Pix met Pix verbinden

mischien die dingen in gelijke subnets zetten?

Dan zal je toch echt een subnet er tussen moeten hebben waar ze allebei in zitten anders gaat het echt niet werken.

Gelijke subnets is toch niet nodig? Daarvoor was juist routing toch uitgevonden meen ik me te herinneren.

Wat ik me wel herinner van de PIX 501's is dat ik bij bijvoorbeeld het instellen van firewall rules alles precies andersom moest doen vergeleken met normale routers. Misschien ook in dit geval?

Die PIX heeft 2 interfaces. Dan kun je dus op 1 interface gewoon je LAN adres instellen, en op de andere interface stel je bijvoorbeeld 172.16.0.0/30 in. Dat doe je aan de andere kant ook, en je kunt routeren via het 172.16.0.0/30 netwerk.

Probeer nou eerst eens gewoon te zorgen dat die 2 pixen elkaar kunnen pingen zonder rare routeringstrucs uit te moeten halen.

TrailBlazer schreef op dinsdag 24 juni 2008 @ 13:24:
Probeer nou eerst eens gewoon te zorgen dat die 2 pixen elkaar kunnen pingen zonder rare routeringstrucs uit te moeten halen.

Vergeet dit niet toe te staan in de firewall rules, hier heb ik ooit eens ruzie mee gehad al weet ik niet meer van waar na waar ik aan het pingen was, het lag in ieder geval aan de firewal rules.

[ Voor 13% gewijzigd door Mosaics.Ruled op 24-06-2008 13:26 ]

Mijn pix kennis is wat roestig geef ik toe. Daarom zijn routers ook handiger om mee te rotzooien heb je tenminste geen gezeur met rare firewall regels.

Even een statische route toevoegen dan he...

Lees dit maar even anders:

http://routergod.com/deniserichards/

ok...

Je moet de volgende situatie bouwen:

LAN 1 (192.168.2.0/24) --- PIX 1 --- Tussennetwerk ---- PIX 2 --- LAN 2 (10.10.10.0/24)

Op de LAN interface van je PIX1 configureer je ip-adres 192.168.2.1 255.255.255.0, op de LAN (inside) interface van PIX 2 config je 10.10.10.1 255.255.255.0. Op de tweede interface (outside) configureer je bijvoorbeeld 172.30.1.1 255.255.255.252 op PIX1 en 172.30.1.2 255.255.255.252 op PIX2.

Dan moet je nog een statische route toevoegen. Op PIX1 wordt dat:
route outside 10.10.10.1 255.255.255.0 172.30.1.1

Op PIX2 wordt dat:
route outside 192.168.2.0 255.255.255.0 172.30.1.2

Zo zou het volgens mij moeten werken. Kom je nu verder?

Nouja, de interface die je hebt aangesloten op de andere pix dus...

Teken nou eerst eens uit hoe je alles fysiek hebt aangesloten, en zet daar even IP-adresjes bij. Dan wordt het allemaal ook voor mij een stuk duidelijker.

Hoe heb je dan PIX1 op PIX2 aangesloten?

Verder moet je natuurlijk route OUTSIDE doen, aangezien je nu op PIX1 aangeeft dat het netwerk 10.10.10.0 via de inside interface bereikt kan worden.

Doe eens een traceroute ipv een ping? (het commando tracert in een dosboxje)

Wat is de security level op de betreffende interfaces? Verkeer dat van een lager naar een hoger security level wil moet altijd een permit regel in een firewall rule hebben.

_DH schreef op dinsdag 24 juni 2008 @ 23:31:
Wat is de security level op de betreffende interfaces? Verkeer dat van een lager naar een hoger security level wil moet altijd een permit regel in een firewall rule hebben.

Ook heel belangrijk inderdaad.

Vrij benieuwd hoe je de verbinding test, maar ik verwacht met een ping commando.
Als ik mijn niet vergis, staat ICMP standaard uitgeschakeld op de pix.

Als je er al een permit ip any any regel hebt staan is de rest natuurlijk niet meer nodig. Verder: heb je de access-list ook wel toegekend aan een interface met het ip access group commando? Alleen een access-list aanmaken is niet voldoende.

