forum.opennet.ru - "NAT на PIX(е)" (10)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"NAT на PIX(е)"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"NAT на PIX(е)"
Сообщение от lomo on 20-Янв-05, 19:19 (MSK)
Привет, Не подскажите в чем я неправ? ;) Имеется PIX 506e (два интерфейса). Траффик из локалки (192.168.10.0.24) НАТится следующим образом: access-list nat-test-company1 permit ip 192.168.10.0 255.255.255.0 host 192.168.100.2 nat (inside) 40 access-list nat-test-company1 0 0 global (outside) 40 172.16.12.2 .. а затем запихивается в VPN (ipsec, preshared keys) примерно такими ACL(ями): access-list ipsec-test-company1 permit tcp host 172.16.12.2 host 192.168.100.2 access-list ipsec-test-company1 permit udp host 172.16.12.2 host 192.168.100.2 все отлично работает, но только не с тех хостов, которые МАПятся наружу static(ами): static (inside,outside) 123.123.123.2 192.168.10.2 netmask 255.255.255.255 0 0 Т.е. с хоста 192.168.10.2 до 192.168.100.2 никак не достучаться.. Как я понимаю, static выше в приотитете NAT-правил, чем global, но ведь должен же быть способ запихнуть траффик от 192.168.10.2 в трубу.. Просто не верю, что это невозможно.. пробовал добавить в ipsec-test-company1 тот IP, который получается из 192.168.10.2 после его преобразования global(ом), ни фига - ни одного совпадения...
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

NAT на PIX(е), lomo, 11:08 , 24-Янв-05, (1)
- NAT на PIX(е), lomo, 16:53 , 04-Апр-05, (2)
  - NAT на PIX(е), Олег, 17:05 , 04-Апр-05, (3)
    - NAT на PIX(е), lomo, 14:42 , 05-Апр-05, (4)
      - NAT на PIX(е), Олег, 15:04 , 05-Апр-05, (5)
        
        NAT на PIX(е), lomo, 16:09 , 05-Апр-05, (6)
        
        NAT на PIX(е), Олег, 16:49 , 05-Апр-05, (7)
        
        NAT на PIX(е), lomo, 17:00 , 05-Апр-05, (8)
        
        NAT на PIX(е), Олег, 17:22 , 05-Апр-05, (9)
        
        NAT на PIX(е), lomo, 01:11 , 12-Апр-05, (10)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "NAT на PIX(е)"

Сообщение от lomo on 24-Янв-05, 11:08  (MSK)

народ, неужели никто не делал этого?

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "NAT на PIX(е)"

Сообщение от lomo on 04-Апр-05, 16:53  (MSK)

>народ, неужели никто не делал этого?
можно я еще разок подниму тему, а? :)

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "NAT на PIX(е)"

Сообщение от Олег (??) on 04-Апр-05, 17:05  (MSK)

А полный конфиг можно?

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "NAT на PIX(е)"

Сообщение от lomo on 05-Апр-05, 14:42  (MSK)

>А полный конфиг можно?
А зачем?
Вроде приведенного выше вполне достаточно.. (честно нипонимаю)

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "NAT на PIX(е)"

Сообщение от Олег (??) on 05-Апр-05, 15:04  (MSK)

>Вроде приведенного выше вполне достаточно.. (честно нипонимаю)
Честно - непонятно как у Вас реализован VPN, и что Вы натите.
Мне, по крайней мере, проще понять, увидев конфиг.
p.s. Я же не тербую реальных адресов и т.п.
Всё, что считаете небезопасным для опубликования - удалите или замените.

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "NAT на PIX(е)"

Сообщение от lomo on 05-Апр-05, 16:09  (MSK)

Вот конфиг.
Немного повторюсь...
Задача - сделать доступ до машины 192.168.100.2 из сети 192.168.10.0/24, "прикрыв" сеть 192.168.10.0/24 с помощью NAT(а) (один фейковый адрес - 172.16.12.2/32).
Все работает отлично, кроме одной машины - 192.168.10.2/32. Она имеет static-запись (123.123.123.2/32). Соответственно с машины 192.168.10.2 до 192.168.100.2 связи нет.. Соответственно, сеть с реальными IP 123.123.123.0/24 - существуте только в памяти PIX(а)..
pix-company# sh run
: Saved
:
PIX Version 6.3(4)
interface ethernet0 10baset
interface ethernet1 10baset
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password XXXXXXXXXXXXXX encrypted
passwd XXXXXXXXXXXXX encrypted
hostname pix-company
domain-name domain.company.com
clock timezone MSK 3
clock summer-time msk recurring last Sun Mar 2:00 last Sun Oct 3:00
fixup protocol dns
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
name 111.222.222.1 pix-company
name 12.12.12.12 ipsec-company1
access-list nonat permit ip 192.168.10.0 255.255.255.0 1.1.1.0 255.255.255.0
access-list nat-company-any permit ip 192.168.10.0 255.255.255.0 any
access-list inbound deny ip 10.0.0.0 255.0.0.0 any
access-list inbound deny ip 172.16.0.0 255.240.0.0 any
access-list inbound deny ip 192.168.0.0 255.255.0.0 any
access-list inbound deny ip 127.0.0.0 255.0.0.0 any
access-list inbound deny ip 169.254.0.0 255.255.0.0 any
access-list inbound deny ip 255.0.0.0 255.0.0.0 any
access-list inbound deny ip 240.0.0.0 240.0.0.0 any
access-list inbound deny ip 224.0.0.0 240.0.0.0 any
access-list inbound deny ip host 255.255.255.255 any
access-list inbound deny ip host 0.0.0.0 any
access-list inbound deny icmp any any timestamp-request
access-list inbound deny icmp any any mask-request
access-list inbound permit tcp any host 123.123.123.2 eq ssh
access-list inbound permit icmp any any
access-list outbound permit ip any any
access-list nat-company-company1 permit ip 192.168.10.0 255.255.255.0 host 192.168.100.2
access-list ipsec-company-company1 permit ip host 172.16.12.2 host 192.168.100.2
pager lines 24
logging on
logging timestamp
logging trap warnings
logging history debugging
logging facility 18
logging host inside 192.168.10.2
mtu outside 1500
mtu inside 1500
ip address outside pix-company 255.255.255.252
ip address inside 192.168.10.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm history enable
arp timeout 14400
global (outside) 100 interface
global (outside) 40 172.16.12.2
nat (inside) 0 access-list nonat
nat (inside) 40 access-list nat-company-company1 0 0
nat (inside) 100 access-list nat-company-any 0 0
static (inside,outside) 123.123.123.2 192.168.10.2 netmask 255.255.255.255 0 0
access-group inbound in interface outside
access-group outbound in interface inside
route outside 0.0.0.0 0.0.0.0 111.222.222.2 1
timeout xlate 3:00:00
timeout conn 20:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server radius-authport 1812
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server RADIUS (inside) host 192.168.10.2 XXXXXXXXX timeout 10
aaa-server LOCAL protocol local
ntp server 131.188.3.220 source outside prefer
http server enable
http 192.168.10.2 255.255.255.0 inside
snmp-server host inside 192.168.10.2
snmp-server location XXXXXXXXXXXXX
snmp-server contact XXXXXXXXXXXXx
snmp-server community XXXXXXXXXXXXXXXx
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
crypto ipsec transform-set des esp-des esp-sha-hmac
crypto ipsec transform-set 3des esp-3des esp-sha-hmac
crypto ipsec transform-set 3desmd5 esp-3des esp-md5-hmac
crypto map company 40 ipsec-isakmp
crypto map company 40 match address ipsec-company-company1
crypto map company 40 set peer ipsec-company1
crypto map company 40 set transform-set 3desmd5
crypto map company client authentication RADIUS
crypto map company interface outside
isakmp enable outside
isakmp key ******** address ipsec-company1 netmask 255.255.255.255
isakmp identity address
isakmp policy 5 authentication pre-share
isakmp policy 5 encryption 3des
isakmp policy 5 hash md5
isakmp policy 5 group 2
isakmp policy 5 lifetime 86400
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash sha
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption des
isakmp policy 20 hash sha
isakmp policy 20 group 2
isakmp policy 20 lifetime 86400
isakmp policy 30 authentication pre-share
isakmp policy 30 encryption 3des
isakmp policy 30 hash md5
isakmp policy 30 group 1
isakmp policy 30 lifetime 86400
telnet 192.168.10.2 255.255.255.255 inside
telnet timeout 30
ssh timeout 60
console timeout 0
terminal width 80

