cisco pix 506E et netgear DG834G

Le
cc
salut

petite question car je n'arrive pas à solutionner mon pb.

J'ai un site distant avec une connexion adsl (ip fixe). J'ai installer
un netgear DG834G et un FW pix cisco 506E.

Pour l'instant le pix à pris l'ip locale en 192.168.0.3 derriere le
netgear.

A distance j'ai bien acces au netgear mais je voudrais pouvoir avoir
acces au pix pour le parametrer sans avoir a aller sur le site

possible ou pas ?

merci
a+

--

merci
a+
--
cc
Questions / Réponses high-tech
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
SiO
Le #867725
cc wrote:
salut

petite question car je n'arrive pas à solutionner mon pb.

J'ai un site distant avec une connexion adsl (ip fixe). J'ai installer
un netgear DG834G et un FW pix cisco 506E.

Pour l'instant le pix à pris l'ip locale en 192.168.0.3 derriere le
netgear.

A distance j'ai bien acces au netgear mais je voudrais pouvoir avoir
acces au pix pour le parametrer sans avoir a aller sur le site

possible ou pas ?

merci
a+



Bonjour,

Oui possible.
Si le pix est accessible par Telnet ou SSH, vous n'avez qu'à mapper le
port TCP 23 (Telnet) ou TCP 22 (SSH) vers votre PIX (192.168.0.3).
Alors quand vous allez faire SSH ou TELNET sur l'ip PUBLIC de votre
NETGEAR, vous allez vous retrouver sur votre PIX.

PS: Pourquoi n'utilisez vous par votre pix directement sur votre FAI ?

cc
Le #867536


Bonjour,

Oui possible.
Si le pix est accessible par Telnet ou SSH, vous n'avez qu'à mapper le port
TCP 23 (Telnet) ou TCP 22 (SSH) vers votre PIX (192.168.0.3). Alors quand
vous allez faire SSH ou TELNET sur l'ip PUBLIC de votre NETGEAR, vous allez
vous retrouver sur votre PIX.


ok je vais voir la doc du pix

PS: Pourquoi n'utilisez vous par votre pix directement sur votre FAI ?


c'est à dire ? je vire le netgear ?

--

merci
a+
--
cc

Pascal Hambourg
Le #867534
Salut,

cc wrote:

J'ai un site distant avec une connexion adsl (ip fixe). J'ai installer
un netgear DG834G et un FW pix cisco 506E.

Pour l'instant le pix à pris l'ip locale en 192.168.0.3 derriere le
netgear.

A distance j'ai bien acces au netgear mais je voudrais pouvoir avoir
acces au pix pour le parametrer sans avoir a aller sur le site


Si le pix est accessible par Telnet ou SSH, vous n'avez qu'à mapper le
port TCP 23 (Telnet) ou TCP 22 (SSH) vers votre PIX (192.168.0.3). Alors
quand vous allez faire SSH ou TELNET sur l'ip PUBLIC de votre NETGEAR,
vous allez vous retrouver sur votre PIX.


Note importante : ne JAMAIS utiliser le protocole Telnet simple (sans
chiffrement) pour faire de l'administration à travers un réseau non sûr
comme internet, car tout est transmis clair, y compris les mots de
passe, sans parler de la vulnérabilité aux attaques de type "man in the
middle". Utiliser des protocoles sécurisés et chiffrés comme SSH, Telnet
sécurisé par SSL/TLS, HTTPS s'il y a une interface de configuration web...

Perso ça me fait un peu peur de lire une question pareille de la part de
quelqu'un qui manie des PIX...

PS: Pourquoi n'utilisez vous par votre pix directement sur votre FAI ?


Parce que ce n'est pas un modem, contrairement au DG834 ?


cc
Le #867532
Pascal Hambourg a utilisé son clavier pour écrire :
Salut,

cc wrote:

J'ai un site distant avec une connexion adsl (ip fixe). J'ai installer un
netgear DG834G et un FW pix cisco 506E.

Pour l'instant le pix à pris l'ip locale en 192.168.0.3 derriere le
netgear.

A distance j'ai bien acces au netgear mais je voudrais pouvoir avoir acces
au pix pour le parametrer sans avoir a aller sur le site


Si le pix est accessible par Telnet ou SSH, vous n'avez qu'à mapper le port
TCP 23 (Telnet) ou TCP 22 (SSH) vers votre PIX (192.168.0.3). Alors quand
vous allez faire SSH ou TELNET sur l'ip PUBLIC de votre NETGEAR, vous allez
vous retrouver sur votre PIX.


Note importante : ne JAMAIS utiliser le protocole Telnet simple (sans
chiffrement) pour faire de l'administration à travers un réseau non sûr comme
internet, car tout est transmis clair, y compris les mots de passe, sans
parler de la vulnérabilité aux attaques de type "man in the middle". Utiliser
des protocoles sécurisés et chiffrés comme SSH, Telnet sécurisé par SSL/TLS,
HTTPS s'il y a une interface de configuration web...



il y a une interface https et pour l'instant je souhaiterais configurer
le pix pour prendre la main dessus de l'exterieur

Perso ça me fait un peu peur de lire une question pareille de la part de
quelqu'un qui manie des PIX...


ben pourquoi ?
c'est juste histoire de permette à la societe qui va le configurer de
prendre la main dessus. Apres on boucle à double tour et c'est fini.



PS: Pourquoi n'utilisez vous par votre pix directement sur votre FAI ?


Parce que ce n'est pas un modem, contrairement au DG834 ?


--

merci
a+
--
cc



Pascal Hambourg
Le #867531

il y a une interface https et pour l'instant je souhaiterais configurer
le pix pour prendre la main dessus de l'exterieur


Dans ce cas il faut créer sur le modem-routeur une redirection du port
TCP 443 vers l'adresse du PIX. Une autre possibilité consiste à définir
l'adresse du PIX en "DMZ" (désignation impropre pour cette fonction mais
largement répandue dans ce type de produits) dans la configuration du
modem-routeur. Ainsi le PIX recevra toutes les connexions entrantes
arrivant sur le modem-routeur de l'extérieur.

Il faut aussi s'assurer que l'adresse du PIX ne changera pas, sinon il
ne recevra plus les connexions redirigées. Donc soit adresse statique
hors plage DHCP du routeur, soit configuration dynamique par DHCP avec
réservation par adresse MAC.

Perso ça me fait un peu peur de lire une question pareille de la part
de quelqu'un qui manie des PIX...


ben pourquoi ?


Parce qu'il me semble que l'administration d'un équipement de sécurité
comme un PIX requiert un minimum de culture générale en réseaux IP, et
que le NAT en fait partie.

c'est juste histoire de permette à la societe qui va le configurer de
prendre la main dessus. Apres on boucle à double tour et c'est fini.


Alors tout va bien. ;-)


cc
Le #867530
Le 05/09/2007, Pascal Hambourg a supposé :

il y a une interface https et pour l'instant je souhaiterais configurer le
pix pour prendre la main dessus de l'exterieur


Dans ce cas il faut créer sur le modem-routeur une redirection du port TCP
443 vers l'adresse du PIX. Une autre possibilité consiste à définir l'adresse
du PIX en "DMZ" (désignation impropre pour cette fonction mais largement
répandue dans ce type de produits) dans la configuration du modem-routeur.
Ainsi le PIX recevra toutes les connexions entrantes arrivant sur le
modem-routeur de l'extérieur.



ok

Il faut aussi s'assurer que l'adresse du PIX ne changera pas, sinon il ne
recevra plus les connexions redirigées. Donc soit adresse statique hors plage
DHCP du routeur, soit configuration dynamique par DHCP avec réservation par
adresse MAC.


ca c'est reglé

merci

--

merci
a+
--
cc


SiO
Le #869921
Pascal Hambourg wrote:
Salut,

cc wrote:

J'ai un site distant avec une connexion adsl (ip fixe). J'ai
installer un netgear DG834G et un FW pix cisco 506E.

Pour l'instant le pix à pris l'ip locale en 192.168.0.3 derriere le
netgear.

A distance j'ai bien acces au netgear mais je voudrais pouvoir avoir
acces au pix pour le parametrer sans avoir a aller sur le site


Si le pix est accessible par Telnet ou SSH, vous n'avez qu'à mapper le
port TCP 23 (Telnet) ou TCP 22 (SSH) vers votre PIX (192.168.0.3).
Alors quand vous allez faire SSH ou TELNET sur l'ip PUBLIC de votre
NETGEAR, vous allez vous retrouver sur votre PIX.


Note importante : ne JAMAIS utiliser le protocole Telnet simple (sans
chiffrement) pour faire de l'administration à travers un réseau non sûr
comme internet, car tout est transmis clair, y compris les mots de
passe, sans parler de la vulnérabilité aux attaques de type "man in the
middle". Utiliser des protocoles sécurisés et chiffrés comme SSH, Telnet
sécurisé par SSL/TLS, HTTPS s'il y a une interface de configuration web...


En effet pour le telnet. À proscrire.

Par contre pour vous faire la main, je ne conseille pas l'utilisation de
l'interface Web. Dans l'industrie l'interface web n'est pas toujours
accessible et est généralement plus "time consuming" qu'un bon SSH avec
copier/coller. Une bonne connaissance des commandes est généralement
plus utile qu'un interface web et plus efficace. Mais rien de vous
empèche d'y jetter un coup d'oeil !


Perso ça me fait un peu peur de lire une question pareille de la part de
quelqu'un qui manie des PIX...

PS: Pourquoi n'utilisez vous par votre pix directement sur votre FAI ?


Parce que ce n'est pas un modem, contrairement au DG834 ?


Je suggérais ceci car on met ce type de firewall sur la première ligne
généralement. Si vous aviez disposé d'un simple modem et non pas d'un
combo, ça aurait été une solution intéressante.

Mais puisque ce n'est que pour vous faire la main dessus, ce ne serait
pas une bonne idée de le mettre sur la ligne de feu. :)

Bonne chance.



Publicité
Poster une réponse
Anonyme