Scelta Configurazione Router 827 e PIX 501

[ivobed]

Salve a tutti,

sono nuovo del mondo firewall PIX e ho la necessità di installarne uno, la mia situazione LAN è la seguente:

1 sede centrale collegata ad internet tramite cisco 827h con 8 indirizzi ip pubblici di cui solo 2 usati tramite NAT di alcune porte specifiche su 2 server (uno terminal di windows ed un AS400).

4 sedi periferiche che collegate tramite cisco SOHO 77 e collegate alla sede principale tramite un tunnelling fra Router.

Devo installare un cisco PIX 501 nella sede principale cercando di far funzionare il tutto, qualcuno sa consigliarmi su che tipo di configurazione scegliere?? es. faccio un nat globale del router 827 sul PIX o sceglo una strada diversa.

grazie mille

[MaiO]

Certo. Configura 827 come "bridge" ovvero alla atm assegnali il punto punto e alla eth i tou indirizzi publici. poi alla outside del pix li assegni un ip publico e alla inside ip della tua lan. in quasto modo fai fare al pix il natting ed eventualmente il tunneling. Cmq avendo un pix per la sicurezza e la semplicità della gestione ti converebbe tirare su dei tunnel vpn ipsec, però non so se in "periferia" i routers la supportino.
Per un eventuale config cerca nel forum, è un argomento trattato già più volte.

Ciao ciao

[ivobed]

Grazie per veloce risposta la risposta, questo forum è veramente una fonte inseusaribile di sapienza!! Sto già leggendo in giro diversi post a riguardo, in periferia non ho router che mi permettino tunnel vpn ipsec, riesco comunque con il pix 501 che ha l'IP pubblico a gestire i tunnelling che ho ora?.

Grazie mille.

[MaiO]

Sinceramente non lo so ma non credo. Cmq puoi continuare a farlo con il router e utilizzare il pix ugualmente.

Ciao

[MrDish]

Il PIX 501 ha solo 2 ethernet:

Internet <-827 <- PIX <- LAN (OUTBOUND)
SEDI (VPN) -> 827 -> PIX -> LAN -> SERVER(1/2) (INBOUND)

Questa è la configurazione?

[ivobed]

La configurazione è la seguente:


SEDE (SERVER1/2) <-> PIX 501 <-> 827 <-----> INTENET <-----> SOHO 77 < - > LAN PERIFERICHE

Con una VPN fra router che potrei anche eliminare, mi piacerebbe però assegnare ai 2 server dietro al pix 2 diversi IP pubblici ma temo che questo non sia più possibile.

Vorrei in pratica nattare le diverse porte che mi occorrono su 2 diversi IP pubblici di Telecom avendo i server nella lan interna una configurazione del tipo 192.168.0.X

e' possibile??

Grazie mille

[MaiO]

Certo che si. Cerca però nel forum, è un argomento trattato e ritrattato. Ciao

[chatts73]

Salve a tutti, ammetto di essere il più newbye di tutti in questo campo...anche io dovrei configurare (in realtà sembra già funzionare bene) router 827----pix 501---lan interna
Ho letto che la cosa più giusta è config le acl sul firewall...piuttosto che sul router...giusto??
Ho 7 indirizzi pubblici (interbusiness), ho messo il point-to-point nell'int ext del router---il 2° ip pub nell'interf int e il 3° ind pub sull'interf esterna del pix501 ed in quella interna c'è la classe della mia lan...questa mi sembra la conf consigliata.....spero...
Ora.. internet va...la posta va le varie vpn create su altri pix di vari clienti funzionano a meraviglia...(hanno tutti pix501) ma da fuori non riesco ad entrare con la vpn sulla MIA VPN del mio pix501.....sob

[chatts73]

Ho postato senza la richiesta effettiva...ovvero vi chiedo questo aiuto: potreste indirizzarmi su cosa inserire a liv di acl per avere un minimo di protezione??grazie mille e inoltre se serve qualcosa di conf chiedete pure soprattutto come mai da fuori creando una vpn non riesco a raggiungere il pix....

