|
| Default gateways Fra : Thomas G. Madsen |
Dato : 17-01-07 19:09 |
|
Jeg har en Win2003 SP1-server koblet på en switch bag en Cisco PIX
506E på en ADSL-linje og en Cisco 828 VPN-router på en SHDL-linje.
En samarbejdspartner har også en Cisco 828 VPN-router på en SHDL-
linje, som skulle være sat op til at have forbindelse til min Cisco
828 ifølge TDC, så det må man jo gå ud fra er rigtigt.
Min Cisco PIX 506E har LAN IP 10.0.0.1 og Cisco 828 har IP 10.0.0.10.
Win2003-serverens default gateway er stillet til 10.0.0.1 og når
den står til det, kan jeg komme på den udefra via PIX'en og Ciscos
VPN-klient. Det skulle jeg gerne blive ved med at kunne.
Problemet er bare, at samarbejdspartneren ikke får svar, når han
pinger min server. Jeg ringede til TDC i dag, som kom i tanke om,
at de nu vist havde glemt at sætte min Cisco 828 ordentligt op.
De manglede at lave et ICMP redirect til Cisco PIX'en i den, som
efter sigende skulle gøre det muligt for samarbejdspartneren at
komme på, når jeg havde sørget for at ændre default gateway på
serveren til 10.0.0.10 (Cisco 828s IP-nummer). Da jeg spurgte dem,
om jeg så stadig ville kunne komme på serveren udefra igennem
PIX'en var svaret ja, for det burde det ICMP redirect sørge for,
sagde de. Hmm...
Har lige ændret serverens default gateway til 10.0.0.10 og kan ikke
komme på med Ciscos VPN-klient gennem PIX'en. Det anede mig, men
hvad gør man så? Skal man på serveren gå ind i Egenskaber for LAN-
forbindelsen, markere Internet Protocol (TCP/IP), vælge Egenskaber
-> Avanceret og i feltet Default gateways sørge for at der står både
10.0.0.1 og 10.0.0.10?
--
Hilsen
Madsen
| |
Asbjorn Hojmark (17-01-2007)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 17-01-07 21:51 |
|
On Wed, 17 Jan 2007 19:08:59 +0100, "Thomas G. Madsen"
<nospam@madsen.tdcadsl.dk> wrote:
> Har lige ændret serverens default gateway til 10.0.0.10 og kan ikke
> komme på med Ciscos VPN-klient gennem PIX'en. Det anede mig, men
> hvad gør man så?
Du kan på routeren lave en statisk route til samarbejdspartneren og en
gateway of last resort (en default route), der er PIX'en, og så ændre
serveren til at have routeren som default gateway.
> Skal man på serveren gå ind i Egenskaber for LAN-forbindelsen, markere
> Internet Protocol (TCP/IP), vælge Egenskaber -> Avanceret og i feltet
> Default gateways sørge for at der står både 10.0.0.1 og 10.0.0.10?
Nej, det vil ikke virke. Windows-maskiner kan i praksis ikke finde ud
af at have flere default gateways, men selv hvis de kunne, vil du blot
opnå, at det ville være tilfældigt hvad der virkede og hvad ikke.
Den IMO bedste løsningsmodel er dog noget helt tredje, nemlig at sætte
din samarbejdspartners router på et separat ben (et 'DMZ-ben') på din
firewall. Så kan firewall'en fortsætte med at være default gateway for
dit net, og du kan styre sikkerheden ind mod dit net, uanset om det er
trafik fra Internet eller fra din samarbejdspartner.
-A
--
Hvis bruger et anti-spam program, der spammer os andre i hvert
eneste indlæg, ser jeg ikke dine indlæg. Jeg filtrerer dem bort.
| |
Thomas G. Madsen (17-01-2007)
| Kommentar Fra : Thomas G. Madsen |
Dato : 17-01-07 22:20 |
|
Asbjorn Hojmark skrev:
> Du kan på routeren lave en statisk route til samarbejdspartneren
> og en gateway of last resort (en default route), der er PIX'en,
> og så ændre serveren til at have routeren som default gateway.
