Хорошо .. Я признаю это. Я, наверное, упускаю что-то простое. Небольшая помощь?
У меня есть более старый PIX 515e, который я пытаюсь запустить. Внешний интерфейс подключен к кабельному модему и настроен для DHCP. Этот интерфейс получает IP-адрес от интернет-провайдера, поэтому кажется, что эта часть работает. Насколько я понимаю, использование этой команды должно автоматически устанавливать статический маршрут для шлюза ISP. Если мне кажется, что это так. С консоли я также могу пинговать шлюз интернет-провайдера и любой другой сайт (yahoo.com), который я пробую.
Внутренний интерфейс настроен со статическим адресом 10.0.1.10, и это возвращает пинг от внутренних клиентов. DHCP во внутренней сети обрабатывается машиной 2012R2, и эта служба, а также DNS также работают (за исключением пересылки DNS, пока PIX тестируется)
Однако клиенты не могут получить доступ к Интернету. Нет ответов ping и т. Д. Я считаю, что это либо проблема маршрутизации, либо проблема NAT / PAT. Я за 8-балл в этой области конфигурации Cisco, и мне нужна помощь. Ниже размещена моя текущая рабочая конфигурация. Я попробовал несколько руководств по настройке, найденных в сети, но, похоже, ничего не работает. Может ли кто-нибудь помочь мне с этим?
Спасибо! Майкл
: Saved
:
PIX Version 8.0(4)28
!
hostname GripPix
domain-name Grip.com
enable password ... encrypted
passwd ... encrypted
names
!
interface Ethernet0
nameif outside
security-level 0
ip address dhcp setroute
!
interface Ethernet1
nameif inside
security-level 100
ip address 10.0.1.10 255.255.0.0
!
interface Ethernet2
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet3
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet4
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet5
shutdown
no nameif
no security-level
no ip address
!
ftp mode passive
dns server-group DefaultDNS
domain-name Grip.com
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
access-list outside_in extended permit icmp any any echo-reply
access-list outside_in extended deny ip any any log
pager lines 24
logging enable
logging asdm informational
mtu outside 1500
mtu inside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image flash:/asdm-613.bin
no asdm history enable
arp timeout 14400
global (outside) 1 10.0.0.0 netmask 255.255.0.0
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
aaa authentication serial console LOCAL
aaa authentication telnet console LOCAL
aaa authentication ssh console LOCAL
http server enable
http 10.0.0.0 255.255.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet 10.0.0.0 255.255.0.0 inside
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
!
class-map inspection-default
match default-inspection-traffic
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect http
inspect icmp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:9cceeff3166fd745e3569853ea5c178c
: end
asdm image flash:/asdm-613.bin
no asdm history enable
Оказывается, я сделал глупость. У клиентов действительно был доступ к Интернету, но я не знал, потому что на самом деле я не пытался просматривать и т. Д. Я просто открыл окно cmd и запустил "ping www.yahoo.com -t"
Я предполагал, что, как только я получил ответ на эхо-запрос, шлюз заработал. Чего я не сделал, так это пропуска трафика ICMP через брандмауэр NAT. Так что, хотя мои клиенты действительно могли просматривать и т. Д., Я не получал ответов на пинг, поэтому я решил, что не дохожу. Как только я включил ICMP-трафик, все было в порядке. Я чувствовал себя немного смущенным по этому поводу, но, думаю, живу и учусь.