Новые ответы

PIX-515 не хочет транслировать сетку. ,

AMG, 01-Июн-06, 15:50 [смотреть все]

Добрый день всем.
при добавлении новой сети на пикс, столкнулся со след. проблемой - статические трансляции в/из этой сети работают, а динамические нет! вот конфиг относительно новой сети -

interface ethernet2 auto
interface ethernet1 auto

nameif ethernet1 inside security100
nameif ethernet2 newnet security9
ip address inside 10.36.28.1 255.255.255.0
ip address newnet 131.108.40.50 255.255.240.0
access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq www
access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.54 eq www
access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq 1433
access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq 1533
access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq 1352

static (inside,newnet) tcp 131.108.40.55 www 192.168.164.53 www netmask 255.255.255.255
static (inside,newnet) tcp 131.108.40.55 1433 10.36.28.14 1433 netmask 255.255.255.255
static (inside,newnet) tcp 131.108.40.55 1533 192.168.164.55 1533 netmask 255.255.255.255
static (inside,newnet) tcp 131.108.40.55 lotusnotes 192.168.164.56 lotusnotes netmask 255.255.255.255
static (inside,newnet) tcp 131.108.40.54 www 10.36.28.24 www netmask 255.255.255.255
Вообщем, эти трансляции работают "на ура" доступ  из сети 131.108.32.0 в сеть 192.168.164.0 по нужным портам есть.
Теперь
Необходимо сделать доступ из inside в newnet.
Добавляю -
global (newnet) 6 131.108.40.52 netmask 255.255.255.255
nat (inside) 6 access-list inside_to_newnet
access-list inside_to_newnet permit ip 10.36.28.0 255.255.255.0 131.108.32.0 255.255.240.0

при попытке сделать соединение в сеть 131.108 пикс пишет в лог (уровень дебаг)

Jun  1 15:35:06 10.36.28.1 %PIX-3-305006: portmap translation creation failed for tcp src inside:10.36.28.3/2801 dst newnet:131.108.32.5/1433
Jun  1 15:35:06 10.36.28.1 %PIX-3-305006: portmap translation creation failed for tcp src inside:10.36.28.3/4952 dst newnet:131.108.32.5/1433
Jun  1 15:35:06 10.36.28.1 %PIX-3-305006: portmap translation creation failed for tcp src inside:10.36.28.3/4578 dst newnet:131.108.32.5/1433
Jun  1 15:35:07 10.36.28.1 %PIX-3-305006: portmap translation creation failed for tcp src inside:10.36.28.3/3724 dst newnet:131.108.32.5/1433
посмотрел описание ошибки - %PIX-3-305006 - вроде не мой случай.
Зато если сказать вот так
static (inside,newnet) 131.108.40.53  10.36.28.3 netmask 255.255.255.255
машина 10.36.28.3 будет ходить в данную сеть без проблем (ну и обратно соотв.)!

Народ, подскажите, плз, отчего такое может быть, А?
СПАСИБО зАРАНЕЕ
PS>
да, на пиксе еще другие сетки - там все нормально работают наты в аналогичных конфигурациях!
PPS>
На интерфейсе inside присутствуют две сети 192.168.164.0 и 10.36.28.0
sh ver

Cisco PIX Firewall Version 6.3(4)
Cisco PIX Device Manager Version 1.1(2)
Compiled on Fri 02-Jul-04 00:07 by morlee
up 8 days 0 hours
Hardware:   PIX-515, 64 MB RAM, CPU Pentium 200 MHz
Flash i28F640J5 @ 0x300, 16MB
BIOS Flash AT29C257 @ 0xfffd8000, 32KB
Encryption hardware device : VAC+ (Crypto5823 revision 0x1)
0: ethernet0: address is 0004.9ad0.ce04, irq 11
1: ethernet1: address is 0004.9ad0.ce05, irq 10
2: ethernet2: address is 000d.88ff.d7d0, irq 9
3: ethernet3: address is 000d.88ff.d7d1, irq 9
4: ethernet4: address is 000d.88ff.d7d2, irq 9
5: ethernet5: address is 000d.88ff.d7d3, irq 9
Licensed Features:
Failover:                    Enabled
VPN-DES:                     Enabled
VPN-3DES-AES:                Disabled
Maximum Physical Interfaces: 6
Maximum Interfaces:          10
Cut-through Proxy:           Enabled
Guards:                      Enabled
URL-filtering:               Enabled
Inside Hosts:                Unlimited
Throughput:                  Unlimited
IKE peers:                   Unlimited
This PIX has an Unrestricted (UR) license.