Waar komt dat .254 adres nou ineens vandaan? Die staat niet in je situatie-schets. Bovendien: er komt toch een reply? Da's toch goed?

En doe nou eens een traceroute van het ene netwerk naar het andere? Dat is niet hetzelfde als een icmp trace. Ik wil weten welke route er wordt gevolgd...

Heb net twee dagen achter de rug waarbij ik met een Cisco ASA een soortgelijke probleem niet aan de praat kreeg. Waar ik inmiddels achter ben is dat je ICMP wel goed open moet zetten voordat pingen normaal zal werken. Ik kan dus wel de netwerken benaderen maar pingen gaat nog steeds niet. Kijk dus of je dus bijv wel een switch of router kan benaderen op de webinterface achter de tweede pix en vice versa.

Security is niet mijn ding, en ik moet zeggen dat ik me er het liefst ook nooit in wil specialiseren. Ik vind het echt een drama-apparatuur.

Bij een ping moet ook de route terug bekend zijn en worden toegestaan door de access-lists volgens mij.

Ik heb al 3x gevraagd hoe PIX1 en PIX2 FYSIEK op elkaar aangesloten zitten, maar blijkbaar vind je dat zelf niet zo belangrijk. Als je op PIX1 op 1 interface je LAN hebt en op de 2e je ISP, waar heb je dan de PIX op aangesloten?

Mijn kristallen bol zit zonder baterijen, maar als ik een beetje tussen de regels door lees, heb je een bestaand netwerkje op 192.168.2.0/24, waar de default gateway een pix is (op 192.168.2.1), die ook aan het internet hangt. Op een vrije switchport heb je een tweede pix gehangen en daarachter zit dan een 10. netwerkje



Je moet nu op de PIX2 een default route naar 192.168.1.1 zetten (die zal hij wel krijgen uit de dhcp server als je die gebruikt. De route vanaf zooi in je 10. netwerkje naar de rest van de wereld is dan ok.

Op de PIX1 moet je een route naar 10.10.10.0/24 via 192.168.1.64 zetten, zodat iets wat eenmaal op PIX1 is gekomen weer door gestuurd kan worden naar de volgende hop, PIX2. Ik neem aan dat NAT enzo allemaal op PIX1 geregeld is, evt moet je de inside adressen-range nog wat uitbreiden, zodat je ook vanuit het 10. netwerkje verder het netwerk op kan. Als je op Pix1 niets kunt,wilt of mag veranderen, moet je op PIX2 geen route zetten maar NAT of PAT doen (inside 10, outside 192).
Verder moeten al je acls kloppen, natuurlijk.

Maar goed, maak eerst even een duidelijk schema van je netwerken, in plaats van ons allemaal een beetje te laten raden.

P.

Tja, dan moet je natuurlijk op je access point ook een route aanmaken naar pix2.

Ehm... access-point, geen router Lezen

[ Voor 26% gewijzigd door Vicarious op 25-06-2008 22:55 ]

Volgens de tekening is de next hop in je route naar 10.10.10.0 op Pix1 192.168.2.1, en is dat de PIX1 zelf. Je moet daar het outside adres van pix2 opgeven als next hop; 192.168.2.64 volgens de route tabel die je van Pix2 geeft.

Tekening is zo te zien redelijk in overeenstemming met mijn ascii-art schetsje.

P.

[ Voor 18% gewijzigd door luteijn op 26-06-2008 17:18 ]

Je wilt tegen Pix1 vertellen dat het 10.10.10.0/24 netwerk via 192.168.2.64 te bereiken is, toch? Nou heb ik maar beperkte ervaring met PIXen (af en toe doe ik voor mijn werk wel eens een change op een routertje of switchje van meneer Cisco, maar de firewalls vallen onder een andere afdeling en zijn van meneer Checkpoint), maar je zou toch verwachten dat je alleen de verkeerde route even weg moet gooien en dan een goede aanmaken. Dus, op Pix1:

moet ingeven.
Van die regel die jij geeft kan ik weinig chocola maken. Je zegt daarin volgens mij namelijk (op een rare manier) dat het 192.168.2.0/24 netwerk via 10.10.10.1 te bereiken is en dat het aan de outside kant zit. Terwijl het 192.168.2.0/24 netwerk juist aan de inside kant zit en directly connected is.

P.

