настроил канал между PIX 515 и Dlink 824-VUP+
канал поднимается (в статусе на длинке это видно) но трафик через него не идет, причем както странно:
могу пинговать с PIX внутренний интерфейс DLink
могу пинговать с компутера в сети Dlink внутренний интерфейс PIXне могу пинговать с PIX внутреннюю сеть DLink (даже тот комп с которого пинги идут в обратном направлении)
не могу пинговать с Dlink PIX (ни сеть ни внутренний интерфейс)
не могу пинговать из внутренней сети PIX внутренний интерфейс Dlinkкогда смотрю на PIX маршруты то там нет упоминания о внутренней сети Dlink
вопрос - если у когото есть настроеный на пиксе впн канал - подскажите какова у вас таблица маршрутизации???
или может проблема в чем то другом???P.S. канал поднимал визардом в надежде что он все сам правильно пропишет, но тут какая-то нестыковка получается
Июнь, телепаты в отпусках.
> Июнь, телепаты в отпусках.ну я ж прошу подсказать какой должна быть таблица маршрутизации на cisco ???
думал что это проще чем разбираться с моим конфигом
PIX Version 7.2(2)
!
hostname pixfirewall
domain-name local
enable password encrypted
names
!
interface Ethernet0
nameif Outside
security-level 0
ip address 88.88.88.243 255.255.255.240
!
interface Ethernet1
nameif inside
security-level 100
ip address 192.168.1.101 255.255.255.0
!
interface Ethernet2
shutdown
no nameif
no security-level
no ip address
!
passwd encrypted
ftp mode passive
dns server-group DefaultDNS
domain-name local
access-list Outside_access_in extended permit tcp any interface Outside eq www
access-list Outside_access_in extended permit tcp any interface Outside eq smtp
access-list Outside_access_in extended permit tcp any interface Outside eq 1533
access-list Outside_access_in extended permit tcp any interface Outside eq lotusnotes
access-list Outside_access_in extended permit tcp any interface Outside eq https
access-list inside_access_in extended permit ip host 192.168.1.221 any
access-list inside_access_in extended permit ip host 192.168.1.215 any
access-list inside_access_in extended permit icmp host 192.168.1.215 any
access-list inside_access_in extended permit udp host 192.168.1.203 any eq ntp
access-list Outside_1_cryptomap extended permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
pager lines 24
logging enable
logging asdm informational
mtu Outside 1500
mtu inside 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image flash:/asdm-523.bin
no asdm history enable
arp timeout 14400
global (Outside) 101 88.88.88.246-88.88.88.247 netmask 255.255.255.240
global (Outside) 1 interface
nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 101 192.168.1.203 255.255.255.255
nat (inside) 1 192.168.1.215 255.255.255.255
static (inside,Outside) tcp interface www 192.168.1.221 www netmask 255.255.255.255
static (inside,Outside) tcp interface lotusnotes 192.168.1.215 lotusnotes netmask 255.255.255.255
static (inside,Outside) tcp interface 1533 192.168.1.215 1533 netmask 255.255.255.255
static (inside,Outside) tcp interface smtp 192.168.1.215 smtp netmask 255.255.255.255
static (inside,Outside) tcp interface https 192.168.1.215 https netmask 255.255.255.255
access-group Outside_access_in in interface Outside
access-group inside_access_in in interface inside
route Outside 0.0.0.0 0.0.0.0 88.151.178.241 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto map Outside_map 1 match address Outside_1_cryptomap
crypto map Outside_map 1 set pfs
crypto map Outside_map 1 set peer 99.99.99.162
crypto map Outside_map 1 set transform-set ESP-3DES-SHA
crypto map Outside_map interface Outside
crypto isakmp enable Outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
tunnel-group 99.99.99.162 type ipsec-l2l
tunnel-group 99.99.99.162 ipsec-attributes
pre-shared-key *
telnet 192.168.1.100 255.255.255.255 inside
telnet timeout 5
ssh 192.168.1.100 255.255.255.255 inside
ssh timeout 5
console timeout 0
management-access inside
dhcpd address 192.168.1.102-192.168.1.254 inside
!
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:34c716e18e7b224405d35ea64bf12927
: end
pixfirewall#
> Июнь, телепаты в отпусках.и вот еще таблица маршрутов
Gateway of last resort is 88.88.88.241 to network 0.0.0.0
C 88.88.88.240 255.255.255.240 is directly connected, Outside
C 192.168.1.0 255.255.255.0 is directly connected, inside
S* 0.0.0.0 0.0.0.0 [1/0] via 88.88.88.241, Outside
вот в нейто меня и смущает отсутствие маршрута в сеть 192.168.2.0
включил RRI (Revers Route Injection) теперь роутеры могут пинговать внутренние адреса обоюдно, а вот за пределы роутеров пинги так и не уходят
> включил RRI (Revers Route Injection) теперь роутеры могут пинговать внутренние адреса обоюдно,
> а вот за пределы роутеров пинги так и не уходяттеперь маршруты выглядят так
Gateway of last resort is 88.151.178.241 to network 0.0.0.0
C 88.88.88.240 255.255.255.240 is directly connected, Outside
C 192.168.1.0 255.255.255.0 is directly connected, inside
S 192.168.2.0 255.255.255.0 [1/0] via 88.151.178.241, Outside
S* 0.0.0.0 0.0.0.0 [1/0] via 88.88.88.241, Outside
pixfirewall#