Ответить | Сообщить модератору

PIX-515 не хочет транслировать сетку. , ilya, 16:25 , 01-Июн-06 (1)
>Добрый день всем.
>
>при добавлении новой сети на пикс, столкнулся со след. проблемой - статические
>трансляции в/из этой сети работают, а динамические нет! вот конфиг относительно
>новой сети -
>
>
>interface ethernet2 auto
>interface ethernet1 auto
>
>
>nameif ethernet1 inside security100
>nameif ethernet2 newnet security9
>
>ip address inside 10.36.28.1 255.255.255.0
>ip address newnet 131.108.40.50 255.255.240.0
>
>access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq www
>access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.54 eq www
>access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq 1433
>access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq 1533
>access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq 1352
>
>
>static (inside,newnet) tcp 131.108.40.55 www 192.168.164.53 www netmask 255.255.255.255
>static (inside,newnet) tcp 131.108.40.55 1433 10.36.28.14 1433 netmask 255.255.255.255
>static (inside,newnet) tcp 131.108.40.55 1533 192.168.164.55 1533 netmask 255.255.255.255
>static (inside,newnet) tcp 131.108.40.55 lotusnotes 192.168.164.56 lotusnotes netmask 255.255.255.255
>
>static (inside,newnet) tcp 131.108.40.54 www 10.36.28.24 www netmask 255.255.255.255
>
>Вообщем, эти трансляции работают "на ура" доступ  из сети 131.108.32.0 в
>сеть 192.168.164.0 по нужным портам есть.
>
>Теперь
>Необходимо сделать доступ из inside в newnet.
>Добавляю -
>global (newnet) 6 131.108.40.52 netmask 255.255.255.255
>nat (inside) 6 access-list inside_to_newnet
>access-list inside_to_newnet permit ip 10.36.28.0 255.255.255.0 131.108.32.0 255.255.240.0
а нужен именно полиси-нат?
как вариант попробуйте nat (inside) 6 10.... 255.255.255.0

>
>
>при попытке сделать соединение в сеть 131.108 пикс пишет в лог (уровень
>дебаг)
>
>
>Jun  1 15:35:06 10.36.28.1 %PIX-3-305006: portmap translation creation failed for tcp
>src inside:10.36.28.3/2801 dst newnet:131.108.32.5/1433
>Jun  1 15:35:06 10.36.28.1 %PIX-3-305006: portmap translation creation failed for tcp
>src inside:10.36.28.3/4952 dst newnet:131.108.32.5/1433
>Jun  1 15:35:06 10.36.28.1 %PIX-3-305006: portmap translation creation failed for tcp
>src inside:10.36.28.3/4578 dst newnet:131.108.32.5/1433
>Jun  1 15:35:07 10.36.28.1 %PIX-3-305006: portmap translation creation failed for tcp
>src inside:10.36.28.3/3724 dst newnet:131.108.32.5/1433
>
>посмотрел описание ошибки - %PIX-3-305006 - вроде не мой случай.
>
>Зато если сказать вот так
>
>static (inside,newnet) 131.108.40.53  10.36.28.3 netmask 255.255.255.255
>
>машина 10.36.28.3 будет ходить в данную сеть без проблем (ну и обратно
>соотв.)!
>
>
>Народ, подскажите, плз, отчего такое может быть, А?
>
>СПАСИБО зАРАНЕЕ
>
>
>
>PS>
>
>да, на пиксе еще другие сетки - там все нормально работают наты
>в аналогичных конфигурациях!
>
>PPS>
>На интерфейсе inside присутствуют две сети 192.168.164.0 и 10.36.28.0
эт как? на одном интерфейсе два адреса?
Ответить | Сообщить модератору

