问题[cisco-pix](server)

好吧..我承认。我可能缺少一些简单的东西。一点帮助？

我有一个较旧的 PIX 515e，我正在尝试运行。外部接口连接到电缆调制解调器并配置为 DHCP。该接口从 ISP 分配了一个 IP，因此这部分似乎可以正常工作。我的理解是使用该命令应该自动为ISP网关设置静态路由。如果我这似乎是这样。从控制台，我还可以 ping ISP 网关和我尝试的任何其他站点 (yahoo.com)。

内部接口设置为静态地址 10.0.1.10，这将返回来自内部客户端的 ping。内部网络上的 DHCP 由 2012R2 机器处理，此服务以及 DNS 也可以正常工作（除了在 PIX 测试期间的 DNS 转发）

但是，客户端无法访问 Internet。没有 ping 回复等。我相信这要么是路由问题，要么是 NAT/PAT 问题。我在思科配置的这个领域落后于 8 球，可以使用一些帮助。下面发布的是我当前正在运行的配置。我尝试了一些在网上找到的配置指南，但似乎没有任何效果。任何人都可以帮我解决这个问题吗？

谢谢！迈克尔

: Saved
:

PIX Version 8.0(4)28 
!
hostname GripPix

domain-name Grip.com

enable password ... encrypted

passwd ... encrypted

names

!

interface Ethernet0

 nameif outside

 security-level 0

 ip address dhcp setroute 

!

interface Ethernet1

 nameif inside

 security-level 100

 ip address 10.0.1.10 255.255.0.0 

!

interface Ethernet2

 shutdown

 no nameif

 no security-level

 no ip address

!

interface Ethernet3

 shutdown

 no nameif

 no security-level

 no ip address

!

interface Ethernet4

 shutdown

 no nameif

 no security-level

 no ip address

!

interface Ethernet5

 shutdown

 no nameif

 no security-level

 no ip address

!

ftp mode passive

dns server-group DefaultDNS

 domain-name Grip.com

same-security-traffic permit inter-interface

same-security-traffic permit intra-interface

access-list outside_in extended permit icmp any any echo-reply 

access-list outside_in extended deny ip any any log 

pager lines 24

logging enable

logging asdm informational

mtu outside 1500

mtu inside 1500

no failover

icmp unreachable rate-limit 1 burst-size 1

asdm image flash:/asdm-613.bin

no asdm history enable

arp timeout 14400

global (outside) 1 10.0.0.0 netmask 255.255.0.0

global (outside) 1 interface

nat (inside) 1 0.0.0.0 0.0.0.0

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02

timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00

timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00

timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute

timeout tcp-proxy-reassembly 0:01:00

dynamic-access-policy-record DfltAccessPolicy

aaa authentication serial console LOCAL 

aaa authentication telnet console LOCAL 

aaa authentication ssh console LOCAL 

http server enable

http 10.0.0.0 255.255.0.0 inside

no snmp-server location

no snmp-server contact

snmp-server enable traps snmp authentication linkup linkdown coldstart

crypto ipsec security-association lifetime seconds 28800

crypto ipsec security-association lifetime kilobytes 4608000

telnet 10.0.0.0 255.255.0.0 inside

telnet timeout 5

ssh timeout 5

console timeout 0

threat-detection basic-threat

threat-detection statistics access-list

no threat-detection statistics tcp-intercept

!

class-map inspection-default

 match default-inspection-traffic

class-map inspection_default

 match default-inspection-traffic

!

!

policy-map type inspect dns preset_dns_map

 parameters

  message-length maximum 512

policy-map global_policy

 class inspection_default

  inspect dns preset_dns_map 

  inspect ftp 

  inspect h323 h225 

  inspect h323 ras 

  inspect rsh 

  inspect rtsp 

  inspect esmtp 

  inspect sqlnet 

  inspect skinny  

  inspect sunrpc 

  inspect xdmcp 

  inspect sip  

  inspect netbios 

  inspect tftp 

  inspect http 

  inspect icmp 

!

service-policy global_policy global

prompt hostname context 

Cryptochecksum:9cceeff3166fd745e3569853ea5c178c

: end

asdm image flash:/asdm-613.bin

no asdm history enable

我正在从 PIX 迁移到 ASA，并且 PIX 有远程用户 PPTP 到它。这不是通过，而是 PIX 的 VPN 类型。ASA甚至支持这个吗？我一直在尝试四处搜索，但我发现的只是允许 PPTP 通过。

上周我们的数据中心停电了，当我们的双 PIX 515E 运行 IOS 7.0(8)（配置了故障转移电缆）恢复时，它们处于故障转移状态，其中辅助单元处于活动状态，主单元是待机我尝试了“故障转移重置”、“故障转移活动”和“故障转移重新加载-待机”，并以各种顺序在两个单元上执行重新加载，它们不会返回主/活动辅助/备用。我唯一没有尝试过的就是开车到数据中心并执行硬重启，我讨厌这样做。

我已经阅读了 Cisco Secure Firewall 上的故障转移是如何工作的，看起来这应该是直截了当的。

show failover初级输出：

Failover On 
Cable status: Normal
Failover unit Primary
Failover LAN Interface: N/A - Serial-based failover enabled
Unit Poll frequency 15 seconds, holdtime 45 seconds
Interface Poll frequency 15 seconds
Interface Policy 1
Monitored Interfaces 2 of 250 maximum
Version: Ours 7.0(8), Mate 7.0(8)
Last Failover at: 02:52:05 UTC Mar 10 2010
        This host: Primary - Standby Ready 
                Active time: 0 (sec)
                Interface outside (x.x.x.165): Normal 
                Interface inside (y.y.y.3): Normal 
        Other host: Secondary - Active 
                Active time: 897045 (sec)
                Interface outside (x.x.x.164): Normal 
                Interface inside (y.y.y.4): Normal 

Stateful Failover Logical Update Statistics
        Link : Unconfigured.

show failover次级输出：

Failover On 
Cable status: Normal
Failover unit Secondary
Failover LAN Interface: N/A - Serial-based failover enabled
Unit Poll frequency 15 seconds, holdtime 45 seconds
Interface Poll frequency 15 seconds
Interface Policy 1
Monitored Interfaces 2 of 250 maximum
Version: Ours 7.0(8), Mate 7.0(8)
Last Failover at: 02:03:04 UTC Feb 28 2010
        This host: Secondary - Active 
                Active time: 896925 (sec)
                Interface outside (x.x.x.164): Normal 
                Interface inside (y.y.y.4): Normal 
        Other host: Primary - Standby Ready 
                Active time: 0 (sec)
                Interface outside (x.x.x.165): Normal 
                Interface inside (y.y.y.3): Normal 

Stateful Failover Logical Update Statistics
        Link : Unconfigured.

