pix 501 - サイト間 VPN サブネットの問題

サイト間 VPN トンネルを構成しましたが、これは期待どおりに動作しています。各エンドの PC に、相互に通信する必要がある永続的なルートを構成しました。サブネットは次のとおりです。

サイト 1: 10.0.0.0/11 サイト 2: 192.168.200.0/24

10.0.xx 以外で始まる IP を持つ PC でサイト 1 からサイト 2 にアクセスしようとすると、問題が発生します。たとえば、PC が IP 10.0.0.77/11 で構成されている場合は、サイト 2 にアクセスできます。10.1.100.1/11 で構成されている場合はアクセスできません。pix がサイト 1 のサブネット マスクを 255.224.0.0 ではなく 255.255.0.0 に強制しているように思われます。

これが事実であること、またそれを回避する方法を知っている人はいますか?

私の実行中の構成は次のとおりです。

実行構成サイト 1:

PIX バージョン 6.3(4)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password sdf4536gdsfgsd encrypted
passwd 3425sdfsdfg2345 encrypted
hostname our-side
domain-name domain.com
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
name 192.168.200.0 their_network
name 10.0.0.8 svr1
name 10.0.0.245 svr2
name 10.0.0.248 svr3
name 10.0.0.235 プリンタ
access-list inside_outbound_nat0_acl permit ip 10.0.0.0 255.224.0.0 their_network 255.255.255.0 access-list outside_cryptomap_20 permit ip 10.0.0.0 255.224.0.0 their_network 255.255.255.0 access
-list outside_access_in permit tcp their_network 255.255.255.0 any eq www
access-list outside_access_in permit tcp their_network 255.255.255.0 any eq https
access-list outside_access_in permit tcp their_network 255.255.255.0 host svr2 eq domain
access-list outside_access_in permit udp their_network 255.255.255.0 host svr2 eq domain access-list outside_access_in permit udp their_network 255.255.255.0
any eq ntp
access-list outside_access_in permit tcp their_network 255.255.255.0 host svr3 eq ssh
access-list outside_access_in permit icmp their_network 255.255.255.0 any
access-list inside_access_in permit tcp any their_network 255.255.255.0 eq ftp
access-list inside_access_in permit icmp any their_network 255.255.255.0
access-list inside_access_in permit tcp host svr2 their_network 255.255.255.0 eq domain
access-list inside_access_in permit udp host svr2 their_network 255.255.255.0 eq domain
access-list inside_access_in permit tcp host svr1 their_network 255.255.255.0 eq ssh
access-list inside_access_in permit udp any eq ntp their_network 255.255.255.0
access-list inside_access_in remark リモート管理を要求
access-list inside_access_in permit tcp any their_network 255.255.255.0 eq 3389
access-list inside_access_in remark rsync svr1 を実行してサーバーを構築
access-list inside_access_in permit tcp host svr1 their_network 255.255.255.0 eq 873
pagerlines 24
icmp permit any outside
icmp permit any inside
MTU 外部 1500
MTU 内部 1500
IP アドレス 外部 219.148.111.77 255.255.255.192
IP アドレス 内部 10.0.0.4 255.224.0.0
IP 監査情報 アクション アラーム
IP 監査攻撃 アクション アラーム
PDM 場所 10.0.0.0 255.224.0.0 内部
PDM 場所 their_network 255.255.255.0 外部
PDM 場所 svr2 255.255.255.255 内部 PDM 場所
svr1 255.255.255.255 内部 PDM
場所 svr3 255.255.255.255 内部
PDM 場所 awe_printer 255.255.255.255 内部PDM 履歴 arp
を有効にする
タイムアウト 14400
グローバル (外部) 1 インターフェース
nat (内部) 0 access-list inside_outbound_nat0_acl
nat (内部) 1 0.0.0.0 0.0.0.0 0 0
access-group outside_access_in in インターフェース outside
access-group inside_access_in in インターフェース inside
ルート outside 0.0.0.0 0.0.0.0 219.148.111.77 255
タイムアウト xlate 3:00:00
タイムアウト conn 1:00:00 ハーフクローズ 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
タイムアウト h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
タイムアウト uauth 0:05:00 absolute
aaa-server TACACS+ プロトコル tacacs+
aaa-server TACACS+ 最大失敗試行回数 3
aaa-server TACACS+ デッドタイム 10
aaa-server RADIUS プロトコル radius
aaa-server RADIUS 最大失敗試行回数 3
aaa-server RADIUS デッドタイム 10
aaa-server LOCAL プロトコル ローカル
http サーバの有効化
http 10.0.0.0 255.224.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
fluxguard enable
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto map outside_map 20 ipsec-isakmp
crypto map outside_map 20 match address outside_cryptomap_20
crypto map outside_map 20 set peer 219.148.111.76
crypto map outside_map 20 トランスフォーム セット ESP-3DES-MD5
暗号マップ outside_map インターフェース outside
isakmp を有効にし、outside
isakmp キー ******** アドレス 219.148.111.76 ネットマスク 255.255.255.255 no-xauth no-config-mode
isakmp ポリシー 20 認証 pre-share
isakmp ポリシー 20 暗号化 3des
isakmp ポリシー 20 ハッシュ md5 isakmp
ポリシー 20 グループ 2
isakmp ポリシー 20 有効期間 86400
telnet タイムアウト 5
ssh タイムアウト 5
コンソール タイムアウト 0
ユーザー名 user1 パスワード asdfafddafaf 暗号化特権 15
端末幅 80
暗号チェックサム:43dfhsd34fghh
: 終了
[OK]

実行構成サイト 2:

PIX バージョン 6.3(4)
インターフェイス ethernet0 100full
インターフェイス ethernet1 100full
nameif ethernet0 外部セキュリティ
0 nameif ethernet1 内部セキュリティ 100 イネーブル
パスワード iCEghfhgeC10Q80xp 暗号化された
パスワード iCEghgfhC10Q80xp 暗号化された
ホスト名 vietnam-their-side
ドメイン名 domain1.com
フィックスアップ プロトコル dns 最大長 512
フィックスアップ プロトコル ftp 21
フィックスアップ プロトコル h323 h225 1720
フィックスアップ プロトコル h323 ras 1718-1719
フィックスアップ プロトコル http 80
フィックスアップ プロトコル rsh 514
フィックスアップ プロトコル rtsp 554
フィックスアップ プロトコル sip 5060
フィックスアップ プロトコル sip udp 5060
フィックスアップ プロトコル skinny 2000
フィックスアップ プロトコル smtp 25
フィックスアップ プロトコル sqlnet 1521
修正プロトコル tftp 69
名前
name 10.0.0.0 our_network
access-list acl_inside permit tcp 192.168.200.0 255.255.255.0 host 219.148.111.76 eq www
access-list inside_outbound_nat0_acl permit ip 192.168.200.0 255.255.255.0 our_network 255.224.0.0
access-list outside_cryptomap_20 permit ip 192.168.200.0 255.255.255.0 our_network 255.224.0.0
access-list outside_access_in permit icmp our_network 255.224.0.0 any
pager 回線 24
icmp permit any outside
icmp permit any inside
mtu 外部 1500
mtu 内部 1500
ip アドレス 外部 219.148.111.76 255.255.255.192
ip アドレス 内部 192.168.200.1 255.255.255.0
ip 監査情報 アクション アラーム
ip 監査攻撃 アクション アラーム
pdm 場所 192.160.0.0 255.224.0.0 内部
pdm 場所 our_network 255.224.0.0 外部
pdm 履歴 有効化
arp タイムアウト 14400
グローバル (外部) 1 インターフェース
nat (内部) 0 access-list inside_outbound_nat0_acl
nat (内部) 1 0.0.0.0 0.0.0.0 0 0
access-group 外部アクセス_in インターフェース 外部
ルート 外部 0.0.0.0 0.0.0.0 219.148.111.76 1
タイムアウト xlate 3:00:00
タイムアウト conn 1:00:00 ハーフクローズ 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
タイムアウト h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
タイムアウト uauth 0:05:00 絶対
aaa-server TACACS+ プロトコル tacacs+
aaa-server TACACS+ 最大失敗試行回数 3
aaa-server TACACS+ デッドタイム 10
aaa-server RADIUS プロトコル radius
aaa-server RADIUS 最大失敗試行回数 3
aaa-server RADIUS デッドタイム 10
aaa-server ローカル プロトコル ローカル
aaa 認証 ssh コンソールローカル
http サーバ 有効
http our_network 255.224.0.0 外部
http 192.168.200.0 255.255.255.0 内部
snmp-server 場所なし
snmp-server コンタクトなし
snmp-server コミュニティ パブリック
なし snmp-server トラップの有効化
フラッドガードの有効化
sysopt 接続の許可 ipsec
暗号 ipsec トランスフォーム セット ESP-3DES-MD5 esp-3des esp-md5-hma
暗号マップ outside_map 20 ipsec-isakmp
暗号マップ outside_map 20 一致アドレス outside_cryptomap_20
暗号マップ outside_map 20 ピア 219.148.111.77
暗号マップ outside_map 20 トランスフォーム セット ESP-3DES-MD5
暗号マップ outside_map インターフェース outside
isakmp の有効化 outside
isakmp キー ******** アドレス 219.148.111.77 ネットマスク 255.255.255.255 no-xauth no-c onfig-mode
isakmp ポリシー 20 認証 pre-share
isakmp ポリシー 20 暗号化 3des
isakmp ポリシー 20 ハッシュ md5
isakmp ポリシー20 グループ 2
isakmp ポリシー 20 ライフタイム 86400
telnet タイムアウト 5
ssh 192.168.200.0 255.255.255.0 内部
ssh タイムアウト 60
コンソール タイムアウト 0
ユーザー名 user1 パスワード tjqqn/L/teN49dfsgsdfgZbw 暗号化特権 15
端末幅 80
暗号チェックサム:bf200a9175be27sdfgsfdgdb91320d6df7ce5b21
: 終了

間違ったマスクは見当たりませんが、気づかない可能性があります。

ありがとう

キャミィ