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "NAT на PIX(е)"

Сообщение от Олег (??) on 05-Апр-05, 16:49  (MSK)

Попробуйте сделать так:
access-list ipsec-company-company2 permit ip host 123.123.123.2 host 192.168.100.2
crypto map company 50 ipsec-isakmp
crypto map company 50 match address ipsec-company-company2
crypto map company 50 set peer ipsec-company1
crypto map company 50 set transform-set 3desmd5
Больше, к сожалению, предложить нечего.
Если не поможет - есть смысл подумать, нужен ли этот статик. Т.к. он действительно, как вы правильно заметили, имеет более высокий приоритет чем нат.

Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "NAT на PIX(е)"

Сообщение от lomo on 05-Апр-05, 17:00  (MSK)

>Попробуйте сделать так:
>
>access-list ipsec-company-company2 permit ip host 123.123.123.2 host 192.168.100.2
>crypto map company 50 ipsec-isakmp
>crypto map company 50 match address ipsec-company-company2
>crypto map company 50 set peer ipsec-company1
>crypto map company 50 set transform-set 3desmd5
>
пробовал..
capture вообще странную картинку показывает..
Как будто часть пакетов идет до 192.168.100.2 от 192.168.10.2, а часть от 123.123.123.2.
static сильно нужен.. без него никак.
Спасибо!

Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "NAT на PIX(е)"

Сообщение от Олег (??) on 05-Апр-05, 17:22  (MSK)

Можно сделать ещё так, как крайний вариант:
access-list ipsec-company-company1 permit ip host 172.16.12.2 host 192.168.100.2
access-list ipsec-company-company1 permit ip host 123.123.123.2 host 192.168.100.2
access-list ipsec-company-company1 permit ip host 192.168.10.2 host 192.168.100.2

Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "NAT на PIX(е)"

Сообщение от lomo on 12-Апр-05, 01:11  (MSK)

>Можно сделать ещё так, как крайний вариант:
>
>access-list ipsec-company-company1 permit ip host 172.16.12.2 host 192.168.100.2
>access-list ipsec-company-company1 permit ip host 123.123.123.2 host 192.168.100.2
>access-list ipsec-company-company1 permit ip host 192.168.10.2 host 192.168.100.2
Нет, это совсем неправильно..
Сам acl выглядит очень странно и на той стороне принимают траффик, только от 172.16.12.2...

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "NAT на PIX(е)"
Сообщение от lomo on 24-Янв-05, 11:08 (MSK)
народ, неужели никто не делал этого?
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "NAT на PIX(е)"
	Сообщение от lomo on 04-Апр-05, 16:53 (MSK)
	>народ, неужели никто не делал этого? можно я еще разок подниму тему, а? :)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "NAT на PIX(е)"
	Сообщение от Олег (??) on 04-Апр-05, 17:05 (MSK)
	А полный конфиг можно?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "NAT на PIX(е)"
	Сообщение от lomo on 05-Апр-05, 14:42 (MSK)
	>А полный конфиг можно? А зачем? Вроде приведенного выше вполне достаточно.. (честно нипонимаю)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "NAT на PIX(е)"
	Сообщение от Олег (??) on 05-Апр-05, 15:04 (MSK)
	>Вроде приведенного выше вполне достаточно.. (честно нипонимаю) Честно - непонятно как у Вас реализован VPN, и что Вы натите. Мне, по крайней мере, проще понять, увидев конфиг. p.s. Я же не тербую реальных адресов и т.п. Всё, что считаете небезопасным для опубликования - удалите или замените.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "NAT на PIX(е)"
	Сообщение от lomo on 05-Апр-05, 16:09 (MSK)
	Вот конфиг. Немного повторюсь... Задача - сделать доступ до машины 192.168.100.2 из сети 192.168.10.0/24, "прикрыв" сеть 192.168.10.0/24 с помощью NAT(а) (один фейковый адрес - 172.16.12.2/32). Все работает отлично, кроме одной машины - 192.168.10.2/32. Она имеет static-запись (123.123.123.2/32). Соответственно с машины 192.168.10.2 до 192.168.100.2 связи нет.. Соответственно, сеть с реальными IP 123.123.123.0/24 - существуте только в памяти PIX(а).. pix-company# sh run : Saved : PIX Version 6.3(4) interface ethernet0 10baset interface ethernet1 10baset nameif ethernet0 outside security0 nameif ethernet1 inside security100 enable password XXXXXXXXXXXXXX encrypted passwd XXXXXXXXXXXXX encrypted hostname pix-company domain-name domain.company.com clock timezone MSK 3 clock summer-time msk recurring last Sun Mar 2:00 last Sun Oct 3:00 fixup protocol dns fixup protocol ftp 21 fixup protocol h323 h225 1720 fixup protocol h323 ras 1718-1719 fixup protocol http 80 fixup protocol ils 389 fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol sip 5060 fixup protocol sip udp 5060 fixup protocol skinny 2000 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol tftp 69 names name 111.222.222.1 pix-company name 12.12.12.12 ipsec-company1 access-list nonat permit ip 192.168.10.0 255.255.255.0 1.1.1.0 255.255.255.0 access-list nat-company-any permit ip 192.168.10.0 255.255.255.0 any access-list inbound deny ip 10.0.0.0 255.0.0.0 any access-list inbound deny ip 172.16.0.0 255.240.0.0 any access-list inbound deny ip 192.168.0.0 255.255.0.0 any access-list inbound deny ip 127.0.0.0 255.0.0.0 any access-list inbound deny ip 169.254.0.0 255.255.0.0 any access-list inbound deny ip 255.0.0.0 255.0.0.0 any access-list inbound deny ip 240.0.0.0 240.0.0.0 any access-list inbound deny ip 224.0.0.0 240.0.0.0 any access-list inbound deny ip host 255.255.255.255 any access-list inbound deny ip host 0.0.0.0 any access-list inbound deny icmp any any timestamp-request access-list inbound deny icmp any any mask-request access-list inbound permit tcp any host 123.123.123.2 eq ssh access-list inbound permit icmp any any access-list outbound permit ip any any access-list nat-company-company1 permit ip 192.168.10.0 255.255.255.0 host 192.168.100.2 access-list ipsec-company-company1 permit ip host 172.16.12.2 host 192.168.100.2 pager lines 24 logging on logging timestamp logging trap warnings logging history debugging logging facility 18 logging host inside 192.168.10.2 mtu outside 1500 mtu inside 1500 ip address outside pix-company 255.255.255.252 ip address inside 192.168.10.1 255.255.255.0 ip audit info action alarm ip audit attack action alarm pdm history enable arp timeout 14400 global (outside) 100 interface global (outside) 40 172.16.12.2 nat (inside) 0 access-list nonat nat (inside) 40 access-list nat-company-company1 0 0 nat (inside) 100 access-list nat-company-any 0 0 static (inside,outside) 123.123.123.2 192.168.10.2 netmask 255.255.255.255 0 0 access-group inbound in interface outside access-group outbound in interface inside route outside 0.0.0.0 