Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Problem mit NAT bei CISCO Pix 501

Frage Sicherheit Firewall

Mitglied: flugfaust

flugfaust (Level 2) - Jetzt verbinden

10.09.2009, aktualisiert 22:43 Uhr, 6219 Aufrufe, 15 Kommentare, 1 Danke

Hallo,

ich habe ien Problem mit meiner Cisco Pix 501 die sich hinter einer FritzBox befindet.
Die Konstellation ist folgendermassen

Internet---Outside/FritzBox----Inside/FritzBox-----Outside/Pix------Inside/Pix---------------LAN-----------------------Webserver (192.168.0.2)
PPPoE 10.0.0.1/24 10.0.0.3/24 192.168.0.100/24 192.168.0.0/24 |---Exchange Server (192.168.0.9)
|---FTP Server(192.168.0.2)

Problem ist dass ich keinen Zugriff auf die Server im LAN bekomme. In der FritzBox habe ich das Outside Interface der Pix als "Exposed Host" eingestellt wo sämtliche Port weitergeleitet werden. Auf der Pix habe ich dann NAT etc eingerichtet. Ich bekomme jedoch nur Zugriff auf einen Server wenn ich auf der FritzBox die genatete IP Adresse ds Servers eintrage, die ich per Static eingetragen habe.

Anbei meine PIX Config

PIX Version 6.3(5)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password oTzqJ9YZa9HnHsjt encrypted
passwd 2KFQerervE.2KYOU encrypted
hostname pix501
domain-name test.net
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
object-group service server tcp
port-object eq www
port-object eq ftp
access-list inbound permit icmp any any
access-list inbound permit tcp any host 10.0.0.11 eq 443
access-list inbound permit tcp any host 10.0.0.10 object-group server
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside 10.0.0.3 255.255.255.0
ip address inside 192.168.0.100 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm location 192.168.0.0 255.255.255.0 inside
pdm history enable
arp timeout 14400
global (outside) 1 10.0.0.101-10.0.0.254
nat (inside) 1 192.168.0.0 255.255.255.0 0 0
static (inside,outside) 10.0.0.10 192.168.0.2 netmask 255.255.255.255 0 0
static (inside,outside) 10.0.0.11 192.168.0.9 netmask 255.255.255.255 0 0
access-group inbound in interface outside
route outside 0.0.0.0 0.0.0.0 10.0.0.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
aaa authentication ssh console LOCAL
aaa authorization command LOCAL
http server enable
http 192.168.0.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
tftp-server inside 192.168.0.2 pix501.cfg
floodguard enable
telnet timeout 5
ssh 192.168.0.0 255.255.255.0 inside
ssh timeout 15
console timeout 0
username cisco password muahhasdsd encrypted privilege 15
terminal width 80
Cryptochecksum:c1726b06bbd476dfaba368ecf6a1ca14
: end



Ich gehe mal davon aus dass ich in der NAT Regel was falsch habe bzw. unter Global. Denn wen nich jetzt auf der FritzBox die 10.0.0.10 als Exposed Host eintrage, habeich zugriff auf den FTP und Webserver im LAN. Wenn ich es auf die 10.0.0.11 umstelle, kann ich per SSL auf den Exchange zugreiffen. Aber wie schaffe ich es dass ich es immer nur über eine IP machen kann?
Mitglied: brammer
11.09.2009 um 10:19 Uhr
Hallo,

warum einfach wenn es auch kompiziert geht, oder?

wieso die Kombination aus Router (Fritzbox und Firewall) wieso sparst du dir nicht die Fritzbox und gehst direkt mit der Pix ins Internet?
Dann sparst du dir das NAT.

brammer
Bitte warten ..
Mitglied: aqui
11.09.2009 um 11:17 Uhr
Das wäre die erste Frage.... die zu beantworten wäre, denn die PIX kann selber PPPoE und man könnte die FB so nur als dummes Modem laufen lassen.
Oder wenn man keine ganze FB dafür verschwenden will dann besser dies hier:
http://www.pollin.de/shop/detail.php?pg=OA==&a=NTM4ODgyOTk=&w=O ...

Das erspart dir die Frickelei mit der eigentlich sinnlos vor der PIX liegenden FB !

OK aber bleiben wir mal bei dem Szenario....
Hast du mit einem Wireshark mal nachgeprüft ob die FB in der Exposed hosts Einstellung überhaupt die Pakete forwardet. Vermutlich macht sie das nicht, denn exposed hosts bedeutet immer das das nur Ports sind die sonst nicht benutzt werden.
Wenn du Webtraffic nimmst, dann denkt die FB häufig das ist für sie selber (Websetup) und blockt diese Pakete.
Also erstmal einen Wireshark Sniffer zwischen FB und PIX klemmen und checken ob die FB sich korrekt verhält.
Ferner musst du Zugriffe mit allen externen IP Adressen aufs Inside Interface zulassen was man in der Konfig nicht sieht. Denn wenn du von außen (Internet) zugreifst hast du als IP Adresse eine irgendwie geartete öffentliche IP die die PIX durchlassen muss und das sieht man nicht in deiner Konfig.
Wenn du das mit einem Client im 10.0.0.0er Netz testest ist es klar das es klappt, denn der hat eine Source Adresse aus diesem Netz !
Nicht aber ein Client der von außen (Internet) auf die 10.0.0.0er Adresse zugreift !
Bitte warten ..
Mitglied: flugfaust
11.09.2009 um 19:14 Uhr
Hallo,

danke dass ihr mir hier weiter helfen wollt.

