PIX 515e anterior con versión 8.0(4)28: no se puede obtener acceso a Internet para funcionar con DHCP en la interfaz externa

tag-icon tag-icon cisco-pix
PIX 515e anterior con versión 8.0(4)28: no se puede obtener acceso a Internet para funcionar con DHCP en la interfaz externa

Vale... lo admito. Probablemente me estoy perdiendo algo simple. ¿Un poco de ayuda?

Tengo un PIX 515e antiguo que estoy intentando poner en funcionamiento. La interfaz exterior está conectada a un módem por cable y configurada para DHCP. A esta interfaz se le asigna una IP del ISP, por lo que esta parte parece estar funcionando. Tengo entendido que el uso del comando debería configurar automáticamente la ruta estática para la puerta de enlace del ISP. Si yo este parece ser el caso. Desde la consola, también puedo hacer ping a la puerta de enlace del ISP y a cualquier otro sitio (yahoo.com) que pruebe.

La interfaz interna está configurada con una dirección estática de 10.0.1.10 y esto devuelve un ping desde los clientes internos. DHCP en la red interna es manejado por una máquina 2012R2 y este servicio, así como el DNS, también funcionan (excepto el reenvío de DNS mientras se prueba el PIX).

Sin embargo, los clientes no pueden acceder a Internet. No hay respuestas de ping, etc. Creo que esto es un problema de enrutamiento o un problema de NAT/PAT. Estoy detrás de la bola 8 en esta área de la configuración de Cisco y me vendría bien un poco de ayuda. A continuación se publica mi configuración en ejecución actual. Probé algunas de las guías de configuración que se encuentran en la red, pero nada parece funcionar. ¿Alguien puede echarme una mano con esto?

¡Gracias! Miguel

: Saved
:

PIX Version 8.0(4)28 
!
hostname GripPix

domain-name Grip.com

enable password ... encrypted

passwd ... encrypted

names

!

interface Ethernet0

 nameif outside

 security-level 0

 ip address dhcp setroute 

!

interface Ethernet1

 nameif inside

 security-level 100

 ip address 10.0.1.10 255.255.0.0 

!

interface Ethernet2

 shutdown

 no nameif

 no security-level

 no ip address

!

interface Ethernet3

 shutdown

 no nameif

 no security-level

 no ip address

!

interface Ethernet4

 shutdown

 no nameif

 no security-level

 no ip address

!

interface Ethernet5

 shutdown

 no nameif

 no security-level

 no ip address

!

ftp mode passive

dns server-group DefaultDNS

 domain-name Grip.com

same-security-traffic permit inter-interface

same-security-traffic permit intra-interface

access-list outside_in extended permit icmp any any echo-reply 

access-list outside_in extended deny ip any any log 

pager lines 24

logging enable

logging asdm informational

mtu outside 1500

mtu inside 1500

no failover

icmp unreachable rate-limit 1 burst-size 1

asdm image flash:/asdm-613.bin

no asdm history enable

arp timeout 14400

global (outside) 1 10.0.0.0 netmask 255.255.0.0

global (outside) 1 interface

nat (inside) 1 0.0.0.0 0.0.0.0

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02

timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00

timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00

timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute

timeout tcp-proxy-reassembly 0:01:00

dynamic-access-policy-record DfltAccessPolicy

aaa authentication serial console LOCAL 

aaa authentication telnet console LOCAL 

aaa authentication ssh console LOCAL 

http server enable

http 10.0.0.0 255.255.0.0 inside

no snmp-server location

no snmp-server contact

snmp-server enable traps snmp authentication linkup linkdown coldstart

crypto ipsec security-association lifetime seconds 28800

crypto ipsec security-association lifetime kilobytes 4608000

telnet 10.0.0.0 255.255.0.0 inside

telnet timeout 5

ssh timeout 5

console timeout 0

threat-detection basic-threat

threat-detection statistics access-list

no threat-detection statistics tcp-intercept

!

class-map inspection-default

 match default-inspection-traffic

class-map inspection_default

 match default-inspection-traffic

!

!

policy-map type inspect dns preset_dns_map

 parameters

  message-length maximum 512

policy-map global_policy

 class inspection_default

  inspect dns preset_dns_map 

  inspect ftp 

  inspect h323 h225 

  inspect h323 ras 

  inspect rsh 

  inspect rtsp 

  inspect esmtp 

  inspect sqlnet 

  inspect skinny  

  inspect sunrpc 

  inspect xdmcp 

  inspect sip  

  inspect netbios 

  inspect tftp 

  inspect http 

  inspect icmp 

!

service-policy global_policy global

prompt hostname context 

Cryptochecksum:9cceeff3166fd745e3569853ea5c178c

: end

asdm image flash:/asdm-613.bin

no asdm history enable

Respuesta1

Resulta que hice algo tonto. Los clientes realmente pudieron acceder a Internet, pero yo no lo sabía porque en realidad no estaba intentando navegar, etc. Simplemente abrí una ventana de cmd y ejecuté "ping www.yahoo.com -t".

Supuse que una vez que recibía una respuesta de ping, la puerta de enlace estaba funcionando. Lo que no hice fue permitir el tráfico ICMP a través del firewall NAT. Entonces, aunque mis clientes realmente podían navegar, etc., no recibí las respuestas de ping, por lo que supuse que no me estaba comunicando. Una vez que habilité el tráfico ICMP, estuvo bien. Me sentí un poco avergonzado por eso, pero supongo que vive y aprende.

información relacionada