Toon posts:

[PIX] Plaatsen van Pix in netwerk

Pagina: 1
Acties:

vrijdag 13 oktober 2006 11:28

Acties:

Verwijderd

Topicstarter
Hallo, ik heb een probleem en ik hoop dat jullie even willen meekijken.
De huidige situatie:

We hebben een modem met ingebouwde firewall.
Uit het modem komt een reeks ip adressen, zogenaamd de reeks 194.109.1.0/29
1 daarvan 194.109.1.2 gaat naar een server die NAT regelt voor het interne netwerk
1 gaat naar een VPNserver, 194.109.1.3

Omdat een plaatje wat meer zegt:
Afbeeldingslocatie: http://thamatrix.nl/Tekening1.jpg

Nu willen we een Pix firewall plaatsen en de firewall in het modem uitschakelen. De pix komt dus na het modem. Bedoeling is dat de pix voor een side-to-side vpn verbinding gaat zorgen met QoS.

Een aantal vragen:
- Hoe krijg ik voor elkaar dat het modem alles naar de Pix stuurt? (met ip routes?)
- Hoe kan ik het beste de ip adressen verdelen? Kan ik het best de vpnserver en de nat-server een intern ip adres geven, en de pix het nat laten doen?
- Of kan ik het modem en de firewall over een interne adresreeks laten praten en alles na de pix externe adressen geven (nat-server en vpnserver), en de natserver het nat'ten laten doen?

Iemand ervaring met dit soort opstellingen?

vrijdag 13 oktober 2006 11:55

Acties:
  • Flyduck
  • Registratie: Juni 2001
  • Laatst online: 28-03-2025

Flyduck

het mooiste is natuurlijk als je de modem transparant kan laten functioneren en dat je het ip adres wat nu op de modem zit toewijst aan de outside interface op de pix.

Je moet de pix verder gewoon laten natten. Voor de VPN server gebruik je een static commando op de PIX. maar je kan ook de pix VPN's laten ontvangen waardoor de VPN server overbodig wordt.

Zijn er mensen die deze regel lezen? Graag terugkoppeling gewenst (onopvallend)

vrijdag 13 oktober 2006 12:54

Acties:

Verwijderd

Topicstarter
Flyduck schreef op vrijdag 13 oktober 2006 @ 11:55:
het mooiste is natuurlijk als je de modem transparant kan laten functioneren en dat je het ip adres wat nu op de modem zit toewijst aan de outside interface op de pix.

Je moet de pix verder gewoon laten natten. Voor de VPN server gebruik je een static commando op de PIX. maar je kan ook de pix VPN's laten ontvangen waardoor de VPN server overbodig wordt.
ja idd, maar als ik het ip adres wat nu op het modem zit toewijs aan de outside interface van de firewall kunnen ze niet meer praten. Of moet ik dan nog een ip-adres uit de externe reeks gebruiken om aan het modem of de outside interface van de firewall toe te wijzen? Dan kan ik toch net zo goed 2 10.0.0.* adresjes nemen?

edit: ik zie nu ook dat het modem in bridge mode gezet kan worden. Is dit niet wat ik nodig heb?

[ Voor 5% gewijzigd door Verwijderd op 13-10-2006 13:00 ]

vrijdag 13 oktober 2006 13:06

Acties:
  • Flyduck
  • Registratie: Juni 2001
  • Laatst online: 28-03-2025

Flyduck

Verwijderd schreef op vrijdag 13 oktober 2006 @ 12:54:
[...]


edit: ik zie nu ook dat het modem in bridge mode gezet kan worden. Is dit niet wat ik nodig heb?
Idd, je kan dan de outside interface van de PIX op DHCP zetten..

Zijn er mensen die deze regel lezen? Graag terugkoppeling gewenst (onopvallend)

vrijdag 13 oktober 2006 13:18

Acties:

Verwijderd

Topicstarter
Flyduck schreef op vrijdag 13 oktober 2006 @ 13:06:
[...]