PIX-515 не хочет транслировать сетку. , ilya, 16:28 , 01-Июн-06 (2)
кстати еще несколько фишек
•Use an access list only once between the nat and static commands.
•A global address cannot be used concurrently for NAT and PAT.
•static commands are matched and executed before nat commands.
___•Policy NAT does not support SQL*Net, which is supported by regular NAT. ___
1433 - не он ли (SQL*NET)?
да и весь конфиг покажите (что бы было понятно что вцелом с натом и статиком)
Ответить | Сообщить модератору

PIX-515 не хочет транслировать сетку. , AMG, 16:42 , 01-Июн-06 (4)
>кстати еще несколько фишек
>•Use an access list only once between the nat and static commands.
>
>
>•A global address cannot be used concurrently for NAT and PAT.
>
>•static commands are matched and executed before nat commands.
>
>___•Policy NAT does not support SQL*Net, which is supported by regular NAT.
>___
>
>1433 - не он ли (SQL*NET)?
>
>да и весь конфиг покажите (что бы было понятно что вцелом с
>натом и статиком)
да, пожалуйста,вот конфиг (newnet - это glavapu)
PIX Version 6.3(4)
interface ethernet0 auto
interface ethernet0 vlan51 logical
interface ethernet0 vlan52 logical
interface ethernet0 vlan53 logical
interface ethernet1 auto
interface ethernet2 auto
interface ethernet3 auto shutdown
interface ethernet4 auto shutdown
interface ethernet5 auto shutdown
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 glavapu security9
nameif ethernet3 intf3 security6
nameif ethernet4 intf4 security8
nameif ethernet5 intf5 security10
nameif vlan51 teleset security15
nameif vlan52 friend-org security20
nameif vlan53 internet security10
enable password RrRNm8OrQbKB08I/ encrypted
passwd RrRNm8OrQbKB08I/ encrypted
hostname fw.mka.mos.ru
domain-name mka.mos.ru
no fixup protocol dns
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol ils 389
fixup protocol pptp 1723
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
no fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
access-list From_Internet permit icmp any any time-exceeded
access-list From_Internet permit icmp any any echo-reply
access-list From_Internet permit icmp any any echo
access-list From_Internet permit icmp any any unreachable
access-list From_Internet permit tcp any host 10.36.28.17 eq smtp
access-list From_Internet permit tcp any host 10.36.28.23 eq smtp
access-list From_Internet permit tcp any host 10.36.28.23 eq www
access-list From_Internet permit udp any eq domain host 10.36.28.6
access-list From_Internet permit tcp any host 10.36.28.6 eq 2222
access-list From_Internet permit udp host 10.36.58.1 host 10.36.28.6 eq 8888
access-list From_Internet permit udp host 10.36.58.1 host 10.36.28.3 eq 8888
access-list From_Internet permit tcp any host 10.36.28.3 eq pptp
access-list From_Internet permit gre any host 10.36.28.3
access-list 199 permit icmp any any time-exceeded
access-list 199 permit icmp any any echo-reply
access-list 199 permit icmp any any echo
access-list 199 permit icmp any any unreachable
access-list 199 permit ip 192.168.2.0 255.255.255.192 any
access-list 199 permit ip host 192.168.2.64 any
access-list 199 permit ip host 192.168.2.65 any
access-list 199 permit ip host 192.168.2.66 any
access-list 199 permit ip host 192.168.2.67 any
access-list 199 permit ip host 192.168.2.68 any
access-list 199 permit ip host 192.168.2.69 any
access-list 199 permit ip host 192.168.2.70 any
access-list 199 permit ip host 192.168.2.71 any
access-list 199 permit ip host 192.168.2.72 any
access-list 199 permit ip host 192.168.2.73 any
access-list 199 permit ip host 192.168.2.74 any
access-list 199 permit ip host 192.168.2.75 any
access-list 199 permit ip host 192.168.2.76 any
access-list 199 permit ip host 192.168.2.77 any
access-list 199 permit ip host 192.168.2.78 any
access-list 199 permit ip host 192.168.2.79 any
access-list 199 permit ip host 192.168.2.80 any
access-list 199 permit ip 192.168.100.0 255.255.255.192 any
access-list 199 permit tcp 192.168.0.0 255.255.0.0 host 192.168.164.56 eq lotusnotes
access-list 199 permit tcp 192.168.0.0 255.255.0.0 host 192.168.164.55 eq 1533
access-list 199 permit tcp 192.168.0.0 255.255.0.0 host 192.168.164.12 eq www
access-list 199 permit udp 192.168.0.0 255.255.0.0 host 192.168.164.51 eq domain
