Configuration PIX 5O6E CISCO

tira18 Messages postés 45 Statut Membre -  
Nico le Vosgien Messages postés 1580 Statut Contributeur -
Bonjour,
J'ai mis en place un firewall Cisco Pix 506E entre un routeur DLINK et un switch NETGEAR 5 ports.

en gros:

INTERNET --------- ip publique : X.X.X.X <DLINK> ip Admin : 192.168.1.1 ------------- ip outside : 192.168.1.2 <PIX 506E> ip inside : 192.168.3.1 -------------- reseau Lan en ip 192.168.3.X

j'ai commencé à configurer le pix mais j'arrive toujours pas à avoir du net sur les PC de mon réseau Lan.
voici la configuration de mon Pix:
MONPIX# sh run
: Saved
:
PIX Version 6.3(4)
interface ethernet0 100full
interface ethernet1 auto
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password A8kukAiA0LFtSSSC encrypted
passwd A8kukAiA0LFtSSSC encrypted
hostname MONPIX
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
access-list inside permit ip 192.168.3.0 255.255.255.0 any
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside 192.168.1.2 255.255.255.0
ip address inside 192.168.3.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm history enable
arp timeout 14400
global (outside) 1 192.168.1.1 netmask 255.255.255.224
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
access-group inside in interface inside
route outside 0.0.0.0 0.0.0.0 192.168.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd address 192.168.3.120-192.168.3.145 inside
dhcpd lease 3600
dhcpd ping_timeout 750
terminal width 80
Cryptochecksum:e7ad3bc9286a8ffff7fd46578e76e1c4
: end
MONPIX#

Et depuis l'hyperterminal mon pix ping bien mon routeur et les addresse correspondantes à www.google.com et www.yahoo.fr
toutes les interfaces Eth0 et eth1 sont up
mais j'ai d'internet sur les PC qui sont reliés au switch.
Aidez-moi SVP, cela fait déja plusieurs semaines que je galere avec ça.

49 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Le pare-feu PIX 506E entre un routeur DLINK et un switch NETGEAR ne transmet pas l'accès Internet aux postes du réseau 192.168.3.x malgré des pings internes réussis. Des réponses recommandent de remplacer la configuration NAT qui pointe vers 192.168.1.1 par une PAT sur l'interface outside et d'ajouter une access-list outside_in puis d'appliquer l'access-group sur l'interface outside. Pour tester, la mise en place de ces règles est associée à des vérifications de connectivité: ping inside vers 192.168.3.0/24, ping outside vers 192.168.1.1 et observation des traductions NAT avec sh xlate. Autre nuance utile: des entrées PAT multiples dans sh xlate indiquent que l'adressage public est partagé entre plusieurs hôtes.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Utilisateur anonyme
     
    Salut,

    Ils ont quoi comme passerelle par défaut tes PC ?

    0
  2. tira18 Messages postés 45 Statut Membre
     
    salut,
    la passerelle c'est l'adresse inside de mon pix c'est-à-dire 192.168.3.1.
    0
  3. Utilisateur anonyme
     
    OK. Sur n'importe lequel de tes clients, peux-tu faire un tracert www.google.com (par exemple) et poster le résultat ?
    0
  4. tira18 Messages postés 45 Statut Membre
     
    avec le dos voilà ce que ça donne:
    C:\Documents and Settings\tira>tracert www.google.com
    Impossible de résoudre le nom du système cible www.google.com.

    C:\Documents and Settings\tira>
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    On avance ...

    donne moi le résultat d'un Ipconfig / all sur ce même client.