Idd, je kan dan de outside interface van de PIX op DHCP zetten..
Bedoel je als server, dat het modem een adres krijgt van de PIX? Of andersom?
En dat bridge-mode, ik heb er nog nooit mee gewerkt, zorgt het modem dan nog wel voor het inbellen enzo? (PPPoe)

vrijdag 13 oktober 2006 16:42

Acties:
  • Apache4u
  • Registratie: Januari 2004
  • Niet online

Apache4u

Verwijderd schreef op vrijdag 13 oktober 2006 @ 13:18:
[...]


Bedoel je als server, dat het modem een adres krijgt van de PIX? Of andersom?
En dat bridge-mode, ik heb er nog nooit mee gewerkt, zorgt het modem dan nog wel voor het inbellen enzo? (PPPoe)
De outside interface van je pix krijgt dan een publiek adres. Dit kun je statisch toekennen of aan je pix vertellen dat ie dat via dhcp moet ontvangen van je InetProvider. In de laatste situatie fungeert je pix dus als dhcp-client. Verder is het zo dat indien je je adsl-modem in bridging-mode zet deze nog gewoon PPPoe client is.
Verder kun je inderdaad beter je pix gebruiken om te natten en eventueel kun je je pix ook gebruiken voor het afhandelen van VPN-aanvragen. Mocht je dit niet willen kun je je VPN-server in de DMZ van de pix zetten. Dit moet je dan ook weer in je pix configureren? Welke type pix hebben we het hier trouwens over (Ik meen dat het goedkoopste type geen DMZ optie heeft) ?

Dat betekent, stam + t .

vrijdag 13 oktober 2006 16:57

Acties:
  • incinerator82
  • Registratie: September 2001
  • Laatst online: 13-12-2025

incinerator82

I don't Drive Fast, i Fly

in mijn opzicht zou ik een DMZ tussen het adsl modem en de pix doen.
In dit dmz plaats je je vpn server, en je laat de pix het nat werk doen voor je intern net.
Je zet in je adsl modem gwoon alleen de default server op de PIX, en laat de NAT aanstaant (ookwel PNAT)
en je laat alleen de juiste poorten voor de vpn verbinding naar je vnp server sturen..

ff simpel met paint:


Afbeeldingslocatie: http://www.wazda.nl/naamloos.GIF

dan heb je geen last van hakurz op je vpn server omdat alle rest data naar je pix wordt gestuurd

[ Voor 13% gewijzigd door incinerator82 op 13-10-2006 16:59 ]

www.mnmclan.nl - LanParty's 4 The win | www.wazda.nl

vrijdag 13 oktober 2006 17:08

Acties:
  • Apache4u
  • Registratie: Januari 2004
  • Niet online

Apache4u

my 2 cents:
Afbeeldingslocatie: http://x5.freeshare.us/122fs2052764.jpg

Dat betekent, stam + t .

vrijdag 13 oktober 2006 17:33

Acties:
  • incinerator82
  • Registratie: September 2001
  • Laatst online: 13-12-2025

incinerator82

I don't Drive Fast, i Fly

Dus je wil een dmz maken met je pix..
zo ver ik weet ligt een DMZ tussen 2 routers/nat's
met 3 netwerken erom heen....
range 3 kan wel bij 2, en bij internet.
range 2 kan niet bij 3 (alleen via poorten openen) maar wel bij range 1
range 1 kan ipc nergens bij tenzij geforward


range 1 -- range 2 (dmz) -- range 3

www.mnmclan.nl - LanParty's 4 The win | www.wazda.nl

zaterdag 14 oktober 2006 20:09

Acties:

Verwijderd

Stefan heeft nergens iets over een DMZ gezegt. Zowieso als je een pix hebt staan ga je toch lekker Cisco VPN'nen :)

Dus, adsl-modem in bridge mode zodat je pix op zijn outside interface een publiek ip krijgt, aan aan de binnenkant een private.

Hoe groot is je netwerk, en wat voor pix heb je in gedachte?

(internet)<-->modem<-->pix<-->lan

zondag 15 oktober 2006 16:24

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Ik snap eerlijk gezegd niet waarom er hier mensen zeggen dat "je dan maar DHCP aan zet op de router".

Als je een DSL lijn hebt met een /29 is dat toch al een routed subnet en geef je alle hosts die erachter zitten fixed IPs (ook om administratieve redenen).