access-list 199 permit tcp 192.168.0.0 255.255.0.0 host 192.168.164.53 eq www
access-list 199 permit tcp 192.168.0.0 255.255.0.0 host 192.168.137.24 eq www
access-list 199 permit tcp 192.168.0.0 255.255.0.0 host 192.168.137.23 eq www
access-list 199 permit tcp 192.168.0.0 255.255.0.0 host 192.168.137.17 eq www
access-list 199 permit tcp 192.168.0.0 255.255.0.0 host 192.168.137.14 eq 1433
access-list 199 permit udp host 192.168.76.109 host 192.168.137.3 eq syslog
access-list 199 permit tcp host 192.168.103.13 host 192.168.137.15 eq smtp
access-list 199 permit tcp host 192.168.103.13 host 192.168.137.15 eq pop3
access-list 199 permit ip 192.168.2.0 255.255.255.0 any
access-list 199 permit gre 192.168.0.0 255.255.0.0 host 192.168.164.53
access-list 199 permit tcp 192.168.103.0 255.255.255.0 host 192.168.164.53 eq 84
access-list 199 permit tcp 192.168.140.0 255.255.255.0 host 192.168.164.53 eq pptp
access-list 199 permit udp 192.168.0.0 255.255.0.0 host 192.168.137.3 eq 8888
access-list mka_guzgr permit ip 10.36.28.0 255.255.255.0 10.36.38.0 255.255.255.0
access-list guzgr_meria deny ip 10.36.38.0 255.255.255.0 10.36.28.0 255.255.255.0
access-list guzgr_meria permit ip 10.36.38.0 255.255.255.0 10.0.0.0 255.0.0.0
access-list guzgr deny ip 10.36.38.0 255.255.255.0 192.168.0.0 255.255.0.0
access-list guzgr deny ip 10.36.38.0 255.255.255.0 10.0.0.0 255.0.0.0
access-list guzgr permit ip 10.36.38.0 255.255.255.0 10.36.28.0 255.255.255.0
access-list guzgr permit ip 10.36.38.0 255.255.255.0 any
access-list mail permit ip host 10.36.28.17 any
access-list mail permit ip host 10.36.28.23 any
access-list mka deny ip host 10.36.28.17 any
access-list mka deny ip host 10.36.28.23 any
access-list mka permit ip 10.36.28.0 255.255.255.0 any
access-list FromDrug permit icmp any any echo-reply
access-list FromDrug permit icmp any any echo
access-list FromDrug permit icmp any any unreachable
access-list FromDrug permit tcp 10.36.38.0 255.255.255.0 host 10.61.17.12 eq ftp
access-list FromDrug permit tcp 10.36.38.0 255.255.255.0 host 10.61.17.12 eq ftp-data
access-list FromDrug permit tcp 10.36.38.0 255.255.255.0 host 10.36.28.14 eq 1433
access-list FromDrug permit tcp 10.36.38.0 255.255.255.0 host 10.36.28.17 eq www
access-list FromDrug permit tcp 10.36.38.0 255.255.255.0 host 10.36.28.17 eq pop3
access-list FromDrug permit tcp 10.36.38.0 255.255.255.0 host 10.36.28.23 eq www
access-list FromDrug permit tcp 10.36.38.0 255.255.255.0 host 10.36.28.24 eq www
access-list FromDrug permit tcp 10.36.38.0 255.255.255.0 host 10.36.28.23 eq https
access-list FromDrug permit tcp 10.36.38.0 255.255.255.0 host 192.168.164.56 eq lotusnotes
access-list FromDrug permit tcp 10.36.38.0 255.255.255.0 host 192.168.164.53 eq www
access-list FromDrug permit tcp 10.36.38.0 255.255.255.0 host 192.168.164.55 eq 1533
access-list FromDrug permit tcp 10.36.38.0 255.255.255.0 host 192.168.164.56 eq pop3
access-list FromDrug permit tcp 10.36.38.0 255.255.255.0 host 192.168.164.56 eq smtp
access-list FromDrug permit tcp 10.36.38.0 255.255.255.0 host 192.168.164.12 eq www
access-list FromDrug permit udp 10.36.38.0 255.255.255.0 host 192.168.164.51 eq domain
access-list FromDrug deny ip 10.36.38.0 255.255.255.0 192.168.164.0 255.255.255.0
access-list FromDrug deny ip 10.36.38.0 255.255.255.0 10.36.28.0 255.255.255.0
access-list FromDrug permit ip 10.36.38.0 255.255.255.0 any
access-list guzgr_teleset permit ip 10.36.38.0 255.255.255.0 192.168.0.0 255.255.0.0
access-list guzgr_teleset permit icmp 10.36.38.0 255.255.255.0 192.168.0.0 255.255.0.0
access-list servers permit ip 192.168.164.0 255.255.255.0 any
access-list from_glavapu permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq www
access-list from_glavapu permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.54 eq www
access-list from_glavapu permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq 1433
access-list from_glavapu permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq 1533
access-list from_glavapu permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq lotusnotes
access-list mka_to_apu permit ip 10.36.28.0 255.255.255.0 131.108.32.0 255.255.240.0
pager lines 24
logging on
logging monitor debugging
