dank für eure Hilfe!
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
Cisco ASA hinter Router mit NAT
gelöst Frage von maxmaxLAN, WAN, Wireless2 Kommentare

Hallo, ich habe eine Cisco ASA welche hinter einem privaten ADSL-Anschluss steht, der Anschluss terminiert auf einem Cisco 867-K9, ...

Router & Routing
Doppeltes NAT mit Cisco 851
gelöst Frage von maxmaxRouter & Routing3 Kommentare

Hallo, ich versuche gerade aus Testzwecken ein zweites NAT für einen Client zu schalten. Zurzeit ist der Aufbau folgender: ...

Router & Routing
Cisco NAT (VoiP)
gelöst Frage von Bernhard-BRouter & Routing10 Kommentare

Hallo, ich habe ein kleines Problem mit dem Betrieb eines Asterisk VoiP Servers hinter meiner Cisco Hardware. Zum Aufbau: ...

Firewall

Cisco PIX 506E keine Internetverbidung - Grundlagenfrage

Frage von CKbeatsFirewall3 Kommentare

Hallo liebe Experten, da ich nur mit Windows-Systemen und Datenbanken zu tun habe betrete ich absolutes Neuland. Habe privat ...

Neue Wissensbeiträge
Windows 10

USB Maus und Tastatur versagen Dienst unter Windows 10

Erfahrungsbericht von hardykopff vor 23 StundenWindows 105 Kommentare

Da steht man ziemlich dumm da, wenn der PC sich wegen fehlender USB Tastatur und Maus nicht bedienen lässt. ...

Administrator.de Feedback
Update der Seite: Alles zentriert
Information von Frank vor 1 TagAdministrator.de Feedback18 Kommentare

Hallo User, die größte Änderung von Release 5.8 ist das Zentrieren der Webseite (auf großen Bildschirmen) und ein "Welcome"-Teaser ...

Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 1 TagHumor (lol)4 Kommentare

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 2 TagenGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Heiß diskutierte Inhalte
Windows Netzwerk
WSUS4 und Windows 10 Updates automatisch installieren
Frage von sammy65Windows Netzwerk15 Kommentare

Hallo miteinander, ich habe mit einen neuen WSUS Server aufgesetzt Server 2016 darauf einen aktuellen WSUS. Grund, wir stellen ...

Speicherkarten
Vergessliche USB-Sticks?
Frage von hanheikSpeicherkarten14 Kommentare

Ich habe in den letzten Tagen 500 USB-Sticks mit Bilddateien bespielt. Obwohl ich die Dateien mit größter Sorgfalt kopiert ...

Hyper-V
Hyper-V mit altem XEON-Server. Was ist falsch?
Frage von LollipopHyper-V11 Kommentare

Hallo Bin etwas frustriert. Kleinbetrieb, ca. 15 PC's, 2 Stk. Server mit einigen virtuellen PC's für Fernwartung, VaultServer für ...

Windows Netzwerk
Backup über WAN
Frage von petereWindows Netzwerk11 Kommentare

Hallo, ich muss aus einem entfernten WAN (synchrone 1Gbit) Daten sichern. Dabei handelt es sich sowohl um wenige große ...