8
NAT umgehen (Cisco PIX 515 7.23)
Hallo!
Habe folgendes Problem:
Ich habe mir eine Testumgebung zum Thema VPN aufgebaut. Zwischen meinen 2 Cisco Firewalls klappts auch soweit.
Nun möchte ich meine Tesumgebung um eine Checkpoint Firewall erweitern.
Bevor ich zwischen der Checkpoint und der Cisco Firewall VPN einrichte, möchte eine ganz normale Netzwerkverbindung.
Mein Problem ist, dass ich "nat-control" aktiviert habe und deshalb meine Cisco Firewall nicht mit der Checkpoint kommunizieren kann. Sobald ich "nat-control" deaktiviere funktioniert die Kommunikation, jedoch brauche ich "nat-control" damit weiterhin meine VPN-Verbindung zwischen meinen beiden Cisco Firewalls funktioniert.
Wie muss ich vorgehen? Wenn ich versuche von einem Client an der Checkpoint Firewall einen Client an der Cisco Firewall zu pingen bekomme ich folgende Meldung über das logging:
No translation group found for icmp src OUTSIDE:192.168.3.3 dst INSIDE:192.168.3.3(type 8, code 0)
Habe folgendes Problem:
Ich habe mir eine Testumgebung zum Thema VPN aufgebaut. Zwischen meinen 2 Cisco Firewalls klappts auch soweit.
Nun möchte ich meine Tesumgebung um eine Checkpoint Firewall erweitern.
Bevor ich zwischen der Checkpoint und der Cisco Firewall VPN einrichte, möchte eine ganz normale Netzwerkverbindung.
Mein Problem ist, dass ich "nat-control" aktiviert habe und deshalb meine Cisco Firewall nicht mit der Checkpoint kommunizieren kann. Sobald ich "nat-control" deaktiviere funktioniert die Kommunikation, jedoch brauche ich "nat-control" damit weiterhin meine VPN-Verbindung zwischen meinen beiden Cisco Firewalls funktioniert.
Wie muss ich vorgehen? Wenn ich versuche von einem Client an der Checkpoint Firewall einen Client an der Cisco Firewall zu pingen bekomme ich folgende Meldung über das logging:
No translation group found for icmp src OUTSIDE:192.168.3.3 dst INSIDE:192.168.3.3(type 8, code 0)
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 102078
Url: https://administrator.de/contentid/102078
Printed on: April 20, 2024 at 13:04 o'clock
8 Comments
Latest comment
Die Fehlermeldung gibt dir doch schon die Antwort:
Du musst lediglich eine static NAT Zuweisung machen und natürlich auch das ICMP Protokoll per ACL von aussen erlauben was ja normalerweise bei einer Firewall natürlich geblockt ist auf dem outbound Interface !
Du musst lediglich eine static NAT Zuweisung machen und natürlich auch das ICMP Protokoll per ACL von aussen erlauben was ja normalerweise bei einer Firewall natürlich geblockt ist auf dem outbound Interface !
Ja die ACL hab ich ja sowieso schon drin sonst würds ja mit deaktiviertem "nat-control" nicht gehen.
Hab auch schon versucht eine static NAT reinzumachen aber das hat auch nicht geholfen, mein NAT sah dann folgendermassen aus:
access-list 121 extended permit ip 192.168.1.0 255.255.255.0 192.168.3.0 255.255.255.0
nat (INSIDE) 1 access-list 121
die Anweisung ist ja anscheinend nicht richtig, wie muss sie also aussehen?
Hab auch schon versucht eine static NAT reinzumachen aber das hat auch nicht geholfen, mein NAT sah dann folgendermassen aus:
access-list 121 extended permit ip 192.168.1.0 255.255.255.0 192.168.3.0 255.255.255.0
nat (INSIDE) 1 access-list 121
die Anweisung ist ja anscheinend nicht richtig, wie muss sie also aussehen?
IP ist natürlich nicht ICMP ! Du musst also explizit das ICMP Protokoll zulassen !!
access-list 121 extended permit icmp...
Diese ACL wirkt dann aber auch auf dem INSIDE Interface. Du schreibst aber du kommst von extern (OUTSIDE) rein also muss die ACL auch dahin !
access-list 121 extended permit icmp...
Diese ACL wirkt dann aber auch auf dem INSIDE Interface. Du schreibst aber du kommst von extern (OUTSIDE) rein also muss die ACL auch dahin !
Also wenn ich dich richtig verstehe sollte es dann folgendermaßen aussehen
access-list 121 extended permit icmp 192.168.1.0 255.255.255.0 192.168.3.0 255.255.255.0
nat (OUTSIDE) 3 access-list 121
klappt aber leider auch nicht
access-list 121 extended permit icmp 192.168.1.0 255.255.255.0 192.168.3.0 255.255.255.0
nat (OUTSIDE) 3 access-list 121
klappt aber leider auch nicht
Hiiiilfeee!
Keiner da der mir helfen kann?
Keiner da der mir helfen kann?
Hab mein Problem endlich gelöst. Es hat komischerweise die folgende static gefehlt:
static (INSIDE,OUTSIDE) 192.168.1.2 192.168.1.2 netmask 255.255.255.255
aber ich habe ja hier eine pix 7er Version und keine 6er, kann mir jemand sagen warum er die static jetzt gebraucht hat?
static (INSIDE,OUTSIDE) 192.168.1.2 192.168.1.2 netmask 255.255.255.255
aber ich habe ja hier eine pix 7er Version und keine 6er, kann mir jemand sagen warum er die static jetzt gebraucht hat?
Das braucht er um den NAT/PAT Prozess zu überwinden wie oben schon vermutet...
How can I mark a post as solved?
How can I mark a post as solved?
Hmm ok alles klar.
Vielen Dank für eure Hilfe!
Vielen Dank für eure Hilfe!
