форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Роутинг между тремя подсетками на PIX"
Сообщение от Эдуард (??) on 07-Май-04, 11:02  (MSK)
Привет! Есть две удаленные сетки и VPN между ними на двух цисках. Необходимо настроить выход в интернет через выделенный канал в обеих сетках. Для этого поставили еще один PIX. В сети 192.168.2.0 все работает, а вот в сетке 192.168.1.0 нет доступа к интерфейсу 192.168.2.203 и к инету соответственно. С циски пинг в сеть 192.168.1.0 тоже не проходит. При этом обе сетки видят друг друга вполне нормально. В чем может быть проблема? Схема сетки: Сеть провайдера (шлюз 192.168.100.1) Cisco PIX 501 (out 192.168.100.200, in 192.168.2.203) Сетка 2 (192.168.2.0) Cisco PIX 501 (in 192.168.2.202, out 194.84.17.201) VPN Cisco PIX 515 (out 194.84.17.202, in 192.168.1.202) Сетка 1 (192.168.1.0)
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Роутинг между тремя подсетками на PIX"
Сообщение от Volume on 07-Май-04, 11:41  (MSK)
это вопрос из серии "угадайте ответ"?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "Роутинг между тремя подсетками на PIX"
	Сообщение от Эдуард (??) on 07-Май-04, 11:47  (MSK)
	>это вопрос из серии "угадайте ответ"? Нет, это вопрос из серии "help me!". Если Вам нечего ответить, зачем писать? Если что то непонятно из вопроса, так и спрашивайте, поясню конкретней.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "Роутинг между тремя подсетками на PIX"
	Сообщение от Skiv (??) on 07-Май-04, 11:58  (MSK)
	можно увидеть конфиг "Cisco PIX 501 (out 192.168.100.200, in 192.168.2.203)"? если есть пинг из сети 1.0 в сеть 2.0, но нет пинга из сети 1.0 к 2.203 (Cisco PIX 501), то возможно стоят какие то фильтры на входе в этот интерфейс.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "Роутинг между тремя подсетками на PIX"
	Сообщение от Skiv (??) on 07-Май-04, 12:00  (MSK)
	>можно увидеть конфиг ? >если есть пинг из сети 1.0 в сеть 2.0, но нет пинга >из сети 1.0 к 2.203 (Cisco PIX 501), то возможно стоят >какие то фильтры на входе в этот интерфейс. или, скорей всего, на "Cisco PIX 501 (out 192.168.100.200, in 192.168.2.203)" нет роутинга в сеть 192.168.1.0.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "Роутинг между тремя подсетками на PIX"
	Сообщение от Эдуард (??) on 07-Май-04, 12:07  (MSK)
	>можно увидеть конфиг "Cisco PIX 501 (out 192.168.100.200, in 192.168.2.203)"? >если есть пинг из сети 1.0 в сеть 2.0, но нет пинга >из сети 1.0 к 2.203 (Cisco PIX 501), то возможно стоят >какие то фильтры на входе в этот интерфейс. конфиг "Cisco PIX 501 (out 192.168.100.200, in 192.168.2.203)": nameif ethernet0 outside security0 nameif ethernet1 inside security100 hostname PIX-COM names name 192.168.1.0 ABK name 192.168.2.0 KBI name 192.168.100.0 INET name 192.168.100.1 INET-MODEM access-list inside_access_in permit icmp any host INET-MODEM access-list outside_access_in permit icmp any host 192.168.100.200 interface ethernet0 10baset interface ethernet1 10full ip address outside 192.168.100.200 255.255.255.0 ip address inside 192.168.2.203 255.255.255.0 pdm location ABK 255.255.255.0 inside pdm location KBI 255.255.255.0 inside pdm location INET-MODEM 255.255.255.255 outside pdm history enable arp timeout 14400 global (outside) 1 interface nat (inside) 1 0.0.0.0 0.0.0.0 0 0 access-group outside_access_in in interface outside access-group inside_access_in in interface inside route inside ABK 255.255.255.0 192.168.2.202 1 timeout xlate 0:05:00 http server enable http KBI 255.255.255.0 inside http ABK 255.255.255.0 inside no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps no floodguard enable no sysopt route dnat telnet ABK 255.255.255.0 inside telnet KBI 255.255.255.0 inside dhcpd dns 192.168.1.201 dhcpd wins 192.168.2.1 dhcpd lease 3600 dhcpd ping_timeout 750 dhcpd domain domainkbi
