URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 5280
[ Назад ]

Исходное сообщение
"Роутинг между тремя подсетками на PIX"

Отправлено Эдуард , 07-Май-04 11:02 
Привет!
Есть две удаленные сетки и VPN между ними на двух цисках. Необходимо настроить выход в интернет через выделенный канал в обеих сетках. Для этого поставили еще один PIX. В сети 192.168.2.0 все работает, а вот в сетке 192.168.1.0 нет доступа к интерфейсу 192.168.2.203 и к инету соответственно. С циски пинг в сеть 192.168.1.0 тоже не проходит. При этом обе сетки видят друг друга вполне нормально. В чем может быть проблема?

Схема сетки:
Сеть провайдера (шлюз 192.168.100.1)
Cisco PIX 501 (out 192.168.100.200, in 192.168.2.203)
Сетка 2 (192.168.2.0)
Cisco PIX 501 (in 192.168.2.202, out 194.84.17.201)
VPN
Cisco PIX 515 (out 194.84.17.202, in 192.168.1.202)
Сетка 1 (192.168.1.0)


Содержание

Сообщения в этом обсуждении
"Роутинг между тремя подсетками на PIX"
Отправлено Volume , 07-Май-04 11:41 
это вопрос из серии "угадайте ответ"?

"Роутинг между тремя подсетками на PIX"
Отправлено Эдуард , 07-Май-04 11:47 
>это вопрос из серии "угадайте ответ"?

Нет, это вопрос из серии "help me!". Если Вам нечего ответить, зачем писать? Если что то непонятно из вопроса, так и спрашивайте, поясню конкретней.


"Роутинг между тремя подсетками на PIX"
Отправлено Skiv , 07-Май-04 11:58 
можно увидеть конфиг "Cisco PIX 501 (out 192.168.100.200, in 192.168.2.203)"?
если есть пинг из сети 1.0 в сеть 2.0, но нет пинга из сети 1.0 к 2.203 (Cisco PIX 501), то возможно стоят какие то фильтры на входе в этот интерфейс.


"Роутинг между тремя подсетками на PIX"
Отправлено Skiv , 07-Май-04 12:00 
>можно увидеть конфиг ?
>если есть пинг из сети 1.0 в сеть 2.0, но нет пинга
>из сети 1.0 к 2.203 (Cisco PIX 501), то возможно стоят
>какие то фильтры на входе в этот интерфейс.


или, скорей всего, на "Cisco PIX 501 (out 192.168.100.200, in 192.168.2.203)" нет роутинга в сеть 192.168.1.0.


"Роутинг между тремя подсетками на PIX"
Отправлено Эдуард , 07-Май-04 12:07 
>можно увидеть конфиг "Cisco PIX 501 (out 192.168.100.200, in 192.168.2.203)"?
>если есть пинг из сети 1.0 в сеть 2.0, но нет пинга
>из сети 1.0 к 2.203 (Cisco PIX 501), то возможно стоят
>какие то фильтры на входе в этот интерфейс.


конфиг "Cisco PIX 501 (out 192.168.100.200, in 192.168.2.203)":

nameif ethernet0 outside security0
nameif ethernet1 inside security100
hostname PIX-COM
names
name 192.168.1.0 ABK
name 192.168.2.0 KBI
name 192.168.100.0 INET
name 192.168.100.1 INET-MODEM
access-list inside_access_in permit icmp any host INET-MODEM
access-list outside_access_in permit icmp any host 192.168.100.200
interface ethernet0 10baset
interface ethernet1 10full
ip address outside 192.168.100.200 255.255.255.0
ip address inside 192.168.2.203 255.255.255.0
pdm location ABK 255.255.255.0 inside
pdm location KBI 255.255.255.0 inside
pdm location INET-MODEM 255.255.255.255 outside
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
access-group outside_access_in in interface outside
access-group inside_access_in in interface inside
route inside ABK 255.255.255.0 192.168.2.202 1
timeout xlate 0:05:00
http server enable
http KBI 255.255.255.0 inside
http ABK 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
no floodguard enable
no sysopt route dnat
telnet ABK 255.255.255.0 inside
telnet KBI 255.255.255.0 inside
dhcpd dns 192.168.1.201
dhcpd wins 192.168.2.1
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd domain domainkbi