logging trap informational
logging facility 23
logging host inside 10.36.28.3
mtu outside 1500
mtu inside 1500
mtu glavapu 1500
mtu intf3 1500
mtu intf4 1500
mtu intf5 1500
no ip address outside
ip address inside 10.36.28.1 255.255.255.0
ip address glavapu 131.108.40.50 255.255.240.0
no ip address intf3
no ip address intf4
no ip address intf5
ip address teleset 192.168.76.125 255.255.255.0
ip address friend-org 10.36.38.1 255.255.255.0
ip address internet 10.36.58.10 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
no failover
failover timeout 0:00:00
failover poll 15
no failover ip address outside
no failover ip address inside
no failover ip address glavapu
no failover ip address intf3
no failover ip address intf4
no failover ip address intf5
no failover ip address teleset
no failover ip address friend-org
no failover ip address internet
pdm history enable
arp timeout 14400
global (glavapu) 6 131.108.40.52 netmask 255.255.255.255
global (teleset) 4 192.168.137.254 netmask 255.255.255.255
global (internet) 3 10.36.28.253 netmask 255.255.255.255
global (internet) 2 10.36.28.23 netmask 255.255.255.255
global (internet) 5 10.36.28.251 netmask 255.255.255.255
nat (inside) 0 access-list mka_guzgr
nat (inside) 2 access-list mail 0 0
nat (inside) 3 access-list mka 0 0
nat (inside) 5 access-list servers 0 0
nat (inside) 6 10.36.28.0 255.255.255.0 0 0
nat (friend-org) 0 access-list guzgr
nat (friend-org) 3 access-list guzgr_meria 0 0
nat (friend-org) 4 access-list guzgr_teleset 0 0
static (inside,internet) tcp 10.36.28.23 smtp 10.36.28.17 smtp netmask 255.255.255.255 0 0
static (inside,internet) tcp 10.36.28.23 www 10.36.28.23 www netmask 255.255.255.255 0 0
static (inside,internet) tcp 10.36.28.23 5000 10.36.28.23 5000 netmask 255.255.255.255 0 0
static (inside,glavapu) tcp 131.108.40.55 www 192.168.164.53 www netmask 255.255.255.255 0 0
static (inside,glavapu) tcp 131.108.40.55 1433 10.36.28.14 1433 netmask 255.255.255.255 0 0
static (inside,glavapu) tcp 131.108.40.55 1533 192.168.164.55 1533 netmask 255.255.255.255 0 0
static (inside,glavapu) tcp 131.108.40.55 lotusnotes 192.168.164.56 lotusnotes netmask 255.255.255.255 0 0
static (inside,glavapu) tcp 131.108.40.54 www 10.36.28.24 www netmask 255.255.255.255 0 0
static (inside,internet) 10.36.28.6 10.36.28.6 netmask 255.255.255.255 0 0
static (inside,internet) 10.36.28.3 10.36.28.3 netmask 255.255.255.255 0 0
static (inside,teleset) 192.168.164.0 192.168.164.0 netmask 255.255.255.0 0 0
static (inside,teleset) 192.168.137.0 10.36.28.0 netmask 255.255.255.128 0 0
static (inside,teleset) 192.168.137.128 10.36.28.128 netmask 255.255.255.192 0 0
static (inside,teleset) 192.168.137.192 10.36.28.192 netmask 255.255.255.224 0 0
static (inside,teleset) 192.168.137.224 10.36.28.224 netmask 255.255.255.240 0 0
static (inside,teleset) 192.168.137.240 10.36.28.240 netmask 255.255.255.248 0 0
static (inside,teleset) 192.168.137.248 10.36.28.248 netmask 255.255.255.252 0 0
static (inside,friend-org) 192.168.164.0 192.168.164.0 netmask 255.255.255.0 0 0
static (inside,internet) 10.36.28.14 10.36.28.14 netmask 255.255.255.255 0 0
access-group from_glavapu in interface glavapu
access-group 199 in interface teleset
access-group FromDrug in interface friend-org
access-group From_Internet in interface internet
route internet 0.0.0.0 0.0.0.0 10.36.58.1 1
route teleset 192.168.0.0 255.255.0.0 192.168.76.126 1
route inside 192.168.164.0 255.255.255.0 10.36.28.10 1
timeout xlate 3:00:00
timeout conn 5:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
aaa authentication ssh console LOCAL
http server enable
http 10.36.28.8 255.255.255.255 inside
snmp-server host inside 10.36.28.6
no snmp-server location
no snmp-server contact
snmp-server community pix515
no snmp-server enable traps
tftp-server inside 10.36.28.1 /pix
floodguard enable
telnet 10.36.28.0 255.255.255.0 inside
telnet 10.61.20.0 255.255.255.0 inside
telnet timeout 10
ssh 192.168.2.0 255.255.255.0 outside
ssh 10.36.28.0 255.255.255.0 inside
ssh 192.168.2.0 255.255.255.0 teleset
ssh timeout 20
console timeout 0
username mdipix password EDpuyHo1ZCRGZ4Od encrypted privilege 15
terminal width 80
Cryptochecksum:8e93d90ed0afc0e65dc7535a0e080ad3
: end
Ответить | Сообщить модератору

