форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"PIX и NAT на разные внешние адреса"

Сообщение от anton_lva (ok) on 15-Дек-06, 21:51

Имеется следующая конфигурация: пикс за роутером, на пиксе два виртуальных интерфейса, имеющие внешние адреса из разных подсетей и два сервера в inside. Требуется, чтобы сервер А, имеющий адрес 192.168.1.10 статически транслировался во внешний адрес x.x.x.x, а сервер В, имеющий адрес 192.168.1.20 - в y.y.y.y. Использую следующую кофигурацию: ! interface Ethernet0 no nameif no security-level no ip address ! interface Ethernet0.200 vlan 200 nameif vlan-200 security-level 0 ip address y.y.y.y 255.255.255.248 ! interface Ethernet0.500 vlan 500 nameif outside security-level 0 ip address x.x.x.x 255.255.255.248 ! interface Ethernet1 no nameif no security-level no ip address ! interface Ethernet1.20 vlan 20 nameif inside security-level 100 ip address 192.168.1.254 255.255.255.0 ! static (inside,outside) x.x.x.x 192.168.1.10 netmask 255.255.255.255 static (inside,outside) y.y.y.y 192.168.1.20 netmask 255.255.255.255 ! route outside 0.0.0.0 0.0.0.0 x.x.x.1 1 route outside 0.0.0.0 0.0.0.0 y.y.y.1 1 ! Проблема в том, что трансляция в адрес x.x.x.x осуществляется нормально, а вот в y.y.y.y - нет. При этом, в логах появляется ошибка типа PIX-6-106015: Deny TCP (no connection) from z.z.z.z/123 to y.y.y.y/33353 flags SYN ACK on interface vlan-200 Пары nat/global для этого тоже пробовал, картина та же. Никто не сталкивался с подобным?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Сообщения по теме

[Сортировка по времени, UBB]

1. "PIX и NAT на разные внешние адреса"

Сообщение от tashiki (??) on 16-Дек-06, 00:31

>route outside 0.0.0.0 0.0.0.0 x.x.x.1 1 >route outside 0.0.0.0 0.0.0.0 y.y.y.1 1 Второй default route то зачем???

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "PIX и NAT на разные внешние адреса"
	Сообщение от anton_lva (ok) on 16-Дек-06, 00:43
	>>route outside 0.0.0.0 0.0.0.0 x.x.x.1 1 >>route outside 0.0.0.0 0.0.0.0 y.y.y.1 1 > >Второй default route то зачем??? Это от безысходности пробовались все возможные кофигурацмм. Но с одним маршрутом тоже не работает.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "PIX и NAT на разные внешние адреса"
	Сообщение от tashiki (??) on 16-Дек-06, 01:25
	>PIX-6-106015: Deny TCP (no connection) from z.z.z.z/123 to y.y.y.y/33353 flags SYN ACK on interface vlan-200 #access-list OUTSIDE extended permit tcp host z.z.z.z host y.y.y.y #access-group OUTSIDE in interface vlan-200
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "PIX и NAT на разные внешние адреса"

Сообщение от Resident on 16-Дек-06, 13:02

>interface Ethernet0.200 >vlan 200 >nameif vlan-200 >security-level 0 >ip address y.y.y.y 255.255.255.248 >! >interface Ethernet0.500 >vlan 500 >nameif outside >security-level 0 >ip address x.x.x.x 255.255.255.248 >static (inside,outside) y.y.y.y 192.168.1.20 netmask 255.255.255.255 а как вы так мапите ип с одного интерфэйса на другой интерфейс? Даже если каким-то чудом пакеты y.y.y.y прийдут на интерфэйс outside пикс их просто отбросит. наверное всё-таки надо так: static (inside,vlan-200) y.y.y.y 192.168.1.20 netmask 255.255.255.255 или вы пытаетесь сделать что-то нетривиальное?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]