PIX Konfigurations Problem

#0
08.12.2005, 12:29
Member

Beiträge: 24
#1 Hallo!

Ich hab hier zu Testzwecken eine PIX 515 und hab damit ein so triviales Problem das es mir schon fast peinlich ist es hier zu posten, aber ich komm einfach nicht weiter. Keine Sorge hab nur so viel geschrieben damit keine Irrtümer aufkommen.

so sieht das setup aus:


PC--------|intern int -PIX- extern int|---------|int fa0/1 -Router- int fa0/0|

IP Adressen:
Alle mit 24 bit subnet mask

PC: 222.222.222.20
PIX intern: 222.222.222.1
PIX extern: 200.200.200.2
Router fa0/1: 200.200.200.1
Router fa0/0: 100.100.100.1

Außerdem ist auf der PIX noch ein Interface (config) mit der IP 210.210.210.1 das aber nur zum konfigurieren mit der GUI verwendet wird.

Das Problem ist einfach dass ich von dem PC aus das extern Interface der PIX (und natürlich auch alles was dahinter liegt) nicht pingen kann. Ein ping auf das interne funktioniert. Ein Ping von der PIX aus abgesetzt funktioniert überall hin. Es dürfte also an der PIX liegen.

Ein debug icmp trace 1 zeigt auch dass der ping (zum externen int) vom PC bis zur PIX kommt.

Am PC ist klarerweise die 222.222.222.1 als def Gateway eingetragen.

Was muss ich an der PIX Konfiguration ändern damit das geht?

hier noch die aktuelle Konfig:

PIX Version 7.0(2)
names
!
interface Ethernet0
nameif config
security-level 100
ip address 210.210.210.1 255.255.255.0
!
interface Ethernet1
nameif extern
security-level 100
ip address 200.200.200.2 255.255.255.0
!
interface Ethernet2
nameif intern
security-level 100
ip address 222.222.222.1 255.255.255.0
!
interface Ethernet3
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet4
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet5
shutdown
no nameif
no security-level
no ip address
!
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall
domain-name default.domain.invalid
ftp mode passive
same-security-traffic permit inter-interface
object-group service all tcp-udp
port-object range 1 9999
access-list 101 standard permit 210.210.210.0 255.255.255.0
access-list 102 extended permit ip any any
pager lines 24
mtu config 1500
mtu extern 1500
mtu intern 1500
no failover
monitor-interface config
monitor-interface extern
monitor-interface intern
icmp permit any extern
icmp permit any intern
asdm image flash:/asdm-502.bin
no asdm history enable
arp timeout 14400
nat (config) 0 0.0.0.0 0.0.0.0
route extern 0.0.0.0 0.0.0.0 200.200.200.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 210.210.210.0 255.255.255.0 config
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp
telnet timeout 5
ssh timeout 5
console timeout 0
Cryptochecksum:f9d642f70e9104175c837cf8420bfc2a
: end


Vielen Dank im Voraus
__________
not the sky ist the limit,
....the ground is.
Seitenanfang Seitenende
20.12.2005, 12:29
Member

Themenstarter

Beiträge: 24
#2 So, ich weiß zwar nicht ob es irgendjemanden interessiert, aber ein beantworteter thread ist immer besser als ein unbeantworteter.
Ich habe inzwischen rausgefunden, dass es per definition gar nicht möglich ist das jeweils andere Interface anzupingen.
__________
not the sky ist the limit,
....the ground is.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: