ueba3ba
Goto Top

PIX 515 Vlan routing Catalyst 2950

Hallo, ich betreibe zur Übung eine Cisco Pix 515 Firewall mit aktuellem IOS und einen Cisco Catalyst Switch 2950, mit aktuellem IOS.

Auf dem Switch ist Port 0 als Trunk für Vlan 10 und 20.

Port 1 und 2 sind VLAN10
Port 6 bis 8 sind VLAN 20

VLAN10 = 4.4.10.0 Client 4.4.10.10 255.0.0.0
VLAN20 = 4.4.20.0 Client 4.4.20.20 255.0.0.0

Auf der PIX ist das Outside interface mit meiner FritzBox verbunden.
Route: Int. Outside 0.0.0.0 0.0.0.0 192.168.178.1

Auf Interface 2 sind 2 Subinterfaces eingerichtet.

1. SubInt = 4.4.10.1 255.0.0.0
2. SubInt = 4.4.20.1 255.0.0.0

Nat Regeln wurden erstellt.

Beide Clienten, einer im vlan10 und der andere im vlan20, können über die PIX peer NAT inst Internet.

Nur leider klappt der ping zwischen beiden Clienten nicht.

Rules wurden auch erstellt.

Config vom Switch:


Building configuration...

Current configuration : 1859 bytes
!
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Switch0
!
enable secret 5 $1$JbP1$hAjdsN58M/18mr0xcuVaB0
enable password keinadmin
!
ip subnet-zero
!
!
spanning-tree mode pvst
spanning-tree portfast default
no spanning-tree optimize bpdu transmission
spanning-tree extend system-id
!
!
!
!
interface FastEthernet0/1
 switchport access vlan 10
 switchport trunk allowed vlan 10,20
 switchport trunk pruning vlan 10,20
 switchport mode trunk
!
interface FastEthernet0/2
 switchport access vlan 10
 switchport mode access
!
interface FastEthernet0/3
 switchport access vlan 10
!
interface FastEthernet0/4
!
interface FastEthernet0/5
!
interface FastEthernet0/6
 switchport access vlan 20
!
interface FastEthernet0/7
 switchport access vlan 20
 switchport mode access
!
interface FastEthernet0/8
 switchport access vlan 20
!
interface FastEthernet0/9
!
interface FastEthernet0/10
!
interface FastEthernet0/11
!
interface FastEthernet0/12
!
interface FastEthernet0/13
!
interface FastEthernet0/14
!
interface FastEthernet0/15
!
interface FastEthernet0/16
!
interface FastEthernet0/17
!
interface FastEthernet0/18
!
interface FastEthernet0/19
!
interface FastEthernet0/20
!
interface FastEthernet0/21
!
interface FastEthernet0/22
!
interface FastEthernet0/23
!
interface FastEthernet0/24
!
interface GigabitEthernet0/1
!
interface GigabitEthernet0/2
!
interface Vlan1
 ip address 4.4.10.100 255.255.255.0
 no ip route-cache
!
interface Vlan10
 no ip address
 no ip route-cache
 shutdown
!
interface Vlan20
 no ip address
 no ip route-cache
 shutdown
!
interface Vlan30
 no ip address
 no ip route-cache
 shutdown
!
ip default-gateway 4.4.10.1
ip http server
!
line con 0
 exec-timeout 0 0
line vty 0 4
 password keinadmin
 login
line vty 5 15
 password keinadmin
 login
!
!
end

Switch0#

Config von der PIX:
pixfirewall> show running-config
                  ^
ERROR: % Invalid input detected at '^' marker.  
pixfirewall> en
pixfirewall> enable
Password: *********
pixfirewall# show run
pixfirewall# show running-config
: Saved
:
PIX Version 8.0(4)23
!
hostname pixfirewall
domain-name PIX
enable password axb3wREqWJcNiySG encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
name 4.4.20.0 Vlan20-Net
name 4.4.10.0 Vlan10-Net
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 192.168.178.2 255.255.255.0
 ospf cost 10
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 10.0.0.1 255.255.255.0
 ospf cost 10
!
interface Ethernet2
 no nameif
 no security-level
 no ip address
!
interface Ethernet2.10
 vlan 10
 nameif Vlan10
 security-level 100
 ip address 4.4.10.1 255.255.255.0
!
interface Ethernet2.20
 vlan 20
 nameif Vlan20
 security-level 100
 ip address 4.4.20.1 255.255.255.0
!
interface Ethernet3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet4
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet5
 shutdown
 no nameif
 no security-level
 no ip address
!
ftp mode passive
dns server-group DefaultDNS
 domain-name PIX
access-list outside_access_in extended permit ip any any
access-list SubVLan20_access_in extended permit ip any any
access-list SubVLan20_access_in extended permit icmp any any
access-list SubVlan10_access_in extended permit ip any any
access-list SubVlan10_access_in extended permit icmp any any
access-list inside_access_in extended permit ip any any
access-list inside_access_in extended permit icmp any any
access-list Vlan20_access_in extended permit ip any any
access-list Vlan20_access_in_1 extended permit icmp any any
access-list Vlan20_access_in_1 extended permit ip any any
access-list Vlan10_access_in extended permit icmp any any
access-list Vlan10_access_in extended permit ip any any
pager lines 24
logging asdm informational
mtu outside 1500
mtu inside 1500
mtu Vlan10 1500
mtu Vlan20 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
nat-control
global (outside) 1 192.168.178.100-192.168.178.110 netmask 255.255.255.0
global (outside) 1 192.168.178.99 netmask 255.255.255.0
nat (Vlan10) 1 Vlan10-Net 255.255.255.0
nat (Vlan20) 1 Vlan20-Net 255.255.255.0
access-group outside_access_in in interface outside
access-group inside_access_in in interface inside
access-group Vlan10_access_in in interface Vlan10
access-group Vlan20_access_in_1 in interface Vlan20
route outside 0.0.0.0 0.0.0.0 192.168.178.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 10.0.0.2 255.255.255.255 inside
http 4.4.10.10 255.255.255.255 Vlan10
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet 4.4.10.10 255.255.255.255 Vlan10
telnet timeout 5
ssh 4.4.10.10 255.255.255.255 Vlan10
ssh 4.4.20.20 255.255.255.255 Vlan20
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics host
threat-detection statistics port
threat-detection statistics protocol
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
username runner password oSxq6Zotq9senXtp encrypted privilege 15
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:39ddd46072488af270fb7fcdc8c2f3c4
: end
pixfirewall#

Wie schaffe ich es nun die Rechner pingen zu könne und auch zum Beispiel Dateifreigabe zu verwenden?

Ich danke schon mal für alle Antworten. Gn8

Content-Key: 665344

Url: https://administrator.de/contentid/665344

Ausgedruckt am: 28.03.2024 um 22:03 Uhr

Mitglied: aqui
aqui 02.04.2021 aktualisiert um 12:46:15 Uhr
Goto Top
Auf dem Switch ist Port 0 als Trunk für Vlan 10 und 20.
Einen solchen Port gibt es auf einem Cat 2950 gar nicht. Wenn, bitte immer korrekte Ports angeben um die Community hier nicht in die Irre zu führen. face-sad
Du meinst vermutlich den Port FastEthernet 0/1 ,richtig ?
Den hast du falsch konfiguriert ! Siehst du auch selber, denn vlan 10 ist gleichzeitig als Access Port (untagged) und als tagged Port definiert. Das ist natürlich Konfig technischer Quatsch und kann nie funktionieren. Pruning solltest du als VLAN Anfänger erstmal weglassen !
Mit "no switchport access vlan 10" korrigierst du das. Damit wird wieder das VLAN 1 als Native VLAN gesetzt auf dem Port. Im Endeffekt darf die Port Konfig ausschliesslich nur so aussehen:
!
interface FastEthernet0/1
description Tagged Uplink Pix 515
switchport mode trunk
switchport trunk allowed vlan 1,10,20
!

Desweiteren hast du ein großes Problem, denn du hast die Management IP des Catalyst 2950 im VLAN 1 konfiguriert aber mit einer IP Adresse aus deinem VLAN 10.
Das VLAN 1 hat aber auf deiner PIX keinerlei IP so das sich die Pix und der Cat 2950 Management technisch niemals "sehen" können. Ein Management ist also unmöglich da die Management IPs beider Geräte in getrennten VLANs liegen.
Diese VLAN Diskrepanz in deiner Konfig springt aber auch einem Laien sofort ins Auge und hätte dir auffallen müssen.

Hier musst du dich jetzt entscheiden ob du das Management in VLAN 1 belassen willst oder ob du das aufs VLAN 10 migrieren willst.
So sehen beide Optionen aus:

back-to-topManagement in VLAN 1:

Catalyst 2950 Konfig:
!
interface FastEthernet0/1
description Tagged Uplink Pix 515
switchport mode trunk
switchport trunk allowed vlan 1,10,20
!
interface Vlan1
description Management IP Interface
ip address 4.4.1.100 255.255.255.0
!

Achtung: Die fehlerhaften und überflüssigen IP Interfaces vlan10, 20 und 30 mit no interface vlan 10 (Wiederholen für 20 und 30 !) unbedingt entfernen ! Der Catalyst braucht nur ein einziges IP Interface da du ihn ja ausschliesslich im Layer 2 Mode betreibst !
Pix 515 Konfig:
!
interface Ethernet2
nameif Vlan1
security-level 100
ip address 4.4.1.1 255.255.255.0
!
interface Ethernet2.10
vlan 10
nameif Vlan10
security-level 100
ip address 4.4.10.1 255.255.255.0
!
interface Ethernet2.20
vlan 20
nameif Vlan20
security-level 100
ip address 4.4.20.1 255.255.255.0
!

back-to-topManagement in VLAN 10:

Interface vlan1 mit no interface vlan 1 entfernen und ein Management IP Interface im VLAN 10 anlegen mit interface vlan 10 und dort die VLAN 10 IP setzen.
Catalyst 2950 Konfig:
!
interface FastEthernet0/1
description Tagged Uplink Pix 515
switchport mode trunk
switchport trunk allowed vlan 1,10,20
!
interface Vlan10
description Management IP Interface
ip address 4.4.10.100 255.255.255.0
!

Pix 515 Konfig:
!
interface Ethernet2
nameif Vlan1
security-level 100
ip address 4.4.1.1 255.255.255.0
!
interface Ethernet2.10
vlan 10
nameif Vlan10
security-level 100
ip address 4.4.10.1 255.255.255.0
!
interface Ethernet2.20
vlan 20
nameif Vlan20
security-level 100
ip address 4.4.20.1 255.255.255.0
!

Nur so wird ein richtiger (VLAN) Schuh draus !
Mitglied: Ueba3ba
Ueba3ba 03.04.2021 um 01:27:47 Uhr
Goto Top
Danke für deine Antwort. Natürlich hast du Recht. Ich meinte den Port Ethernet 0/1 der als Trunk eingerichtet ist.

Die Management Ip im vlan1 habe ich mit Absicht so konfiguriert. Damit ich am Client nicht ständig die Ip ändern muss
wenn ich auf das ASDM der PIX wollte. Das mit dem Pruning ist ausversehen passiert, beim experimentieren.
Du hast auch damit recht, das ich ein VLan Anfänger/Einsteiger bin. Ich möchte den CCNA machen und habe erst angefangen dafür zu lernen. Meine Netzwerkkenntnisse sind nicht besonders. Noch nicht face-smile

Ich habe deine Vorschläge ümgesetzt.
Ich kann immer noch mit beiden Clienten, die jeweills in einem anderen Vlan sind, ins Internet.
Passiert ja über das NAT Routing der PIX. Die PIX hat eine default GW zur FritzBox.
In meinem Videokurs funktioniert das mit dem Interl Vlan Routing. Allerdings mit HIlfe eines Routers.
Ich habe erst einen Switch und die Pix gekauft, für mein Hardware Lab, da die sehr günstig zu ersteigern gewesen sind.
Es folgen demnächst 4 Cisco 1841 Router, 2x PoE Switche WS-C3560-24PS-S, 1 Cisco Catalyst 3560G-48PS mit PoE, Layer-3 Switch und eine ASA.

Was noch nicht funktioniert ist, die Komunikation der beiden Clienten. Also kein Ping.

Ansonsten habe ich nur die Ip Adressen geändert.

Von:

Vlan10 4.4.10.0/24 > 10.10.10.1/24
Vlan20 4.4.20.0/24 > 10.20.20..0/24

An der PIX
Sub Intterface Ethernet 2.10 > 10.10.10.1/24
Sub Interface Ethernet 2.20 > 10.20.20.1/24

So wurde es in meinem Video Kurs gemacht. Im Kurs können sich auch beide vlan Clienten pingen.

Liegt es an der PIX? oder am NAT. Ich komm nicht weiter.


Danke sehr für deine Mühe die du dir gemacht hast, um mir zu antworten.

LG
Mitglied: aqui
aqui 03.04.2021 aktualisiert um 10:30:55 Uhr
Goto Top
Die Management Ip im vlan1 habe ich mit Absicht so konfiguriert. Damit ich am Client nicht ständig die Ip ändern muss
Sorry, aber diese Logik ist völlig unverständlich. So kannst du doch den Catalyst niemals aus deinem VLAN 10 erreichen und musst immer umstecken auf den Switch. Dann kannst du aber die PIX nicht mehr erreichen. Eigentlich doch ziemlicher Unsinn...
IP Adressen kann man in Terminal Programmen wie PuTTY oder TeraTerm (die du ja sicher auch verwendest) als festes Profil speichern. Mit einem simplen Doppelklick führst du die dann aus. Diese Argumentation von dir ist also irgendwie unsinnig.
Macht doch mehr Sinn wenn man das Management der PIX und Switch im gemeinsamen Zugriff hat...aber egal. Musst du wissen....
Was noch nicht funktioniert ist, die Komunikation der beiden Clienten. Also kein Ping.
Sind das Winblows Rechner ??
Wenn ja liegt das, wie immer, an 2 Gründen:
  • ICMP (Ping) ist generell in der lokalen Windows Firewall deaktiviert bzw. blockiert ! Das musst du erst erlauben: https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
  • Die lokale Windows Firewall erlaubt generell keinen Zugriff aus IP Netzen mit anderen Absender IPs. Immer nur lokale IPs. Da du 2 VLANs hast musst du auch die IP Range in der lokalen Firewall entsprechen anpassen indem du Absender und lokale IP auf "Beliebig" setzt in der Winblows Firewall.
Liegt es an der PIX? oder am NAT. Ich komm nicht weiter.
Nein, es liegt am Winblows !! Siehe oben !

Nochwas...
Als angehender CCNA solltest du dir angewöhnen immer mit den privaten RFC 1918 IP Netzen im Lab zu arbeiten !
https://de.wikipedia.org/wiki/Private_IP-Adresse
Öffentliche IP Adressen zu verwenden die dir nicht gehören ist keine besonders intelligente Idee.
Mitglied: Ueba3ba
Ueba3ba 03.04.2021 um 10:55:15 Uhr
Goto Top
Danke für deine Antwort. Windows Firewall ist auf beiden Rechnern deaktiviert.

Das mit den öffentlichen ip Adressen war mir nicht bewusst. Werde ich ändern. Danke dafür. LG
Mitglied: aqui
aqui 03.04.2021 aktualisiert um 11:06:44 Uhr
Goto Top
Das mit den öffentlichen ip Adressen war mir nicht bewusst.
Oha, das lernt man doch schon in der Grundschule im Informatik Unterricht. face-wink
Meister Yoda würde sagen: "Viel lernen du noch musst junger Padawan" ! 😉
Mitglied: Ueba3ba
Ueba3ba 05.04.2021 aktualisiert um 03:34:44 Uhr
Goto Top
Servus. Ich habe sehr lange versucht den Fehler zu finden. Doch leider hab ich ihn nicht finden können. Hab den Switch und die PIX resetet und alles neu konfiguriert. Selbe Ergebniss. Beide Rechner können sich nicht pingen bei ausgeschalterer Windows Firewall.


Zitat von @aqui:

Das mit den öffentlichen ip Adressen war mir nicht bewusst.
Oha, das lernt man doch schon in der Grundschule im Informatik Unterricht. face-wink
Meister Yoda würde sagen: "Viel lernen du noch musst junger Padawan" ! 😉

Ich hatte leider keinen Informatik Unterricht in der Grundschule. Witzig face-smile

Spass bei Seite.

Der Rechner im Vlan10 kann das Sub-Interface für Vlan10 auf der PIX pingen, aber nicht das für Vlan20 auf der PIX
Der Rechner im Vlan20 kann das Sub-Interface für Vlan20 auf der PIX pingen, aber nicht das für Vlan10 auf der PIX

Auch ist mir aufgefallen das ein Vlan immer administratively down ist.

Sollten nicht beide auf "UP" stehen?

Hier die Configs

Switch
Switch#show running-config
Building configuration...

Current configuration : 1550 bytes
!
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Switch
!
!
ip subnet-zero
!
!
spanning-tree mode pvst
no spanning-tree optimize bpdu transmission
spanning-tree extend system-id
!
!
!
!
interface FastEthernet0/1
 switchport trunk allowed vlan 10,20
 switchport mode trunk
!
interface FastEthernet0/2
 switchport access vlan 10
 switchport mode access
 spanning-tree portfast
!
interface FastEthernet0/3
!
interface FastEthernet0/4
!
interface FastEthernet0/5
!
interface FastEthernet0/6
 switchport access vlan 20
 switchport mode access
 spanning-tree portfast
!
interface FastEthernet0/7
!
interface FastEthernet0/8
!
interface FastEthernet0/9
!
interface FastEthernet0/10
!
interface FastEthernet0/11
!
interface FastEthernet0/12
!
interface FastEthernet0/13
!
interface FastEthernet0/14
!
interface FastEthernet0/15
!
interface FastEthernet0/16
!
interface FastEthernet0/17
!
interface FastEthernet0/18
!
interface FastEthernet0/19
!
interface FastEthernet0/20
!
interface FastEthernet0/21
!
interface FastEthernet0/22
!
interface FastEthernet0/23
!
interface FastEthernet0/24
!
interface GigabitEthernet0/1
!
interface GigabitEthernet0/2
!
interface Vlan1
 no ip address
 no ip route-cache
 shutdown
!
interface Vlan10
 ip address 192.168.100.254 255.255.255.0
 no ip route-cache
 shutdown
!
interface Vlan20
 ip address 192.168.200.254 255.255.255.0
 no ip route-cache
 shutdown
!
ip http server
!
line con 0
line vty 0 4
 login
line vty 5 15
 login
!
!
end

Switch#

PIX
: Saved
:
PIX Version 8.0(4)23 
!
hostname pixfirewall
domain-name PIX
enable password axb3wREqWJcNiySG encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 192.168.178.2 255.255.255.0 
 ospf cost 10
!
interface Ethernet1
 shutdown
 nameif inside
 security-level 100
 no ip address
 ospf cost 10
!
interface Ethernet2
 no nameif
 security-level 100
 no ip address
!
interface Ethernet2.10
 vlan 10
 nameif Vlan10
 security-level 100
 ip address 192.168.100.1 255.255.255.0 
!
interface Ethernet2.20
 vlan 20
 nameif Vlan20
 security-level 100
 ip address 192.168.200.1 255.255.255.0 
!
interface Ethernet3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet4
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet5
 shutdown
 no nameif
 no security-level
 no ip address
!
ftp mode passive
dns server-group DefaultDNS
 domain-name PIX
access-list outside_access_in extended permit ip any any 
access-list SubVLan20_access_in extended permit ip any any 
access-list SubVLan20_access_in extended permit icmp any any 
access-list SubVlan10_access_in extended permit ip any any 
access-list SubVlan10_access_in extended permit icmp any any 
access-list inside_access_in extended permit ip any any 
access-list inside_access_in extended permit icmp any any 
access-list Vlan20_access_in extended permit ip any any 
access-list Vlan20_access_in_1 extended permit ip any any 
access-list Vlan20_access_in_1 extended permit icmp any any 
access-list Vlan10_access_in extended permit ip any any 
access-list Vlan10_access_in extended permit icmp any any 
pager lines 24
logging asdm informational
mtu outside 1500
mtu inside 1500
mtu Vlan10 1500
mtu Vlan20 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
global (outside) 1 192.168.178.100-192.168.178.110 netmask 255.255.255.0
global (outside) 1 192.168.178.99 netmask 255.255.255.0
nat (Vlan10) 1 192.168.100.0 255.255.255.0
nat (Vlan20) 1 192.168.200.0 255.255.255.0
access-group outside_access_in in interface outside
access-group inside_access_in in interface inside
access-group Vlan10_access_in in interface Vlan10
access-group Vlan20_access_in_1 in interface Vlan20
route outside 0.0.0.0 0.0.0.0 192.168.178.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
aaa authentication ssh console LOCAL 
http server enable
http 192.168.100.10 255.255.255.255 Vlan10
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet timeout 5
ssh 192.168.100.10 255.255.255.255 Vlan10
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics host
threat-detection statistics port
threat-detection statistics protocol
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
username runner password oSxq6Zotq9senXtp encrypted privilege 15
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect rsh 
  inspect rtsp 
  inspect esmtp 
  inspect sqlnet 
  inspect skinny  
  inspect sunrpc 
  inspect xdmcp 
  inspect sip  
  inspect netbios 
  inspect tftp 
!
service-policy global_policy global
prompt hostname context 
Cryptochecksum:cd5dbfe8caa446ca873496c96dedab1c
: end
no asdm history enable


Es kann doch nicht sein das dass nicht funktioniert. Mir fällt nichts mehr ein.

Am Routing liegt es nicht. Die PIX hat die Routen schon, auch wenn sie nicht in der routing-tab zu sehen sind.
Wenn ich die Routen für beide VLans konfigurieren mlchte, sagt mir die pix das es die schon gibt.
Am Switch kann es meiner Meinung auch nicht liegen. Der sollte richtig konfiguriert sein.

Ich hoffe das ich das mit deiner/eurer Hilfe gelöst bekomme.
Was hab ich übersehen? Wo liegt mein Fehler?
Mitglied: aqui
aqui 05.04.2021 aktualisiert um 10:44:16 Uhr
Goto Top
Was für eine Firmware Version ist auf deiner PIX ?? Wenn es 6 oder niedriger ist geht das nicht, denn die PIX erlaubt kein gleichzeitiges in- und outbound Routing über das gleiche physische Interface mit diesen Versionen !
Das wurde erst aber Version 7.x und später aufgehoben !
https://community.cisco.com/t5/switching/inter-vlan-routing-w-multiple-d ...
https://community.cisco.com/t5/network-security/pix-and-inter-vlan-routi ...
Fazit:
Du musst zwingend 7.x oder höher auf der PIX haben. Ggf. wärst du mit einer preiswerten ASA 5505 besser gefahren, denn die hat die modernere Plattform und gibts auch preiswert bei eBay.
Ansonsten nimmst du einen preiswerten 886va Router der das auch kann:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Mitglied: Ueba3ba
Ueba3ba 05.04.2021 um 11:37:46 Uhr
Goto Top
Hey servus.

Also die PIX hat das ketzte zur Verfügung stehende Update. 8.0.4 23

PIX: show version

Cisco PIX Security Appliance Software Version 8.0(4)23 
Device Manager Version 6.1(5)57
Compiled on Tue 03-Feb-09 19:24 by builders
System image file is "flash:/pix804-23.bin"  
Config file at boot was "startup-config"  
pixfirewall up 32 secs
Hardware:   PIX-515E, 128 MB RAM, CPU Pentium II 433 MHz
Flash E28F128J3 @ 0xfff00000, 16MB
BIOS Flash AM29F400B @ 0xfffd8000, 32KB
Encryption hardware device : VAC+ (Crypto5823 revision 0x1)
 0: Ext: Ethernet0           : address is 000f.237f.2634, irq 10
 1: Ext: Ethernet1           : address is 000f.237f.2635, irq 11
 2: Ext: Ethernet2           : address is 0005.5d19.3a58, irq 11
 3: Ext: Ethernet3           : address is 0005.5d19.3a59, irq 10
 4: Ext: Ethernet4           : address is 0005.5d19.3a5a, irq 9
 5: Ext: Ethernet5           : address is 0005.5d19.3a5b, irq 5
Licensed features for this platform:
Maximum Physical Interfaces  : 6         
Maximum VLANs                : 25        
Inside Hosts                 : Unlimited 
Failover                     : Active/Active
VPN-DES                      : Enabled   
VPN-3DES-AES                 : Enabled   
Cut-through Proxy            : Enabled   
Guards                       : Enabled   
URL Filtering                : Enabled   
Security Contexts            : 2         
GTP/GPRS                     : Disabled  
VPN Peers                    : Unlimited 
This platform has an Unrestricted (UR) license.
Serial Number: 808025609
Running Activation Key: 0x65a4966a 0x4e307469 0x5339fb7c 0xb2a727a0 
Configuration has not been modified since last system restart.

PIX: show ip int brief
pixfirewall# show int ip brief
Interface                  IP-Address      OK? Method Status                Prot                                         ocol
Ethernet0                  192.168.178.2   YES CONFIG up                    up
Ethernet1                  unassigned      YES unset  administratively down down
Ethernet2                  unassigned      YES unset  up                    up
Ethernet2.10               192.168.100.1   YES CONFIG up                    up
Ethernet2.20               192.168.200.1   YES CONFIG up                    up
Ethernet3                  unassigned      YES unset  administratively down down
Ethernet4                  unassigned      YES unset  administratively down down
Ethernet5                  unassigned      YES unset  administratively down down
pixfirewall#

Oder meinstest du die Firmware vom Switch?

Hier der Switch.

Switch: show version
Switch#show version
Cisco Internetwork Operating System Software
IOS (tm) C2950 Software (C2950-I6Q4L2-M), Version 12.1(22)EA5a, RELEASE SOFTWARE (fc2)
Copyright (c) 1986-2005 by cisco Systems, Inc.
Compiled Fri 16-Sep-05 15:18 by antonino
Image text-base: 0x80010000, data-base: 0x80566000

ROM: Bootstrap program is C2950 boot loader

Switch uptime is 34 minutes
System returned to ROM by power-on
System image file is "flash:c2950-i6q4l2-mz.121-22.EA5a.bin"  

cisco WS-C2950SX-24 (RC32300) processor (revision F0) with 21025K bytes of memory.
Processor board ID FHK0729Z11T
Last reset from system-reset
Running Standard Image
24 FastEthernet/IEEE 802.3 interface(s)
2 Gigabit Ethernet/IEEE 802.3 interface(s)

32K bytes of flash-simulated non-volatile configuration memory.
Base ethernet MAC Address: 00:0D:65:A7:48:80
Motherboard assembly number: 73-8135-06
Power supply part number: 34-0965-01
Motherboard serial number: FOC07290H6Z
Power supply serial number: DAB07278SWF
Model revision number: F0
Motherboard revision number: A0
Model number: WS-C2950SX-24
System serial number: FHK0729Z11T
Configuration register is 0xF

Sollte eigentlich auch die neuste Version sein.

Switch: show ip int brief
Switch#show ip int brief
Interface                  IP-Address      OK? Method Status                Protocol
Vlan1                      unassigned      YES NVRAM  administratively down down
Vlan10                     192.168.100.254 YES NVRAM  up                    up
Vlan20                     192.168.200.254 YES NVRAM  administratively down down
FastEthernet0/1            unassigned      YES unset  up                    up
FastEthernet0/2            unassigned      YES unset  up                    up
FastEthernet0/3            unassigned      YES unset  down                  down
FastEthernet0/4            unassigned      YES unset  down                  down
FastEthernet0/5            unassigned      YES unset  down                  down
FastEthernet0/6            unassigned      YES unset  down                  down
FastEthernet0/7            unassigned      YES unset  down                  down
FastEthernet0/8            unassigned      YES unset  down                  down
FastEthernet0/9            unassigned      YES unset  down                  down
FastEthernet0/10           unassigned      YES unset  down                  down
FastEthernet0/11           unassigned      YES unset  down                  down
FastEthernet0/12           unassigned      YES unset  down                  down
FastEthernet0/13           unassigned      YES unset  down                  down
FastEthernet0/14           unassigned      YES unset  down                  down
FastEthernet0/15           unassigned      YES unset  down                  down
FastEthernet0/16           unassigned      YES unset  down                  down
FastEthernet0/17           unassigned      YES unset  down                  down
FastEthernet0/18           unassigned      YES unset  down                  down
FastEthernet0/19           unassigned      YES unset  down                  down
FastEthernet0/20           unassigned      YES unset  down                  down
FastEthernet0/21           unassigned      YES unset  down                  down
FastEthernet0/22           unassigned      YES unset  down                  down
FastEthernet0/23           unassigned      YES unset  down                  down
FastEthernet0/24           unassigned      YES unset  down                  down
GigabitEthernet0/1         unassigned      YES unset  down                  down
GigabitEthernet0/2         unassigned      YES unset  down                  down
Switch#

Wie hier zu erkennen ist, ist Vlan20 administratively down.

Ich glaube das dass der Grund ist, weshalb kein ping funktioniert.
Mitglied: aqui
aqui 05.04.2021 aktualisiert um 16:28:09 Uhr
Goto Top
Ich glaube das dass der Grund ist, weshalb kein ping funktioniert.
Ohh man, nicht dein Ernst oder ? face-sad
VLAN 1 ist ebenfals auf "shut". Mit so einem Kasperkram sucht man sich hier einen Wolf. Als Netzwerk Administrator solltest du gelernt haben das man solche Kindergarten Checks VORHER macht bevor man in einem Admin Forum einen Thread eröffnet..grrrr. !

Jetzt aber schnell
Wie kann ich einen Beitrag als gelöst markieren?
bevor das mit dir hier noch peinlicher wird !
Mitglied: Ueba3ba
Ueba3ba 05.04.2021 um 16:31:23 Uhr
Goto Top
Du bist mir ja einer. Lieber Sprüche klopfen als zu helfen. Danke dir, du ganz schlauer.
Mitglied: aqui
aqui 05.04.2021 aktualisiert um 16:43:03 Uhr
Goto Top
Gehe über Ostern lieber mal in dich und denke mal über dein Konfig Vorgehen nach. Das hilft dir sicher mehr als sich hier über das Für und Wider deiner Troubleshooting Strategie auszulassen !
Case closed !!
Mitglied: Dani
Dani 05.04.2021 um 20:09:00 Uhr
Goto Top
Moin,
so ihr zwei... wer es noch nicht getan hat, atmet jetzt tief durch.

@Ueba3ba
Erst einmal herzliche Willkommen bei uns in Forum. Alle Meldungen werden von uns natürlich angeschaut und bearbeitet. Kollege @aqui hat manchmal einen harten, direkten Umgangston Umgangston. Das ist aber keinenfalls Böse von Ihm gemeint, sondern auf seine Weise liebevoll. Er meint es bisher keinenfalls persönlich. Im Gegenteil er hilft in seinem Bereich wo er kann und scheut auch nicht davor, den 20. Kommentar zu schreiben.

Du bist mir ja einer. Lieber Sprüche klopfen als zu helfen.
Bist du seinen Tipps bezüglich Ohh man, nicht dein Ernst oder ? und VLAN 1 ist ebenfals auf "shut". schon nachgegangen?

@aqui
Sei bitte so lieb und nimm die neuen Mitglieder nicht gleich so hart ran. Es ist mir natürlich bewusst, dass es dich auch nach über 15 Jahren vermutlich bei der einen oder anderen Frage juckt, aber da musst du durch. face-wink


Gruß,
Dani
Mitglied: aqui
Lösung aqui 16.09.2021 um 14:34:55 Uhr
Goto Top
sondern auf seine Weise liebevoll.
Absolut ! 😉
Fehlt ja immer noch den Case als gelöst zu markieren...
Wie kann ich einen Beitrag als gelöst markieren?