Я настроил туннель site-to-site vpn, который работает так, как мне бы хотелось. Я настроил постоянные маршруты на ПК на каждом конце, которые должны общаться друг с другом. Подсети следующие:
Сайт 1: 10.0.0.0/11 Сайт 2: 192.168.200.0/24
У меня возникают проблемы, когда я пытаюсь получить доступ к сайту 2 с сайта 1 на ПК с IP, начинающимся с чего-либо иного, чем 10.0.xx. Например, если мой ПК настроен с IP 10.0.0.77/11, я могу получить доступ к сайту 2. Если он настроен с 10.1.100.1/11, я не могу. Мне кажется, что pix принудительно устанавливает маску подсети для сайта 1 255.255.0.0 вместо 255.224.0.0.
Кто-нибудь знает, что это такое и как это обойти?
Мои текущие конфигурации:
Запуск конфигурации Сайта 1:
PIX Version 6.3(4)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password sdf4536gdsfgsd encrypted
passwd 3425sdfsdfg2345 encrypted
hostname our-side
domain-name domain.com
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
имена
имя 192.168.200.0 их_сеть
имя 10.0.0.8 svr1
имя 10.0.0.245 svr2
имя 10.0.0.248 svr3
имя 10.0.0.235 принтер
список-доступа inside_outbound_nat0_acl разрешение ip 10.0.0.0 255.224.0.0 их_сеть 255.255.255.0 список-доступа outside_cryptomap_20 разрешение ip 10.0.0.0 255.224.0.0 их_сеть 255.255.255.0
список-доступа outside_access_in разрешение tcp их_сеть 255.255.255.0 любой eq www
список-доступа outside_access_in разрешение tcp их_сеть 255.255.255.0 любой eq https
список доступа внешний_доступ_в разрешить tcp их_сеть 255.255.255.0 хост svr2 eq домен
список доступа внешний_доступ_в разрешить udp их_сеть 255.255.255.0 хост svr2 eq домен список
доступа внешний_доступ_в разрешить udp их_сеть 255.255.255.0 любой eq ntp
список доступа внешний_доступ_в разрешить tcp их_сеть 255.255.255.0 хост svr3 eq ssh
список доступа внешний_доступ_в разрешить icmp их_сеть 255.255.255.0 любой
список доступа внутренний_доступ_в разрешить tcp любой их_сеть 255.255.255.0 eq ftp
access-list inside_access_in разрешить icmp любой their_network 255.255.255.0
access-list inside_access_in разрешить tcp хост svr2 their_network 255.255.255.0 eq домен
access-list inside_access_in разрешить udp хост svr2 their_network 255.255.255.0 eq домен
access-list inside_access_in разрешить tcp хост svr1 their_network 255.255.255.0 eq ssh
access-list inside_access_in разрешить udp любой eq ntp their_network 255.255.255.0
access-list inside_access_in запрошено примечание для удаленного управления
access-list inside_access_in разрешить tcp любой their_network 255.255.255.0 eq 3389
access-list inside_access_in примечание rsync svr1 для построения сервера
access-list inside_access_in разрешение tcp хост svr1 their_network 255.255.255.0 экв 873
пейджерные строки 24
icmp разрешить любой внешний
icmp разрешить любой внутренний
mtu снаружи 1500
mtu внутри 1500
ip-адрес снаружи 219.148.111.77 255.255.255.192
ip-адрес внутри 10.0.0.4 255.224.0.0
ip аудит информация действие сигнализация
ip аудит атака действие сигнализация
pdm местоположение 10.0.0.0 255.224.0.0 внутри
pdm местоположение their_network 255.255.255.0 снаружи
pdm местоположение svr2 255.255.255.255 внутри pdm местоположение
svr1 255.255.255.255 внутри
pdm местоположение svr3 255.255.255.255 внутри
pdm местоположение awe_printer 255.255.255.255 внутри
история pdm включить
arp тайм-аут 14400
глобальный (внешний) 1 интерфейс
nat (внутренний) 0 список доступа inside_outbound_nat0_acl
nat (внутренний) 1 0.0.0.0 0.0.0.0 0 0
группа доступа outside_access_in в интерфейсе снаружи
группа доступа inside_access_in в интерфейсе внутри
маршрут снаружи 0.0.0.0 0.0.0.0 219.148.111.77 255
тайм-аут xlate 3:00:00
тайм-аут conn 1:00:00 полузакрыто 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
тайм-аут h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
тайм-аут uauth 0:05:00 абсолютный
aaa-сервер TACACS+ протокол tacacs+
aaa-сервер TACACS+ макс.-неудачные-попытки 3
aaa-сервер TACACS+ время простоя 10
aaa-сервер RADIUS протокол радиус
aaa-сервер RADIUS макс.-неудачные-попытки 3
aaa-сервер RADIUS время простоя 10
aaa-сервер ЛОКАЛЬНЫЙ протокол локальный
http сервер включить
http 10.0.0.0 255.224.0.0 внутри
нет snmp-сервера местоположение
нет snmp-сервера контакт
snmp-сервер сообщество публичный
нет snmp-сервера включить ловушки
floodguard включить
крипто ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
криптокарта outside_map 20 ipsec-isakmp
криптокарта outside_map 20 сопоставление адреса outside_cryptomap_20
криптокарта outside_map 20 установка пира 219.148.111.76
криптокарта outside_map 20 установка transform-set криптокарта ESP-3DES-MD5
outside_map интерфейс внешний
isakmp включение внешнего
isakmp ключ ******** адрес 219.148.111.76 сетевая маска 255.255.255.255 no-xauth no-config-mode
политика isakmp 20 аутентификация pre-share политика
isakmp 20 шифрование 3des
политика isakmp 20 хэш md5
политика isakmp 20 группа 2
политика isakmp 20 время жизни 86400
тайм-аут telnet 5 тайм
-аут ssh 5
тайм-аут консоли 0
имя пользователя user1 пароль asdfafddafaf зашифрованные привилегии 15
ширина терминала 80
Cryptochecksum:43dfhsd34fghh
: конец
[ОК]
Запуск конфигурации Сайта 2:
PIX Version 6.3(4)
interface ethernet0 100full
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password iCEghfhgeC10Q80xp encrypted
passwd iCEghgfhC10Q80xp encrypted
hostname vietnam-their-side
domain-name domain1.com
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
исправление протокол tftp 69
имена
имя 10.0.0.0 our_network
список-доступа acl_inside разрешение tcp 192.168.200.0 255.255.255.0 хост 219.148.111.76 eq www
список-доступа inside_outbound_nat0_acl разрешение ip 192.168.200.0 255.255.255.0 our_network 255.224.0.0
список-доступа outside_cryptomap_20 разрешение ip 192.168.200.0 255.255.255.0 our_network 255.224.0.0
список-доступа outside_access_in разрешение icmp our_network 255.224.0.0 любые
пейджерные линии 24
icmp разрешение любые внешние
icmp разрешить любой внутренний
mtu внешний 1500
mtu внутренний 1500
ip-адрес внешний 219.148.111.76 255.255.255.192
ip-адрес внутренний 192.168.200.1 255.255.255.0
ip аудит информация действие сигнализация
ip аудит атака действие сигнализация
pdm местоположение 192.160.0.0 255.224.0.0 внутреннее
pdm местоположение our_network 255.224.0.0 внешнее
pdm история включить
arp тайм-аут 14400
глобальный (внешний) 1 интерфейс
nat (внутренний) 0 список доступа inside_outbound_nat0_acl
nat (внутренний) 1 0.0.0.0 0.0.0.0 0 0
группа доступа outside_access_in в интерфейс внешний
маршрут внешний 0.0.0.0 0.0.0.0 219.148.111.76 1
тайм-аут xlate 3:00:00
тайм-аут conn 1:00:00 полузакрыто 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
тайм-аут h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
тайм-аут uauth 0:05:00 absolute
aaa-server TACACS+ протокол tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS протокол radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server ЛОКАЛЬНЫЙ протокол локальная
aaa аутентификация ssh console ЛОКАЛЬНЫЙ
http сервер включить
http our_network 255.224.0.0 снаружи
http 192.168.200.0 255.255.255.0 внутри
нет snmp-сервера местоположение
нет snmp-сервера контакт
snmp-сервер сообщество публичный
нет snmp-сервер включить ловушки
floodguard включить
sysopt соединение permit-ipsec
крипто ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hma
крипто карта outside_map 20 ipsec-isakmp
крипто карта outside_map 20 сопоставление адреса outside_cryptomap_20
крипто карта outside_map 20 установить одноранговый узел 219.148.111.77
крипто карта outside_map 20 установить transform-set ESP-3DES-MD5
крипто карта outside_map интерфейс внешний
isakmp включить внешний
ключ isakmp ******** адрес 219.148.111.77 сетевая маска 255.255.255.255 no-xauth no-c onfig-mode
политика isakmp 20 аутентификация pre-share
политика isakmp 20 шифрование 3des
политика isakmp 20 хэш md5
политика isakmp 20 группа 2
политика isakmp 20 время жизни 86400
тайм-аут telnet 5
ssh 192.168.200.0 255.255.255.0 внутренний
тайм-аут ssh 60
тайм-аут консоли 0
имя пользователя user1 пароль tjqqn/L/teN49dfsgsdfgZbw зашифрованная привилегия 15
ширина терминала 80
Cryptochecksum:bf200a9175be27sdfgsfdgdb91320d6df7ce5b21
: конец
Я не вижу неправильных масок, но, возможно, я этого не замечаю.
Спасибо
Кэмми
решение1
Я не особо разбирался с PIX, но мне интересно, нужен ли "ip classless" на обеих сторонах? У меня были любопытные проблемы с устройствами IOS, которые принимали странные маски сетей с полным классом (или, по крайней мере, с границей октета) из-за отсутствия этого.
решение2
На первый взгляд все выглядит нормально. Я сравнил его с моей конфигурацией Pic (515E), и они выглядят очень похожими. Я заметил, что вы использовали sysopt connection permit-ipsec в their_network, но не в our_network. Вероятно, вы хотите ограничить доступ к вашей центральной локальной сети с удаленного конца. Возможно, стоит добавить sysopt connection permit-ipsec просто в качестве теста.
Обычный способ диагностики этого — просмотр вывода журнала. Сообщает ли Pix что-нибудь полезное, когда вы пингуете с адреса 10.1.100.* или с удаленного сайта на адрес 10.1.100.*? Было бы интересно отключить VPN перед пингом, чтобы вы могли увидеть журналы настройки VPN.
Дж.Р.