Cisco pix 501 NAT

ik heb onlangs een pix 501 op de kop getikt op gebruik te kunnen maken van point to point VPN. De leercurve zal stijl zijn maar ik ga het gewoon proberen. Mijn cisco kennis is minimaal. Ik weet wel dat hun logo de golden gate bridgde is :-)

Ik heb mijn eenvoudige router thuis er nu tussenuit gehaald en de pix ervoor in de plaats gezet. Via cisco / google etc ben ik tot een een config gekomen die mijn inziens zou moeten werken om mijn verkeer naar het internet te routeren. Of wel nat / pat.

De pix komt prima in de lucht, kan hem benaderen via de https site(java) en ook via de consolepoort gaat het goed. Ik krijg op deze config geen errors.

Echter geen internet op mijn clients. Gateway etc op de clients staan goed.

Mis ik iets?

Hieronder volgt mijn gedepersonaliseerde config:


PIX Version 6.3(5)
interface ethernet0 100full
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password blabla encrypted
passwd blabla encrypted
hostname pixfirewall
domain-name test.tst
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside dhcp
ip address inside 10.21.7.253 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 10.21.7.0 255.255.255.0 0 0
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 10.21.7.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd address 10.21.7.100-10.21.7.120 inside
dhcpd dns 212.54.40.25 212.54.35.25
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd enable inside
terminal width 80

raceduck schreef op zondag 17 oktober 2010 @ 14:13:
Werk je in de cli of in de pdm?

Heb je rules gemaakt dat er verkeer naar buiten mag?

beiden. De config heb ik in de cli gemaakt op basis van een voorbeeld. ik heb geen extra rules gemaakt

ik heb het gevonden. De volgende regel moet aangepast worden:

ip address outside dhcp

moet moest

ip address outside dhcp setroute

nu werkt het perfect!!

Nu we toch bezig zijn. Ik heb een TS Gateway draaien op server 2008 achter mijn pix. Om deze te kunnen gebruiken heb ik inbound 80 en 443 nodig.

Ik kwam met deze commando's (er zijn vele opties zag ik al)


access-list permit tcp any any eq www
access-list permit udp any any eq 80
access-list permit tcp any any eq https
access-list permit udp any any eq 443

Maar bij het uitvoeren van het eerste commando krijg ik dit:

pixfirewall(config)# access-list permit udp any any eq 443
ERROR:<udp> not a valid permission
usage:

access-list 102 permit tcp any any eq www

Dit commando werkt bijv wel. Maar ik heb geen idee wat ik dan aangeef met die '102'. Is dat een groep?

[ Voor 13% gewijzigd door TF op 18-10-2010 20:48 ]

het gaat nu bijna goed. Ik probeer nu poort 443 en 80 naar binnen toe te krijgen. Ik heb de portforwarders aangemaakt en probeer nu de access-list aan te passen zodat het verkeer ook zal worden toegestaan


object-group service AllowIN_TCP tcp
port-object eq www
port-object eq https

access-list outside_access_in permit tcp any object-group AllowIN_TCP
access-group outside_access_in in interface outside


Het aanmaken van de group AllowIN_TCP commando gaat prima. Echter de aanpassing op de accesslist niet.

'missing argument' als ik het commando uitvoer. Iemand enig idee?

Vicarious schreef op vrijdag 22 oktober 2010 @ 20:35:
na allow_in_tcp moet je nog aangeven waarnaartoe je het toestaat. Dus het interne IP-adres.

access-list outside_access_in permit tcp any object-group AllowIN_TCP 10.21.7.253

zou het dan moeten worden? Ook dit commando werkt niet. Missing arguments

Vicarious schreef op vrijdag 22 oktober 2010 @ 21:29:
Mask moet er nog achter, of je moet host 10.21.7.253 neerzetten.. Bouw het commando anders rustig op met een ?. Dus access-list outside_access_in ?. Dan geeft IOS aan welk argument daarna moet komen. Dan ga je verder met de volgende stap, dus access-list outside_access_in permit ?

Oke, bedankt! Dit zijn mijn commando's geworden om verkeer toe te laten

static (inside, outside) tcp interface 443 10.21.7.240 443 netmask 255.255.255.255
static (inside, outside) tcp interface 80 10.21.7.240 80 netmask 255.255.255.255
object-group service AllowIN_TCP tcp
port-object eq www
port-object eq https
access-list outside_access_in permit tcp any object-group AllowIN_TCP 10.21.7.253 255.255.255.255
access-group outside_access_in in interface outside

Maar toch laat hij geen verkeer door vanaf het grote boze internet naar mijn interne server op 10.21.7.240:80/443.

Alles staat toch goed zo?

Mijn hele config staat in de ts. Daar moeten die accesslist commandos nog aan worden toegevoegd en natuurlijk setroute op de outside interface

Nat werkt volgens mij goed. Ik kan nml prima internetten via de pix als gateway.
Of mijn perceptie van nat is te bekrompen. Voor het routeren van interbetverkeer werkt de pix uitstekend. Wil dus nu voornamelijk een poort van buiten naar binnen openzetten en forwarden 80 en 443 naar 10.21.7.240 ( server 2008 ts )

Vicarious schreef op zaterdag 23 oktober 2010 @ 01:39:
Stom van mij, in je regel
access-list outside_access_in permit tcp any object-group AllowIN_TCP 10.21.7.253 255.255.255.255

moet je niet het interne maar het externe IP opgeven. Vermoedelijk werkt het dan wel.

Ik heb nu het ip adres van outside interface daar neer neergezet ofwel het externe IP. maar helaas nog geen verkeer naar binnen toe. aaaah

is het mask wel goed? 255.255.255.255 moet dat niet anders?

dit is de huidige ingespoelde config:


PIX Version 6.3(5)
interface ethernet0 100full
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password xxxxx encrypted
passwd xxxxx encrypted
hostname hoogkarspel
domain-name imagine.tf
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside dhcp setroute
ip address inside 10.21.7.253 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 10.21.7.0 255.255.255.0 0 0
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 10.21.7.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd address 10.21.7.100-10.21.7.120 inside
dhcpd dns 212.54.40.25 212.54.35.25
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd enable inside
terminal width 80
static (inside, outside) tcp interface 443 10.21.7.253 443 netmask 255.255.255.255
static (inside, outside) tcp interface 80 10.21.7.253 80 netmask 255.255.255.255
object-group service AllowIN_TCP tcp
port-object eq www
port-object eq https
access-list outside_access_in permit tcp any object-group AllowIN_TCP 84.107.x.x 255.255.255.255
access-group outside_access_in in interface outside

uiteraard x.x om iets te depersonaliseren

Vreemd..... Ik kom er verder niet meer uit.

Ik laat het even voor wat het is en kijk er over een paar dagen nog eens naar