"Роутинг между тремя подсетками на PIX"
Отправлено Volume , 07-Май-04 16:46 
мне, уважаемый есть что сказать всегда, вопросы надо задавать по-человечески, а не как вам угодно

>
>nameif ethernet0 outside security0
>nameif ethernet1 inside security100
>hostname PIX-COM
>names
>name 192.168.1.0 ABK
>name 192.168.2.0 KBI
>name 192.168.100.0 INET
>name 192.168.100.1 INET-MODEM
<<<<<<<>access-list inside_access_in permit icmp any host INET-MODEM
может уберете пока листы с инсайда, он у вас и так в сек0 находится, хоть отладьте без них чтоли?
<<<<>access-list outside_access_in permit icmp any host 192.168.100.200
зачем данный аксесс-лист? чтобы пинговать и-фейс пикса снаружи? так это другой командой делается: icmp permit и тд
>interface ethernet0 10baset
>interface ethernet1 10full
>ip address outside 192.168.100.200 255.255.255.0
>ip address inside 192.168.2.203 255.255.255.0
>pdm location ABK 255.255.255.0 inside
>pdm location KBI 255.255.255.0 inside
>pdm location INET-MODEM 255.255.255.255 outside
>pdm history enable
>arp timeout 14400
>global (outside) 1 interface
>nat (inside) 1 0.0.0.0 0.0.0.0 0 0
>access-group outside_access_in in interface outside
>access-group inside_access_in in interface inside
>route inside ABK 255.255.255.0 192.168.2.202 1
>timeout xlate 0:05:00
>http server enable
>http KBI 255.255.255.0 inside
>http ABK 255.255.255.0 inside
>no snmp-server location
>no snmp-server contact
>snmp-server community public
>no snmp-server enable traps
>no floodguard enable
>no sysopt route dnat
>telnet ABK 255.255.255.0 inside
>telnet KBI 255.255.255.0 inside
>dhcpd dns 192.168.1.201
>dhcpd wins 192.168.2.1
>dhcpd lease 3600
>dhcpd ping_timeout 750
>dhcpd domain domainkbi

другого пикса конфиг покажите? и насчет схемы по-подробней, а то не совсем ясно...


"Роутинг между тремя подсетками на PIX"
Отправлено Эдуард , 11-Май-04 08:21 
>мне, уважаемый есть что сказать всегда, вопросы надо задавать по-человечески, а не
>как вам угодно

>другого пикса конфиг покажите? и насчет схемы по-подробней, а то не совсем ясно...

Конфиг другого пикса имеет смысл показывать совместно еще с одним, между ними настроен VPN, соединяющий две подсетки.
Схема сетки достаточно простая:
Инет - Сетка провайдера - PIX-INET - Сетка 2 - PIX-KBI <= VPN => PIX-ABK  - Сетка 1
Сетка провайдера - 192.168.100.0, gate в Инет - 192.168.100.1
Сетка 2 - 192.168.2.0
Сетка 1 - 192.168.1.0
Туннель VPN проходит через сеть сторонней организации, адреса интерфейсов на пиксах
PIX-ABK - 194.84.17.202
PIX-KBI - 194.84.17.210
оборудование:
PIX-INET - Cisco PIX 501 3DES Bundle (10 Users)
PIX-KBI  - Cisco PIX 501 3DES Bundle (50 Users)
PIX-ABK  - Cisco PIX 515R DMZ Bundle

