Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Netzwerke Router & Routing

Kein Ping von der PIX 501 zum ISA Server möglich

Mitglied: ghost4810

ghost4810 (Level 1) - Jetzt verbinden

02.02.2010, aktualisiert 18.10.2012, 4400 Aufrufe, 3 Kommentare

PIX to ISA --- Site to Site, ping von der PIX zum remote Standort nicht möglich.

Hallo Leute,

vielleicht könnt ihr mir bei diesen Problem vielleicht weiter helfen.
Folgende Situation, in der Zentralle steht ein ISA Server und in den Filialen Cisco PIX´n 501. Die PIX´n bauen eine Site to Site IPSEC Verbindung zum ISA Server auf.

Regeln "IP und ICMP any " auf der PIX zum ISA, vom ISA zur PIX "Gesamter Verkehr zugelassen"

Ich kann von der Zentralle alle Geräte am Remotestandort pingen aber die PIX nicht.
Von einer Workstation am Remote Standort können alle Geräte in der Zentralle gepingt werden.

Kann aber von der PIX per Website oder Console den Remotestandort nicht pingen und laut ISA log kommen auch keine Pakete an.

HELP ME!!!

PIXGM# show config
PIX Version 6.3(5)
interface ethernet0 10baset
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
hostname PIX
domain-name domain
clock timezone CEST 1
clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol pptp 1723
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
name 192.168.0.0 ISA
name 0.0.0.0 intern
name 192.168.1.252 DC03
access-list inside_outbound_nat0_acl permit ip 192.168.1.0 255.255.255.0 ISA 255.255.255.0
access-list outside_cryptomap_20 permit ip 192.168.1.0 255.255.255.0 ISA 255.255.255.0
access-list inside_access_in permit ip 192.168.1.0 255.255.255.0 any
access-list outside_access_in permit icmp any any echo-reply
access-list ping_acl permit icmp any any
pager lines 24
logging on
logging console warnings
logging monitor warnings
logging buffered warnings
logging trap warnings
icmp permit ISA 255.255.255.0 outside
icmp permit 192.168.1.0 255.255.255.0 inside
mtu outside 1500
mtu inside 1500
ip address outside 1.1.1.2 255.255.255.0
ip address inside 192.168.1.254 255.255.255.0
ip verify reverse-path interface outside
ip audit info action alarm
ip audit attack action alarm
pdm location 192.168.1.0 255.255.255.0 inside
pdm location ISA 255.255.255.0 outside
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list inside_outbound_nat0_acl
nat (inside) 1 192.168.1.0 255.255.255.0 0 0
access-group ping_acl in interface outside
access-group inside_access_in in interface inside
route outside intern intern 1.1.1.1 1
route outside ISA 255.255.255.0 2.2.2.2 1
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http ISA 255.255.255.0 outside
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
crypto ipsec transform-set ESP
crypto map outside_map 20
crypto map outside_map 20
crypto map outside_map 20
crypto map outside_map 20 set peer 2.2.2.2
crypto map outside_map 20
crypto map outside_map 20
crypto map outside_map interface outside
isakmp enable outside
isakmp key address 2.2.2.2 netmask 255.255.255.255
isakmp policy 20
isakmp policy 20
isakmp policy 20
isakmp policy 20
isakmp policy 20
telnet ISA 255.255.255.0 outside
telnet 192.168.1.0 255.255.255.0 inside
telnet timeout 5
console timeout 0
dhcpd auto_config outside
terminal width 80
Mitglied: aqui
02.02.2010 um 17:57 Uhr
Etwas ist unverständlich.... Du sagst: "Kann aber von der PIX per Website oder Console den Remotestandort nicht pingen .."
Oben beschreibst du das zentral ein ISA steht und remote die PIX.

Wenn du nun auf der remoten PIX bist (Console) welchen Remotestandort willst du denn pingen ?? Sich selber oder meinst du damit alle anderen bestehenden Remote Standorte mit den PIXen ???
2te Frage: Welchen Weg fürs Ping wählst du denn ??
a.) Den über die öffentliche IP Adresse zur öffentlichen IP gegenüber ? Oder..
b.) den über den VPN Tunnel zum lokalen Interface ??
Hast du auf der Console schon mal den extended Ping benutzt bei dem du die Quell IP angeben kannst ?? Ggf. ist das der Falls das du mit einer falschen Quell IP das falscheZiel pingst und so in der FW hängen bleibst.

Was sagt denn auch dein Syslog ?? Der protokolliert doch alles mit und sagt dir sofort wo das Problem ist !!
Bitte warten ..
Mitglied: ghost4810
02.02.2010 um 22:13 Uhr
Danke für die schnelle Antwort.
Sorry hab mi verschieben, ich hab gemeint das ich von der PIX nicht in die Zentralle pingen kann.
Bin auserdem auf der PIX nicht so gut. Syslog ist eingeschalte kann aber keinen Fehler erkennen oder muss ich noch weiter Variablen eingeben.

