Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Sicherheit

GELÖST

Cisco PIX NAT bzw. PAT config

Mitglied: mireux

mireux (Level 1) - Jetzt verbinden

10.03.2009, aktualisiert 19:59 Uhr, 5639 Aufrufe, 3 Kommentare

Hi,

ich habe in einer Labkonfiguration eine PIX hinter einen 1700 Router geschaltet. Der Router
benutzt PPPoE und soll Internetzugriff ermöglichen. Der Router kommt problemlos ins Internet
sowie der dahinterliegende Client durch eine definierte access-list. Mein Problem ist der Durchgang
bei der Pix. Wenn ich die PIX dazwischen schalte, outside in den 1700er FastEthernet port(crossover), inside ins
Switch, Client auch ins Switch. Wie zu erwarten bekomme ich keinen Zugriff. smiley

Wie ist es hier mit dem NAT bzw. PAT? Auf dem 1700er läuft schon NAT, bei der PIX auch, liegt hier
der Fehler? Evtl. hab ich noch die access-list der Pix nicht richtig konfiguriert. Vielleicht kann mir jemand
sagen wie ich diese zu definieren habe. afro

Ich habe hierzu noch die configs:

1700er:


service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
enable secret XXXXXXXXXXXXXXXXXxx
!
no aaa new-model
ip subnet-zero
!
!
!
!
ip name-server xxxxxxxxxxx
ip name-server xxxxxxxxxxx
ip cef
ip audit notify log
ip audit po max-events 100
ip ssh break-string
vpdn enable
!
no ftp-server write-enable
no scripting tcl init
no scripting tcl encdir
!
!
!
!
no crypto isakmp enable
!
!
!
bba-group pppoe global
virtual-template 1
!
!
interface BRI0
no ip address
shutdown
!
interface Ethernet0
no ip address
half-duplex
pppoe enable
pppoe-client dial-pool-number 1
!
interface FastEthernet0
ip address 10.10.1.1 255.255.255.0
ip nat inside
speed 10
half-duplex
!
interface Virtual-Template1
mtu 1492
no ip address
peer default ip address dhcp-pool PPPoE
ppp authentication pap
!
interface Dialer1
ip address negotiated
ip mtu 1492
ip nat outside
encapsulation ppp
ip tcp adjust-mss 1452
no ip mroute-cache
dialer pool 1
dialer-group 1
ppp authentication chap callin
ppp chap hostname XXXXXXXXXXXXXXX
ppp chap password XXXXXXXXXXXXXXX
ppp ipcp dns request
!
ip nat inside source list 101 interface Dialer1 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
no ip http server
no ip http secure-server
!
ip dns server
!
!
access-list 101 permit ip host 10.10.1.2 any
access-list 101 permit ip host 10.10.10.3 any
dialer-list 1 protocol ip permit
!
!
control-plane
!
line con 0
password xxxxxxxxxxxxx
login
!
no scheduler allocate
!
end



PIX:

PIX
interface ethernet0 10baset
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password XXXXXXXXXXXXXXX
passwd XXXXXXXXXXXXXX
hostname Pix
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside 10.10.1.2 255.255.255.0
ip address inside 10.10.10.1 255.255.0.0
ip audit info action alarm
ip audit attack action alarm
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
ssh timeout 5
console timeout 0
dhcpd auto_config outside
terminal width 80
Cryptochecksum:XXXXXXXXXXXXXXXXXxxx
: end


die Route habe ich hinzugefügt mit:

route outside 0.0.0.0 0.0.0.0 10.10.1.1 1

wenn ich mit:

!--- Define a Network Address Translation (NAT) pool that
!--- internal hosts use when going out to the Internet.

Muss ich diese beiden Einträge am 1700er entfernen?

ip nat inside source list 101 interface Dialer1 overload
ip route 0.0.0.0 0.0.0.0 Dialer1

an der PIX habe ich dann folgendes hinzugefügt:

global (outside) 1 10.10.1.20-10.10.1.30 netmask 255.255.255.0

!--- Allow all internal hosts to use
!--- the NAT or PAT addresses specified previously.

nat (inside) 1 0.0.0.0 0.0.0.0 0 0


Vielleicht fällt jemandem was auf...

Gruß

Mireux
Mitglied: mireux
11.03.2009 um 10:17 Uhr
nicht nur aufrufen, auch lesen und kommentieren bzw. Lösungsvorschläge einbringen ;)

sind ja zum lernen hier oder ?

Gruß

Mireux
Bitte warten ..
Mitglied: mireux
12.03.2009 um 21:32 Uhr
....

....

keiner ne Idee?

Gruß
Bitte warten ..
Mitglied: mireux
14.03.2009 um 12:03 Uhr
langsam verzweifel ich hier, bitte gebt mir mal
ne konstruktive Rückantwort....


Gruß
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
Cisco Config nur im Flash
gelöst Frage von YannoschLAN, WAN, Wireless10 Kommentare

Hallo zusammen, hier nochmal eine Frage vom alten Cisco-Profi immer wenn ich bisschen was Configuriere und die ASA dann ...

Netzwerkmanagement
Running-Config oder Startup-Config bei Cisco-Geräten sichern?
gelöst Frage von M.MarzNetzwerkmanagement9 Kommentare

Hallo zusammen, ich möchte gerne die Konfigs meiner Cisco-Switche sichern. In google finde ich immer wieder die Anleitung das ...

LAN, WAN, Wireless
Cisco ASA hinter Router mit NAT
gelöst Frage von maxmaxLAN, WAN, Wireless2 Kommentare

Hallo, ich habe eine Cisco ASA welche hinter einem privaten ADSL-Anschluss steht, der Anschluss terminiert auf einem Cisco 867-K9, ...

Router & Routing
Doppeltes NAT mit Cisco 851
gelöst Frage von maxmaxRouter & Routing3 Kommentare

Hallo, ich versuche gerade aus Testzwecken ein zweites NAT für einen Client zu schalten. Zurzeit ist der Aufbau folgender: ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 10 StundenLinux1 Kommentar

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 1 TagTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 1 TagSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 1 TagSicherheit9 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
Sicherheit
Meltdown und Spectre: Die machen uns alle was vor
Information von FrankSicherheit24 Kommentare

Aktuell sieht es in den Medien so aus, als hätten die Hersteller wie Intel, Microsoft und Co den aktuellen ...

Ubuntu
Ubuntu - Starter für nicht vertrauenswürdige Anwendungen
Frage von adm2015Ubuntu17 Kommentare

Hallo zusammen, Ich verwende derzeit die Ubuntu Versionen 17.10 bzw. im Test 18.04. Ich habe mehrere .desktop Dateien in ...

Netzwerke
Packet loss bei "InternetLeitungsvollauslastung"
gelöst Frage von Freak-On-SiliconNetzwerke17 Kommentare

Servus; Ja der Titel klingt komisch, is aber so. Wenn die Internetleitung voll ausgelastet ist, hab ich extreme packet ...

Windows 10
Automatische daten kopieren, USB zu USB unter Win10 im Hintergrund
Frage von DerEisigeWindows 1016 Kommentare

Hallo Leute, ich bin auf der Suche nach einem Skript, dass von einem USB Stick automatisch nach dem einstecken ...