Verwijderd schreef op vrijdag 27 juni 2008 @ 12:16:
kan helaas nog niet pingen.
3: ICMP echo request (len 32 id 9233 seq 2) 192.168.2.1 > 10.10.10.1
10.10.10.1 NO response received -- 1000ms
maar aan de routering te zien klopt deze nu wel ?

Tsja, moet je die routering wel even hierheen knippen en plakken, want geen idee wat je nu uiteindelijk hebt. Dus even kijken wat er nu op pix1 en pix2 in de IP route-tabellen staat, zoals rechts op de oorspronkelijke tekening.

Veder zou ik ook even stap voor stap kijken; krijg je wel een reply als je naar 192.168.2.64 pingt? Denk er ook aan dat die PIXen in hoofdzaak firewalls zijn, en geen normale routers, en dat je dus wel zeker moet zijn dat ze de ICMP echo replies of requests niet blokkeren. Zoals al eerder gevraagd is, doe eens een traceroute vanaf een PC in het 192.168.2.0 netwerk naar een PC het 10.10.10.0 netwerk. Dus niet van Pix naar Pix, maar er doorheen.

P.

Die inside 10.10.10.0 route op pix1 slaat nergens op... die moet eruit. Verder moet er op PIX1 een route outside 10.10.10.0 255.255.255.0 192.168.2.64 en op PIX2 een route outside 192.168.2.0 255.255.0 192.168.2.1. De rest van de routes kunnen eruit.

Kan kloppen nu je het zegt... op PIX2 is dat een direct connected netwerk, dus daar hoef je geen route voor aan te maken. Dan heb je alleen op PIX1 de route naar het 10.nogwat netwerk nodig.

En volg het advies van Luteijn eens op... ga nou eens stap voor stap pingen en tracen om te kijken waar het mis gaat.

Vicarious schreef op vrijdag 27 juni 2008 @ 15:00:
Die inside 10.10.10.0 route op pix1 slaat nergens op... die moet eruit. Verder moet er op PIX1 een route outside 10.10.10.0 255.255.255.0 192.168.2.64 en op PIX2 een route outside 192.168.2.0 255.255.0 192.168.2.1. De rest van de routes kunnen eruit.

Even voor mijn begrip, waarom moet op Pix1 de route naar 10.10.10.0/24 via 192.168.2.64 een 'outside' route zijn? Volgens mij kloppen de route tabellen nu; alleen maar connected netwerken default routes 'upstream' en op Pix 1 een route naar het 10.10.10.0/24 netwerk via 192.168.2.64

en aan TS:

heb laptop aangesloten aan pix2 krijg netjes ip kan 10.10.10.1 pingen maar ik kan niet 192.168.2.64 pingen de rest kan ik wel allemaal pingen

wat bedoel je hier met 'de rest'? Doet ping 192.168.2.60 vanaf je laptop achter pix2 (met bijv addres 10.10.10.2) het? In dat geval werkt namelijk je routering en is het puur een questie van instellingen op de pixen die wellicht ping-request naar de pix zelf op een address dat 'aan de andere kant' van de pix zit blokkeren.


P.

[ Voor 7% gewijzigd door luteijn op 27-06-2008 16:02 . Reden: zin weggevallen ]

Gefeliciteerd, je routering werkt dus. Dat die rare firewalls niet op ping antwoorden, ligt vast aan een locale setting op die doosjes, laat ik me verder niet over uit want heb ik niet genoeg verstand van.

P.

luteijn schreef op vrijdag 27 juni 2008 @ 16:00:
[...]


Even voor mijn begrip, waarom moet op Pix1 de route naar 10.10.10.0/24 via 192.168.2.64 een 'outside' route zijn? Volgens mij kloppen de route tabellen nu; alleen maar connected netwerken default routes 'upstream' en op Pix 1 een route naar het 10.10.10.0/24 netwerk via 192.168.2.64

Ik zit weer verkeerd naar dat plaatje te kijken. Op dat plaatje staat er niet bij getekend dat aan de outside interface op PIX1 het internet vastzit. Ik ga er dus steeds vanuit dat dat 10.10.10.0/24 netwerk via de outside interface benaderd moet worden.

Maak is een NAT 0 aan voor het verkeer tussen je interne netwerken...