    0
  7. tira18 Messages postés 45 Statut Membre
     
    voilà ce que ça donne

    C:\Documents and Settings\tira>ipconfig/all

    Configuration IP de Windows

    Nom de l'hôte . . . . . . . . . . : Student2
    Suffixe DNS principal . . . . . . :
    Type de noud . . . . . . . . . . : Hybride
    Routage IP activé . . . . . . . . : Non
    Proxy WINS activé . . . . . . . . : Non

    Carte Ethernet Connexion au réseau local:

    Suffixe DNS propre à la connexion :
    Description . . . . . . . . . . . : Intel(R) PRO/100 VE Network Connecti
    on
    Adresse physique . . . . . . . . .: 00-A0-D1-63-6E-E6
    DHCP activé. . . . . . . . . . . : Non
    Adresse IP. . . . . . . . . . . . : 192.168.3.2
    Masque de sous-réseau . . . . . . : 255.255.255.0
    Passerelle par défaut . . . . . . : 192.168.3.1
    Serveurs DNS . . . . . . . . . . : 216.146.35.35
    216.146.36.36

    C:\Documents and Settings\tira>
    0
  8. Utilisateur anonyme
     
    OK. Bon, on va permettre à tes machines qui sont derrière le PIX de pouvoir faire du ping et du tracert, quitte à virer la règle après.

    Tu configures comme ça :

    object-group icmp-type icmp-grp
    description ICMP Types allowed into the PIX
    icmp-object echo-reply
    icmp-object unreachable
    icmp-object time-exceeded

    access-list outside_in permit icmp any any object-group icmp-grp

    Une fois que c'est fait, tu essaies de pinger du 192.168.1.x à partir du vlan 192.168.3.x

    PS : pour les DNS c'est bon, ça a bien l'air d'être ceux de ton provider.

    0
  9. tira18 Messages postés 45 Statut Membre
     
    j'ai entré les 4 lignes de commandes que vous m'avez données
    et quand je ping mon routeur par exemple cela donne ceci:

    C:\Documents and Settings\tira>ping 192.168.1.1

    Envoi d'une requête 'ping' sur 192.168.1.1 avec 32 octets de don

    Délai d'attente de la demande dépassé.
    Délai d'attente de la demande dépassé.
    Délai d'attente de la demande dépassé.
    Délai d'attente de la demande dépassé.

    Statistiques Ping pour 192.168.1.1:
    Paquets : envoyés = 4, reçus = 0, perdus = 4 (perte 100%),

    C:\Documents and Settings\tira>
    0
  10. tira18 Messages postés 45 Statut Membre
     
    j'ai entré les 4 lignes de commandes que vous m'avez données
    et quand je ping mon routeur par exemple cela donne ceci:

    C:\Documents and Settings\tira>ping 192.168.1.1

    Envoi d'une requête 'ping' sur 192.168.1.1 avec 32 octets de don

    Délai d'attente de la demande dépassé.
    Délai d'attente de la demande dépassé.
    Délai d'attente de la demande dépassé.
    Délai d'attente de la demande dépassé.

    Statistiques Ping pour 192.168.1.1:
    Paquets : envoyés = 4, reçus = 0, perdus = 4 (perte 100%),

    C:\Documents and Settings\tira>
    0
  11. tira18 Messages postés 45 Statut Membre
     
    meme quand j'essaie de pinguer l'adresse 209.85.135.105 qui celle de www.google.com
    cela fait la meme chose.
    0
  12. Nico le Vosgien Messages postés 1580 Statut Contributeur 266
     
    Bonjour,

    Ta config est un peu étrange : tu indiques que la 192.168.1.1 correspond à ton DLINK, ce que tu sembles confirmer avec ta route defaut sur le pix : 0.0.0.0 0.0.0.0 192.168.1.1

    Maintenant : pourquoi un nat global avec cette même adresse ? (et un masque n'ayant rien à voir ?)

    Remplace :

    global (outside) 1 192.168.1.1 netmask 255.255.255.224

    par

    global (outside) 1 interface

    Et en général, on controle les flux entrants sur l'outside :

    access-list outside_in permit ip any any (pour commencer :) )
    access-group outside_in in interface outside
    0
    1. Utilisateur anonyme
       
      J'ai la même interrogation sur le netmask un peu exotique...
      0
  13. tira18 Messages postés 45 Statut Membre
     
    Bonjour,
    c'était une erreur de ma part pour le masque, c'est 225.255.255.0 au lieu 255.255.255.224; d'ailleurs je l'ai changé.Mais le problème reste intact.
    0
  14. Nico le Vosgien Messages postés 1580 Statut Contributeur 266
     
    C'est à dire ?

    Tu as modifié ta config global outside ?

