форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"PIX501 = не могу добиться коннекта между внешним и внутренни..."
Сообщение от GU on 15-Окт-03, 12:40  (MSK)
PIX501 = не могу настроить коннект между внешним и внутренним MSExch. кто-нить помогите! не получается у меня организовать static соединение и усе (и хоть ты тресни...). по мануалам все, вроде бы, верно, но не переадресовывает пакеты с внешнего на внутренний... У меня уже истерика, плавно перерастающая в панику
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "PIX501 = не могу добиться коннекта между внешним и внутренни..."
Сообщение от Volume on 15-Окт-03, 12:42  (MSK)
>PIX501 = не могу настроить коннект между внешним и внутренним MSExch. >кто-нить помогите! не получается у меня организовать static соединение и усе (и >хоть ты тресни...). >по мануалам все, вроде бы, верно, но не переадресовывает пакеты с внешнего >на внутренний... У меня уже истерика, плавно перерастающая в панику надо о чем то догадаться? а может стоит конфиг показать?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "PIX501 = не могу добиться коннекта между внешним и внутренни..."
	Сообщение от GU on 15-Окт-03, 13:34  (MSK)
	Building configuration... : Saved : PIX Version 6.2(2) nameif ethernet0 outside security0 nameif ethernet1 inside security100 fixup protocol http 80 fixup protocol smtp 25 no fixup protocol ftp 21 no fixup protocol h323 h225 1720 no fixup protocol h323 ras 1718-1719 no fixup protocol ils 389 no fixup protocol rsh 514 no fixup protocol rtsp 554 no fixup protocol sip 5060 no fixup protocol skinny 2000 no fixup protocol sqlnet 1521 names object-group network Exch_In_Server   network-object 192.168.X.XXX 255.255.255.255 object-group network Exch_Out_Server   network-object 2YY.YYY.YYY.YYY 255.255.255.255 access-list inside_access_in permit udp object-group acl_permit_in any access-list inside_access_in permit tcp object-group acl_permit_in any access-list outside_access_in permit tcp host 2YY.YYY.YYY.YYY host XXX.XXX.XXX.XXX pager lines 24 interface ethernet0 10baset interface ethernet1 10full mtu outside 1500 mtu inside 1500 ip address outside внешнийIP 255.255.255.252 ip address inside внутреннийIp 255.255.255.0 arp timeout 14400 global (outside) 2 interface global (outside) 3 XXX.XXX.XXX.XXX nat (inside) 2 192.168.X.0 255.255.255.0 0 0 static (inside,outside) XXX.XXX.XXX.XXX 192.168.X.XXX netmask 255.255.255.255 0 0 access-group outside_access_in in interface outside access-group inside_access_in in interface inside route outside 0.0.0.0 0.0.0.0 ZZZ.ZZZ.ZZZ.ZZZ 1 timeout xlate 0:05:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server RADIUS protocol radius aaa-server LOCAL protocol local no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps : end [OK] вообщем такие вот пирожные. транслируемый IPшник ХХХ.ХХХ.ХХХ.ХХХ принадлежит внеешней подсети. если прописать вместо него IPвнешнего интервейса, то он (PIX) никого из внутренней, тогда во внешнюю сеть не пускает, кроме 192.168.Х.ХХХ хоста.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "PIX501 = не могу добиться коннекта между внешним и внутренни..."
	Сообщение от Volume on 15-Окт-03, 21:38  (MSK)
	зачем вам обджект-группы-то там, а?? >global (outside) 3 XXX.XXX.XXX.XXX ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ вот эта строка зачем вообще? уберите ее... вот пример: http://www.cisco.com/warp/public/110/mailserver_in.html и аксесс-листы проверьте еще раз
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "PIX501 = не могу добиться коннекта между внешним и внутренни..."