PIX-515 не хочет транслировать сетку. , AMG, 16:33 , 01-Июн-06 (3)
>>Добрый день всем.
>>
>>при добавлении новой сети на пикс, столкнулся со след. проблемой - статические
>>трансляции в/из этой сети работают, а динамические нет! вот конфиг относительно
>>новой сети -
>>
>>
>>interface ethernet2 auto
>>interface ethernet1 auto
>>
>>
>>nameif ethernet1 inside security100
>>nameif ethernet2 newnet security9
>>
>>ip address inside 10.36.28.1 255.255.255.0
>>ip address newnet 131.108.40.50 255.255.240.0
>>
>>access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq www
>>access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.54 eq www
>>access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq 1433
>>access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq 1533
>>access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq 1352
>>
>>
>>static (inside,newnet) tcp 131.108.40.55 www 192.168.164.53 www netmask 255.255.255.255
>>static (inside,newnet) tcp 131.108.40.55 1433 10.36.28.14 1433 netmask 255.255.255.255
>>static (inside,newnet) tcp 131.108.40.55 1533 192.168.164.55 1533 netmask 255.255.255.255
>>static (inside,newnet) tcp 131.108.40.55 lotusnotes 192.168.164.56 lotusnotes netmask 255.255.255.255
>>
>>static (inside,newnet) tcp 131.108.40.54 www 10.36.28.24 www netmask 255.255.255.255
>>
>>Вообщем, эти трансляции работают "на ура" доступ  из сети 131.108.32.0 в
>>сеть 192.168.164.0 по нужным портам есть.
>>
>>Теперь
>>Необходимо сделать доступ из inside в newnet.
>>Добавляю -
>>global (newnet) 6 131.108.40.52 netmask 255.255.255.255
>>nat (inside) 6 access-list inside_to_newnet
>>access-list inside_to_newnet permit ip 10.36.28.0 255.255.255.0 131.108.32.0 255.255.240.0
>
>а нужен именно полиси-нат?
>
>как вариант попробуйте nat (inside) 6 10.... 255.255.255.0
Я так пробовал уже - те же грабли...
>
>>
>>
>>при попытке сделать соединение в сеть 131.108 пикс пишет в лог (уровень
>>дебаг)
>>
>>
>>Jun  1 15:35:06 10.36.28.1 %PIX-3-305006: portmap translation creation failed for tcp
>>src inside:10.36.28.3/2801 dst newnet:131.108.32.5/1433
>>Jun  1 15:35:06 10.36.28.1 %PIX-3-305006: portmap translation creation failed for tcp
>>src inside:10.36.28.3/4952 dst newnet:131.108.32.5/1433
>>Jun  1 15:35:06 10.36.28.1 %PIX-3-305006: portmap translation creation failed for tcp
>>src inside:10.36.28.3/4578 dst newnet:131.108.32.5/1433
>>Jun  1 15:35:07 10.36.28.1 %PIX-3-305006: portmap translation creation failed for tcp
>>src inside:10.36.28.3/3724 dst newnet:131.108.32.5/1433
>>
>>посмотрел описание ошибки - %PIX-3-305006 - вроде не мой случай.
>>
>>Зато если сказать вот так
>>
>>static (inside,newnet) 131.108.40.53  10.36.28.3 netmask 255.255.255.255
>>
>>машина 10.36.28.3 будет ходить в данную сеть без проблем (ну и обратно
>>соотв.)!
>>
>>
>>Народ, подскажите, плз, отчего такое может быть, А?
>>
>>СПАСИБО зАРАНЕЕ
>>
>>
>>
>>PS>
>>
>>да, на пиксе еще другие сетки - там все нормально работают наты
>>в аналогичных конфигурациях!
>>
>>PPS>
>>На интерфейсе inside присутствуют две сети 192.168.164.0 и 10.36.28.0
>
>эт как? на одном интерфейсе два адреса?
да, inside соединяется с внутренней сетью, в которой еще за одним роутером находится серверный сегмент 192.168.164.0
Ответить | Сообщить модератору

PIX-515 не хочет транслировать сетку. , ilya, 17:01 , 01-Июн-06 (5)
>>>Добрый день всем.
>>>
>>>при добавлении новой сети на пикс, столкнулся со след. проблемой - статические
>>>трансляции в/из этой сети работают, а динамические нет! вот конфиг относительно
>>>новой сети -
>>>
>>>
>>>interface ethernet2 auto
>>>interface ethernet1 auto
>>>
>>>
>>>nameif ethernet1 inside security100
>>>nameif ethernet2 newnet security9
>>>
>>>ip address inside 10.36.28.1 255.255.255.0
>>>ip address newnet 131.108.40.50 255.255.240.0
>>>
>>>access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq www
>>>access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.54 eq www
>>>access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq 1433
>>>access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq 1533
>>>access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq 1352
>>>
>>>
>>>static (inside,newnet) tcp 131.108.40.55 www 192.168.164.53 www netmask 255.255.255.255
>>>static (inside,newnet) tcp 131.108.40.55 1433 10.36.28.14 1433 netmask 255.255.255.255
>>>static (inside,newnet) tcp 131.108.40.55 1533 192.168.164.55 1533 netmask 255.255.255.255
>>>static (inside,newnet) tcp 131.108.40.55 lotusnotes 192.168.164.56 lotusnotes netmask 255.255.255.255
>>>
>>>static (inside,newnet) tcp 131.108.40.54 www 10.36.28.24 www netmask 255.255.255.255
>>>
>>>Вообщем, эти трансляции работают "на ура" доступ из сети 131.108.32.0 в
>>>сеть 192.168.164.0 по нужным портам есть.
>>>
>>>Теперь
>>>Необходимо сделать доступ из inside в newnet.
>>>Добавляю -
>>>global (newnet) 6 131.108.40.52 netmask 255.255.255.255
>>>nat (inside) 6 access-list inside_to_newnet
>>>access-list inside_to_newnet permit ip 10.36.28.0 255.255.255.0 131.108.32.0 255.255.240.0
>>
>>а нужен именно полиси-нат?
>>
>>как вариант попробуйте nat (inside) 6 10.... 255.255.255.0
>Я так пробовал уже - те же грабли...
1. после изменения трансляции cl xl пробовали?
2. трансляция не работает только по указанному порту или вообще?
судя по конфигу все должно работать (другие трансляции наверняка же работают?)
Ответить | Сообщить модератору

