Я настроил VPN-туннель между сайтами, который работает и работает так, как мне хотелось бы. Я настроил постоянные маршруты на компьютерах на каждом конце, которые должны общаться друг с другом. Подсети следующие:
Сайт 1: 10.0.0.0/11 Сайт 2: 192.168.200.0/24
У меня возникают проблемы, когда я пытаюсь получить доступ к сайту 2 с сайта 1 на компьютере с IP-адресом, начинающимся с любого другого значения, кроме 10.0.xx. Например, если мой компьютер настроен с IP 10.0.0.77/11, я могу получить доступ к сайту 2. Если настроен с 10.1.100.1/11, не могу. Мне кажется, что пикс заставляет маску подсети для сайта 1 быть 255.255.0.0 вместо 255.224.0.0.
Кто-нибудь знает, что это так и как это обойти?
Мои текущие конфигурации:
Запуск конфигурации сайта 1:
PIX версии 6.3 (4)
интерфейс ethernet0 авто
интерфейс ethernet1 100full
nameif ethernet0 за пределами security0
nameif ethernet1 внутри security100
включить пароль sdf4536gdsfgsd encrypted
passwd 3425sdfsdfg2345 зашифрованный
имя хоста на нашей стороне
доменное имя domain.com
протокол исправления dns максимальная длина 512
протокол исправления ftp 21
протокол исправления h323 h225 1720
протокол исправления h323 ras 1718-1719
протокол исправления http 80
протокол исправления rsh 514
протокол исправления rtsp 554
протокол исправления sip 5060
протокол исправления sip udp 5060
протокол исправления скинни 2000
протокол исправлений smtp 25
протокол исправления sqlnet 1521
протокол исправления tftp 69
имена
имя 192.168.200.0 их_сеть
имя 10.0.0.8 svr1
имя 10.0.0.245 svr2
имя 10.0.0.248 svr3
имя принтера 10.0.0.235
список доступа inside_outbound_nat0_acl разрешение ip 10.0.0.0 255.224.0.0 их_сеть 255.255.255.0 список доступа external_cryptomap_20 разрешение ip 10.0.0.0 255.224.0.0 их_сеть 255.255.255.0
список доступа external_access_in allow tcp their_network 255.255.255.0 любой eq www
список доступа external_access_in allow tcp their_network 255.255.255.0 любой eq https
список доступа external_access_in allow tcp their_network 255.255.255.0 host svr2 eq domain
список доступа external_access_in разрешение udp their_network 255.255.255.0 host svr2 eq domain
список доступа external_access_in разрешение udp their_network 255.255.255.0 любой eq ntp
список доступа external_access_in allow tcp their_network 255.255.255.0 host svr3 eq ssh
список доступа external_access_in разрешение icmp their_network 255.255.255.0 любой
список доступа inside_access_in allow tcp any their_network 255.255.255.0 eq ftp
список доступа inside_access_in разрешить icmp любая их_сеть 255.255.255.0
список доступа inside_access_in разрешение tcp host svr2 their_network 255.255.255.0 eq domain
список доступа inside_access_in разрешение udp host svr2 their_network 255.255.255.0 eq domain
список доступа inside_access_in разрешение tcp host svr1 their_network 255.255.255.0 eq ssh
access-list inside_access_in разрешить udp any eq ntp their_network 255.255.255.0
access-list inside_access_in примечание, запрошенное для удаленного управления
список доступа inside_access_in разрешить TCP любую их_сеть 255.255.255.0 eq 3389
список доступа inside_access_in замечание rsync svr1 для создания сервера
список доступа inside_access_in разрешение tcp host svr1 their_network 255.255.255.0 eq 873
строки пейджера 24
icmp разрешить любые внешние
icmp разрешить любой внутри
mtu за пределами 1500
mtu внутри 1500
IP-адрес за пределами 219.148.111.77 255.255.255.192