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "Роутинг между тремя подсетками на PIX"
	Сообщение от Volume on 07-Май-04, 16:46  (MSK)
	мне, уважаемый есть что сказать всегда, вопросы надо задавать по-человечески, а не как вам угодно > >nameif ethernet0 outside security0 >nameif ethernet1 inside security100 >hostname PIX-COM >names >name 192.168.1.0 ABK >name 192.168.2.0 KBI >name 192.168.100.0 INET >name 192.168.100.1 INET-MODEM <<<<<<<>access-list inside_access_in permit icmp any host INET-MODEM может уберете пока листы с инсайда, он у вас и так в сек0 находится, хоть отладьте без них чтоли? <<<<>access-list outside_access_in permit icmp any host 192.168.100.200 зачем данный аксесс-лист? чтобы пинговать и-фейс пикса снаружи? так это другой командой делается: icmp permit и тд >interface ethernet0 10baset >interface ethernet1 10full >ip address outside 192.168.100.200 255.255.255.0 >ip address inside 192.168.2.203 255.255.255.0 >pdm location ABK 255.255.255.0 inside >pdm location KBI 255.255.255.0 inside >pdm location INET-MODEM 255.255.255.255 outside >pdm history enable >arp timeout 14400 >global (outside) 1 interface >nat (inside) 1 0.0.0.0 0.0.0.0 0 0 >access-group outside_access_in in interface outside >access-group inside_access_in in interface inside >route inside ABK 255.255.255.0 192.168.2.202 1 >timeout xlate 0:05:00 >http server enable >http KBI 255.255.255.0 inside >http ABK 255.255.255.0 inside >no snmp-server location >no snmp-server contact >snmp-server community public >no snmp-server enable traps >no floodguard enable >no sysopt route dnat >telnet ABK 255.255.255.0 inside >telnet KBI 255.255.255.0 inside >dhcpd dns 192.168.1.201 >dhcpd wins 192.168.2.1 >dhcpd lease 3600 >dhcpd ping_timeout 750 >dhcpd domain domainkbi другого пикса конфиг покажите? и насчет схемы по-подробней, а то не совсем ясно...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "Роутинг между тремя подсетками на PIX"
	Сообщение от Эдуард (??) on 11-Май-04, 08:21  (MSK)
	>мне, уважаемый есть что сказать всегда, вопросы надо задавать по-человечески, а не >как вам угодно >другого пикса конфиг покажите? и насчет схемы по-подробней, а то не совсем ясно... Конфиг другого пикса имеет смысл показывать совместно еще с одним, между ними настроен VPN, соединяющий две подсетки. Схема сетки достаточно простая: Инет - Сетка провайдера - PIX-INET - Сетка 2 - PIX-KBI <= VPN => PIX-ABK  - Сетка 1 Сетка провайдера - 192.168.100.0, gate в Инет - 192.168.100.1 Сетка 2 - 192.168.2.0 Сетка 1 - 192.168.1.0 Туннель VPN проходит через сеть сторонней организации, адреса интерфейсов на пиксах PIX-ABK - 194.84.17.202 PIX-KBI - 194.84.17.210 оборудование: PIX-INET - Cisco PIX 501 3DES Bundle (10 Users) PIX-KBI  - Cisco PIX 501 3DES Bundle (50 Users) PIX-ABK  - Cisco PIX 515R DMZ Bundle ************* Config PIX-KBI: ******************* nameif ethernet0 outside security0 nameif ethernet1 inside security100 hostname PIX-KBI names access-list 2201 permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0 interface ethernet0 10baset interface ethernet1 10full ip address outside 194.84.17.210 255.255.255.248 ip address inside 192.168.2.201 255.255.255.0 ip audit info action alarm ip audit attack action alarm pdm location 192.168.1.0 255.255.255.0 outside pdm location 194.84.17.202 255.255.255.255 outside pdm history enable arp timeout 14400 global (outside) 1 interface nat (inside) 0 access-list 2201 route outside 192.168.1.0 255.255.255.0 194.84.17.209 1 route outside 194.84.17.202 255.255.255.255 194.84.17.209 1 timeout xlate 0:05:00 http