• Hallo Gast!
    Noch bis zum 20.07. kannst Du an unserer Umfrage zum Hersteller des Jahres teilnehmen! Als Gewinn verlosen wir unter allen Teilnehmern dieses Mal eine Grafikkarte Eurer Wahl für bis zu 1.000 EUR - über eine Teilnahme würden wir uns sehr freuen!

Problem mit Cisco PIX

orpheus88

orpheus88

Semiprofi
Thread Starter
Mitglied seit
02.09.2006
Beiträge
1.920
Ort
Hamburg
Hallo Luxxer,

ich hoffe ihr könnt mir bei meinem Probem helfen.
Ich habe für mein Unternehmen als Abschlussprojekt einen SSL VPN Server aufgesetzt und auf einer Cisco PIX 515E eine DMZ konfiguriert. Der Internetzugriff lief bisher über eine PIX501 ab (so ne kleine mit bloß 2 Ports als einfacher Paketfilter). Jetzt mit der "großen" habe ich das Problem das manche Internetseiten (google/web.de) funktionieren und manche wie z.B. ebay.de oder administrator.de nicht, da kommt bloß kurz "verbinden mit ebay.de" und dann "warten auf ebay.de" allerdings läd er nicht weiter.
Bei web.de (Freemail) und gmx ist es so das die meisten Sachen funktionieren aber beispielsweise beim absenden oder löschen einer email die Fehlermeldung 400 Bad Request kommt.
bin ratlos woran es liegen könnte aber vielleicht habt ihr ja ne Idee:confused:
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Result of firewall command: "sh ru"

: Saved
:
PIX Version 6.3(3)
interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 auto
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 intf2 security4
enable password XXXXXXXXXX encrypted
passwd XXXXXXXXXXx encrypted
hostname pixfirewall
domain-name ciscopix.com
clock timezone CEST 1
clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
name 10.1.5.2 XXXXXXXX
name 10.1.16.2 vpn-serv
name 10.1.5.3 zeitserver
name 10.1.5.4 Zeitserver
name 10.1.4.3 XXXXXXXXXX
object-group service dateifreigabe tcp
description tcp
port-object eq netbios-ssn
access-list inside_access_in remark https Zugriff auf das Internet
access-list inside_access_in permit tcp 10.1.0.0 255.255.240.0 any eq https
access-list inside_access_in remark Zugriff auf den DNS
access-list inside_access_in permit udp 10.1.0.0 255.255.240.0 any eq domain
access-list inside_access_in remark http Zugriff auf das Internet
access-list inside_access_in permit tcp 10.1.0.0 255.255.240.0 any eq www
access-list inside_access_in remark https Zugriff auf den VPN Server in der DMZ
access-list inside_access_in permit tcp 10.1.0.0 255.255.240.0 host vpn-serv eq https
access-list inside_access_in remark ???
access-list inside_access_in permit udp host Zeitserver any eq ntp
access-list inside_access_in remark Zugriff Remotedesktop auf den VPN Server in der DMZ
access-list inside_access_in permit tcp 10.1.0.0 255.255.240.0 host vpn-serv eq 3389
access-list inside_access_in remark pop3 Zugriff auf das Internet
access-list inside_access_in permit tcp 10.1.0.0 255.255.240.0 any eq pop3
access-list inside_access_in remark smtp Zugriff auf das Internet
access-list inside_access_in permit tcp 10.1.0.0 255.255.240.0 any eq smtp
access-list intf2_access_in remark Zugriff auf Webserver im internen Netz
access-list intf2_access_in permit tcp 10.1.16.0 255.255.240.0 10.1.0.0 255.255.240.0 eq www
access-list intf2_access_in remark Zugriff auf Fileserver im internen Netz
access-list intf2_access_in permit tcp 10.1.16.0 255.255.240.0 10.1.0.0 255.255.240.0 eq netbios-ssn
access-list intf2_access_in remark ???
access-list intf2_access_in deny tcp 10.1.16.0 255.255.240.0 10.1.0.0 255.255.240.0 eq telnet
access-list intf2_access_in remark http Zugriff auf das Internet
access-list intf2_access_in permit tcp 10.1.16.0 255.255.240.0 any eq www
access-list intf2_access_in remark Zugriff auf den DNS
access-list intf2_access_in permit udp 10.1.16.0 255.255.240.0 any eq domain
access-list outside_access_in remark Zugriff aus dem Internet auf den VPN Server
access-list outside_access_in permit tcp any interface outside eq https
pager lines 24
logging on
logging timestamp
logging trap debugging
logging host inside XXXXXXXXx
mtu outside 1492
mtu inside 1500
mtu intf2 1500
ip address outside pppoe setroute
ip address inside 10.1.0.1 255.255.240.0
ip address intf2 10.1.16.1 255.255.240.0
ip audit info action alarm
ip audit attack action alarm
pdm location 10.1.0.0 255.255.240.0 inside
pdm location XXXXXXXXX 255.255.255.255 inside
pdm location vpn-serv 255.255.255.255 intf2
pdm location zeitserver 255.255.255.255 inside
pdm location Zeitserver 255.255.255.255 inside
pdm location 10.1.1.39 255.255.255.255 inside
pdm location 0.0.0.0 255.255.255.255 outside
pdm location lXXXXXXXXX 255.255.255.255 inside
pdm logging warnings 500
no pdm history enable
arp timeout 14400
global (outside) 3 interface
nat (inside) 3 10.1.0.0 255.255.240.0 dns 0 0 norandomseq
nat (intf2) 3 10.1.16.0 255.255.240.0 dns 0 0 norandomseq
static (intf2,outside) tcp interface https vpn-serv https netmask 255.255.255.255 0 0
static (inside,intf2) 10.1.0.0 10.1.0.0 netmask 255.255.240.0 0 0
access-group outside_access_in in interface outside
access-group inside_access_in in interface inside
access-group intf2_access_in in interface intf2
routing interface outside
routing interface inside
routing interface intf2
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
http server enable
http 10.1.0.0 255.255.240.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection tcpmss 0
sysopt noproxyarp outside
sysopt noproxyarp inside
sysopt noproxyarp intf2
telnet 10.1.0.0 255.255.240.0 inside
telnet timeout 60
ssh timeout 5
console timeout 0
vpdn group pppoe_group request dialout pppoe
vpdn group pppoe_group localname XXXXXXXXXXXXXXXX
vpdn group pppoe_group ppp authentication chap
vpdn username XXXXXXXXXXXXXXx password ********* store-local
dhcpd address 10.1.6.1-10.1.6.254 inside
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd auto_config outside
terminal width 80
Cryptochecksum:XXXXXXXXXX
: end


