URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 12275
[ Назад ]

Исходное сообщение
"PIX и NAT на разные внешние адреса"

Отправлено anton_lva , 15-Дек-06 21:51 
Имеется следующая конфигурация: пикс за роутером, на пиксе два виртуальных интерфейса, имеющие внешние адреса из разных подсетей и два сервера в inside. Требуется, чтобы сервер А, имеющий адрес 192.168.1.10 статически транслировался во внешний адрес x.x.x.x, а сервер В, имеющий адрес 192.168.1.20 - в y.y.y.y.

Использую следующую кофигурацию:

!
interface Ethernet0
no nameif
no security-level
no ip address
!
interface Ethernet0.200
vlan 200
nameif vlan-200
security-level 0
ip address y.y.y.y 255.255.255.248
!
interface Ethernet0.500
vlan 500
nameif outside
security-level 0
ip address x.x.x.x 255.255.255.248
!
interface Ethernet1
no nameif
no security-level
no ip address
!
interface Ethernet1.20
vlan 20
nameif inside
security-level 100
ip address 192.168.1.254 255.255.255.0
!
static (inside,outside) x.x.x.x 192.168.1.10 netmask 255.255.255.255
static (inside,outside) y.y.y.y 192.168.1.20 netmask 255.255.255.255
!
route outside 0.0.0.0 0.0.0.0 x.x.x.1 1
route outside 0.0.0.0 0.0.0.0 y.y.y.1 1
!


Проблема в том, что трансляция в адрес x.x.x.x осуществляется нормально, а вот в y.y.y.y - нет.

При этом, в логах появляется ошибка типа

PIX-6-106015: Deny TCP (no connection) from z.z.z.z/123 to y.y.y.y/33353 flags SYN ACK on interface vlan-200

Пары nat/global для этого тоже пробовал, картина та же.

Никто не сталкивался с подобным?


Содержание

Сообщения в этом обсуждении
"PIX и NAT на разные внешние адреса"
Отправлено tashiki , 16-Дек-06 00:31 
>route outside 0.0.0.0 0.0.0.0 x.x.x.1 1
>route outside 0.0.0.0 0.0.0.0 y.y.y.1 1

Второй default route то зачем???


"PIX и NAT на разные внешние адреса"
Отправлено anton_lva , 16-Дек-06 00:43 
>>route outside 0.0.0.0 0.0.0.0 x.x.x.1 1
>>route outside 0.0.0.0 0.0.0.0 y.y.y.1 1
>
>Второй default route то зачем???


Это от безысходности пробовались все возможные кофигурацмм. Но с одним маршрутом тоже не работает.


"PIX и NAT на разные внешние адреса"
Отправлено tashiki , 16-Дек-06 01:25 
>PIX-6-106015: Deny TCP (no connection) from z.z.z.z/123 to y.y.y.y/33353 flags SYN ACK on interface vlan-200

#access-list OUTSIDE extended permit tcp host z.z.z.z host y.y.y.y
#access-group OUTSIDE in interface vlan-200


"PIX и NAT на разные внешние адреса"
Отправлено Resident , 16-Дек-06 13:02 
>interface Ethernet0.200
>vlan 200
>nameif vlan-200
>security-level 0
>ip address y.y.y.y 255.255.255.248
>!
>interface Ethernet0.500
>vlan 500
>nameif outside
>security-level 0
>ip address x.x.x.x 255.255.255.248
>static (inside,outside) y.y.y.y 192.168.1.20 netmask 255.255.255.255

а как вы так мапите ип с одного интерфэйса на другой интерфейс? Даже если каким-то чудом пакеты y.y.y.y прийдут на интерфэйс outside пикс их просто отбросит.

наверное всё-таки надо так:
static (inside,vlan-200) y.y.y.y 192.168.1.20 netmask 255.255.255.255
или вы пытаетесь сделать что-то нетривиальное?