IP-адрес внутри 10.0.0.4 255.224.0.0
тревога действия информации аудита ip
тревога действия атаки ip audit
расположение pdm 10.0.0.0 255.224.0.0 внутри
pdm расположение их_сети 255.255.255.0 снаружи
расположение pdm svr2 255.255.255.255 внутри
расположение pdm svr1 255.255.255.255 внутри
расположение pdm svr3 255.255.255.255 внутри
расположение pdm awe_printer 255.255.255.255 внутри
история pdm включить
время ожидания arp 14400
глобальный (внешний) 1 интерфейс
nat (внутри) 0 список доступа inside_outbound_nat0_acl
нат (внутри) 1 0.0.0.0 0.0.0.0 0 0
группа доступа external_access_in в интерфейсе за пределами
группа доступа inside_access_in в интерфейсе внутри
маршрут вне 0.0.0.0 0.0.0.0 219.148.111.77 255
тайм-аут xlate 3:00:00
таймаут conn 1:00:00 полузакрытый 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
тайм-аут h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
тайм-аут uauth 0:05:00 абсолютный
aaa-сервер TACACS + протокол tacacs +
aaa-server TACACS + максимальное количество неудачных попыток 3
aaa-сервер TACACS + deadtime 10
радиус протокола RADIUS aaa-сервера
aaa-server RADIUS макс. неудачных попыток 3
ааа-сервер RADIUS deadtime 10
aaa-server LOCAL протокол локальный
http сервер включить
http 10.0.0.0 255.224.0.0 внутри
нет местоположения snmp-сервера
нет контакта с snmp-сервером
сообщество snmp-server общедоступное
нет ловушек включения snmp-сервера
включить защиту от наводнений
набор преобразования крипто-ipsec ESP-3DES-MD5 esp-3des esp-md5-hmac
криптокарта outside_map 20 ipsec-isakmp
криптокарта outside_map 20 сопоставить адрес outside_cryptomap_20
криптокарта outside_map 20 установить одноранговый узел 219.148.111.76
криптокарта outside_map 20 набор преобразований ESP-3DES-MD5
криптокарта external_map интерфейс снаружи
isakmp включить снаружи
ключ isakmp ******** адрес 219.148.111.76 маска сети 255.255.255.255 no-xauth no-config-mode
isakmp policy 20 аутентификация pre-share
isakmp policy 20 шифрование 3des
политика isakmp 20 хэш md5
политика isakmp 20 группа 2
политика isakmp 20 время жизни 86400
telnet тайм-аут 5
ssh тайм-аут 5
время ожидания консоли 0
имя пользователя user1 пароль asdfafddafaf зашифрованные привилегии 15
ширина терминала 80
Крипто-контрольная сумма: 43dfhsd34fghh
: конец
[ХОРОШО]
Запуск конфигурации сайта 2:
PIX версии 6.3 (4)
интерфейс ethernet0 100full
интерфейс ethernet1 100full
nameif ethernet0 за пределами security0
nameif ethernet1 внутри security100
включить пароль iCEghfhgeC10Q80xp encrypted
passwd iCEghgfhC10Q80xp зашифрованный
имя хоста Вьетнам-их-сторона
доменное имя domain1.com
протокол исправления dns максимальная длина 512
протокол исправления ftp 21
протокол исправления h323 h225 1720
протокол исправления h323 ras 1718-1719
протокол исправления http 80
протокол исправления rsh 514
протокол исправления rtsp 554
протокол исправления sip 5060
протокол исправления sip udp 5060
протокол исправления скинни 2000
протокол исправлений smtp 25
протокол исправления sqlnet 1521
протокол исправления tftp 69
имена
имя 10.0.0.0 наша_сеть
список доступа acl_inside allow tcp 192.168.200.0 255.255.255.0 хост 219.148.111.76 eq www
список доступа inside_outbound_nat0_acl разрешение ip 192.168.200.0 255.255.255.0 наша_сеть 255.224.0.0
список доступа external_cryptomap_20 разрешение IP 192.168.200.0 255.255.255.0 наша_сеть 255.224.0.0
список доступа external_access_in разрешение icmp our_network 255.224.0.0 любой