Zur Erklärung der Regeln
inside ist das interne Netz in dem Web- und file-Server stehen auf die mit dem SSL VPN-Server zugegriffen werden kann sowie die Clients die gerne surfen würden
intf2 ist das Interface was die DMZ bildet hier ist der SSL VPN Server angeschlossen (erreichbar per HTTPS aus dem internen und externen Netz sowie per Remote Desktop aus dem internen)
outside hier ist ein SDSL-Modem dran an dem sich per pppoe eingewählt wird
 
Fällt mir nicht viel zu ein, da ich mich nicht mit Cisco auskenne. Aber ne generelle Sache: Du hast kein https (443) freigegeben. Es gibt einige Sites (mail.google.com), die automatisch auf https umswitchen (rewrite der url), wenn ne anfrage auf einen "sicheren" bereich mit http kommt. kannst du die pakete, die von der PIX geblockt werden nicht an einen syslog-server schicken bzw. eine nachricht, dass nen paket geblockt wurde?

ah sorry, hab gesehen in der acl steht's. wofür steht das fixup?

gruß
hostile
 
Zuletzt bearbeitet:
das ist automatisch an und du kannst da den Protokollen bestimmte Ports zuweisen (ich denk mal die PIX filtert nach Portnummer statt wirklich die Protokolle unterscheiden zu können) und so kannst den protokollen halt noch zusätzliche Ports zuweisen wenn deine verwendeten Programme nicht die Standardports verwenden
 
hm. kannst du dir nicht die pakete anzeigen lassen (syslog-server?), die von der pix geblockt werden? schon mal mit wireshark geguckt, was der browser rausschickt aber keine anwort erhält?

gruß
hostile
 
ist glaube ich bloß auf warning level das sylog

hab in der log ein paar sachen entdeckt die ich nicht verstehe
Thu Jun 26 07:22:36 2008: <166>Jun 26 2008 07:21:58: %PIX-6-106015: Deny TCP (no connection) from 10.1.4.4/3576 to 217.72.200.153/443 flags PSH ACK on interface inside
Thu Jun 26 07:22:36 2008: <166>Jun 26 2008 07:21:58: %PIX-6-106015: Deny TCP (no connection) from 10.1.4.4/3576 to 217.72.200.153/443 flags RST ACK on interface inside
Thu Jun 26 07:22:36 2008: <166>Jun 26 2008 07:21:58: %PIX-6-305011: Built dynamic TCP translation from inside:10.1.4.4/3568 to outside:217.91.9.188/7414
Thu Jun 26 07:22:36 2008: <166>Jun 26 2008 07:21:58: %PIX-6-106015: Deny TCP (no connection) from 10.1.4.4/3568 to 217.72.204.230/443 flags PSH ACK on interface inside
Thu Jun 26 07:22:36 2008: <166>Jun 26 2008 07:21:58: %PIX-6-106015: Deny TCP (no connection) from 10.1.4.4/3568 to 217.72.204.230/443 flags RST ACK on interface inside
Thu Jun 26 07:22:36 2008: <166>Jun 26 2008 07:21:58: %PIX-6-305011: Built dynamic TCP translation from inside:10.1.4.4/3570 to outside:217.91.9.188/7415
Thu Jun 26 07:22:36 2008: <166>Jun 26 2008 07:21:58: %PIX-6-106015: Deny TCP (no connection) from 10.1.4.4/3570 to 217.72.204.230/443 flags PSH ACK on interface inside
Thu Jun 26 07:22:36 2008: <166>Jun 26 2008 07:21:58: %PIX-6-106015: Deny TCP (no connection) from 10.1.4.4/3570 to 217.72.204.230/443 flags RST ACK on interface inside


217.72.204.230/443 ist ja ein web.de-server mit ssl
 
hm, für mich sieht das aus, als ob du pakete mit destination port 443 verweigerst (deny tcp).

gruß
hostile
 
nuja eigentlich ni


Built outbound TCP connection 363121 for outside:82.149.225.22/80 (82.149.225.22/80) to inside:10.1.4.4/2552 (217.91.9.188/42596)

10.1.4.4 Accessed URL 82.149.225.22:/index.php?mod=search&query=http+%7C+request+%7C+anmeldescript+%7C+&what=content

Teardown TCP connection 363121 for outside:82.149.225.22/80 to inside:10.1.4.4/2552 duration 0:15:03 bytes 694 FIN Timeout

ist administrator.de eine seite die er gar nicht erreicht
 
Zuletzt bearbeitet:
werde mich am we mal durch die config kämpfen... muss eh paar cisco sachen machen bevor montag morgen wieder das produktivgeschäft losgeht.
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh