Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Kein Ping von der PIX 501 zum ISA Server möglich

Frage Netzwerke Router & Routing

Mitglied: ghost4810

ghost4810 (Level 1) - Jetzt verbinden

02.02.2010, aktualisiert 18.10.2012, 4327 Aufrufe, 3 Kommentare

PIX to ISA --- Site to Site, ping von der PIX zum remote Standort nicht möglich.

Hallo Leute,

vielleicht könnt ihr mir bei diesen Problem vielleicht weiter helfen.
Folgende Situation, in der Zentralle steht ein ISA Server und in den Filialen Cisco PIX´n 501. Die PIX´n bauen eine Site to Site IPSEC Verbindung zum ISA Server auf.

Regeln "IP und ICMP any " auf der PIX zum ISA, vom ISA zur PIX "Gesamter Verkehr zugelassen"

Ich kann von der Zentralle alle Geräte am Remotestandort pingen aber die PIX nicht.
Von einer Workstation am Remote Standort können alle Geräte in der Zentralle gepingt werden.

Kann aber von der PIX per Website oder Console den Remotestandort nicht pingen und laut ISA log kommen auch keine Pakete an.

HELP ME!!!

PIXGM# show config
PIX Version 6.3(5)
interface ethernet0 10baset
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
hostname PIX
domain-name domain
clock timezone CEST 1
clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol pptp 1723
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
name 192.168.0.0 ISA
name 0.0.0.0 intern
name 192.168.1.252 DC03
access-list inside_outbound_nat0_acl permit ip 192.168.1.0 255.255.255.0 ISA 255.255.255.0
access-list outside_cryptomap_20 permit ip 192.168.1.0 255.255.255.0 ISA 255.255.255.0
access-list inside_access_in permit ip 192.168.1.0 255.255.255.0 any
access-list outside_access_in permit icmp any any echo-reply
access-list ping_acl permit icmp any any
pager lines 24
logging on
logging console warnings
logging monitor warnings
logging buffered warnings
logging trap warnings
icmp permit ISA 255.255.255.0 outside
icmp permit 192.168.1.0 255.255.255.0 inside
mtu outside 1500
mtu inside 1500
ip address outside 1.1.1.2 255.255.255.0
ip address inside 192.168.1.254 255.255.255.0
ip verify reverse-path interface outside
ip audit info action alarm
ip audit attack action alarm
pdm location 192.168.1.0 255.255.255.0 inside
pdm location ISA 255.255.255.0 outside
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list inside_outbound_nat0_acl
nat (inside) 1 192.168.1.0 255.255.255.0 0 0
access-group ping_acl in interface outside
access-group inside_access_in in interface inside
route outside intern intern 1.1.1.1 1
route outside ISA 255.255.255.0 2.2.2.2 1
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http ISA 255.255.255.0 outside
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
crypto ipsec transform-set ESP
crypto map outside_map 20
crypto map outside_map 20
crypto map outside_map 20
crypto map outside_map 20 set peer 2.2.2.2
crypto map outside_map 20
crypto map outside_map 20
crypto map outside_map interface outside
isakmp enable outside
isakmp key address 2.2.2.2 netmask 255.255.255.255
isakmp policy 20
isakmp policy 20
isakmp policy 20
isakmp policy 20
isakmp policy 20
telnet ISA 255.255.255.0 outside
telnet 192.168.1.0 255.255.255.0 inside
telnet timeout 5
console timeout 0
dhcpd auto_config outside
terminal width 80
Mitglied: aqui
02.02.2010 um 17:57 Uhr
Etwas ist unverständlich.... Du sagst: "Kann aber von der PIX per Website oder Console den Remotestandort nicht pingen .."
Oben beschreibst du das zentral ein ISA steht und remote die PIX.

Wenn du nun auf der remoten PIX bist (Console) welchen Remotestandort willst du denn pingen ?? Sich selber oder meinst du damit alle anderen bestehenden Remote Standorte mit den PIXen ???
2te Frage: Welchen Weg fürs Ping wählst du denn ??
a.) Den über die öffentliche IP Adresse zur öffentlichen IP gegenüber ? Oder..
b.) den über den VPN Tunnel zum lokalen Interface ??
Hast du auf der Console schon mal den extended Ping benutzt bei dem du die Quell IP angeben kannst ?? Ggf. ist das der Falls das du mit einer falschen Quell IP das falscheZiel pingst und so in der FW hängen bleibst.

Was sagt denn auch dein Syslog ?? Der protokolliert doch alles mit und sagt dir sofort wo das Problem ist !!
Bitte warten ..
Mitglied: ghost4810
02.02.2010 um 22:13 Uhr
Danke für die schnelle Antwort.
Sorry hab mi verschieben, ich hab gemeint das ich von der PIX nicht in die Zentralle pingen kann.
Bin auserdem auf der PIX nicht so gut. Syslog ist eingeschalte kann aber keinen Fehler erkennen oder muss ich noch weiter Variablen eingeben.

Zur Info nochmal der Aufbau:
Dc01 -> ISA <- Site to Site -> PIX <- DC03

ISA
LAN 192.168.0.0/24
WAN 2.2.2.2

PIX
LAN 192.168.1.0/24
WAN 1.1.1.1

Ping von der PIX zur Zentralle
PIXGM# ping dc01 (192.168.0.2)
dc01 NO response received -- 1000ms
dc01 NO response received -- 1000ms
dc01 NO response received -- 1000ms
PIXGM# ping 192.168.0.1 (ISA)
192.168.0.1 NO response received -- 1000ms
192.168.0.1 NO response received -- 1000ms
192.168.0.1 NO response received -- 1000ms
PIX# show logging
Syslog logging: enabled
Facility: 20
Timestamp logging: enabled
Standby logging: disabled
Console logging: level warnings, 597 messages logged
Monitor logging: level warnings, 0 messages logged
Buffer logging: level warnings, 597 messages logged
Trap logging: level debugging, 881 messages logged
History logging: disabled
Device ID: disabled

Ping von DC03 am Remote Standort zum ISA und DC01 funktioniert
Ping vom ISA zu DC03 funktioniert aber zu der PIX nicht
Bitte warten ..
Mitglied: aqui
03.02.2010, aktualisiert 18.10.2012
Sind die WAN IP Adressen Platzhalter für die korrekten Adressen ??? Die WAN IPs müssen sich sehen, das sollte klar sein ?!

Hast du am ISA mal den MS Netmonitor
http://www.microsoft.com/downloads/details.aspx?displaylang=en&Fami ...
installiert um mal zu sehen ob dort überhaupt ICMP Echo requests der PIX ankommen ??
Hier hast du mal zum Vergleich eine PIX 501 Konfig wo ICMP (Ping) sauber funktioniert !
http://www.administrator.de/wissen/cisco-pix-firewall-ipsec-vpn-tunnel- ...
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Cloud-Dienste
gelöst Eigener Exchange Server möglich ? In der Cloud ? (4)

Frage von power-user zum Thema Cloud-Dienste ...

Microsoft
Keine Anmeldung mehr möglich (Server 2012 R2) (4)

Frage von Shnuuu zum Thema Microsoft ...

Netzwerkgrundlagen
gelöst Ping im gleichen Rechnernetz ohne Gateway möglich? (8)

Frage von CHRISTI4N zum Thema Netzwerkgrundlagen ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...