************* Config PIX-KBI: *******************
nameif ethernet0 outside security0
nameif ethernet1 inside security100
hostname PIX-KBI
names
access-list 2201 permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0
interface ethernet0 10baset
interface ethernet1 10full
ip address outside 194.84.17.210 255.255.255.248
ip address inside 192.168.2.201 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm location 192.168.1.0 255.255.255.0 outside
pdm location 194.84.17.202 255.255.255.255 outside
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list 2201
route outside 192.168.1.0 255.255.255.0 194.84.17.209 1
route outside 194.84.17.202 255.255.255.255 194.84.17.209 1
timeout xlate 0:05:00
http server enable
http 192.168.2.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
no floodguard enable
sysopt connection permit-ipsec
no sysopt route dnat
crypto ipsec transform-set chevelle esp-des esp-md5-hmac
crypto map transam 1 ipsec-isakmp
crypto map transam 1 match address 2201
crypto map transam 1 set peer 194.84.17.202
crypto map transam 1 set transform-set chevelle
crypto map transam interface outside
isakmp enable outside
isakmp key ******** address 194.84.17.202 netmask 255.255.255.255
isakmp identity address
isakmp policy 1 authentication pre-share
isakmp policy 1 encryption des
isakmp policy 1 hash md5
isakmp policy 1 group 1
isakmp policy 1 lifetime 1000
telnet 192.168.1.0 255.255.255.0 outside
telnet 192.168.2.0 255.255.255.0 inside
dhcpd dns 192.168.1.201
dhcpd wins 192.168.2.1
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd domain domainkbi
dhcpd auto_config outside


************* Config PIX-ABK: *******************
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 intf2 security10
hostname PIX-ABK
names
access-list 1201 permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 auto shutdown
ip address outside 194.84.17.202 255.255.255.248
ip address inside 192.168.1.202 255.255.255.0
ip address intf2 127.0.0.1 255.255.255.255
ip verify reverse-path interface outside
ip audit info action alarm
ip audit attack action alarm
pdm location 192.168.2.0 255.255.255.0 outside
pdm history enable
global (outside) 1 interface
nat (inside) 0 access-list 1201
access-group outside_access_in in interface outside
route outside 0.0.0.0 0.0.0.0 194.84.17.201 1
route outside 192.168.2.0 255.255.255.0 194.84.17.201 1
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
no sysopt route dnat
crypto ipsec transform-set toyota esp-des esp-md5-hmac
crypto map bmw 1 ipsec-isakmp
crypto map bmw 1 match address 1201
crypto map bmw 1 set peer 194.84.17.210
crypto map bmw 1 set transform-set toyota
crypto map bmw interface outside
isakmp enable outside
isakmp key ******** address 194.84.17.210 netmask 255.255.255.255
isakmp identity address
isakmp policy 1 authentication pre-share
isakmp policy 1 encryption des
isakmp policy 1 hash md5
isakmp policy 1 group 1
isakmp policy 1 lifetime 1000
telnet 192.168.2.0 255.255.255.0 outside
telnet 192.168.1.0 255.255.255.0 inside


"Роутинг между тремя подсетками на PIX"
Отправлено ВОЛКА , 11-Май-04 20:49 
а чего не работает то?

"Роутинг между тремя подсетками на PIX"
Отправлено Эдуард , 12-Май-04 06:42 
>а чего не работает то?

Вообще-то ситуацию я описал выше. Проблема в том что из сетки 1 (192.168.1.0) не видно пикса PIX-INET с внутренним адресом 192.168.2.203. Вся остальная сетка 2 прекрасно доступна из сетки 1.


"Роутинг между тремя подсетками на PIX"
Отправлено ВОЛКА , 12-Май-04 11:19 
ну и где конфиг PIX-INET?

"Роутинг между тремя подсетками на PIX"
Отправлено 8thc , 08-Май-04 13:12 
>>это вопрос из серии "угадайте ответ"?
>
>Нет, это вопрос из серии "help me!". Если Вам нечего ответить, зачем
>писать? Если что то непонятно из вопроса, так и спрашивайте, поясню
>конкретней.


Приятель если тебе здесь помогут, то на 95% это будут Волка или Volume.