Cisco PIX Translasion Rule conflict - Serversoftware en clouddiensten

vrijdag 1 april 2005 11:52

Acties:

Topicstarter

Cisco PIX Translasion Rule conflict

De situatie is als volgens :

Internet --- Cisco pix515 ---|--- ISA2004 --|-- LAN
| |
|-- Win2k3 VPN --|

De Cisco PIX heeft twee IP adressen aan de Internet kant , paralel aan de ISA2004 server staat een Win2K3 VPN server .
In de pix is een translasion Rule waarmee worden port 25 en 443 van het extern Pix IP adres1 vertaald naar ISA ip adres worden, En Voor de VPN ( Gre) wordt PIX ip adress2 vertaald naar de VPN Ip adres server.

Deze aparte VPN server was vooral nodig bij ISA2000 , maar na een upgrade naar isa2004 is deze aparte VPN server niet meer nodig . De combinatie VPN en firewall werkt met isa2004 wél goed samen, dit in tegenstelling tot ISA2000. Er is nu dan ook een VPN rule op ISA aan gemaakt.

Bij het veranderen van de PIX translation rule voor VPN van Pix-IPadress2 naar het IP nr van ISA2004 geeft deze aan melding dat er een conflict is met de andere translation rule voor port 25 en 443

De Vraag :
1- Hoe kan ik de PIX zover krijgen dat deze voor zowel Extern IP-nr1 voor port 25 en 443 als extern IP-nr2 voor VPN naar de ISA vertaald ???
2 - Of beter nog Op één extern PIX ip nummer de vertaling voor zowel port 25 en 443 als VPN ( Gre) naar de ISA2004 ?

vrijdag 1 april 2005 14:03

Acties:

reddog33hummer

Dat schept mogelijkheden

Mischien een oplossing waar je zelf ook aan gedacht hebt: Haal de pix weg en filter met de isa server 2004 ?

Backup not found (R)etry (A)bort (P)anic<br\>AMD 3400+ 64, 2 GB DDR, 1,5 TB Raid5

vrijdag 1 april 2005 16:11

Acties:

_Arthur

blub

reddog33hummer schreef op vrijdag 01 april 2005 @ 14:03:
Mischien een oplossing waar je zelf ook aan gedacht hebt: Haal de pix weg en filter met de isa server 2004 ?

Mischien dat hij ISA2004 alleen als proxy gebruikt en niet de firewall mogelijkheden.

Want 2 firewalls achter elkaar is natuurlijk goed te doen, echter wat precies het nut van de ISA2004 achter de PIX515 is, is niet geheel duidelijk.

En verder zou ik eerder de ISA2004 'weghalen' dan die pix..

vrijdag 1 april 2005 16:32

Acties:

Rolfie

En verder zou ik eerder de ISA2004 'weghalen' dan die pix..

Waarom is PIX beter dan ISA server?. Ik ken een paar functies in ISA server die daar geavanceerder zijn dan sommige hardware firewalls.

ISA Firewall Fairy Tales - What Hardware Firewall Vendors Don't Want You to Know

Comparing the ISA Firewall to non-ISA Firewall Solutions

Maar zoals je zelf al aangeeft, het een persoonlijke mening.

Ik ben geen cisco expert, maar als je je goed begrijp is dat je cisco 2 IP adressen die je wilt forwarden?. 1 voor 25/443 en 1 voor VPN? Deze wil je beide genat hebben naar 1 IP adres op je ISA server? Volgens mij heeft PIX alleen 1 to 1 NAT. En hier zit je probleem dan in. Je wilt immers 2 ip adressen door laten naar 1 IP adres van je ISA server.

Geef je ISA server eens 2 IP adressen en NAT het 2de IP adres van je PIX eens naar het 2de IP adres van ISA. Dit moet wel werken.

Maar ik heb een vermoede dat je dan nog geen VPN kan maken. Maar dat is een ander verhaal.

vrijdag 1 april 2005 17:29

Acties:

MeatGrinder

Je maakt gewoon een static address translation aan voor 1 van de externe ip's:

static (inside,outside) <extern ip> <intern ip> netmask 255.255.255.255

Vervolgens access-list aanpassen&aanbrengen:

access-list acl-out permit gre any host <extern ip>
access-list acl-out permit tcp any host <extern ip> eq www
access-list acl-out permit tcp any host <extern ip> eq https
access-group acl-out in interface outside

maandag 4 april 2005 16:44

Acties:

proza

ISA server weg

1 IP adres op outside van de PIX is voldoende voor het geheel

a. SMTP mail (25) afleveren op interne server
b. HTTPS naar interne webserver
c. VPN Client laten afhandeling door de PIX, radius authentiseren via interne server

Hieronder een voorbeeld met DHCP adres op de outside van de PIX. Maar dit kan natuurlijk ook een fixed adres zijn. ( Zoals MeatGrinder al aangeeft)

code:

access-list acl_inbound permit tcp any any eq smtp
access-list acl_inbound permit tcp any any eq https 
access-list acl_outbound permit ip 192.168.1.0 255.255.255.0 any 

ip address outside dhcp setroute
ip address inside 192.168.1.254 255.255.255.0

ip local pool vpn_pool 192.168.1.32-192.168.1.223

global (outside) 1 interface
nat (inside) 1 192.168.1.0 255.255.255.0 0 0
static (inside,outside) tcp interface smtp 192.168.1.1 smtp netmask 255.255.255.255 0 0 
static (inside,outside) tcp interface https 192.168.1.1 https netmask 255.255.255.255 0 0 

access-group acl_inbound in interface outside
access-group acl_outbound in interface inside

aaa-server RADIUS (inside) host 192.168.1.1 <REMOVED-Password> timeout 5

vpngroup vpnclient address-pool vpn_pool
vpngroup vpnclient dns-server 192.168.1.1 194.109.9.99
vpngroup vpnclient wins-server 192.168.1.1
vpngroup vpnclient default-domain local
vpngroup vpnclient idle-time 1800
vpngroup vpnclient password <removed>

[ Voor 3% gewijzigd door proza op 04-04-2005 20:49 ]

If you see me collapse, pause my Garmin!🚶🏃

dinsdag 5 april 2005 17:03

Acties:

Verwijderd

Waarom prik je geen extra netwerkkaart in je ISA?

woensdag 6 april 2005 10:20

Acties:

mirtos

Topicstarter

de oplossing van MeatGrinder uitgevoerd, met 1 ip nummer op de PIX alles naar ISA doorsturen
, en d.m.v. Access rules alleen de gewenste protocollen doorlaten

thanks

Waarom hebben we achter de PIX nog een ISA 2004 :
1) Uit veiligheid twee firewall houden meer tegen dan 1 ( 2 maal NAT)
2) isa chached http en ftp en versneld daardoor
3) de DMZ tussen de PIX en ISA wordt o.a. voor webservers gebruikt, die daardoor ook achter een firewall staan
4) met de isa is ook op user / group niveau toegang te geven
5) Op de ISA draaid een http, ftp en smtp virus/spam scanner