1. Die FritzBox MUSS ich als erstes dran haben da wir Internet-Telefonie-Vertrag haben und dies nur funktioniert, wenn die FritzBox selbst PPPoE macht.

2. Ich habe seit ungefähr 3 Jahren hinter der Pix einen Netgear FVS318, den ich auf der FritzBox als Exposed Host angegeben habe und hier Portforwarding auf meine verschiedenen Server mache. Mit dem Netgear geht es problemlos.
Sobald ich dies aber mit der Pix mache, geht es nicht ud ich bin mir nicht sicher ob das NAT bzw. GLOBAL richtig ist.
Wieso ich ALLE Ports auf das Inside Interface durchlassen uss verstehe ich allerdings nicht. Ich habe die ACL auf das Outside gehängt dass einkommende Anfragen auf http und ftp erlaubt sind.
Bitte warten ..
Mitglied: brammer
11.09.2009 um 20:05 Uhr
Hallo,

wenn ich die ACL richtig intepreitiere gibtst du damit ja vor das
10.0.0.11 alles darf was equal 443 ist
während
10.0.0.10 alles darf was equal object-group server beinhaltet.
Da immer noch implicites deny any any folgt verbietest du folglich das
die beiden IP Adressen auch das andere dürfen.

Oder habe ich deine Frage falsch interpretiert?

brammer
Bitte warten ..
Mitglied: flugfaust
11.09.2009 um 20:55 Uhr
Stimmt. Sorry. Hatte die alte Config gepostet. Die Deny any any gehört nicht rein. Der Rest ist aber aktuell
Bitte warten ..
Mitglied: brammer
11.09.2009 um 21:09 Uhr
Hallo,

falsch!
Das "deny any any" gehört da rein und zwar schreibt deine Pix das da rein!
deswegen impizites deny!
am ende jeder acl steht dieses implizites deny, damit alles was nicht erlaubt ist, verboten ist !

Vielleicht hätte ich oben schreiben müssen du erlaubst beide IP nicht alles was die andere darf!

brammer


Zitat von flugfaust:
Stimmt. Sorry. Hatte die alte Config gepostet. Die Deny any any
gehört nicht rein. Der Rest ist aber aktuell
Bitte warten ..
Mitglied: flugfaust
11.09.2009 um 22:17 Uhr
Hmm. komisch dass es aber geht wenn ich auf der FritzBox als Exposed Host 10.0.0.10 eintrage. Auf den Exchange kann ich per HTTPS nur zugreifen wenn ich die 10.0.0.11 auf der FritzBox als Exposed Host angebe.
Verstehe das nicht ganz
Bitte warten ..
Mitglied: flugfaust
13.09.2009 um 07:44 Uhr
Und was soll ich jetzt machen?
Bitte warten ..
Mitglied: aqui
13.09.2009 um 13:40 Uhr
Nur nochmal genau nachgefragt:
Aus dem Internet willst du einen Webserver im 192.168.0.0 /24 er Netz (hinter der PIX) errreichen ausschliesslich via HTTPS (TCP 443) , richtig ?

Forwardest du in der FB nur 443 auf die 10.0.0.10 funktioniert es NICHT.
Forwardest du in der FB alles auf die 10.0.0.10 (exposed host) funktioniert es.

Ist das so richtig ??
Bitte warten ..
Mitglied: flugfaust
13.09.2009 um 14:18 Uhr
Nein. Es funktioniert wenn ich den http Port auf die 10.0.0.10 forwarde UND wenn ich ich die 10.0.0.10 als Exposed Host angebe.
Ich möchte jedoch noch einen anderen Server im Netz per HTTPS erreichen, welcher die genatete IP 10.0.0.11 hat. Dazu muss ich das selbe auf der FB aber machen. Als Exposed Host kann ich aber logischerweise nur einen Host angeben. Wieso geht es nicht wenn ich die Outside IP der Pix als Exposed Host angebe?
Bitte warten ..
Mitglied: aqui
15.09.2009 um 22:43 Uhr
So hier kommt die Lösung !
Der Schlüssel ist eine Access Liste auf dem Outside Interface der PIX die TCP 80 Connections von außen zulässt:

Hier ist der Testaufbau:

eb76ff1001556c327a61654dde94d2e3-flugfaust - Klicke auf das Bild, um es zu vergrößern

Hier die passende PIX Konfig dazu: (Default Config Statements übersichtshalber entfernt !)

pix501#

PIX Version 6.3(5)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100

hostname pix501
domain-name test.local

access-list 101 permit tcp any host 10.0.1.10 eq www

ip address outside dhcp setroute
ip address inside 192.168.0.254 255.255.255.0

global (outside) 10 interface
nat (inside) 10 0.0.0.0 0.0.0.0 0 0
static (inside,outside) 10.0.1.10 192.168.0.100 netmask 255.255.255.255 0 0
access-group 101 in interface outside

http 192.168.0.100 255.255.255.255 inside

dhcpd address 192.168.0.100-192.168.0.109 inside
dhcpd dns 192.168.7.254
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd enable inside

(Die PIX macht DHCP im lokalen Segment und bekommt ihre Outside IP per DHCP vom davorliegenden Router !)

