Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Cisco PIX NAT bzw. PAT config

Frage Sicherheit

Mitglied: mireux

mireux (Level 1) - Jetzt verbinden

10.03.2009, aktualisiert 19:59 Uhr, 5613 Aufrufe, 3 Kommentare

Hi,

ich habe in einer Labkonfiguration eine PIX hinter einen 1700 Router geschaltet. Der Router
benutzt PPPoE und soll Internetzugriff ermöglichen. Der Router kommt problemlos ins Internet
sowie der dahinterliegende Client durch eine definierte access-list. Mein Problem ist der Durchgang
bei der Pix. Wenn ich die PIX dazwischen schalte, outside in den 1700er FastEthernet port(crossover), inside ins
Switch, Client auch ins Switch. Wie zu erwarten bekomme ich keinen Zugriff. smiley

Wie ist es hier mit dem NAT bzw. PAT? Auf dem 1700er läuft schon NAT, bei der PIX auch, liegt hier
der Fehler? Evtl. hab ich noch die access-list der Pix nicht richtig konfiguriert. Vielleicht kann mir jemand
sagen wie ich diese zu definieren habe. afro

Ich habe hierzu noch die configs:

1700er:


service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
enable secret XXXXXXXXXXXXXXXXXxx
!
no aaa new-model
ip subnet-zero
!
!
!
!
ip name-server xxxxxxxxxxx
ip name-server xxxxxxxxxxx
ip cef
ip audit notify log
ip audit po max-events 100
ip ssh break-string
vpdn enable
!
no ftp-server write-enable
no scripting tcl init
no scripting tcl encdir
!
!
!
!
no crypto isakmp enable
!
!
!
bba-group pppoe global
virtual-template 1
!
!
interface BRI0
no ip address
shutdown
!
interface Ethernet0
no ip address
half-duplex
pppoe enable
pppoe-client dial-pool-number 1
!
interface FastEthernet0
ip address 10.10.1.1 255.255.255.0
ip nat inside
speed 10
half-duplex
!
interface Virtual-Template1
mtu 1492
no ip address
peer default ip address dhcp-pool PPPoE
ppp authentication pap
!
interface Dialer1
ip address negotiated
ip mtu 1492
ip nat outside
encapsulation ppp
ip tcp adjust-mss 1452
no ip mroute-cache
dialer pool 1
dialer-group 1
ppp authentication chap callin
ppp chap hostname XXXXXXXXXXXXXXX
ppp chap password XXXXXXXXXXXXXXX
ppp ipcp dns request
!
ip nat inside source list 101 interface Dialer1 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
no ip http server
no ip http secure-server
!
ip dns server
!
!
access-list 101 permit ip host 10.10.1.2 any
access-list 101 permit ip host 10.10.10.3 any
dialer-list 1 protocol ip permit
!
!
control-plane
!
line con 0
password xxxxxxxxxxxxx
login
!
no scheduler allocate
!
end



PIX:

PIX
interface ethernet0 10baset
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password XXXXXXXXXXXXXXX
passwd XXXXXXXXXXXXXX
hostname Pix
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside 10.10.1.2 255.255.255.0
ip address inside 10.10.10.1 255.255.0.0
ip audit info action alarm
ip audit attack action alarm
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
ssh timeout 5
console timeout 0
dhcpd auto_config outside
terminal width 80
Cryptochecksum:XXXXXXXXXXXXXXXXXxxx
: end


die Route habe ich hinzugefügt mit:

route outside 0.0.0.0 0.0.0.0 10.10.1.1 1

wenn ich mit:

!--- Define a Network Address Translation (NAT) pool that
!--- internal hosts use when going out to the Internet.

Muss ich diese beiden Einträge am 1700er entfernen?

ip nat inside source list 101 interface Dialer1 overload
ip route 0.0.0.0 0.0.0.0 Dialer1

an der PIX habe ich dann folgendes hinzugefügt:

global (outside) 1 10.10.1.20-10.10.1.30 netmask 255.255.255.0

!--- Allow all internal hosts to use
!--- the NAT or PAT addresses specified previously.

nat (inside) 1 0.0.0.0 0.0.0.0 0 0


Vielleicht fällt jemandem was auf...

Gruß

Mireux
Mitglied: mireux
11.03.2009 um 10:17 Uhr
nicht nur aufrufen, auch lesen und kommentieren bzw. Lösungsvorschläge einbringen ;)

sind ja zum lernen hier oder ?

Gruß

Mireux
Bitte warten ..
Mitglied: mireux
12.03.2009 um 21:32 Uhr
....

....

keiner ne Idee?

Gruß
Bitte warten ..
Mitglied: mireux
14.03.2009 um 12:03 Uhr
langsam verzweifel ich hier, bitte gebt mir mal
ne konstruktive Rückantwort....


Gruß
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(1)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Netzwerkmanagement
gelöst Running-Config oder Startup-Config bei Cisco-Geräten sichern? (9)

Frage von M.Marz zum Thema Netzwerkmanagement ...

LAN, WAN, Wireless
gelöst Cisco ASA hinter Router mit NAT (2)

Frage von maxmax zum Thema LAN, WAN, Wireless ...

Router & Routing
gelöst Cisco NAT (VoiP) (10)

Frage von Bernhard-B zum Thema Router & Routing ...

Router & Routing
Cisco 1921 plötzliche Verbindungsprobleme seit NAT-Einträgen (1)

Frage von ef8619 zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (34)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...