    Ta 192.168.1.1 ne peut être à la fois sur ton pix et sur ton dlink

    Que donne un "sh xlate" ?
    0
  15. tira18 Messages postés 45 Statut Membre
     
    C'est-à-dire que
    j'ai tapé les commandes :
    MONPIX(config)# no global (outside) 1 192.168.1.1 netmask 255.255.255.224
    MONPIX(config)# sh global
    MONPIX(config)# global (outside) 1 interface
    outside interface address added to PAT pool
    MONPIX(config)# sh global
    global (outside) 1 interface
    MONPIX(config)# sh xlate
    0 in use, 152 most used
    MONPIX(config)#
    0
  16. tira18 Messages postés 45 Statut Membre
     
    MONPIX(config)# no global (outside) 1 192.168.1.1 netmask 255.255.255.224
    MONPIX(config)# sh global
    MONPIX(config)# global (outside) 1 interface
    outside interface address added to PAT pool
    MONPIX(config)# sh global
    global (outside) 1 interface
    MONPIX(config)# sh xlate
    0 in use, 152 most used
    MONPIX(config)#
    0
  17. tira18 Messages postés 45 Statut Membre
     
    maintenant avec le dos, un ping sur www.google.com repond à 100% et sans perte mais quand j'essaie d'ouvrir une page google cela refuse et je ne sais pas pourquoi
    0
  18. Nico le Vosgien Messages postés 1580 Statut Contributeur 266
     
    Tu as lancé le "sh xlate" apres avoir lancé un ping depuis une des station ?

    Tu peux ajouter :

    access-list outside_in permit ip any any
    access-list outside_in permit icmp any any
    access-group outside_in in interface outside
    access-list inside permit icmp 192.168.3.0 255.255.255.0 any

    Tu peux valider que ton pix 'tape' bien une station ?

    ping inside 192.168.3.???

    Tu peux valider que ton pix tape bien ton dlink ?

    ping outside 192.168.1.1

    Tu peux faire un test de ping du dlink (192.168.1.1) depuis une de tes stations en 192.168.3 ?
    0
  19. tira18 Messages postés 45 Statut Membre
     
    Voilà ce que j'ai quand je fais un sh xlate et sh access-list:

    MONPIX(config)# sh xlate
    29 in use, 146 most used
    PAT Global 192.168.1.2(1859) Local 192.168.3.4(55763)
    PAT Global 192.168.1.2(1203) Local 192.168.3.4(61087)
    PAT Global 192.168.1.2(1762) Local 192.168.3.4(55670)
    PAT Global 192.168.1.2(1858) Local 192.168.3.4(55762)
    PAT Global 192.168.1.2(1857) Local 192.168.3.4(55761)
    PAT Global 192.168.1.2(1856) Local 192.168.3.4(55760)
    PAT Global 192.168.1.2(1863) Local 192.168.3.4(55767)
    PAT Global 192.168.1.2(1862) Local 192.168.3.4(55766)
    PAT Global 192.168.1.2(1206) Local 192.168.3.4(7513)
    PAT Global 192.168.1.2(1861) Local 192.168.3.4(55765)
    PAT Global 192.168.1.2(1860) Local 192.168.3.4(55764)
    PAT Global 192.168.1.2(1492) Local 192.168.3.3(2600)
    PAT Global 192.168.1.2(1739) Local 192.168.3.4(55647)
    PAT Global 192.168.1.2(1851) Local 192.168.3.4(55755)
    PAT Global 192.168.1.2(1467) Local 192.168.3.4(55491)
    PAT Global 192.168.1.2(1211) Local 192.168.3.4(56276)
    PAT Global 192.168.1.2(1866) Local 192.168.3.4(55770)
    PAT Global 192.168.1.2(1785) Local 192.168.3.4(55693)
    PAT Global 192.168.1.2(1833) Local 192.168.3.4(55737)
    PAT Global 192.168.1.2(1465) Local 192.168.3.4(55488)
    PAT Global 192.168.1.2(1865) Local 192.168.3.4(55769)
    PAT Global 192.168.1.2(1768) Local 192.168.3.4(55676)
    PAT Global 192.168.1.2(1864) Local 192.168.3.4(55768)
    PAT Global 192.168.1.2(1855) Local 192.168.3.4(55759)
    PAT Global 192.168.1.2(1854) Local 192.168.3.4(55758)
    PAT Global 192.168.1.2(1870) Local 192.168.3.4(55774)
    PAT Global 192.168.1.2(1214) Local 192.168.3.4(53019)
    PAT Global 192.168.1.2(1853) Local 192.168.3.4(55757)
    PAT Global 192.168.1.2(1869) Local 192.168.3.4(55773)
    PAT Global 192.168.1.2(1868) Local 192.168.3.4(55772)
    MONPIX(config)#
    MONPIX(config)#
    MONPIX(config)# sh access-list
    access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 1024)
    alert-interval 300
    access-list inside; 1 elements
    access-list inside line 1 permit ip 192.168.3.0 255.255.255.0 any (hitcnt=1547)