Zur Info nochmal der Aufbau:
Dc01 -> ISA <- Site to Site -> PIX <- DC03

ISA
LAN 192.168.0.0/24
WAN 2.2.2.2

PIX
LAN 192.168.1.0/24
WAN 1.1.1.1

Ping von der PIX zur Zentralle
PIXGM# ping dc01 (192.168.0.2)
dc01 NO response received -- 1000ms
dc01 NO response received -- 1000ms
dc01 NO response received -- 1000ms
PIXGM# ping 192.168.0.1 (ISA)
192.168.0.1 NO response received -- 1000ms
192.168.0.1 NO response received -- 1000ms
192.168.0.1 NO response received -- 1000ms
PIX# show logging
Syslog logging: enabled
Facility: 20
Timestamp logging: enabled
Standby logging: disabled
Console logging: level warnings, 597 messages logged
Monitor logging: level warnings, 0 messages logged
Buffer logging: level warnings, 597 messages logged
Trap logging: level debugging, 881 messages logged
History logging: disabled
Device ID: disabled

Ping von DC03 am Remote Standort zum ISA und DC01 funktioniert
Ping vom ISA zu DC03 funktioniert aber zu der PIX nicht
Bitte warten ..
Mitglied: aqui
03.02.2010, aktualisiert 18.10.2012
Sind die WAN IP Adressen Platzhalter für die korrekten Adressen ??? Die WAN IPs müssen sich sehen, das sollte klar sein ?!

Hast du am ISA mal den MS Netmonitor
http://www.microsoft.com/downloads/details.aspx?displaylang=en&Fami ...
installiert um mal zu sehen ob dort überhaupt ICMP Echo requests der PIX ankommen ??
Hier hast du mal zum Vergleich eine PIX 501 Konfig wo ICMP (Ping) sauber funktioniert !
http://www.administrator.de/wissen/cisco-pix-firewall-ipsec-vpn-tunnel- ...
Bitte warten ..
Ähnliche Inhalte
Firewall
Cisco PIX 501 Firewall und Putty
gelöst Frage von User85aFirewall6 Kommentare

Schönen Guten Abend Ich Weiß einfach nicht mehr weiter ist zwar ne Blöde frage aber irgendwie bekomme ich das ...

Router & Routing
Keine PDM-Konfiguration meiner guten alten pix 501
Frage von rabo001Router & Routing1 Kommentar

Hallo, ich weis es ist ein Uraltteil aber ich möchte sie weiter nutzen meine pix501. Nur jetzt gibt es ...

Windows Server
Ping auf einen bestimmten Server nicht möglich
gelöst Frage von a.thierWindows Server7 Kommentare

Hallo, ich habe folgendes Problem. srv-dc1: Ping srv-nav > geht Ping srv-exchange > geht nicht srv-exchange: Ping srv-dc1 > ...

LAN, WAN, Wireless
Openvpn kein ping auf openvpn server möglich
gelöst Frage von kohle1957LAN, WAN, Wireless4 Kommentare

Mein Server ist ein Windows 2012 Standard hinter einen Kabel Deutschland modem interne ip 192.168.0.200 Habe 2 virtuelle Maschinen ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 10 StundenLinux1 Kommentar

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 1 TagTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 1 TagSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 1 TagSicherheit9 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
Sicherheit
Meltdown und Spectre: Die machen uns alle was vor
Information von FrankSicherheit24 Kommentare

Aktuell sieht es in den Medien so aus, als hätten die Hersteller wie Intel, Microsoft und Co den aktuellen ...

Ubuntu
Ubuntu - Starter für nicht vertrauenswürdige Anwendungen
Frage von adm2015Ubuntu17 Kommentare

Hallo zusammen, Ich verwende derzeit die Ubuntu Versionen 17.10 bzw. im Test 18.04. Ich habe mehrere .desktop Dateien in ...

Netzwerke
Packet loss bei "InternetLeitungsvollauslastung"
gelöst Frage von Freak-On-SiliconNetzwerke17 Kommentare

Servus; Ja der Titel klingt komisch, is aber so. Wenn die Internetleitung voll ausgelastet ist, hab ich extreme packet ...

Windows 10
Automatische daten kopieren, USB zu USB unter Win10 im Hintergrund
Frage von DerEisigeWindows 1016 Kommentare

Hallo Leute, ich bin auf der Suche nach einem Skript, dass von einem USB Stick automatisch nach dem einstecken ...