server enable http 192.168.2.0 255.255.255.0 inside no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps no floodguard enable sysopt connection permit-ipsec no sysopt route dnat crypto ipsec transform-set chevelle esp-des esp-md5-hmac crypto map transam 1 ipsec-isakmp crypto map transam 1 match address 2201 crypto map transam 1 set peer 194.84.17.202 crypto map transam 1 set transform-set chevelle crypto map transam interface outside isakmp enable outside isakmp key ******** address 194.84.17.202 netmask 255.255.255.255 isakmp identity address isakmp policy 1 authentication pre-share isakmp policy 1 encryption des isakmp policy 1 hash md5 isakmp policy 1 group 1 isakmp policy 1 lifetime 1000 telnet 192.168.1.0 255.255.255.0 outside telnet 192.168.2.0 255.255.255.0 inside dhcpd dns 192.168.1.201 dhcpd wins 192.168.2.1 dhcpd lease 3600 dhcpd ping_timeout 750 dhcpd domain domainkbi dhcpd auto_config outside ************* Config PIX-ABK: ******************* nameif ethernet0 outside security0 nameif ethernet1 inside security100 nameif ethernet2 intf2 security10 hostname PIX-ABK names access-list 1201 permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0 interface ethernet0 auto interface ethernet1 auto interface ethernet2 auto shutdown ip address outside 194.84.17.202 255.255.255.248 ip address inside 192.168.1.202 255.255.255.0 ip address intf2 127.0.0.1 255.255.255.255 ip verify reverse-path interface outside ip audit info action alarm ip audit attack action alarm pdm location 192.168.2.0 255.255.255.0 outside pdm history enable global (outside) 1 interface nat (inside) 0 access-list 1201 access-group outside_access_in in interface outside route outside 0.0.0.0 0.0.0.0 194.84.17.201 1 route outside 192.168.2.0 255.255.255.0 194.84.17.201 1 http server enable http 192.168.1.0 255.255.255.0 inside no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps floodguard enable sysopt connection permit-ipsec no sysopt route dnat crypto ipsec transform-set toyota esp-des esp-md5-hmac crypto map bmw 1 ipsec-isakmp crypto map bmw 1 match address 1201 crypto map bmw 1 set peer 194.84.17.210 crypto map bmw 1 set transform-set toyota crypto map bmw interface outside isakmp enable outside isakmp key ******** address 194.84.17.210 netmask 255.255.255.255 isakmp identity address isakmp policy 1 authentication pre-share isakmp policy 1 encryption des isakmp policy 1 hash md5 isakmp policy 1 group 1 isakmp policy 1 lifetime 1000 telnet 192.168.2.0 255.255.255.0 outside telnet 192.168.1.0 255.255.255.0 inside
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "Роутинг между тремя подсетками на PIX"
	Сообщение от ВОЛКА on 11-Май-04, 20:49  (MSK)
	а чего не работает то?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "Роутинг между тремя подсетками на PIX"
	Сообщение от Эдуард (??) on 12-Май-04, 06:42  (MSK)
	>а чего не работает то? Вообще-то ситуацию я описал выше. Проблема в том что из сетки 1 (192.168.1.0) не видно пикса PIX-INET с внутренним адресом 192.168.2.203. Вся остальная сетка 2 прекрасно доступна из сетки 1.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "Роутинг между тремя подсетками на PIX"
	Сообщение от ВОЛКА on 12-Май-04, 11:19  (MSK)
	ну и где конфиг PIX-INET?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "Роутинг между тремя подсетками на PIX"
	Сообщение от 8thc on 08-Май-04, 13:12  (MSK)
	>>это вопрос из серии "угадайте ответ"? > >Нет, это вопрос из серии "help me!". Если Вам нечего ответить, зачем >писать? Если что то непонятно из вопроса, так и спрашивайте, поясню >конкретней. Приятель если тебе здесь помогут, то на 95% это будут Волка или Volume.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.