Clue dát dat al gebruikt wordt is de huidige VPN Win2k server en de NAT doos, je gaat mij niet wijsmaken dat die op z'n public interface op DHCP staan.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

dinsdag 17 oktober 2006 09:03

Acties:
  • Flyduck
  • Registratie: Juni 2001
  • Laatst online: 28-03-2025

Flyduck

BackSlash32 schreef op zondag 15 oktober 2006 @ 16:24:
Ik snap eerlijk gezegd niet waarom er hier mensen zeggen dat "je dan maar DHCP aan zet op de router".

Als je een DSL lijn hebt met een /29 is dat toch al een routed subnet en geef je alle hosts die erachter zitten fixed IPs (ook om administratieve redenen).
Je kan je router toch op de outside interface een ip laten verkrijgen van de ISP, en op de inside interface je router IP configureren dat bij je /29 hoort. Tenzij het een unnumbered interface configuratie is.

Zijn er mensen die deze regel lezen? Graag terugkoppeling gewenst (onopvallend)

dinsdag 17 oktober 2006 09:31

Acties:
  • bazkar
  • Registratie: Juni 2001
  • Laatst online: 19-02 17:01

bazkar

BackSlash32 schreef op zondag 15 oktober 2006 @ 16:24:
Ik snap eerlijk gezegd niet waarom er hier mensen zeggen dat "je dan maar DHCP aan zet op de router".

Als je een DSL lijn hebt met een /29 is dat toch al een routed subnet en geef je alle hosts die erachter zitten fixed IPs (ook om administratieve redenen).
Dat kan dus niet altijd. Sommige providers willen die ranges nog wel eens wisselen, zeker als we het hebben over ADSL of andere goedkope lijnen (SDSL en leased lines hebben wel dedicated IP's vaak, maar ik zie nergens om wat voor soort Internet lijn het gaat). We hebben hier ook een aantal externe sites op DHCP staan aan de buitenkant van de VPN devices (AT&T netgates)

Ik sluit me overigens aan bij de mensen die zeggen dat je de NATting (en eigenlijk ook de VPN's) gewoon moet migreren naar de PIX. Dan heb je (nog) geen DMZ nodig en het scheelt je 2 servers.
DMZ kan (afhankelijk van het type PIX) later altijd nog voor FTP/Web- of Mailservers

dinsdag 17 oktober 2006 19:04

Acties:

Verwijderd

Topicstarter
Bedankt voor alle goede reacties!

Het gaat om een pix 515e een vrij nieuwe dus.
Het 192.168.0.* wat nu bestaat, bestaat uit +/- 50 clients en een paar interne servers.

Ik denk ook een dat een DMZ niet nodig is, die VPN-server kan misschien wel komen te vervallen zoals jullie zeggen. Tot de tijd dat ik dat heb uitgezocht kan ik toch gewoon een statische NAT-entry maken? Dus dat de VPN-server vanaf buiten gewoon bereikbaar is via de Pix?

Ik kan het modem in bridge-mode zetten, maar ik weet niet of de verbinding naar buiten dan tot stand wordt gehouden. Op een ander forum wordt gesteld dat ik PPPoA nodig heb voor het inloggen bij de provider enzo. Er wordt gesteld dat ik ipv bridge-mode een default server kan instellen. Topic: http://www.dslreports.com/forum/remark,17079474

Het gaat om het modem: Efficient SpeedStream 5861 (siemens)

De VPN-server en de NAT-server hebben op dit moment beide een static-adres in de /29 reeks die wij hebben.
Wanneer ik de pix op zijn publieke interface een dhcp adres laat krijgen van het modem (bridge-mode); kan ik dan ook nog de andere adressen uit de /29 reeks op de pix gebruiken? (voor bv. de static NAT entry) En wat voor adres heeft het modem dan, hoe kan ik die bereiken?

