He configurado un túnel VPN de sitio a sitio que está funcionando como me gustaría. He configurado rutas persistentes en las PC de cada extremo que necesitan comunicarse entre sí. Las subredes son las siguientes:
Sitio 1: 10.0.0.0/11 Sitio 2: 192.168.200.0/24
Tengo problemas cuando intento acceder al sitio 2 desde el sitio 1 en una PC con una IP que comienza con cualquier otra cosa que no sea 10.0.xx. Por ejemplo, si mi PC está configurada con la IP 10.0.0.77/11, puedo acceder al sitio 2. Si esta configurado con 10.1.100.1/11, no puedo. Me parece que la imagen obliga a que la máscara de subred del sitio 1 sea 255.255.0.0 en lugar de 255.224.0.0.
¿Alguien sabe que este es el caso y cómo solucionarlo?
Mis configuraciones en ejecución son:
Ejecutando el sitio de configuración 1:
PIX versión 6.3(4)
interfaz ethernet0 interfaz automática
ethernet1 100
nombre completo si ethernet0 fuera de seguridad0
nombre si ethernet1 dentro de seguridad100
habilitar contraseña sdf4536gdsfgsd
contraseña cifrada 3425sdfsdfg2345
nombre de host cifrado nombre de dominio de nuestro lado
domain.com
protocolo de reparación dns longitud máxima 512
protocolo de reparación ftp 21
protocolo de reparación h323 h225 1720
protocolo de reparación h323 ras 1718-1719
protocolo de reparación http 80
protocolo de reparación rsh 514
protocolo de reparación rtsp 554
protocolo de reparación sip 5060
protocolo de reparación sip udp 5060
protocolo de reparación skinny 2000
protocolo de reparación smtp 25
protocolo de reparación sqlnet 1521
protocolo de reparación tftp 69
nombres
192.168 .200.0 su_red
nombre 10.0.0.8 svr1
nombre 10.0.0.245 svr2
nombre 10.0.0.248 svr3
nombre 10.0.0.235 lista de acceso a la impresora
inside_outbound_nat0_acl permiso ip 10.0.0.0 255.224.0.0 su_red 255.255 .255.0 lista de acceso outside_cryptomap_20 permiso ip 10.0.0.0 255.224. 0.0 su_red 255.255.255.0
lista de acceso acceso_exterior permiso tcp su_red 255.255.255.0 cualquier eq www
lista de acceso acceso_exterior permiso tcp su_red 255.255.255.0 cualquier eq https
lista de acceso acceso_exterior permiso tcp su_red 255.255.255.0 host s vr2 eq
lista de acceso al dominio permiso outside_access_in udp su_red 255.255.255.0 host svr2 eq
lista de acceso de dominio acceso_exterior permiso udp su_red 255.255.255.0 cualquier eq ntp
lista de acceso acceso_exterior permiso tcp su_red 255.255.255.0 host svr3 eq ssh
lista de acceso acceso_externo permiso icmp 255.255.255.0 cualquier
lista de acceso inside_access_in permiso tcp cualquiera su_red 255.255.255.0 eq ftp
lista de acceso inside_access_in permiso icmp cualquiera su_red 255.255.255.0
lista de acceso inside_access_in permiso tcp host svr2 su_red 255.255.255.0 eq dominio
acceso-lista inside_access_in permiso udp host svr2 trabajo 255.255.255.0 eq
acceso al dominio -list inside_access_in permiso tcp host svr1 su_red 255.255.255.0 eq ssh
lista de acceso inside_access_in permiso udp cualquier eq ntp su_red 255.255.255.0
lista de acceso inside_access_in observación solicitada para administración remota
lista de acceso inside_access_in permiso tcp cualquiera su_red 255.255.255.0 3389
acceso- list inside_access_in comentario rsync svr1 para crear
la lista de acceso al servidor inside_access_in permiso tcp host svr1 su_red 255.255.255.0 eq 873
líneas de buscapersonas 24
icmp permite cualquier exterior
icmp permite cualquier interior
mtu externo fuera de 1500
mtu dentro de 1500
dirección IP fuera de 219.148.111.77 255.255.255.192
dirección IP dentro de 10.0.0.4 255.224.0.0
alarma de acción de información de auditoría de
IP alarma de acción de ataque de auditoría de
IP ubicación de pdm 10.0.0.0 255.224.0.0
ubicación de pdm dentro de su_red 255.255. 255.0 fuera de
la ubicación de pdm svr2 255.255.255.255
ubicación interna de pdm svr1 255.255.255.255
ubicación interna de pdm svr3 255.255.255.255
ubicación interna de pdm awe_printer 255.255.255.255
historial interno de pdm habilitar
tiempo de espera de arp 14400
global (exterior) 1 interfaz
nat (dentro) ) 0 lista de acceso inside_outbound_nat0_acl
nat (dentro) 1 0.0.0.0 0.0.0.0 0 0
grupo de acceso outside_access_in en interfaz exterior
grupo de acceso inside_access_in en interfaz interior
ruta exterior 0.0.0.0 0.0.0.0 219.148.111.77 255
timeout xlate 3:00:00
timeout conn 1:00:00 half -cerrado 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
tiempo de espera h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
tiempo de espera uauth 0:05:00 absoluto
servidor aaa TACACS+ protocolo tacacs+
servidor aaa TACACS+ máximo-intentos-fallidos 3
servidor-aaa TACACS+ tiempo muerto 10 servidor
-aaa RADIUS protocolo radio
aa-servidor RADIUS máximo-intentos-fallidos 3
servidor-aaa RADIUS tiempo muerto 10
servidor aaa protocolo LOCAL servidor
http local habilitar
http 10.0.0.0 255.224.0.0 dentro
sin ubicación del servidor snmp
sin contacto del servidor
snmp comunidad del servidor snmp público
sin servidor snmp habilitar trampas
Floodguard habilitar
cripto ipsec transform-set ESP-3DES -MD5 esp-3des esp-md5-hmac
mapa criptográfico outside_map 20 ipsec-isakmp
mapa criptográfico outside_map 20 dirección de coincidencia outside_cryptomap_20
mapa criptográfico outside_map 20 set peer 219.148.111.76
mapa criptográfico outside_map 20 set transform-set ESP-3DES-MD5
mapa criptográfico outside_map interfaz isakmp externo
habilitar
clave isakmp externa ******** dirección 219.148.111.76 máscara de red 255.255.255.255 no-xauth no-config-mode
política isakmp 20 autenticación pre-compartir
política isakmp 20 cifrado 3des
política isakmp 20 hash md5
política isakmp 20 grupo 2
política isakmp 20 duración 86400
tiempo de espera de telnet 5
tiempo de espera de ssh 5
tiempo de espera de la consola 0
nombre de usuario usuario1 contraseña asdfafddafaf privilegio cifrado 15
ancho del terminal 80
Cryptochecksum:43dfhsd34fghh
: fin
[OK]
Ejecutando el sitio de configuración 2:
PIX versión 6.3(4)
interfaz ethernet0 100
interfaz completa ethernet1 100
nombre completo si ethernet0 seguridad exterior0
nombre si ethernet1 seguridad interior100
habilitar contraseña iCEghfhgeC10Q80xp
contraseña cifrada iCEghgfhC10Q80xp
nombre de host cifrado vietnam-su-lado
nombre de dominio dominio1.com
protocolo de reparación dns longitud máxima 512
protocolo de reparación ftp 21
protocolo de reparación h323 h225 1720
protocolo de reparación h323 ras 1718-1719
protocolo de reparación http 80
protocolo de reparación rsh 514
protocolo de reparación rtsp 554
protocolo de reparación sip 5060
protocolo de reparación sip udp 5060
protocolo de reparación skinny 2000
protocolo de reparación smtp 25
protocolo de reparación sqlnet 1521
protocolo de reparación tftp 6 9
nombres
nombre 10.0.0.0 nuestra_red
lista de acceso acl_inside permiso tcp 192.168.200.0 255.255.255.0 host 219.148.111.76 eq www
lista de acceso inside_outbound_nat0_acl permiso ip 192.168.200.0 255.255.255.0 nuestra_red 255.224.0.0
lista de acceso outside_cryptomap_20 permiso ip 192.168.200.0 255.255. 255.0 nuestra_red 255.224.0.0
lista de acceso acceso_externo permiso icmp nuestra_red 255.224.0.0 cualquier
línea de buscapersonas 24
permiso icmp cualquier
permiso icmp externo cualquier
mtu interno externo 1500
mtu interno 1500
dirección IP externa 219.148.111.76 255.255.255.192
dirección IP dentro 192.168.200.1 255.255. 0
interior) 1 0.0.0.0 0.0.0.0 0 0
grupo de acceso outside_access_in en interfaz exterior
ruta exterior 0.0.0.0 0.0.0.0 219.148.111.76 1
tiempo de espera xlate 3:00:00
tiempo de espera conn 1:00:00 medio cerrado 0:10 :00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
tiempo de espera h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
tiempo de espera uauth 0:05 :00 absoluto
servidor aaa TACACS+ protocolo tacacs+
servidor aaa TACACS+ máx. intentos fallidos 3
servidor aaa TACACS+ tiempo muerto 10
servidor aaa protocolo RADIUS radio
servidor aaa RADIUS intentos máximos fallidos 3
servidor aaa tiempo muerto RADIUS 10
servidor aaa Protocolo LOCAL
autenticación aaa local consola ssh
servidor http LOCAL habilitar
http nuestra_red 255.224.0.0 fuera
http 192.168.200.0 255.255.255.0 dentro sin contacto con el servidor snmp
sin ubicación del servidor snmp
comunidad de servidor snmp público
sin servidor snmp habilitar trampas
Floodguard habilitar
conexión sysopt permiso-ipsec
criptografía ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hma
mapa criptográfico outside_map 20 ipsec-isakmp
mapa criptográfico outside_map 20 dirección de coincidencia outside_cryptomap_20
mapa criptográfico outside_map 20 set peer 219.148.111.77
mapa criptográfico outside_map 20 set transform-set ESP-3DES-MD5
mapa criptográfico outside_map interfaz exterior
isakmp habilitar
clave isakmp exterior ******** dirección 219.148.111.77 máscara de red 255.255.255.255 no- xauth no-c modo onfig
política isakmp 20 autenticación pre-compartir
política isakmp 20 cifrado 3des
política isakmp 20 hash md5
política isakmp 20 grupo 2
política isakmp 20 vida útil 86400
tiempo de espera de telnet 5
ssh 192.168.200.0 255.255.255.0 dentro
del tiempo de espera de ssh 60
tiempo de espera de la consola 0
nombre de usuario usuario1 contraseña tjqqn/L/teN49dfsgsdfgZbw privilegio cifrado 15
ancho del terminal 80
Cryptochecksum:bf200a9175be27sdfgsfdgdb91320d6df7ce5b21
: fin
No veo ninguna máscara incorrecta, pero es posible que no lo perciba.
Gracias
cammy
Respuesta1
No he investigado mucho con PIX, pero me pregunto si se necesita una "ip sin clases" en ambos lados. He tenido problemas curiosos con los dispositivos IOS al decidir sobre máscaras de red extrañas de clase completa (o al menos de límite de octeto) en el pasado debido a esa falta.
Respuesta2
A simple vista parece correcto. Lo comparé con mi configuración Pic (515E) y los dos se ven muy similares. Observo que ha utilizado permiso de conexión sysopt-ipsec en su_red pero no en nuestra_red. Es de suponer que desea restringir el acceso a su LAN central desde el extremo remoto. Podría valer la pena agregar el permiso de conexión sysopt-ipsec solo como prueba.
La forma habitual de diagnosticar este problema es observar el resultado del registro. ¿El Pix informa algo útil cuando hace ping desde una dirección 10.1.100.* o desde un sitio remoto a una dirección 10.1.100.*? Sería interesante desactivar la VPN antes de hacer ping para poder ver los registros de configuración de la VPN.
J.R.