	Сообщение от GU on 16-Окт-03, 10:54  (MSK)
	>зачем вам обджект-группы-то там, а?? > >>global (outside) 3 XXX.XXX.XXX.XXX >^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ >вот эта строка зачем вообще? уберите ее... > >вот пример: >http://www.cisco.com/warp/public/110/mailserver_in.html > >и аксесс-листы проверьте еще раз пусть Вас обжект-группы не смущают. (в выложенной конфигурации я потер аксес-листы за ненадобностью) global (outside) 3 XXX.XXX.XXX.XXX - думал еще один пул организовать. (не получилось) удалил. у меня такой вопрос: на схеме (http://www.cisco.com/warp/public/110/mailserver_in.gif) внутренний MailServer светит IPшником 209.164.3.5 !?! откуда он !?! у меня такая ситуация: роутер B принадлежит ISP (доступа к нему у меня нет) На пиксе прописал следующее: static (inside,outside) tcp IPвнешнегоИнтерфейса smtp ВнутреннийIPЕxch smtp netmask 255.255.255.255 0 0 static (inside,outside) tcp IPвнешнегоИнтерфейса pop3 ВнутреннийIPЕxch pop3 netmask 255.255.255.255 0 0 т.е. PIX по 25 и 110 пропускает внутрь а отклика с Майл_сервера нету.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "PIX 501 = одни  вопросы"
	Сообщение от GU on 16-Окт-03, 11:39  (MSK)
	1. Можно на пиксе сделать акссес-листы не с апишниками а с MAC адресами? чтобы избежать подмену IP? 2. Вопрос по авторизации пользователей по Tacacs+. Можно ли сервер авторизации на NT поднять или только на Unix платформе?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "PIX 501 = одни  вопросы"
	Сообщение от Volume on 16-Окт-03, 13:30  (MSK)
	>1. Можно на пиксе сделать акссес-листы не с апишниками а с MAC >адресами? >чтобы избежать подмену IP? >2. Вопрос по авторизации пользователей по Tacacs+. Можно ли сервер авторизации на >NT поднять или только на Unix платформе? 1. не знаю, читайте доки 2. можно 3. 209.164.3.5 - я не знаю что это за адрес, у вас в конфиге одни иксы и игреки, в которых хрен разберешься откройте на ваш сервер для начала не тцп а весь ип и посмотрите и вообще, полный конфиг давать надо...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "PIX 501 = одни  вопросы"
	Сообщение от GU on 16-Окт-03, 13:56  (MSK)
	>откройте на ваш сервер для начала не тцп а весь ип и >посмотрите >и вообще, полный конфиг давать надо... открывал я весь IP. тогда у меня никто в инет не может выйти. весь трафик перенаправляется на майл_сервер. а за ссылку спасиб огромный.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "PIX 501 = одни  вопросы"
	Сообщение от GU on 16-Окт-03, 16:58  (MSK)
	2 Volume плиз. дай ссылку на доки по такакс+ c меня тоды: ____ |.........| |Pivo.|_ |~~~~|.| |~~~~|/ |____|
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "PIX 501 = одни  вопросы"
	Сообщение от Volume on 16-Окт-03, 21:29  (MSK)
	>2 Volume > >плиз. дай ссылку на доки по такакс+ >c меня тоды: > ____ >|.........| >|Pivo.|_ >|~~~~|.| >|~~~~|/ >|____| значит неправильно открывал http://www.cisco.com/pcgi-bin/Support/browse/psp_view.pl?p=Software:Cisco_Secure_ACS_NT&viewall=true http://www.cisco.com/pcgi-bin/Support/browse/psp_view.pl?p=Software:Cisco_Secure_ACS_UNIX&viewall=true
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "PIX 501 = одни  вопросы"
	Сообщение от GU on 20-Окт-03, 16:03  (MSK)
	О Великие ГУРУ!!!! кто сталкивался и знает??!!!?? можно ли на пиксе организовать static соединение через апишник внешнего интерфейса и одновременно dinamic через него организовать. NAT при  static не работает!!! ISP дал тока один IP! на второй у меня енотовзеленых нет! голову вторую неделю ломаю = скоро пикс к стене прибью 501м гвозьдем!
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "PIX 501 = одни  вопросы"
	Сообщение от Tim on 24-Окт-03, 16:20  (MSK)
	Можно организовать static PAT, например static (inside, outside) tcp global-ip %port-num% local-ip %port-num% и после этого использовать этот же адрес для исходящего PATа. В command reference - для команды static, все расписано.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "PIX 501 = одни  вопросы"
	Сообщение от ВОЛКА on 24-Окт-03, 17:23  (MSK)
	посмотрите на online.comptek.ru тоже самое спрашивали
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.