    access-list outside_in; 3 elements
    access-list outside_in line 1 permit icmp any any object-group icmp-grp
    access-list outside_in line 1 permit icmp any any unreachable (hitcnt=483)
    access-list outside_in line 1 permit icmp any any time-exceeded (hitcnt=66)
    access-list outside_in line 2 permit ip any any (hitcnt=10)

    avec l'adresse 192.168.3.4 si je fais un ping avec dos sur www.google.com ou sur 192.168.1.1 ça répond.Mais pas moyen d'ouvrir avec un navigateur la page de google parexemple.
    0
  20. tira18 Messages postés 45 Statut Membre
     
    voilà ce que j'ai à partir d'un PC d'adresse 192.168.3.4

    C:\Documents and Settings\tira>ping www.google.com

    Envoi d'une requête 'ping' sur www.l.google.com [209.85.135.106] avec 32 oct
    de données :

    Réponse de 209.85.135.106 : octets=32 temps=131 ms TTL=50
    Réponse de 209.85.135.106 : octets=32 temps=130 ms TTL=50
    Réponse de 209.85.135.106 : octets=32 temps=131 ms TTL=50
    Réponse de 209.85.135.106 : octets=32 temps=130 ms TTL=50

    Statistiques Ping pour 209.85.135.106:
    Paquets : envoyés = 4, reçus = 4, perdus = 0 (perte 0%),
    Durée approximative des boucles en millisecondes :
    Minimum = 130ms, Maximum = 131ms, Moyenne = 130ms

    C:\Documents and Settings\tira>ping 192.168.1.1

    Envoi d'une requête 'ping' sur 192.168.1.1 avec 32 octets de données :

    Réponse de 192.168.1.1 : octets=32 temps=1 ms TTL=255
    Réponse de 192.168.1.1 : octets=32 temps<1ms TTL=255
    Réponse de 192.168.1.1 : octets=32 temps<1ms TTL=255
    Réponse de 192.168.1.1 : octets=32 temps<1ms TTL=255

    Statistiques Ping pour 192.168.1.1:
    Paquets : envoyés = 4, reçus = 4, perdus = 0 (perte 0%),
    Durée approximative des boucles en millisecondes :
    Minimum = 0ms, Maximum = 1ms, Moyenne = 0ms

    C:\Documents and Settings\tira>
    Cela signifie que mon PC a bel et bien du net par contre je ne peux pas afficher une page google via un navigateur(mozilla,opera,IE).
    Je crois que c'est au niveau des ACLS mais je ne sais pas comment résoudre ça.
    0
  21. Nico le Vosgien Messages postés 1580 Statut Contributeur 266
     
    Ah ben y'a du mieux !!!

    Tu vois que tu ping le net maintenant ! :)

    Tu confirmes bien que tu es en dhcp au niveau de ton PC ? et c'est le pix ou le dlink qui fait office de server ?

    Commence par un ipconfig /all sur ton pc : on va confirmer ce que tu as (ou pas ! ) comme dns

    Ton dlink a un dns de référence je pense ? si tu mets sur ton pix "dhcpd dns 192.168.1.1" (et en supposant que c'est bien ton pix qui t'alloue l'adresse) : ça donne quoi ?

    Fais un ipconfig /renew sur ton pc afin qu'il refasse une demande de bail
    0
  • 1
  • 2
  • 3