PIX-515 не хочет транслировать сетку. , AMG, 17:09 , 01-Июн-06 (6)
>>>>Добрый день всем.
>>>>
>>>>при добавлении новой сети на пикс, столкнулся со след. проблемой - статические
>>>>трансляции в/из этой сети работают, а динамические нет! вот конфиг относительно
>>>>новой сети -
>>>>
>>>>
>>>>interface ethernet2 auto
>>>>interface ethernet1 auto
>>>>
>>>>
>>>>nameif ethernet1 inside security100
>>>>nameif ethernet2 newnet security9
>>>>
>>>>ip address inside 10.36.28.1 255.255.255.0
>>>>ip address newnet 131.108.40.50 255.255.240.0
>>>>
>>>>access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq www
>>>>access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.54 eq www
>>>>access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq 1433
>>>>access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq 1533
>>>>access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq 1352
>>>>
>>>>
>>>>static (inside,newnet) tcp 131.108.40.55 www 192.168.164.53 www netmask 255.255.255.255
>>>>static (inside,newnet) tcp 131.108.40.55 1433 10.36.28.14 1433 netmask 255.255.255.255
>>>>static (inside,newnet) tcp 131.108.40.55 1533 192.168.164.55 1533 netmask 255.255.255.255
>>>>static (inside,newnet) tcp 131.108.40.55 lotusnotes 192.168.164.56 lotusnotes netmask 255.255.255.255
>>>>
>>>>static (inside,newnet) tcp 131.108.40.54 www 10.36.28.24 www netmask 255.255.255.255
>>>>
>>>>Вообщем, эти трансляции работают "на ура" доступ из сети 131.108.32.0 в
>>>>сеть 192.168.164.0 по нужным портам есть.
>>>>
>>>>Теперь
>>>>Необходимо сделать доступ из inside в newnet.
>>>>Добавляю -
>>>>global (newnet) 6 131.108.40.52 netmask 255.255.255.255
>>>>nat (inside) 6 access-list inside_to_newnet
>>>>access-list inside_to_newnet permit ip 10.36.28.0 255.255.255.0 131.108.32.0 255.255.240.0
>>>
>>>а нужен именно полиси-нат?
>>>
>>>как вариант попробуйте nat (inside) 6 10.... 255.255.255.0
>>Я так пробовал уже - те же грабли...
>1. после изменения трансляции cl xl пробовали?
>2. трансляция не работает только по указанному порту или вообще?
>
>судя по конфигу все должно работать (другие трансляции наверняка же работают?)

нет трансляция не работает вообще (т.е. динам. трансляция 10.хххх сеть в 131.108 - не пашет. А статическая трансляция с этой сетью - работает без проблем.
clear xlate делал, конечно!
Сейчас вспомнил - что недавно хотел в тестовых целях добавить НА ДРУГОЙ ИФЕЙС другую сеть, тоже нужно было динам. трансл. сделать - та же ошибка выскочила - но, тогда просто забил и решили по-другому вопрос.
Вот, что меня смущает -
PIX-3-305006: Regular translation creation failed for protocol src int_name:IP_addr/port dst int_name:IP_addr/port
!!!Action This message can be either an internal error or an error in the configuration.!!!
Ответить | Сообщить модератору

PIX-515 не хочет транслировать сетку. , lomo, 19:08 , 01-Июн-06 (7)
поставьте для начала 6.3(5) - там поправили несколько проблем с NAT...
Ответить | Сообщить модератору