0.0.0.0 111.222.222.2 1 timeout xlate 3:00:00 timeout conn 20:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute aaa-server radius-authport 1812 aaa-server TACACS+ protocol tacacs+ aaa-server TACACS+ max-failed-attempts 3 aaa-server TACACS+ deadtime 10 aaa-server RADIUS protocol radius aaa-server RADIUS max-failed-attempts 3 aaa-server RADIUS deadtime 10 aaa-server RADIUS (inside) host 192.168.10.2 XXXXXXXXX timeout 10 aaa-server LOCAL protocol local ntp server 131.188.3.220 source outside prefer http server enable http 192.168.10.2 255.255.255.0 inside snmp-server host inside 192.168.10.2 snmp-server location XXXXXXXXXXXXX snmp-server contact XXXXXXXXXXXXx snmp-server community XXXXXXXXXXXXXXXx no snmp-server enable traps floodguard enable sysopt connection permit-ipsec crypto ipsec transform-set des esp-des esp-sha-hmac crypto ipsec transform-set 3des esp-3des esp-sha-hmac crypto ipsec transform-set 3desmd5 esp-3des esp-md5-hmac crypto map company 40 ipsec-isakmp crypto map company 40 match address ipsec-company-company1 crypto map company 40 set peer ipsec-company1 crypto map company 40 set transform-set 3desmd5 crypto map company client authentication RADIUS crypto map company interface outside isakmp enable outside isakmp key ******** address ipsec-company1 netmask 255.255.255.255 isakmp identity address isakmp policy 5 authentication pre-share isakmp policy 5 encryption 3des isakmp policy 5 hash md5 isakmp policy 5 group 2 isakmp policy 5 lifetime 86400 isakmp policy 10 authentication pre-share isakmp policy 10 encryption 3des isakmp policy 10 hash sha isakmp policy 10 group 2 isakmp policy 10 lifetime 86400 isakmp policy 20 authentication pre-share isakmp policy 20 encryption des isakmp policy 20 hash sha isakmp policy 20 group 2 isakmp policy 20 lifetime 86400 isakmp policy 30 authentication pre-share isakmp policy 30 encryption 3des isakmp policy 30 hash md5 isakmp policy 30 group 1 isakmp policy 30 lifetime 86400 telnet 192.168.10.2 255.255.255.255 inside telnet timeout 30 ssh timeout 60 console timeout 0 terminal width 80
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "NAT на PIX(е)"
	Сообщение от Олег (??) on 05-Апр-05, 16:49 (MSK)
	Попробуйте сделать так: access-list ipsec-company-company2 permit ip host 123.123.123.2 host 192.168.100.2 crypto map company 50 ipsec-isakmp crypto map company 50 match address ipsec-company-company2 crypto map company 50 set peer ipsec-company1 crypto map company 50 set transform-set 3desmd5 Больше, к сожалению, предложить нечего. Если не поможет - есть смысл подумать, нужен ли этот статик. Т.к. он действительно, как вы правильно заметили, имеет более высокий приоритет чем нат.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "NAT на PIX(е)"
	Сообщение от lomo on 05-Апр-05, 17:00 (MSK)
	>Попробуйте сделать так: > >access-list ipsec-company-company2 permit ip host 123.123.123.2 host 192.168.100.2 >crypto map company 50 ipsec-isakmp >crypto map company 50 match address ipsec-company-company2 >crypto map company 50 set peer ipsec-company1 >crypto map company 50 set transform-set 3desmd5 > пробовал.. capture вообще странную картинку показывает.. Как будто часть пакетов идет до 192.168.100.2 от 192.168.10.2, а часть от 123.123.123.2. static сильно нужен.. без него никак. Спасибо!
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	9. "NAT на PIX(е)"
	Сообщение от Олег (??) on 05-Апр-05, 17:22 (MSK)
	Можно сделать ещё так, как крайний вариант: access-list ipsec-company-company1 permit ip host 172.16.12.2 host 192.168.100.2 access-list ipsec-company-company1 permit ip host 123.123.123.2 host 192.168.100.2 access-list ipsec-company-company1 permit ip host 192.168.10.2 host 192.168.100.2
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	10. "NAT на PIX(е)"
	Сообщение от lomo on 12-Апр-05, 01:11 (MSK)
	>Можно сделать ещё так, как крайний вариант: > >access-list ipsec-company-company1 permit ip host 172.16.12.2 host 192.168.100.2 >access-list ipsec-company-company1 permit ip host 123.123.123.2 host 192.168.100.2 >access-list ipsec-company-company1 permit ip host 192.168.10.2 host 192.168.100.2 Нет, это совсем неправильно.. Сам acl выглядит очень странно и на той стороне принимают траффик, только от 172.16.12.2...
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх