Ich habe einen Site-to-Site-VPN-Tunnel konfiguriert, der aktiv ist und wie gewünscht funktioniert. Ich habe persistente Routen auf den PCs an jedem Ende konfiguriert, die miteinander kommunizieren müssen. Die Subnetze sind wie folgt:
Standort 1: 10.0.0.0/11 Standort 2: 192.168.200.0/24
Ich habe Probleme, wenn ich versuche, von Site 1 aus auf Site 2 zuzugreifen, und zwar auf einem PC mit einer IP, die nicht mit 10.0.xx beginnt. Wenn mein PC beispielsweise mit der IP 10.0.0.77/11 konfiguriert ist, kann ich auf Site 2 zugreifen. Wenn er mit 10.1.100.1/11 konfiguriert ist, geht das nicht. Mir scheint, dass Pix die Subnetzmaske für Site 1 auf 255.255.0.0 statt 255.224.0.0 erzwingt.
Ist irgendjemandem bewusst, dass dies der Fall ist und wie man es umgehen kann?
Meine laufenden Konfigurationen sind:
Ausführen der Konfigurationssite 1:
PIX Version 6.3(4)
Schnittstelle Ethernet0 Auto
Schnittstelle Ethernet1 100vollständiger
Namewenn Ethernet0 außerhalb Security0
Namewenn Ethernet1 innerhalb Security100
Passwort aktivieren sdf4536gdsfgsd verschlüsseltes
Passwort 3425sdfsdfg2345 verschlüsselter
Hostname unser Domänenname
domain.com
Fixup-Protokoll DNS maximale Länge 512
Fixup-Protokoll FTP 21
Fixup-Protokoll H323 H225 1720
Fixup-Protokoll H323 RAS 1718-1719
Fixup-Protokoll HTTP 80
Fixup-Protokoll RSH 514
Fixup-Protokoll RTSP 554
Fixup-Protokoll SIP 5060
Fixup-Protokoll SIP UDP 5060
Fixup-Protokoll Skinny 2000
Fixup-Protokoll SMTP 25
Fixup-Protokoll SQLnet 1521
Fixup-Protokoll TFTP 69
Namen
Name 192.168.200.0 ihr_Netzwerk
Name 10.0.0.8 svr1
Name 10.0.0.245 svr2
Name 10.0.0.248 svr3
Name 10.0.0.235 Drucker
Zugriffsliste inside_outbound_nat0_acl erlauben IP 10.0.0.0 255.224.0.0 ihr_Netzwerk 255.255.255.0 Zugriffsliste outside_cryptomap_20 erlauben IP 10.0.0.0 255.224.0.0 ihr_Netzwerk 255.255.255.0
Zugriffsliste outside_access_in erlauben TCP ihr_Netzwerk 255.255.255.0 jede Gleichung www
Zugriffsliste outside_access_in erlauben TCP ihr_Netzwerk 255.255.255.0 beliebig gleich https
Zugriffsliste außerhalb des Zugriffs innerhalb erlauben TCP ihr_Netzwerk 255.255.255.0 Host SVR2 gleich Domäne
Zugriffsliste außerhalb des Zugriffs innerhalb erlauben UDP ihr_Netzwerk 255.255.255.0 Host SVR2 gleich Domäne
Zugriffsliste außerhalb des Zugriffs innerhalb erlauben UDP ihr_Netzwerk 255.255.255.0 beliebig gleich NTP
Zugriffsliste außerhalb des Zugriffs innerhalb erlauben TCP ihr_Netzwerk 255.255.255.0 Host SVR3 gleich ssh
Zugriffsliste außerhalb des Zugriffs innerhalb erlauben ICMP ihr_Netzwerk 255.255.255.0 beliebig
Zugriffsliste innerhalb des Zugriffs innerhalb erlauben TCP jedes ihr_Netzwerk 255.255.255.0 gleich ftp
Zugriffsliste inside_access_in erlauben ICMP jedes ihr_Netzwerk 255.255.255.0
Zugriffsliste inside_access_in erlauben TCP Host SVR2 ihr_Netzwerk 255.255.255.0 gleich Domäne
Zugriffsliste inside_access_in erlauben UDP Host SVR2 ihr_Netzwerk 255.255.255.0 gleich Domäne Zugriffsliste inside_access_in
erlauben TCP Host SVR1 ihr_Netzwerk 255.255.255.0 gleich SSH Zugriffsliste inside_access_in erlauben
UDP jedes gleich NTP ihr_Netzwerk 255.255.255.0 Zugriffsliste inside_access_in
Bemerkung für Remote-Verwaltung angefordert
Zugriffsliste inside_access_in erlauben TCP jedes ihr_Netzwerk 255.255.255.0 gleich 3389
Zugriffsliste inside_access_in Bemerkung rsync svr1 zum Erstellen der Server
-Zugriffsliste inside_access_in erlauben TCP-Host svr1 ihr_Netzwerk 255.255.255.0 gleich 873
Pager-Zeilen 24
ICMP erlauben alle außerhalb
ICMP erlauben alle innerhalb
MTU außerhalb 1500
MTU innerhalb 1500
IP-Adresse außerhalb 219.148.111.77 255.255.255.192
IP-Adresse innerhalb 10.0.0.4 255.224.0.0
IP-Audit-Info-Aktionsalarm
IP-Audit-Angriffs-Aktionsalarm
PDM-Standort 10.0.0.0 255.224.0.0 innerhalb
PDM-Standort their_network 255.255.255.0 außerhalb
PDM-Standort svr2 255.255.255.255 innerhalb
PDM-Standort svr1 255.255.255.255 innerhalb
PDM-Standort svr3 255.255.255.255 innerhalb
PDM-Standort awe_printer 255.255.255.255 innerhalb
PDM-Verlauf aktivieren
ARP-Timeout 14400
global (außen) 1 Schnittstelle
nat (innen) 0 Zugriffsliste inside_outbound_nat0_acl
nat (innen) 1 0.0.0.0 0.0.0.0 0 0
Zugriffsgruppe outside_access_in in Schnittstelle außen
Zugriffsgruppe inside_access_in in Schnittstelle innen
Route außen 0.0.0.0 0.0.0.0 219.148.111.77 255
Timeout xlate 3:00:00
Timeout conn 1:00:00 halb geschlossen 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
Timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
Timeout uauth 0:05:00 absoluter
AAA-Server TACACS+ Protokoll tacacs+
AAA-Server TACACS+ max. Fehlversuche 3
AAA-Server TACACS+ Totzeit 10
AAA-Server RADIUS Protokoll Radius
AAA-Server RADIUS max. Fehlversuche 3
AAA-Server RADIUS Totzeit 10
AAA-Server LOKALES Protokoll lokaler
HTTP-Server aktivieren
HTTP 10.0.0.0 255.224.0.0 intern
kein SNMP-Server Standort
kein SNMP-Server Kontakt
SNMP-Server Community öffentlich
kein SNMP-Server aktivieren Traps
Floodguard aktivieren
Krypto IPSec Transform-Set ESP-3DES-MD5 ESP-3DES ESP-MD5-Hmac
Krypto-Map Outside_Map 20 IPSec-Isakmp
Krypto-Map Outside_Map 20 Adresse abgleichen Outside_Cryptomap_20
Krypto-Map Outside_Map 20 Peer festlegen 219.148.111.76
Crypto Map Outside_Map 20 Set Transform-Set ESP-3DES-MD5
Crypto Map Outside_Map Schnittstelle außerhalb von
Isakmp Aktivieren außerhalb
von Isakmp Schlüssel ******** Adresse 219.148.111.76 Netzmaske 255.255.255.255 kein Xauth kein Konfigurationsmodus
Isakmp-Richtlinie 20 Authentifizierung Pre-Share
Isakmp-Richtlinie 20 Verschlüsselung 3des
Isakmp-Richtlinie 20 Hash MD5
Isakmp-Richtlinie 20 Gruppe 2
Isakmp-Richtlinie 20 Lebensdauer 86400
Telnet-Timeout 5
SSH-Timeout 5
Konsolen-Timeout 0
Benutzername Benutzer1 Passwort asdfafddafaf verschlüsseltes Privileg 15
Terminalbreite 80
Cryptochecksum:43dfhsd34fghh
: Ende
[OK]
Ausführen der Konfigurationssite 2:
PIX Version 6.3(4)
Schnittstelle Ethernet0 100vollständig
Schnittstelle Ethernet1 100vollständig
Name, wenn Ethernet0 außerhalb Security0
Name, wenn Ethernet1 innerhalb Security100
Passwort aktivieren iCEghfhgeC10Q80xp verschlüsseltes
Passwort iCEghgfhC10Q80xp verschlüsselter
Hostname vietnam-their-side
Domänenname domain1.com
Fixup-Protokoll DNS maximale Länge 512
Fixup-Protokoll FTP 21
Fixup-Protokoll H323 H225 1720
Fixup-Protokoll H323 RAS 1718-1719
Fixup-Protokoll HTTP 80 Fixup-Protokoll
RSH 514 Fixup-Protokoll RTSP
554
Fixup-Protokoll SIP 5060
Fixup-Protokoll SIP UDP 5060
Fixup-Protokoll Skinny 2000
Fixup-Protokoll SMTP 25
Fixup-Protokoll SQLnet 1521
Fixup-Protokoll tftp 69
Namen
Name 10.0.0.0 unser_Netzwerk
Zugriffsliste acl_inside erlauben TCP 192.168.200.0 255.255.255.0 Host 219.148.111.76 eq www
Zugriffsliste inside_outbound_nat0_acl erlauben IP 192.168.200.0 255.255.255.0 unser_Netzwerk 255.224.0.0
Zugriffsliste outside_cryptomap_20 erlauben IP 192.168.200.0 255.255.255.0 unser_Netzwerk 255.224.0.0 Zugriffsliste
outside_access_in erlauben ICMP unser_Netzwerk 255.224.0.0 alle
Pager-Zeilen 24
ICMP erlauben alle außerhalb
ICMP erlauben alle innerhalb
MTU außerhalb 1500
MTU innen 1500
IP-Adresse außen 219.148.111.76 255.255.255.192
IP-Adresse innen 192.168.200.1 255.255.255.0
IP-Audit-Info-Aktionsalarm
IP-Audit-Angriffs-Aktionsalarm
PDM-Standort 192.160.0.0 255.224.0.0 innen
PDM-Standort unser_Netzwerk 255.224.0.0 außen
PDM-Verlauf aktivieren
ARP-Timeout 14400
global (außen) 1 Schnittstelle
NAT (innen) 0 Zugriffsliste inside_outbound_nat0_acl
NAT (innen) 1 0.0.0.0 0.0.0.0 0 0
Zugriffsgruppe outside_access_in in Schnittstelle außen
Route außen 0.0.0.0 0.0.0.0 219.148.111.76 1
Timeout xlate 3:00:00
Timeout conn 1:00:00 halb geschlossen 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
Timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
Timeout uauth 0:05:00 absolut
aaa-Server TACACS+ Protokoll tacacs+
aaa-Server TACACS+ max. Fehlversuche 3
aaa-Server TACACS+ Totzeit 10
aaa-Server RADIUS Protokoll Radius
aaa-Server RADIUS max. Fehlversuche 3
aaa-Server RADIUS Totzeit 10
aaa-Server LOKALES Protokoll lokale
aaa-Authentifizierung SSH-Konsole LOKALER HTTP
-Server aktivieren
http unser_Netzwerk 255.224.0.0 außerhalb
http 192.168.200.0 255.255.255.0 innerhalb
kein SNMP-Server-Standort
kein SNMP-Server Kontakt
SNMP-Server Community öffentlich
kein SNMP-Server Traps aktivieren
Floodguard
Sysopt-Verbindung aktivieren Permit-IPSec
Crypto IPSec Transform-Set ESP-3DES-MD5 ESP-3DES ESP-MD5-HMA
Crypto Map Outside_Map 20 IPSec-ISAKMP
Crypto Map Outside_Map 20 Adresse abgleichen outside_cryptomap_20
Crypto Map Outside_Map 20 Peer 219.148.111.77 festlegen
Crypto Map Outside_Map 20 Transform-Set ESP-3DES-MD5
Crypto Map Outside_Map Schnittstelle außerhalb von
ISAKMP außerhalb von ISAKMP aktivieren
Schlüssel ******** Adresse 219.148.111.77 Netzmaske 255.255.255.255 kein Xauth kein C Onfig-Modus
ISAKMP-Richtlinie 20 Authentifizierung Pre-Share
ISAKMP-Richtlinie 20 Verschlüsselung 3DES
ISAKMP-Richtlinie 20 Hash MD5
ISAKMP-Richtlinie 20 Gruppe 2
isakmp-Richtlinie 20 Lebensdauer 86400
Telnet-Timeout 5
ssh 192.168.200.0 255.255.255.0 innerhalb
von SSH-Timeout 60
Konsolen-Timeout 0
Benutzername Benutzer1 Passwort tjqqn/L/teN49dfsgsdfgZbw verschlüsseltes Privileg 15
Terminalbreite 80
Cryptochecksum:bf200a9175be27sdfgsfdgdb91320d6df7ce5b21
: Ende
Ich kann keine falschen Masken erkennen, bin möglicherweise aber auch blind dafür.
Danke
Cammy
Antwort1
Ich habe mich noch nicht viel mit PIXes beschäftigt, frage mich aber, ob auf beiden Seiten ein „IP Classless“ erforderlich ist. Ich hatte in der Vergangenheit merkwürdige Probleme mit iOS-Geräten, die sich für ungerade klassenvolle (oder zumindest Oktettgrenzen-)Netzmasken entschieden, weil dies fehlte.
Antwort2
Auf den ersten Blick sieht es in Ordnung aus. Ich habe es mit meiner Pic-Konfiguration (515E) verglichen und die beiden sehen sehr ähnlich aus. Mir ist aufgefallen, dass Sie sysopt connection permit-ipsec bei their_network verwendet haben, aber nicht bei our_network. Vermutlich möchten Sie den Zugriff auf Ihr zentrales LAN vom Remote-Ende aus einschränken. Es könnte sich lohnen, sysopt connection permit-ipsec nur testweise hinzuzufügen.
Die übliche Methode zur Diagnose dieser Dinge besteht darin, sich die Protokollausgabe anzusehen. Meldet der Pix etwas Nützliches, wenn Sie von einer 10.1.100.*-Adresse oder von einer Remote-Site an eine 10.1.100.*-Adresse pingen? Es wäre interessant, das VPN vor dem Pingen abzubauen, damit Sie alle VPN-Setup-Protokolle sehen können.
JR