热的 Downloads

×

注意

论坛是只读模式。
Welcome, 来宾
Username: Password: Remember me
  • 页:
  • 1
  • 2

TOPIC:

PIX 501 - NAT问题 15年5个月前 #10546

Hi All!

我有点新的pix config。我试图解决为什么长时间工作的PIX配置突然开始失败!这用于将内部LAN 192.168.1.x与公共范围(/ 28)连接到DSL行。 PIX正在执行NAT和DHCP。 DHCP正常工作,但用户无法达到互联网。我绞尽脑汁锻炼为什么?有任何想法吗???似乎有一些有用的提示在这个论坛上发行了! :))正在运行6.3.4

我想要做的就是设置的是DHCP与NAT。我需要指定ACL是否可以默认工作???


PIX 6.3(4)
接口Ethernet0 10Baset.
接口Ethernet1 100fulll.
安全0外的名称ethernet0
安全100中的名称eThernet1
启用密码XXXXXX加密
passwd xxxxxxxxxxxxxx加密
hostname xxxxxxxpix.
域名xxxxxxxx.com
固定协议DNS最大长度512
修复协议FTP 21
固定协议H323 H225 1720
FIXUP协议H323 RAS 1718-1719
FIXUP协议HTTP 80
FIXUP协议ILS 389
FIMEUP协议RSH 514
固定协议RTSP 554
FIXUP协议SIP 5060
FIXUP协议SIP UDP 5060
固定协议瘦身2000
FIXUP协议SMTP 25
FIXUP协议SQLNET 1521
修复协议TFTP 69
名称
寻呼机第24行
MTU在1500之外
MTU内部1500
IP地址外面217.206.x.x 255.255.255.240
192.168.1.1中的IP地址255.255.255.0
IP审核信息动作警报
IP审核攻击动作报警
PDM位置192.168.1.1 255.255.255.255里面
PDM Logging信息100
PDM历史使能
ARP超时14400.
全球(外部)1 217.206.x.x-217.206.x.x
全球(外部)1界面
NAT(内部)1 0.0.0.0 0.0.0.0 0 0
途径0.0.0.0 0.0.0.0 217.206.x.x 1
超时xlate 0:05:00
timeout conn 1:00:00半关闭0:10:00 UDP 0:02:00 RPC 0:10:00 H225 1:00:00
超时H323 0:05:00 MGCP 0:05:00 SIP 0:30:00 SIP_MEDIA 0:02:00
超时UAUTH 0:05:00绝对
AAA-Server TACACS +协议TACACS +
AAA-Server TACACS + MAX-FAILED-FLUIDEL 3
AAA-Server Tacacs +死区时间10
AAA-Server RADIUS协议半径
AAA-Server RADIUS MAX-FAILE-FOURTER 3
AAA-Server RADIUS死区10
AAA-Server本地协议本地
HTTP Server启用
http 192.168.1.0 255.255.255.0内部
http 192.168.1.11255.255.255.255里面
没有SNMP-Server位置
没有SNMP-Server联系
SNMP服务器社区公众
没有SNMP-Server启用陷阱
Flaceguard启用
Telnet 192.168.1.0 255.255.255.0内部
Telnet超时5.
SSH超时5.
控制台超时0.
DHCPD地址192.168.1.6-192.168.1.33里面
DHCPD DNS 195.x.x.x 212.13x.x.x
DHCPD租约3600.
DHCPD Ping_Timeout 750.
外面的DHCPD AUTO_CONFIG.
DHCPD启用内部
vpnclient server 217.206.x.x.
VPnClient模式客户端模式
vpnclient vpngroup xxxxxxx密码********
vpnclient用户名xxxxx密码********
vpnclient使能
终端宽度80.
cryptochecksum:xxxxxxxxxxxxxxxxxxxx.
: 结尾

theegreatcornholio - 你看起来有很多有用的提示你的袖子 :)

非常感谢 :哈哈:

Re:PIX 501 - NAT问题 15年5个月前 #10562

IP-bod,

好吧,我会尽力帮助你。对我来说有趣的是,你说这个配置已经工作了很长时间,现在突然间没有工作。看着你的配置(这是缺少ACL的,但没关系),似乎很好 - 没有任何东西在那里对我大喊大叫“坏”。所说的,基于你到目前为止所说的,它真的听起来像一个ISP相关问题 - 也许有些东西在他们身边发生了变化?

您提到您的连接是DSL。你能描述更多关于它吗?此外,它显示在您的配置中,您可以使用A / 28外部网络。告诉我更多关于你拥有的下一跳互联网路由器 - 它是否正常运行?您是否在外部网络(外部接口侧)上放置了PC并测试了Internet连接 - 将PIX从循环中取出?

任何关于故障排除过程的距离有多远的信息都会对您的问题有了很大的帮助。

看起来好像已经配置了VPN - 是那部分工作(看起来有些VPN相关配置要么缺少或已经从您的消息中删除)?

您可以尝试检查的另一件事...查看您的问题是否有关DNS相关,而不仅仅是从内部PC中的Internet ...,尝试打开浏览器并冲浪到IP地址而不是主机名。例如,你可以冲浪: 66.102.7.147

这是一个IP地址之一 www.google.com..

如果您到达谷歌,那么您的防火墙是可以的,问题是您在PIX上的DHCP配置中为DNS设置的IP地址。如果这是问题,则应与您的ISP联系并询问它们进行更新的DNS服务器。

如果这不起作用,那么我想了解有关您所在位置的更多信息......