строки пейджера 24
icmp разрешить любые внешние
icmp разрешить любой внутри
mtu за пределами 1500
mtu внутри 1500
IP-адрес за пределами 219.148.111.76 255.255.255.192
IP-адрес внутри 192.168.200.1 255.255.255.0
тревога действия информации аудита ip
тревога действия атаки ip audit
pdm расположение 192.160.0.0 255.224.0.0 внутри
pdm расположение our_network 255.224.0.0 снаружи
история pdm включить
время ожидания arp 14400
глобальный (внешний) 1 интерфейс
nat (внутри) 0 список доступа inside_outbound_nat0_acl
нат (внутри) 1 0.0.0.0 0.0.0.0 0 0
группа доступа external_access_in в интерфейсе за пределами
маршрут вне 0.0.0.0 0.0.0.0 219.148.111.76 1
тайм-аут xlate 3:00:00
таймаут conn 1:00:00 полузакрытый 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
тайм-аут h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
тайм-аут uauth 0:05:00 абсолютный
aaa-сервер TACACS + протокол tacacs +
aaa-server TACACS + максимальное количество неудачных попыток 3
aaa-сервер TACACS + deadtime 10
радиус протокола RADIUS aaa-сервера
aaa-server RADIUS максимальное количество неудачных попыток 3
ааа-сервер RADIUS deadtime 10
aaa-server LOCAL протокол локальный
Консоль SSH аутентификации aaa ЛОКАЛЬНАЯ
http сервер включить
http наша_сеть 255.224.0.0 снаружи
http 192.168.200.0 255.255.255.0 внутри
нет местоположения snmp-сервера
нет контакта с snmp-сервером
сообщество snmp-server общедоступное
нет ловушек включения snmp-сервера
включить защиту от наводнений
sysopt подключение-разрешение-ipsec
набор преобразования крипто-ipsec ESP-3DES-MD5 esp-3des esp-md5-hma
криптокарта outside_map 20 ipsec-isakmp
криптокарта outside_map 20 сопоставить адрес outside_cryptomap_20
криптокарта outside_map 20 установить одноранговый узел 219.148.111.77
криптокарта outside_map 20 набор преобразований ESP-3DES-MD5
криптокарта external_map интерфейс снаружи
isakmp включить снаружи
ключ isakmp ******** адрес 219.148.111.77 маска сети 255.255.255.255 no-xauth no-c onfig-mode
isakmp policy 20 аутентификация pre-share
isakmp policy 20 шифрование 3des
политика isakmp 20 хэш md5
политика isakmp 20 группа 2
политика isakmp 20 время жизни 86400
telnet тайм-аут 5
ssh 192.168.200.0 255.255.255.0 внутри
ssh тайм-аут 60
время ожидания консоли 0
имя пользователя user1 пароль tjqqn / L / teN49dfsgsdfgZbw зашифрованные привилегии 15
ширина терминала 80
Крипто-контрольная сумма: bf200a9175be27sdfgsfdgdb91320d6df7ce5b21
: конец
Я не вижу неправильных масок, но могу не замечать этого.
Спасибо
Камми
Я не особо разбирался в PIX, но мне интересно, нужен ли "ip classless" с обеих сторон? У меня были любопытные проблемы с устройствами IOS, которые выбирали нечетные сетевые маски с полным классом (или, по крайней мере, с границей октетов) из-за их отсутствия.
На первый взгляд все нормально. Я сравнил его с моей конфигурацией Pic (515E), и они выглядят очень похоже. Замечу, что вы использовали sysopt connection permission-ipsec в их_ сети, но не в нашей_ сети. Предположительно вы хотите ограничить доступ к вашей центральной LAN с удаленного конца. Возможно, стоит добавить sysopt connection permission-ipsec просто в качестве теста.
Обычный способ диагностировать это - посмотреть на вывод журнала. Сообщает ли Pix о чем-нибудь полезном при пинге с адреса 10.1.100. * Или с удаленного сайта на адрес 10.1.100. *? Было бы интересно отключить VPN перед проверкой связи, чтобы вы могли видеть любые журналы настройки VPN.
JR