ecco la sua conf

pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list NONAT
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
route outside 0.0.0.0 0.0.0.0 81.115.xxx.xxy 1
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 192.168.0.0 255.255.255.0 outside ' serve??
http 81.115.xxx.xxy 255.255.255.255 outside
http 10.144.145.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
sysopt connection permit-pptp
sysopt noproxyarp outside
telnet 81.115.xxx.xxy 255.255.255.255 outside
telnet 10.144.145.0 255.255.255.0 inside
telnet timeout 5
ssh 81.115.xxx.xxy 255.255.255.255 outside
ssh 10.144.145.0 255.255.255.0 inside
ssh timeout 5
management-access outside
console timeout 0
vpdn group PPTP-VPDN-GROUP accept dialin pptp
vpdn group PPTP-VPDN-GROUP ppp authentication chap
vpdn group PPTP-VPDN-GROUP ppp authentication mschap
vpdn group PPTP-VPDN-GROUP client configuration address local SASVPN
vpdn group PPTP-VPDN-GROUP pptp echo 60
vpdn group PPTP-VPDN-GROUP client authentication local
vpdn username nome1 password *********
vpdn username nome2 password *********
vpdn username nome3 password *********
vpdn username nome4 password *********
vpdn enable outside
terminal width 80
Cryptochecksum:b0da5b1f47342da054ba93724950ebbd
: end
[OK]

grazie!!!!
Forza Azzurri!!!

[chatts73]

PIX Version 6.3(5)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password CGVfztS9IwKCmjN7 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname saspix501
domain-name ciscopix.com
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol icmp error
fixup protocol pptp 1723
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
access-list NONAT permit ip any 192.168.0.0 255.255.255.0
pager lines 24
icmp permit any outside
icmp permit any inside
mtu outside 1500
mtu inside 1500
ip address outside 81.115.xxx.yyy 255.255.255.248
ip address inside 10.144.145.253 255.255.255.0
ip verify reverse-path interface outside
ip audit info action alarm
ip audit attack action alarm
ip local pool SASVPN 192.168.0.1-192.168.0.254
pdm location 192.168.0.0 255.255.255.0 outside
pdm location 81.115.xxx.xxy 255.255.255.255 outside
pdm location 81.115.xxx.xxy 255.255.255.255 inside
pdm location 192.168.0.0 255.255.255.0 inside
pdm location 10.144.145.205 255.255.255.255 inside

scusate mancava tutta questa parte

[chatts73]

qualcuno mi sa dire che config devo impostare nel router 827 se andando su www.ilmioip.it esco con l'indirizzo pubb del router invece dell'indr. pubbl del pix501--

aiuto... la conf del pix è quella sopra..-

[TheIrish]

Posta quella che già hai sull'827 e vediamo cosa c'è di sbagliato!

[chatts73]

eccola..

sasrtr01#sh conf
Using 1330 out of 131072 bytes
!
version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname sasrtr001
!
enable secret 5 $1$YGs.$zz1GmsTdlrZPcHTbl1gY/1
!
ip subnet-zero
ip host-routing
ip name-server 151.99.125.3
ip name-server 212.216.172.62
!
!
!
!
interface Ethernet0
ip address <2°ip pubbl disponibile> 255.255.255.248
ip access-group 102 out
ip nat inside
hold-queue 100 out
!
interface ATM0
no ip address
no atm ilmi-keepalive
no atm address-registration
dsl operating-mode auto
hold-queue 224 in
!
interface ATM0.1 point-to-point
ip address 217.222.yyy.xx 255.255.255.252
ip nat outside
pvc 8/35
!
!
ip nat inside source list 1 interface ATM0.1 overload
ip classless
ip route 0.0.0.0 0.0.0.0 ATM0.1
no ip http server
!
!
access-list 1 permit 10.144.145.0 0.0.0.255
access-list 1 permit <primo ip pubblico> 0.0.0.7
access-list 23 permit <ip pubbl..81.115.xxx.0> 0.0.0.255
access-list 30 permit <ip pubbl..81.115.xxx.yyy> 0.0.0.7
access-list 102 permit tcp any 81.115.xxxyyy 0.0.0.7 established
access-list 102 permit ip any 81.115.xxx.yyy 0.0.0.7
access-list 102 permit ip any <ip lan int> 0.0.0.255
!
line con 0
stopbits 1
line vty 0 4
access-class 23 in
exec-timeout 120 0
password 7 15010A1F09393F363A2727
login
length 0
!
scheduler max-task-time 5000
end

sasrtr01#

[SoftAware]

è ovvio che il pix esce con l'ip sbagliato

access-list 1 permit 10.144.145.0 0.0.0.255
access-list 1 permit <primo ip pubblico> 0.0.0.7

la seconda riga fa nattare anche gli ip pubblici

[chatts73]

Tolta....grandee

Grazie, mille

ora esco co l'ip pubbl del firewall

provo la vpn del pix501 da fuori e vi faccio sapere..