Erklärung:
Das Kommando "static (inside,outside) 10.0.1.10 192.168.0.100 netmask 255.255.255.255 0 0" setzt die IP des lokalen Webservers statisch fest auf die outside IP 10.0.1.10 des Zwischennetzes. Die PIX "merkt" sich diese IP als virtuelle outside IP für den Webserver. D.h. alle Connections auf diese IP werden dann auch wieder intern auf die 192.168.0.100 (Webserver) umgesetzt !
Normalerweise verbietet die PIX eingehende Verbindungen auf Interfaces mit einem höheren Security Level, was aber mit einer Access Liste entsprechend erlaubt werden kann.
Die Access Liste "access-list 101 permit tcp any host 10.0.1.10 eq www" erlaubt von allen Netzen den Zugang auf die IP 10.0.1.10 mit dem Port TCP 80 also Web Zugang, HTTP und mit dem Kommando "access-group 101 in interface outside" wird diese ACL auf das Outside Interface gelegt.

Ein Quercheck mit einem Client im 10.0.1.0er Netz der einen Zugriff per Browser auf die 10.0.1.10 macht landet dann problemlos auf dem lokalen Webserver 192.168.0.100 !

Nun ist nur noch ein Port Forwarding auf den NAT Router davor einzutragen also TCP Port 80 ->> 10.0.1.10 TCP 80 und das wars !
Ein finaler Check mit einem Client im 192.168.7.0er Netz, das hier das Internet simuliert landet dann ebenfalls auf dem Webserver....die Konfig ist also OK.

Wenn du nun z.B. einen weiteren lokalen HTTPS Webserver (z.B. lokal die 192.168.0.200 outside die 10.0.1.11) nach außen öffnen willst nach dem gleichen Muster sind folgende Punkte zu tun:
  • Zweites statisches NAT Statement in der PIX setzen "static (inside,outside) 10.0.1.11 192.168.0.200 netmask 255.255.255.255 0 0"
  • Access Liste 101 erweitern mit "access-list 101 permit tcp any host 10.0.1.11 eq 443"
  • Port Forwarding im Router davor einstellen: TCP 443 --> 10.0.1.11 TCP 443

Das sollte es gewesen sein. Das klappt dann alles auch problemlos OHNE das gefährliche Spiel mit dem exposed host oder DMZ !
Bitte warten ..
Mitglied: flugfaust
16.09.2009 um 09:29 Uhr
MEGA DANKE für deinen Einsatz aber so hab ich es bei mir ja auch schon am Laufen gehabt. Aber ich finde es halt umständlich wennich an der FritzBox UND an der Pix die Ports forwarden muss. Darum dachte ich, es geht auch wenn ich an der FritzBox das Outside Interface der PIX als Exposed Host angebe. Aber wenn auch Du sagst, dass es wohl nur so geht, werd ich es wohl auch so umsetzen müssen.

MEGA DANKE für deine Mühe und vor allem für deine Unterstützung
Bitte warten ..
Mitglied: aqui
16.09.2009 um 17:02 Uhr
Für unterschiedliche Hosts nimmt die PIX immer dedizierte IPs aus dem outside IP netz. Deshalb fällt diese Lösung leider weg wenn du unterschiedliche Hosts im inside Netzwerk erreichen willst.
Ein exposed Host wirkt ja nur auf eine IP.
Ein Nachteil ist das ja nicht, denn du musst nur ein paar Forwarding Statements mehr in der FB eintragen.
Damit gewinnst du zudem zusätzliche Sicherheit und musst nicht den gefährlichen Schrotschuß "exposed Host" verwenden der dir alle Ports ungeschützt forwardet !
Bitte warten ..
Mitglied: flugfaust
17.09.2009 um 23:14 Uhr
OK. Mega Merci. Dann werd ich doch diese Lösung umsetzen auch wenn ich Anfangs nicht davon überzeugt war da ich mir dachte es geht auch anders. Aber jetzt leuchtet es mir ein.
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Router & Routing
Problem - Router cisco 2821 hinter Fritzbox mit WLAN (23)

Frage von Cyberurmel zum Thema Router & Routing ...

Router & Routing
gelöst Problem mit 2 NAT (5)

Frage von mzda1234 zum Thema Router & Routing ...

Router & Routing
Sonicwall NAT-Problem

Frage von SuperAggy zum Thema Router & Routing ...

LAN, WAN, Wireless
gelöst Cisco ASA hinter Router mit NAT (2)

Frage von maxmax zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (27)

Frage von patz223 zum Thema Windows Userverwaltung ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (20)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...