Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Cisco Pix DNS Problem

Frage Sicherheit Firewall

Mitglied: mireux

mireux (Level 1) - Jetzt verbinden

12.02.2009, aktualisiert 18:39 Uhr, 5128 Aufrufe, 7 Kommentare

Hallo Jungs,

schreibe zum ersten Mal einen Beitrag in euer Forum, deshalb bitte ich um Rücksicht ;)

zu meinem Problem:

Ich habe eine Pix 501 die ich bereits soweit konfiguriert habe.
Meine Frage ist, benötige ich einen DNS Server im Netzwerk um die Namensauflösung zu erledigen?
Soweit ich weiß löst die Pix Namen nicht auf, jedoch konnte ich bereits in einem anderen Artikel lesen,
dass dies funktioniert wenn der DHCP Server an der Pix aktiviert ist. Dies möchte ich jedoch im
jetzigen Moment nicht. Die Pix holt sich auch über den TK-Anbieter eine externe IP (dynamisch), dies
wird mir auch korrekt angezeigt. Soweit
so gut. Ein Durchkommen auf Internetseiten ist aber leider nicht möglich.

Der DNS-Server funktioniert jedoch im Intranet einwandfrei und löst sauber auf. Auch leitet er auf einen
Root DNS weiter wenn er die Anfrage nicht auflösen kann.

Muss ich eine Access-Rule für den DNS Server im lokalen Netz erstellen?
Benötige ich Translation Rules? Muss ich die Hosts im inside interface alle eintragen?

Habe bereits im 500seitigen Manual nachgelesen, leider ohne Erfolg.

Vielleicht hat der eine oder andere eine Idee ;)

Viele Grüße

Bärder
Mitglied: aqui
12.02.2009 um 18:52 Uhr
Die PIX ist kein DNS Proxy wie die Masse aller DSL Billigrouter. Du kannst zwar auf der PIX mit "ip dns server x.x.x.x" einen DNS konfigurieren der gilt aber nur fuer DNS Aufloesungen auf der PIX selber (CLI).

Du muss also un der ACL TCP/UDP 53 (DNS) freigeben und auf den Clients den DNS deines Providers eintragen !
Die Pix reicht DNS nur weiter wie ein Router.
Bitte warten ..
Mitglied: mireux
12.02.2009 um 20:25 Uhr
Zitat von aqui:
Die PIX ist kein DNS Proxy wie die Masse aller DSL Billigrouter. Du
kannst zwar auf der PIX mit "ip dns server x.x.x.x" einen
DNS konfigurieren der gilt aber nur fuer DNS Aufloesungen auf der PIX
selber (CLI).

Du muss also un der ACL TCP/UDP 53 (DNS) freigeben und auf den
Clients den DNS deines Providers eintragen !
Die Pix reicht DNS nur weiter wie ein Router.


Vielen Dank für die schnelle Nachricht aqui,

wie ist diese Freigabe zu verstehen? Source Host/Network das inside Interface und Destination Host/Network outside Interface mit den Daten des DNS vom Provider?

Bei Protocol and Service wie ist das gemeint mit Service = not= <> range? Kenne solche Sachen zwar von Digitaltechnik aber bin hier mit meinem Latein am Ende.

Kann dort nur Service auswählen bzw. Service Group
Bitte warten ..
Mitglied: mireux
13.02.2009 um 19:29 Uhr
Wie muss ich im PDM genau die ACL definieren? Zur Auswahl habe ich = < > etc.

Denke = aber dort kann ich keine Ports freigeben. Könnte mir jemand eine kurze Erklärung dazu liefern? Habe auch schon das Handbuch nach ACL's durchsucht, bin aber
nicht auf eine plausible Erklärung gekommen.

Ist es sinnvoll die PIX direkt hinter das DSL Modem zu schalten oder sollte besser ein 1720 Router direkt hinter das Modem um die DNS Auflösung zu betreiben? Wie gesagt, ein DNS Server läuft auch noch im Intranet.

Villeicht hat der eine oder andere konstruktive Tipps für mich

Viele Grüße

Bärder
Bitte warten ..
Mitglied: mireux
14.02.2009 um 14:23 Uhr
Keiner eine Idee?