如果您对发布有关配置的任何详细信息,请随时将其发送给我私信。我会尽力帮助你。

TGC.

Re:PIX 501 - NAT问题 15年5个月前 #10571

Thanks for that TGC!

是的,也试过这些东西。将我的PC直接放在/ 28范围内的DSL路由器上,它对互联网熄灭,还尝试通过IP浏览(Incase这是DNS相关的)没有运气 :(

如果它没有任何东西,我没有运行任何VPN配置。我可以从PIX OK中ping DSL路由器。我可以尝试运行一些调试,但这应该是一个真实的基本配置 - 吧????

Re:PIX 501 - NAT问题 15年5个月前 #10573

Show Log提供以下输出(1.7是我的笔记本电脑,另一个是网络上的URL:

109023:用户从192.168.1.7/4034到212.58.240.44/80使用内部使用
使用此服务之前,TCP必须进行身份验证

以上任何服务ICMP .tcp等似乎很多。

此外,这也是DSL路由器和PIX IP之间的:

702204:isakmp阶段1重传(本地x.x.188.130(发起者),遥控器
X.X.188.128)
402106:Rec'd数据包不是IPSec数据包。 (IP)dest_addr = x.x.188.130,s


402106:Rec'd数据包不是IPSec数据包。 (IP)dest_addr = x.x.188.130,src_a
DDR = X.X.188.129,Prot = ICMP


非常感谢!


Re:PIX 501 - NAT问题 15年5个月前 #10618

IP-Bod,

正在记录有趣的消息。第一个是所需消息的标准用户身份验证。但是,您粘贴到此帖子中的配置必须缺少某些行,因为如果在某个级别启用了AAA用户身份验证,则只能生成该消息。您是否拥有命令'AAA身份验证包括...'或'AAA身份验证匹配...'?这可能是它的原因......

如果您感到好奇,PIX能够在允许浏览Internet之前验证用户。这是一个名为UAUTH的函数。它已经存在了很长一段时间(5.x版)。我看到你改变了一个默认设置 - 超时UAUTH设置......您的绝对值设置为5分钟,这不是很好......这将迫使用户每5分钟重新安静到PIX。继续浏览互联网。有两个UAuth定时器 - 空闲计时器和绝对计时器。 idle =用户停止浏览Internet,如果用户对超时值或更长的空闲,并且用户再次尝试使用Web,则PIX将强制重新认证。绝对计时器不会重置为零。一旦用户登录早晨,绝对计时器就开始设置,例如,2小时,然后在计时器到期后,用户将被强制再次重新认证 - 无论其两个小时的时间帧如何。

以下是从CCO上的Cisco错误消息解码器工具的错误消息的说明:

%pix-3-109023:从src_ip_adress / src_port到dest_ip_address / src_port上的vist_ip_address / dest_port在使用此服务之前必须进行身份验证。
这是一个aaa消息。根据配置的策略,您需要在使用此服务(端口)之前进行身份验证。

推荐操作:在尝试使用上述服务(端口)之前,请使用Telnet,FTP或HTTP进行用户进行身份验证。

(必须爱他们推荐的行动......好的Ole Cisco ......)

好的,所以解码器没有提到的一件事是用户现在也可以通过HTTPS进行身份验证,从6.3(1)开始,我相信(但是该函数中有一些杀手错误,它在6.3(4)中修复。 ..但这是一个整体的故事。

最后一件事 - UAUTH函数需要某种类型的RADIUS或TACACS服务器来对用户进行身份验证,而是针对Cisco ACS,或者需要参考NT域,LDAP目录或其他一些用户数据库的一些其他通用RADIUS服务器。如果一个是a)未定义,或b)不在线,这也可能是问题的一部分。


无论如何 - YEP - 您的Configely肯定有一些VPN相关项目,可能超出了您所展示的那样 - 这就是您看到那些ISAKMP阶段1发起者消息的原因......您的粘贴配置缺少您的ISAKMP策略,加密地图和CryPTO地图和在这些地图中定义的任何相关的ACL。拥有此信息将极大地帮助您解决问题。

再次,如果您很舒服,请随时私下向我发送整个配置。我将能够协助我有所有细节......你可以拿出所有敏感的东西。

让我们发布在您的发现!祝你好运。

TGC.

Re:PIX 501 - NAT问题 15年5个月前 #10661

回复较晚,抱歉。

通过删除PIX上的“VPN Config”来设法破解它。 (不知道为什么它在开始时在那里)我有点想到它正在寻找一些验证机制,但由于我们没有使用一个,(或被告知我们不是)禁用它,用户现在正在罚款!


TheEgreatCornholio - 感谢您的所有建议/提示。

IP-BOD.
  • 页:
  • 1
  • 2
时间创建页面:0.119秒

ccent / ccna.

思科 Routers

  • ssl webvpn.
  • 保护路由器
  • 基于策略的路由
  • 路由器上一根棍子

VPN.安全

  • 了解DMVPN.
  • GRE / IPSec配置
  • 站点到网站IPSec VPN
  • IPSec模式

思科 Help

  • VPN.客户端Windows 8
  • VPN.客户端Windows 7
  • CCP显示问题
  • 思科支持应用程序。

视窗 2012

  • 新的功能
  • 许可
  • Hyper-V / VDI
  • 安装Hyper-V

Linux.

  • 文件权限
  • Webmin
  • 团体 - 用户
  • Samba设置