Wat denken jullie?

woensdag 18 oktober 2006 10:55

Acties:
  • raymonvdm
  • Registratie: December 2001
  • Laatst online: 30-06-2025

raymonvdm

Euhm als je een /29 heb die je gewoon op al je servers achter het modem kan configureren. Dan kan je toch ook deze hele reeks. Instellen op de WAN interface van je pix. En dan voor je eventuele webservers NAT gebruiken en voor je werkstations PAT

Zo hebben wij het volgens mij ook draaien op de PIX 515. Pix heeft voorzich zelf een public ip. en de mail / web / proxy enz hebben allemaal 1:1 NAT

Voor VPN gebruiker we hier een VPN3000 Concentrator

Voor de webserver / mail server enzo lijkt het me wel handig om toch een DMZ te maken. Zodat je zowel kan filteren van extern naar dmz maar ook van intern naar dmz. En dat is volgens mij wel iets wat je wil

[ Voor 24% gewijzigd door raymonvdm op 18-10-2006 10:57 ]

woensdag 18 oktober 2006 16:51

Acties:

Verwijderd

Topicstarter
raymonvdm schreef op woensdag 18 oktober 2006 @ 10:55:
Euhm als je een /29 heb die je gewoon op al je servers achter het modem kan configureren. Dan kan je toch ook deze hele reeks. Instellen op de WAN interface van je pix. En dan voor je eventuele webservers NAT gebruiken en voor je werkstations PAT

Zo hebben wij het volgens mij ook draaien op de PIX 515. Pix heeft voorzich zelf een public ip. en de mail / web / proxy enz hebben allemaal 1:1 NAT

Voor VPN gebruiker we hier een VPN3000 Concentrator

Voor de webserver / mail server enzo lijkt het me wel handig om toch een DMZ te maken. Zodat je zowel kan filteren van extern naar dmz maar ook van intern naar dmz. En dat is volgens mij wel iets wat je wil
Okay, ik kan dus de WAN interface van de Pix het /29 adres geven. Maar dan gaat al het verkeer toch al automatisch naar de WAN interface van de Pix vanaf het modem? Dus dan hoef ik eigenlijk niks aan het modem te veranderen, of ben ik nou gek?

woensdag 18 oktober 2006 20:35

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

nee, dat klopt inderdaad :)
Vandaar ook de suggestie omdat dat het minste werk is ipv dat je én modem én pix moet configgen.
Least administrative effort.

[ Voor 10% gewijzigd door alt-92 op 18-10-2006 20:36 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

woensdag 18 oktober 2006 21:17

Acties:

Verwijderd

Topicstarter
BackSlash32 schreef op woensdag 18 oktober 2006 @ 20:35:
nee, dat klopt inderdaad :)
Vandaar ook de suggestie omdat dat het minste werk is ipv dat je én modem én pix moet configgen.
Least administrative effort.
Zo das wel beter zeg. Hoef ik alleen maar even de firewall in het modem uit te schakelen.
Maar ik heb dan zegmaar de volgende opstelling:

WWW-----Modem----Pix----Intern netwerk

Het modem heeft op de interne interface (die straks naar de Pix gaat) het ipadres 194.109.1.4 uit de 194.109.1.0/29 reeks. Ik geef dus straks de WAN-interface van de Pix de hele /29 reeks. Geeft dat geen problemen? Ik bedoel, ik gebruik een adres uit die reeks voor een interface van het modem en vertel vervolgens aan de pix dat de hele /29 reeks voor zijn interface is.

Weet iemand hoe dit zit en of dat kan?

Morgenavond moeten de wijzigingen doorgevoerd worden, dus als iemand nog tips heeft hoor ik ze graag!

donderdag 19 oktober 2006 17:19

Acties:

Verwijderd

Meestal heeft je modem 1 publiek ip-adres als je het goed doet. In jou geval, heb je de reeks 194.109.1.0/29.

Dit zijn in totaal 8 ipadressen. Het eerste en laatste adres is niet bruikbaar om een apparaat aan te hangen. Je hebt dus tot je beschikking, 194.109.1.1 t/m 194.109.1.6

meestal geeft je dan je modem 194.109.1.1, je pix 194.109.1.2, en eventueel kan je via statische nat mappings op de pix 194.109.1.3 aan je vpn server hangen die achter je pix hangt in je lan, of in je dmz.
Pagina: 1
Reageer