MXStream dsl + externe IP in Cisco PIX

Kijk eens naar de sipspoof config is voor je je speedtouch ongeveer gelijk aan dhcp spoof alleen dan statisch. Zo komt je externe ip direct aan je pix te hangen.

Ik gebruik het zelf met een server die internet deelt. Zodat ik niet 2 keer hoef te natten

http://jp.dhs.org/~jp/510.html
http://www.jelmerbarhorst.com/

IK heb niks hoeven te veranderen in m`n speedtouch 510 modem. Wel in de route tabel van de server die erachter hangt.


Mischien nog een keertje het document doorlezen. Want het kan goed dat je een stap vergeet / overslaat.

Want het is niet echt logisch de sipsoof. Maar werkt wel perfect.

Waarom lus je niet gewoon het externe ip adres door naar je pix

Als het niet werkt met een pix, waarom heb je hem dan Die alcatels hebben ook een heel klein beetje firewall functie, en voor zo rond de 1000 euro moet je toch wel een "goeie" firewall kunnen vinden die PPtP ondersteunt. Klinkt misschien stom, maar als je het niet werkend krijgt en er dagen mee bezig bent wordt het natuurlijk ook een duur grapje voor je baas.

Het moet gewoon kunnen met een pix ik denk alleen dat de topic starter nog niet helemaal thuis is in het cisco pix gebeuren ICM met routering

En toch zou die sipsoof gewoon moeten werken.

Welk type speedtouch heb je precies ?

En kan je die pix opsturen zodat ik het eens kan proberen

ip address outside 213.84.145.83 255.255.255.255

deze doet het wel ?


Probeer anders deze even

ip address outside 213.84.145.83 255.255.255.254

Staat ook een stukje over op die sipspoof pagina`s dacht ik.

C:\>route print
===========================================================================
Interface List
0x1 ........................... MS TCP Loopback interface
0x3 ...00 80 c8 b9 e5 bb ...... Intel DC21143 PCI Fast Ethernet Adapter
0x4 ...00 80 c8 b9 e5 ba ...... Intel DC21143 PCI Fast Ethernet Adapter
0x5 ...00 80 c8 b9 e5 b9 ...... Intel DC21143 PCI Fast Ethernet Adapter
0x2000002 ...00 80 c8 b9 e5 bc ...... Intel DC21143 PCI Fast Ethernet Adapter
===========================================================================
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 10.0.0.138 62.58.242.* 1
10.0.0.138 255.255.255.255 62.58.242.* 62.58.242.* 1
10.10.10.0 255.255.255.0 10.10.10.10 10.10.10.10 1
10.10.10.10 255.255.255.255 127.0.0.1 127.0.0.1 1
10.255.255.255 255.255.255.255 10.10.10.10 10.10.10.10 1
62.58.242.0 255.255.255.0 62.58.242.* 62.58.242.* 1
62.58.242.* 255.255.255.255 127.0.0.1 127.0.0.1 1
62.255.255.255 255.255.255.255 62.58.242.* 62.58.242.* 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.10.0 255.255.255.0 192.168.50.252 192.168.50.250 1
192.168.50.0 255.255.255.0 192.168.50.250 192.168.50.250 1
192.168.50.250 255.255.255.255 127.0.0.1 127.0.0.1 1
192.168.50.255 255.255.255.255 192.168.50.250 192.168.50.250 1
192.168.100.0 255.255.255.0 192.168.100.250 192.168.100.250 1
192.168.100.250 255.255.255.255 127.0.0.1 127.0.0.1 1
192.168.100.255 255.255.255.255 192.168.100.250 192.168.100.250 1
224.0.0.0 224.0.0.0 10.10.10.10 10.10.10.10 1
224.0.0.0 224.0.0.0 62.58.242.* 62.58.242.* 1
224.0.0.0 224.0.0.0 192.168.50.250 192.168.50.250 1
224.0.0.0 224.0.0.0 192.168.100.250 192.168.100.250 1
255.255.255.255 255.255.255.255 10.10.10.10 10.10.10.10 1
Default Gateway: 10.0.0.138
===========================================================================
Persistent Routes:
Network Address Netmask Gateway Address Metric
192.168.10.0 255.255.255.0 192.168.50.252 1
10.0.0.138 255.255.255.255 62.58.242.* 1

C:\>


62.58.242.* is m`n buiten adres.

Deze machine heeft een quad nic met als ip`s

nic1 = 192.168.100.250/255.255.255.0
nic2 = 192.168.50.250/255.255.255.0
nic3 = 10.10.10.10/255.255.255.0
nic4 = 62.58.242.*/255.255.255.0 (al staat er dan hard in het register 255.255.255.255) mocht de cisco dit niet snappen gebruik dan 255.255.255.254

Belangrijke Stukjes uit de sipspoof config die je aan moet passen !!

set var="PPPoA_userid" value="username@xs4all.nl"
set var="PPPoA_passwrd" value="********"
set var="PPPoA_IP" value="80.126.0.1" (is dus jou buiten IP !)