我在我的系统日志中看到以下内容：

Mar 10 03:05:00 fw1 %PIX-5-111008: User 'enable_15' executed the 'failover reset' command. 
Mar 10 03:05:09 fw1 %PIX-5-111008: User 'enable_15' executed the 'failover reload-standby' command. 
Mar 10 03:05:12 fw1 %PIX-6-720032: (VPN-Secondary) HA status callback: id=3,seq=200,grp=0,event=406,op=20,my=Active,peer=Failed. 
Mar 10 03:05:12 fw1 %PIX-6-720028: (VPN-Secondary) HA status callback: Peer state Failed. 
Mar 10 03:06:09 fw1 %PIX-6-720032: (VPN-Secondary) HA status callback: id=3,seq=200,grp=0,event=401,op=0,my=Active,peer=Failed. 
Mar 10 03:06:09 fw1 %PIX-6-720024: (VPN-Secondary) HA status callback: Control channel is down. 
Mar 10 03:06:09 fw1 %PIX-6-720032: (VPN-Secondary) HA status callback: id=3,seq=200,grp=0,event=401,op=1,my=Active,peer=Failed. 
Mar 10 03:06:10 fw1 %PIX-6-720024: (VPN-Secondary) HA status callback: Control channel is up. 
Mar 10 03:06:10 fw1 %PIX-6-720032: (VPN-Secondary) HA status callback: id=3,seq=200,grp=0,event=411,op=2,my=Active,peer=Failed. 
Mar 10 03:06:23 fw1 %PIX-6-720032: (VPN-Secondary) HA status callback: id=3,seq=200,grp=0,event=406,op=80,my=Active,peer=Standby Ready. 
Mar 10 03:06:23 fw1 %PIX-6-720028: (VPN-Secondary) HA status callback: Peer state Standby Ready. 
Mar 10 03:06:24 fw2 %PIX-6-720027: (VPN-Primary) HA status callback: My state Standby Ready. 
Mar 10 03:07:05 fw1 %PIX-5-111008: User 'enable_15' executed the 'failover reset' command. 
Mar 10 03:07:31 fw1 %PIX-5-111008: User 'enable_15' executed the 'failover active' command. 
Mar 10 03:08:04 fw1 %PIX-5-611103: User logged out: Uname: enable_1 
Mar 10 03:08:04 fw1 %PIX-6-315011: SSH session from admin1_int on interface inside for user "pix" terminated normally 
Mar 10 03:08:39 fw1 %PIX-6-720032: (VPN-Secondary) HA status callback: id=3,seq=200,grp=0,event=406,op=20,my=Active,peer=Failed. 
Mar 10 03:08:39 fw1 %PIX-6-720028: (VPN-Secondary) HA status callback: Peer state Failed. 
Mar 10 03:09:10 fw1 %PIX-6-605005: Login permitted from admin1_int/36891 to inside:192.168.4.4/ssh for user "pix" 
Mar 10 03:09:23 fw1 %PIX-5-111008: User 'enable_15' executed the 'failover reset' command. 
Mar 10 03:09:38 fw1 %PIX-6-720032: (VPN-Secondary) HA status callback: id=3,seq=200,grp=0,event=401,op=0,my=Active,peer=Failed. 
Mar 10 03:09:39 fw1 %PIX-6-720024: (VPN-Secondary) HA status callback: Control channel is down. 
Mar 10 03:09:39 fw1 %PIX-6-720032: (VPN-Secondary) HA status callback: id=3,seq=200,grp=0,event=401,op=1,my=Active,peer=Failed. 
Mar 10 03:09:39 fw1 %PIX-6-720024: (VPN-Secondary) HA status callback: Control channel is up. 
Mar 10 03:09:39 fw1 %PIX-6-720032: (VPN-Secondary) HA status callback: id=3,seq=200,grp=0,event=411,op=2,my=Active,peer=Failed. 
Mar 10 03:09:52 fw1 %PIX-6-720032: (VPN-Secondary) HA status callback: id=3,seq=200,grp=0,event=406,op=80,my=Active,peer=Standby Ready. 
Mar 10 03:09:52 fw1 %PIX-6-720028: (VPN-Secondary) HA status callback: Peer state Standby Ready. 
Mar 10 03:09:53 fw2 %PIX-6-720027: (VPN-Primary) HA status callback: My state Standby Ready.

我不确定如何解释该系统日志数据。Primary 似乎甚至没有尝试变得活跃。当我单独重新加载各个单元时，我的连接被保留，所以看起来我没有真正的硬件故障。我可以查询（IOS 或 SNMP）来检查硬件问题吗？

有什么想法吗？我的IOS-fu很弱。

感谢您提供的任何帮助，亚伦

我在这个网络范围内运行 pix

192.100.10.0 255.255.255.0

还有我在网络上的服务器

192.200.10.0 255.255.255.0

我的服务器IP：192.200.10.11

我将这些命令添加到 PIX 的 conf 中

static (inside,outside) tcp interface 80 192.200.10.11 80 netmask 255.255.255.255
access-list outside-inbound permit tcp any host xx.xx.xx.20 eq 80

xx.xx.xx.20我的 Pix 的外部 IP在哪里

我似乎无法从外部访问端口。我究竟做错了什么？

我已按照 Cisco 的 [netscreen to PIX VPN] http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a00801c4445的指示在 netscreen 设备和 Cisco PIX 之间配置 VPN 。 shtml文章。

唯一的区别是我运行的是 PIX 6.3(5) 和 Juniper Netscreen 6.1.0r2.0（防火墙+VPN）。我完全遵循了这两种配置，当我尝试连接时，Juniper 返回：

2010-02-21 12:54:28  information IKE: Removed Phase 2 SAs after receiving a notification message. 
2010-02-21 12:54:28  information IKE pix_public_IP: Received a notification message for DOI 1 14 NO-PROPOSAL-CHOSEN. 
2010-02-21 12:54:28  information IKE pix_public_IP Phase 2: Initiated negotiations. 

在 Netscreen 上，我使用 DH Group#2、3DES-CBC 和 SHA-1 创建了名为 ToCorpOffice 的第 2 阶段提案，在配置 AutoKey IKE 时，我选择了 ToCorpOffice 并删除了所有其他转换。我相信我已经在 PIX 上配置了相同的内容：

sysopt connection permit-ipsec
crypto ipsec transform-set mytrans esp-3des esp-sha-hmac
crypto map mymap 10 ipsec-isakmp
crypto map mymap 10 match address nonat
crypto map mymap 10 set pfs group2
crypto map mymap 10 set peer netscreen_public_ip
crypto map mymap 10 set transform-set mytrans
crypto map mymap interface outside

保存并重新启动，所以这里是密码图信息：PIX-FW1# 显示密码图

Crypto Map: "mymap" interfaces: { outside }

Crypto Map "mymap" 10 ipsec-isakmp
    Peer = netscreen_public_ip
    access-list nonat; 1 elements
    access-list nonat line 1 permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0 (hitcnt=0)
    Current peer: netscreen_public_ip
    Security association lifetime: 4608000 kilobytes/28800 seconds
    PFS (Y/N): Y
    DH group:  group2
    Transform sets={ mytrans, }
PIX-FW1#

知道为什么我会收到 NO-PROPOSAL-CHOSEN 错误吗？

我刚刚开始一些 Cisco 培训，我想知道是否有任何免费可用的模拟器可用。

我不断收到错误日志Deny IP due to Land Attack from IP to IP。

源 IP 地址和目标 IP 地址相同。

谁能指导我可能是什么问题以及如何解决这个问题？

在 pix 上，如何使端口流量（在这种情况下用于电子邮件的端口 25）可由我的 IP 传播中的特定 IP 地址使用？

我想向 [email protected] 发送电子邮件，如果它是电子邮件，让 pix 将它发送到该 IP 上的端口 25，如果它是其他任何东西，则丢弃它。

谢谢你。

我有一个 pix 515e 运行 pixos 6.3 w/64MB RAM，3 个以太网接口，只有 2 个在使用中。我将它用作约 100 台设备的互联网网关，每日峰值约为 6 Mbps（兆比特/秒）入站，约 10%-20% 的出站值。它对此非常有用，没有问题。我们不使用任何 VPN 功能。尽管 PIX 不知道/关心这一点，但大多数客户端都是无线的。

我们遇到了合规/政策问题，因此我们希望强制用户在使用互联网之前进行身份验证并补充详细的日志。我建议用另一种产品替换 PIX；我的建议（windows + 未命名的门户软件）惨遭失败，所以我们回到使用一直完美运行的 PIX。所以我已经在这方面烧掉了一些预算，但我需要想出一个解决方案，最好是使用我所拥有的。

我的理解是，PIX 实际上可以验证用户和审计访问。我真的不需要详细的 URL 日志，我真正需要的是准确的日期+时间、用户名、mac 地址、本地 IP 地址、本地端口（已翻译 + 未翻译）、远程 IP、远程端口和八位字节数

我相信我掌握了日志记录，所以我的问题是

1) 在允许互联网访问之前，这个 PIX 可以要求身份验证吗？我的意思是所有的互联网访问（游戏、telnet、...），而不仅仅是 HTTP。有关使这项工作的任何指导？注意：我无法控制我的用户设备，我可以拒绝他们访问（有原因），但我不能在他们的计算机上安装软件。

2) 现在任何支持互联网的设备（PC、Mac、iphone、android）都可以访问互联网。我想确保它们继续工作，那么这些更改是否足够通用以适用于这些现有设备？

3）如果我继续，这个像素是否会负担过重（CPU/内存）？我在高峰时间看到每秒 800 多个数据包。

4）如果这是一个坏主意，请提出建议

请注意，我真的不想讨论该政策。如果用户想超出他们同意的政策，我真的不在乎，但他们需要为此类活动使用/购买自己的 3G 服务并远离 (W)LAN。

我在世界各地有许多 Cisco ASA 5505 和 PIX 506e 作为 VPN 端点。它们连接到总部的 Cisco VPN 集中器 3000。我正在使用 Easy VPN 来设置 VPN（即，大部分配置都集中在 VPN 集中器上）大多数端点都可以正常工作。

但是，有三个没有。2 个 ASA 和 1 个 PIX 与我们网络上的一个 VLAN 断开连接。这是我的监控服务器运行的 VLAN - 所以这些端点看起来好像已经关闭了。但是，我仍然可以从我们的用户 VLAN ping 端点。如果我随后通过 SSH 连接到端点，并对我的监控服务器执行 ping 操作，连接就会恢复。然后大约 10 分钟后，它再次停止工作。

我查看了端点的配置，看不到任何显着差异。一个共同特征是受影响的端点通过零售质量路由器连接到互联网。但是，我看不出这会如何影响 VPN 隧道内的流量。

有什么想法或建议吗？我还在https://supportforums.cisco.com/thread/344638的 Cisco 论坛上找到了一个主题。另一个人报告了同样的问题。