Kommt schon, der eine oder andere weiß doch bestimmt etwas zu diesem Thema.

Gruß
Bitte warten ..
Mitglied: aqui
15.02.2009 um 13:37 Uhr
Normalerweise wenn du nur ein PAT/NAT vom grünen (inbound) zurm roten (outbound) Interface machst sollte Port 53 einfach so durchgehen, da die PIX so alles weiterreicht !

Entsprechende Konfigs siehst du hier:

http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/prod_configuratio ...

bzw. speziell hier:
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configur ...
Bitte warten ..
Mitglied: mireux
15.02.2009 um 14:51 Uhr
Hallo aqui,

vielen Dank für die Nachricht. Ich werde das heute bzw. morgen ausprobieren ;)

werde entsprechend berichten...

Gruß
Bitte warten ..
Mitglied: mireux
20.02.2009 um 09:15 Uhr
Hi,

ok, ich bin jetzt schon viel weiter gekommen.

Ich habe aber das Problem dass ich vom ISP eine dynamische IP zugewiesen bekomme.

Als Beispiel verwende ich dieses Schema für das Lab: http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configur ...

!--- Define a Network Address Translation (NAT) pool that
!--- internal hosts use when going out to the Internet.



global (outside) 1 10.165.200.227-10.165.200.254 netmask 255.255.255.224




!--- Allow all internal hosts to use
!--- the NAT or PAT addresses specified previously.



nat (inside) 1 0.0.0.0 0.0.0.0 0 0



!--- Define a default route to the ISP router.


route outside 0.0.0.0 0.0.0.0 10.165.200.225 1


!--- Output Suppressed

Wie kann ich dies über die PIX realisieren? (dyn. IP)
Bitte warten ..
Ähnliche Inhalte
Firewall
Cisco PIX 506E keine Internetverbidung - Grundlagenfrage
Frage von CKbeatsFirewall3 Kommentare

Hallo liebe Experten, da ich nur mit Windows-Systemen und Datenbanken zu tun habe betrete ich absolutes Neuland. Habe privat ...

Firewall
Cisco PIX 501 Firewall und Putty
gelöst Frage von User85aFirewall6 Kommentare

Schönen Guten Abend Ich Weiß einfach nicht mehr weiter ist zwar ne Blöde frage aber irgendwie bekomme ich das ...

DNS
DNS-Problem nach Enfernung eines DNS-Servers
Frage von kaeckchenDNS9 Kommentare

Hallo Gemeinde, Ich habe in unserer Domäne am Wochenende den letzten von zwei 2003er DC´s herabgestuft. Zusätzlich existieren zwei ...

Switche und Hubs
Cisco SG300 - Routing Problem
Frage von StandardpasswortSwitche und Hubs15 Kommentare

Okay, wie erwartet bekomme ich die das Routen mit dem SG300 nicht hin. Hier nochmal die gewünschte Zielkonfiguration: VLAN10: ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 2 StundenWindows 10

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 4 StundenSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 18 StundenInternet3 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 21 StundenDSL, VDSL1 Kommentar

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
Netzwerkmanagement
Mehrere Netzwerkadapter in einem PC zu einem Switch zusammenfügen
Frage von prodriveNetzwerkmanagement21 Kommentare

Hallo zusammen Vorweg, ich konnte schon einige IT-Probleme mit Hilfe dieses Forums lösen. Wirklich klasse hier! Doch für das ...

Windows Server
Anmeldung direkt am DC nicht möglich
Frage von ThomasGrWindows Server16 Kommentare

Hallo, ich habe bei unserem Server 2016 Standard ein Problem. Keine Ahnung wie das auf einmal passiert ist. Ich ...

Hardware
Links klick bei Maus funktioniert nicht
gelöst Frage von Pablu23Hardware16 Kommentare

Hallo erstmal. Ich habe ein Problem mit meiner relativ alten maus jedoch denke ich nicht das es an der ...

TK-Netze & Geräte
VPN-fähige IP-Telefone
Frage von the-buccaneerTK-Netze & Geräte14 Kommentare

Hi! Weiss noch jemand ein VPN-fähiges IP-Telefon mit dem man z.B. einen Heimarbeitsplatz gesichert anbinden könnte? Habe nur einen ...