Voledige file is hier te halen http://jp.dhs.org/~jp/sipspoof.ini

LET OP WEL JE EIGEN INSTELLINGEN AANPASSEN EN DAN UPLOADEN VIA DE WEBPAGINA VAN JE MODEM. WEL EERST HET MODEM TERUGZETTEN NAAR FACDEFAULT.

Dit is een belangrijke route

10.0.0.138 255.255.255.255 62.58.242.* 1 (zie route print en dan persistant)

[ Voor 3% gewijzigd door raymonvdm op 31-10-2003 23:34 ]

Hi PisPix

Succes met de test van de week. Komt de uptime overigens niet ten goede

Groet TT

PisPix schreef op 03 november 2003 @ 17:07:
De Cisco heeft geen probleem met een Hostroute (255.255.255.255). Ik heb niet het idee dat het probleem in m'n modem zit, maar dit ga ik deze week testen door met een linux bak te kijken of ik wel het externe ip adres op de interface krijg. Als dit wel het geval is, gaat het ergens op routing/access list niveau fout op de pix. Bedankt voor je route tabel, maar ook hieruit kan ik niet het verschil opmaken.

Hallo,

Ik ben ook bezig met een Cisco Pix 501 en heb precies hetzelfde probleem.

Heb het ook met een Netscreen 5xp geprobeerd en dat werkt goed, ip-adres met subnet toevoegen en alleen een default gateway naar 10.0.0.138 (Sip-spoof) en werken.

Wanneer je via de PDM Manager het ip-adres op 111.111.111.111/32 wilt instellen krijg je al een foutmelding dat dit niet kan, via telnet accepteerd hij het wel, misschien dat hier het probleem in zit.

Ik heb nu contact met Cisco TAC of dat die een oplossing weten.

En daarbij komt dat je te weinig memory hebt om PDM software te draaien op je PIX. , Das jammer.......

ff domme opmerking:

Je kunt toch gewoon in je router/modem een DMZ host opgeven ? is meteen stukje veiliger, omdat je dan nog eens extra een paar poortjes kunt blokken enzo.

Ik heb het werkend!!!

Vanaf de KPN cd uit de config map het bestand spoof.ini geladen naar de speedtouch 510, wel eerst even de factory defaults laden.
Vervolgens username en password toevoegen, Save all klikken

Nu de router even opnieuw opstarten, dit is erg belangrijk anders werkt het niet!!

Vervolgens de Cisco Pix alle routes weg gooien en vervolgens de ethernet0 op dhcp met default gateway aanzetten.

Nu krijg je alle info op de interface het publieke ip-adres met subnet 255.0.0.0 (beetje vreemd) en een default gateway buiten je subnet. Maar werkt wel. Lease time is 8 minuten dus wanneer 1 van beiden uitvalt of opnieuw opstart zal de instelling weer snel gegeven worden.

Hierbij de config file adsl voor kpn_spoof.ini

[ env.ini ]
set var=CONF_REGION value="Netherlands"
set var=CONF_PROVIDER value="ADSL van KPN Telecom"
set var=CONF_DESCRIPTION value="Voor het, middels DHCP spoofing, transparant aansluiten van één computer."
set var=CONF_SERVICE value="C. Router-modem (Spoofing)"
set var=CONF_DATE value="12/09/2002"
set var=CONF_VERSION value="1.1"
set var=HOST_SETUP value="auto"

'setting of env variables for use without wizard
'-----------------------------------------------
set var=DSL_ADDR value="8*48"
set var=PPPoA_userid value=""
set var=PPPoA_passwrd value=""
set var=passwrd value=""

'Definition of groups
'--------------------
'Definition of PPPoA group
def var=PPPoA type=grp desc="Voor het aanmelden bij uw Service Provider hebt u uw Service Provider-username en Service Provider-password nodig." help="Deze gegevens hebt u ontvangen van uw Service Provider." alias="C. Router-modem (Spoofing)"
'Definition of password group
def var=passwdgrp type=grp desc="U kunt hier uw SpeedTouch modem beveiligen met gebruikersnaam en wachtwoord (is niet verplicht)." alias="SpeedTouch Modem beveiliging"

'PPPoA group
'-----------
'variable PPPoA_userid
def var=PPPoA_userid type=string grp=PPPoA alias="User Name" req desc="Typ uw Service Provider-username in."
'variable PPPoA_passwrd
def var=PPPoA_passwrd type=passw grp=PPPoA alias="Password" req desc="Typ uw Service Provider-password in."


'password group
'--------------
'variable userid
def var=userid type=string grp=passwdgrp alias="User Name" desc="Typ een gebruikersnaam in."
'variable passwrd
def var=passwrd type=passw grp=passwdgrp alias="Password" desc="Typ een wachtwoord in."

[ phone.ini ]
add name=DHCP_spoof addr=$DSL_ADDR type=ppp

[ qos.ini ]
add name=default class=ubr tx_peakrate=0

[ bridge.ini ]
config age=300

[ brfilter.ini ]

[ pptp.ini ]

[ dhcp.ini ]
config autodhcp=off scantime=20 spoofing=on trace=off
policy verifyfirst=off trustclient=on
spoof failtime=4 errorlt=60 dodlt=10
pool add name=LAN_private
pool config name=LAN_private poolstart=10.0.0.150 poolend=10.0.0.200 netmask=32 leasetime=30
start

[ mer.ini ]

[ ppp.ini ]
ifadd intf=DHCP_spoof
rtadd intf=DHCP_spoof dst=0.0.0.0/0 src=10.0.0.0 srcmsk=1
ifconfig intf=DHCP_spoof dest=DHCP_spoof user=$PPPoA_userid password=$PPPoA_passwrd proto=pppoa accomp=on retryinterval=25 addrtrans=none restart=on

[ cip.ini ]

[ nat.ini ]
bind application=H323 port=1720
bind application=FTP port=ftp
bind application=RTSP port=554
bind application=IRC port=irc-u
bind application=RAUDIO(PNA) port=7070
bind application=ILS port=ldap
bind application=ILS port=1002
bind application=GRE port=1
bind application=PPTP port=1723
bind application=ESP port=1
bind application=IKE port=500

[ pfilter.ini ]
chain create chain=sink
chain create chain=forward
chain create chain=source
rule create chain=sink index=0 srcintf=eth0 srcbridgeport=1 action=accept
rule create chain=sink index=1 srcintfgrp=!wan action=accept
rule create chain=sink index=2 prot=udp dstport=dns action=accept
rule create chain=sink index=3 prot=udp dstport=68 action=accept
rule create chain=sink index=4 action=drop
rule create chain=forward index=0 srcintfgrp=wan dstintfgrp=wan action=drop
rule create chain=source index=0 dstintfgrp=!wan action=accept
rule create chain=source index=1 prot=udp dstport=dns action=accept
rule create chain=source index=2 prot=udp dstport=67 action=accept
rule create chain=source index=3 action=drop

[ pfirewall.ini ]
assign hook=sink chain=sink
assign hook=forward chain=forward
assign hook=source chain=source

[ ip.ini ]
config forwarding=on firewalling=on redirects=on sourcerouting=off netbroadcasts=off ttl=64 fraglimit=64 defragmode=nat addrcheck=static mssclamping=on
apadd addr=10.0.0.138/8 intf=eth0 addroute=no
ifconfig intf=loop mtu=1500 group=local
ifconfig intf=eth0 mtu=1500 group=lan
ifconfig intf=DHCP_spoof mtu=1500 group=wan
rtadd dst=0.0.0.0/0 intf=eth0 metric=70
rtadd dst=224.0.0.0/4 intf=eth0
rtadd dst=10.0.0.0/8 gateway=10.0.0.138
rtadd dst=255.255.255.255/32 gateway=10.0.0.138
rtadd dst=10.0.0.0/8 src=10.0.0.0/8 gateway=10.0.0.138

[ dnsd.ini ]
domain domain=lan
add hostname=SpeedTouch
start
troff

[ dhcc.ini ]
config trace=off

[ adsl.ini ]
config opermode=multimode maxbitspertoneUS=13

[ system.ini ]
config upnp=on mdap=on
setpassword password=$passwrd

[ endofarch ]

bestand staat op de originele kpn cd in de config map, als je deze config laad hoef je alleen vervolgens in je browser even de inloggegevens in te vullen.

Ben erachter gekomen via 2elijns helpdesk KPN.

Ben alleen nog even aan het kijken hoe betrouwbaar het is, wanneer bijv de stroom uitvalt, krijgt de pix dan weer netjes het ipadres of moet je dan in de browser op refresh ip klikken.

Ik heb morgen weer een Pix 501 ter beschikking, ga ik het weer proberen.

Ik heb liever een statische instelling, dit heb ik echter nog niet aan de praat gekregen. Wanneer je de instellingen vast insteld deelt de Speedtouch het adres niet uit en wordt de route tabel niet goed opgebouwd, dit gebeurd pas wanneer er een dhcp client aanmeld.

Jullie horen het nog!!

Er is ook een DHCP spoof voor de Home/Pro heb je daar echt de 510 firmware voor nodig ?

Hoi PisPix,

Heb je ook een werkende config voor je 826? Ik krijg dat maar niet voor elkaar...:-(
Is je pix inmiddels compleet werkend?

>Ook staan er hier op tweakers diverse configs.
Ah, 'k zal eens rondstruinen... ik ben ik pas net via google terechtgekomen....
thanks anyway

Helaas, nergens configs te vinden die aan sip spoofing/bridging doen. En de cisco site is en blijft een hooiberg ;-)

Helaas, dat zijn geen bridging voorbeelden.... Als het goed is moet het wel werkend te krijgen zijn, maar dat bridgen icm adsl maakt voor mij de boel compleet ondoorzichtig.
Thanks anyway...