Назад | Перейти на главную страницу

Более старый PIX 515e под управлением 8.0 (4) 28: не удается получить доступ в Интернет для работы с DHCP на внешнем интерфейсе

Хорошо .. Я признаю это. Я, наверное, упускаю что-то простое. Небольшая помощь?

У меня есть более старый PIX 515e, который я пытаюсь запустить. Внешний интерфейс подключен к кабельному модему и настроен для DHCP. Этот интерфейс получает IP-адрес от интернет-провайдера, поэтому кажется, что эта часть работает. Насколько я понимаю, использование этой команды должно автоматически устанавливать статический маршрут для шлюза ISP. Если мне кажется, что это так. С консоли я также могу пинговать шлюз интернет-провайдера и любой другой сайт (yahoo.com), который я пробую.

Внутренний интерфейс настроен со статическим адресом 10.0.1.10, и это возвращает пинг от внутренних клиентов. DHCP во внутренней сети обрабатывается машиной 2012R2, и эта служба, а также DNS также работают (за исключением пересылки DNS, пока PIX тестируется)

Однако клиенты не могут получить доступ к Интернету. Нет ответов ping и т. Д. Я считаю, что это либо проблема маршрутизации, либо проблема NAT / PAT. Я за 8-балл в этой области конфигурации Cisco, и мне нужна помощь. Ниже размещена моя текущая рабочая конфигурация. Я попробовал несколько руководств по настройке, найденных в сети, но, похоже, ничего не работает. Может ли кто-нибудь помочь мне с этим?

Спасибо! Майкл

: Saved
:

PIX Version 8.0(4)28 
!
hostname GripPix

domain-name Grip.com

enable password ... encrypted

passwd ... encrypted

names

!

interface Ethernet0

 nameif outside

 security-level 0

 ip address dhcp setroute 

!

interface Ethernet1

 nameif inside

 security-level 100

 ip address 10.0.1.10 255.255.0.0 

!

interface Ethernet2

 shutdown

 no nameif

 no security-level

 no ip address

!

interface Ethernet3

 shutdown

 no nameif

 no security-level

 no ip address

!

interface Ethernet4

 shutdown

 no nameif

 no security-level

 no ip address

!

interface Ethernet5

 shutdown

 no nameif

 no security-level

 no ip address

!

ftp mode passive

dns server-group DefaultDNS

 domain-name Grip.com

same-security-traffic permit inter-interface

same-security-traffic permit intra-interface

access-list outside_in extended permit icmp any any echo-reply 

access-list outside_in extended deny ip any any log 

pager lines 24

logging enable

logging asdm informational

mtu outside 1500

mtu inside 1500

no failover

icmp unreachable rate-limit 1 burst-size 1

asdm image flash:/asdm-613.bin

no asdm history enable

arp timeout 14400

global (outside) 1 10.0.0.0 netmask 255.255.0.0

global (outside) 1 interface

nat (inside) 1 0.0.0.0 0.0.0.0

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02

timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00

timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00

timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute

timeout tcp-proxy-reassembly 0:01:00

dynamic-access-policy-record DfltAccessPolicy

aaa authentication serial console LOCAL 

aaa authentication telnet console LOCAL 

aaa authentication ssh console LOCAL 

http server enable

http 10.0.0.0 255.255.0.0 inside

no snmp-server location

no snmp-server contact

snmp-server enable traps snmp authentication linkup linkdown coldstart

crypto ipsec security-association lifetime seconds 28800

crypto ipsec security-association lifetime kilobytes 4608000

telnet 10.0.0.0 255.255.0.0 inside

telnet timeout 5

ssh timeout 5

console timeout 0

threat-detection basic-threat

threat-detection statistics access-list

no threat-detection statistics tcp-intercept

!

class-map inspection-default

 match default-inspection-traffic

class-map inspection_default

 match default-inspection-traffic

!

!

policy-map type inspect dns preset_dns_map

 parameters

  message-length maximum 512

policy-map global_policy

 class inspection_default

  inspect dns preset_dns_map 

  inspect ftp 

  inspect h323 h225 

  inspect h323 ras 

  inspect rsh 

  inspect rtsp 

  inspect esmtp 

  inspect sqlnet 

  inspect skinny  

  inspect sunrpc 

  inspect xdmcp 

  inspect sip  

  inspect netbios 

  inspect tftp 

  inspect http 

  inspect icmp 

!

service-policy global_policy global

prompt hostname context 

Cryptochecksum:9cceeff3166fd745e3569853ea5c178c

: end

asdm image flash:/asdm-613.bin

no asdm history enable

Оказывается, я сделал глупость. У клиентов действительно был доступ к Интернету, но я не знал, потому что на самом деле я не пытался просматривать и т. Д. Я просто открыл окно cmd и запустил "ping www.yahoo.com -t"

Я предполагал, что, как только я получил ответ на эхо-запрос, шлюз заработал. Чего я не сделал, так это пропуска трафика ICMP через брандмауэр NAT. Так что, хотя мои клиенты действительно могли просматривать и т. Д., Я не получал ответов на пинг, поэтому я решил, что не дохожу. Как только я включил ICMP-трафик, все было в порядке. Я чувствовал себя немного смущенным по этому поводу, но, думаю, живу и учусь.