Vil jeg så stadig kunne komme på serveren udefra gennem PIX'en på
ADSL-forbindelsen via Ciscos VPN-klient?
Det må jeg se om jeg kan få TDC forklaret, for jeg har ikke adgang
til den VPN-router.
> Nej, det vil ikke virke. Windows-maskiner kan i praksis ikke
> finde ud af at have flere default gateways, men selv hvis de
> kunne, vil du blot opnå, at det ville være tilfældigt hvad der
> virkede og hvad ikke.
Øv. Jeg ville også undre mig, hvis det skulle være så let, men
det var altså hvad TDC sagde til mig i dag, at jeg skulle gøre.
> Den IMO bedste løsningsmodel er dog noget helt tredje, nemlig at
> sætte din samarbejdspartners router på et separat ben (et
> 'DMZ-ben') på din firewall. Så kan firewall'en fortsætte med at
> være default gateway for dit net, og du kan styre sikkerheden
> ind mod dit net, uanset om det er trafik fra Internet eller fra
> din samarbejdspartner.
Mener du, at jeg skal koble SHDSL-routeren til PIX'en i stedet
for at koble den på switchen, hvor den sidder nu? Vil det ikke
kræve en omkonfiguration både af SHDSL-router og PIX?
Jeg var faktisk ikke engang klar over at PIX'en har et DMZ-ben.
--
Hilsen
Madsen
| |
Asbjorn Hojmark (17-01-2007)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 17-01-07 22:38 |
|
On Wed, 17 Jan 2007 22:19:46 +0100, "Thomas G. Madsen"
<nospam@madsen.tdcadsl.dk> wrote:
> Vil jeg så stadig kunne komme på serveren udefra gennem PIX'en på
> ADSL-forbindelsen via Ciscos VPN-klient?
Ja.
> Mener du, at jeg skal koble SHDSL-routeren til PIX'en i stedet
> for at koble den på switchen, hvor den sidder nu?
Ja, jeg mener, det ville være den bedste model, både ift. sikkerhed og
funktionalitet.
> Vil det ikke kræve en omkonfiguration både af SHDSL-router og PIX?
Jo.
> Jeg var faktisk ikke engang klar over at PIX'en har et DMZ-ben.
Nej, en 506'er har desværre kun to interfaces og understøtter ikke
VLAN-interfaces, så det ville også kræve, at du skiftede PIX'en til fx
en ASA 5505.
-A
--
Hvis bruger et anti-spam program, der spammer os andre i hvert
eneste indlæg, ser jeg ikke dine indlæg. Jeg filtrerer dem bort.
| |
Regnar Bang Lyngsø (18-01-2007)
| Kommentar Fra : Regnar Bang Lyngsø |
Dato : 18-01-07 22:13 |
|
Asbjorn Hojmark wrote:
> Nej, en 506'er har desværre kun to interfaces og understøtter ikke
> VLAN-interfaces, så det ville også kræve, at du skiftede PIX'en til fx
> en ASA 5505.
Huh?
New Features in Release 6.3(4)
This release introduces VLAN support for PIX 506/506E, enabling these
platforms to be a low-cost DMZ enabled solution. With this new PIX
support, users may implement additional logical interfaces, allowing
them to securely host an external Web site, a secure email server, or
even an extranet.
By adding support for the IEEE 802.1q VLAN tags, 506/506E Firewalls now
feature added flexibility in managing and provisioning the firewall.
This feature enables the decoupling of IP interfaces from physical
interfaces, making it possible to configure logical IP interfaces
independently.
VLAN feature support is added to the interface command.
•A maximum of three logical interfaces may be configured on the
506/506E. For more information on the maximum number of interfaces
supported on the PIX Firewall models, refer to " Using Logical
Interfaces" in the Cisco PIX Firewall and VPN Configuration Guide.
•When 506 and 506E are used as VPN hardware clients, logical interfaces
on the 506/506E cannot be used to initiate a VPN tunnel.
•If the VLAN ID is set to 4095, the interface name cannot be modified
with the nameif command. It may not be appropriate to use VLAN ID 4095
because of this issue.
Knus
Regnar
| |
Asbjorn Hojmark (18-01-2007)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 18-01-07 23:15 |
|
On Thu, 18 Jan 2007 22:13:04 +0100, Regnar Bang Lyngsø
<regnar@writeme.com> wrote:
> This release introduces VLAN support for PIX 506/506E
Nå, det havde jeg overset. Ja, så kan det laves med 506E'eren.
-A
--
Hvis bruger et anti-spam program, der spammer os andre i hvert
eneste indlæg, ser jeg ikke dine indlæg. Jeg filtrerer dem bort.
| |
Thomas G. Madsen (17-01-2007)
| Kommentar Fra : Thomas G. Madsen |
Dato : 17-01-07 22:49 |
|
Asbjorn Hojmark skrev:
>> Vil jeg så stadig kunne komme på serveren udefra gennem PIX'en
>> på ADSL-forbindelsen via Ciscos VPN-klient?
> Ja.
Ok. Så må det blive den model indtil videre.
>> Jeg var faktisk ikke engang klar over at PIX'en har et DMZ-ben.
> Nej, en 506'er har desværre kun to interfaces og understøtter
> ikke VLAN-interfaces, så det ville også kræve, at du skiftede
> PIX'en til fx en ASA 5505.
Nå, så kan jeg bedre forstå det, for jeg har kun et Ethernet 0 og
et Ethernet 1-stik bagpå PIX'en, hvor det ene går til ADSL-modemmet
og det andet til switchen.
Inden længe kommer der en fiberforbindelse i stedet for ADSL'en
og oprindelig havde jeg planlagt at nedlægge ADSL'en når fiberen
er på plads, men i dag har jeg overvejet at beholde ADSL'en som
en ekstra forbindelse til pressede situationer. Spørgsmålet er,
om man i samme omgang skulle købe en større PIX, hvor både trafik
fra fiber, ADSL og SHDSL'en kan gå igennem, men en PIX 506E mere
ville jo også kunne klare det, selvom jeg godt er klar over, at
det ikke er den bedste løsning.
--
Hilsen
Madsen
| |
Thomas G. Madsen (17-01-2007)
| Kommentar Fra : Thomas G. Madsen |
Dato : 17-01-07 22:59 |
|
Asbjorn Hojmark skrev:
> så det ville også kræve, at du skiftede PIX'en til fx en ASA
> 5505.
Ved du tilfældigvis hvor mange Mbps den kan sparke igennem fra
WAN til LAN-siden, Asbjørn?
Jeg troede umiddelbart at den kostede spidsen af en jetjager,
men det gør den jo slet ikke. Den er faktisk billigere end hvad
jeg gav for 506E i sin tid.
--
Hilsen
Madsen
| |
Thomas G. Madsen (17-01-2007)
| Kommentar Fra : Thomas G. Madsen |
Dato : 17-01-07 23:08 |
|
Thomas G. Madsen skrev:
> Ved du tilfældigvis hvor mange Mbps den kan sparke igennem fra
> WAN til LAN-siden, Asbjørn?
Fandt det på Ciscos hjemmeside. Op til 115 Mbps påstår.
--
Hilsen
Madsen
| |
Thomas G. Madsen (19-01-2007)
| Kommentar Fra : Thomas G. Madsen |
Dato : 19-01-07 20:16 |
|
Regnar Bang Lyngsø skrev:
> This release introduces VLAN support for PIX 506/506E, enabling
> these platforms to be a low-cost DMZ enabled solution.
Desværre er mit kendskab til netværk ikke stor nok til at regne
ud, hvordan man vha. den VLAN-support kan koble en Cisco 828 til
en 506E, selvom jeg slet ikke er i tvivl om, at det ville være den
bedste løsning, for det er noget værre bøvl lige nu for at sige
det mildt.
Onsdag morgen ringede jeg til teknikeren hos TDC, som har sat
Cisco 828'eren op hos mig og hos samarbejdspartneren. Jeg fortalte
ham, at jeg ikke kunne komme på serveren via PIX'en udefra, når
serveres gateway er stillet til 828'eren. Han kom i tanke om, at
han da vist havde glemt en ting mere og efter en times tid ringede
han tilbage og sagde, at det nu burde virke. Han har sikkert gjort
det med en statisk route til samarbejdspartneren og en gateway fra
828 til 506E, som Asbjørn foreslog, men jeg ved det ikke med
sikkerhed.
Samarbejdspartneren og jeg prøvede så at flytte en fil på ca. 6 MB
igennem SHDSL-linjen, men det tog næsten 4 minutter at flytte den,
og det kan vi ikke få til at passe med den lovede hastighed på 2,3
Mbit/sec, så vi fejlmeldte linjen. TDC meldte tilbage i går, at de
ville overvåge linjen i de næste 24 timer, men vi har intet hørt
fra dem i dag. Det eneste der er sket er, at jeg igen ikke kan
komme på serveren via PIX'en, hvis serveres gateway står til SHDSL-
routeren, så de må have været inde og rode i 828'eren endnu engang.
--
Hilsen
Madsen
| |
Thomas G. Madsen (06-02-2007)
| Kommentar Fra : Thomas G. Madsen |
Dato : 06-02-07 15:53 |
|
Thomas G. Madsen skrev:
> Samarbejdspartneren og jeg prøvede så at flytte en fil på ca. 6
> MB igennem SHDSL-linjen, men det tog næsten 4 minutter at flytte
> den, og det kan vi ikke få til at passe med den lovede hastighed
> på 2,3 Mbit/sec, så vi fejlmeldte linjen.
Det viste sig, at 128-bit 3DES-krypteringen træk voldsomt ned i
hastigheden, så vi valgte en mindre sikker kryptering (husker pt.
ikke hvilken), som fik farten lidt op, men stadig langt fra de
2,3 Mbit/sec, som linjen jo kan trække. Et par dage efter kunne
TDC meddele, at Cisco 828-routeren ikke kan levere den mængde
data, så vi ville få tilsendt et par større routere.
Det drejer sig om Cisco 1420, som vi nu har koblet til i begge
ender med det resultat, at vi godt nok kan se hinandens delte drev,
men vi kan ikke forbinde til dem. Det ser nærmest ud til, at vi
ikke får adgangskoden til drevene godkendt, men intet er ændret på
serverne, så det ser meget mystisk ud, når vi nu uden problemer kan
skabe forbindelse til hinandens delte drev med Cisco 828'erne.
Hvad hulen kan det mon være? TDC siger, at det ikke er routerne for
hullet er der jo, når vi kan se hinandens drev. Kan det tænkes at
1420'erne gør et eller andet ved adgangskoderne som gør, at vi ikke
kan blive godkendt på hinandens delte drev.
--
Hilsen
Madsen
| |
Thomas G. Madsen (17-02-2007)
| Kommentar Fra : Thomas G. Madsen |
Dato : 17-02-07 15:08 |
|
Thomas G. Madsen skrev:
> Det drejer sig om Cisco 1420, som vi nu har koblet til i begge
> ender med det resultat, at vi godt nok kan se hinandens delte drev,
> men vi kan ikke forbinde til dem.
Det viste sig at være et MTU-problem. Det var hvad TDCs tekniker
forklarede i hvert tilfælde. Cisco 1420'erne stod som standard til
en MTU på 1500, men skulle stilles ned til 1400-et-eller-andet for
at få det til at virke. Nu spiller det bare, og vi flytter data med
stort set fuld skrue af linjens hastighed.
--
Hilsen
Madsen
| |
|
|