The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"PIX-to-PIX Ipsec-канал на видны компы через Windows-поиск."
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [Проследить за развитием треда]

"PIX-to-PIX Ipsec-канал на видны компы через Windows-поиск." 
Сообщение от Дитрий emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 23-Окт-03, 07:10  (MSK)
Hi All!

Есть связка из двух сетей:

(inside network1) 10.10.10.0 - {10.10.10.1(PIX 506)192.168.2.230} - c одной стороны

{192.168.2.240(PIX506)9.9.9.1} - 9.9.9.0 (inside network2) c другой стороны

    между сетями сделан Ipsec-канал. Ping ходит туда и сюда. Telnetом цепляешься к портам требуемых компов из другой сети. А стандартными средствами Windows компьютеры из другой сети не определяются.
Рылся долго в Opennet, где раньше обсуждение подобного где-то видел, но не нашел.

Please! Подскажите, как общей сделать сеть через Ipsec-канал.

Вот конфигурации

: Saved
:
PIX Version 6.1(4)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password ??? encrypted
passwd ??? encrypted
hostname kpbpix
domain-name kambank.ru
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
fixup protocol skinny 2000
names
access-list inside_access_in permit ip 10.10.10.0 255.255.255.0 any
access-list inside_access_in permit icmp any any
access-list outside_access_in permit ip any 10.10.10.0 255.255.255.0
access-list outside_access_in permit icmp any any
access-list 80 permit ip 10.10.10.0 255.255.255.0 9.9.9.0 255.255.255.0
pager lines 24
logging on
logging buffered debugging
logging trap debugging
logging facility 7
logging host inside 10.10.10.10
interface ethernet0 auto
interface ethernet1 auto
mtu outside 1500
mtu inside 1500
ip address outside 192.168.2.240 255.255.255.0
ip address inside 10.10.10.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm history enable
arp timeout 14400
global (outside) 1 192.168.2.150-192.168.2.160 netmask 255.255.255.224
nat (inside) 0 access-list 80
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) 192.168.2.240 10.10.10.0 netmask 255.255.255.255 0 0
access-group outside_access_in in interface outside
access-group inside_access_in in interface inside
route outside 0.0.0.0 0.0.0.0 192.168.2.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
tftp-server inside 10.10.10.10 /2
floodguard enable
sysopt connection permit-ipsec
no sysopt route dnat
crypto ipsec transform-set strong esp-3des esp-sha-hmac
crypto map newyork 10 ipsec-isakmp
crypto map newyork 10 match address 80
crypto map newyork 10 set peer 192.168.2.230
crypto map newyork 10 set transform-set strong
crypto map newyork interface outside
isakmp enable outside
isakmp key 1234567890 address 192.168.2.230 netmask 255.255.255.255
isakmp policy 8 authentication pre-share
isakmp policy 8 encryption 3des
isakmp policy 8 hash sha
isakmp policy 8 group 1
isakmp policy 8 lifetime 1000
telnet timeout 5
ssh timeout 5
terminal width 80
Cryptochecksum:
: end

: Saved
:
PIX Version 6.1(4)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password ??? encrypted
passwd ??? encrypted
hostname elpix
domain-name elpix.ru
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
fixup protocol skinny 2000
names
access-list inside_access_in permit ip 9.9.9.0 255.255.255.0 any
access-list inside_access_in permit icmp any any
access-list outside_access_in permit ip any 9.9.9.0 255.255.255.0
access-list outside_access_in permit icmp any any
access-list 90 permit ip 9.9.9.0 255.255.255.0 10.10.10.0 255.255.255.0
pager lines 24
logging on
logging buffered debugging
logging trap debugging
logging facility 7
logging host inside 9.9.9.9
interface ethernet0 auto
interface ethernet1 auto
mtu outside 1500
mtu inside 1500
ip address outside 192.168.2.230 255.255.255.0
ip address inside 9.9.9.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm history enable
arp timeout 14400
global (outside) 1 192.168.2.236 netmask 255.255.255.224
nat (inside) 0 access-list 90
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) 192.168.2.240 9.9.9.0 netmask 255.255.255.255 0 0
access-group outside_access_in in interface outside
access-group inside_access_in in interface inside
route outside 0.0.0.0 0.0.0.0 192.168.2.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
tftp-server inside 9.9.9.9 /2
floodguard enable
sysopt connection permit-ipsec
no sysopt route dnat
crypto ipsec transform-set strong esp-3des esp-sha-hmac
crypto map newyork 10 ipsec-isakmp
crypto map newyork 10 match address 90
crypto map newyork 10 set peer 192.168.2.240
crypto map newyork 10 set transform-set strong
crypto map newyork interface outside
isakmp enable outside
isakmp key 1234567890 address 192.168.2.240 netmask 255.255.255.255
isakmp policy 8 authentication pre-share
isakmp policy 8 encryption 3des
isakmp policy 8 hash sha
isakmp policy 8 group 1
isakmp policy 8 lifetime 1000
telnet timeout 5
ssh timeout 5
terminal width 80
Cryptochecksum:
: end

Буду очень благодарен за совет!

  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "PIX-to-PIX Ipsec-канал на видны компы через Windows-поиск." 
Сообщение от Tim emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 24-Окт-03, 16:02  (MSK)
Настройки пиксов правильные, думаю что проблема не в них:
(access-list outside_access_in permit ip any 10.10.10.0 255.255.255.0 - строчка лишняя, Пикс ничего не пропустит в destination-адрес есть смысл вписывать глобальный адрес 192.168.2.240 (из static)).

Что значит стандартными средствами Windows? - у Вас 2 сети и соответственно широковещание для поиска компьютеров из другой сети не поможет - нужен WINS или DNS-сервер.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "PIX-to-PIX Ipsec-канал на видны компы через Windows-поиск." 
Сообщение от Tim emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 24-Окт-03, 16:08  (MSK)
И в команде static определяется маппинг один-к-одному.
  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "PIX-to-PIX Ipsec-канал на видны компы через Windows-поиск." 
Сообщение от Дитрий emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 27-Окт-03, 05:24  (MSK)
Спасибо! Разрулил ситуацию установкой в обе сети по Wins-servery.

  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру