28%3A%20%D0%BD%D0%B5%D0%B2%D0%BE%D0%B7%D0%BC%D0%BE%D0%B6%D0%BD%D0%BE%20%D0%BF%D0%BE%D0%BB%D1%83%D1%87%D0%B8%D1%82%D1%8C%20%D0%B4%D0%BE%D1%81%D1%82%D1%83%D0%BF%20%D0%BA%20%D0%98%D0%BD%D1%82%D0%B5%D1%80%D0%BD%D0%B5%D1%82%D1%83%20%D1%81%20%D0%BF%D0%BE%D0%BC%D0%BE%D1%89%D1%8C%D1%8E%20DHCP%20%D0%BD%D0%B0%20%D0%B2%D0%BD%D0%B5%D1%88%D0%BD%D0%B5%D0%BC%20%D0%B8%D0%BD%D1%82%D0%B5%D1%80%D1%84%D0%B5%D0%B9%D1%81%D0%B5.png)
Ладно.. Признаю. Наверное, я упускаю что-то простое. Небольшая помощь?
У меня есть старый PIX 515e, который я пытаюсь запустить. Внешний интерфейс подключен к кабельному модему и настроен на DHCP. Этот интерфейс получает IP-адрес от интернет-провайдера, поэтому эта часть, похоже, работает. Я понимаю, что использование команды должно автоматически установить статический маршрут для шлюза интернет-провайдера. Если это так, то это так. Из консоли я также могу пинговать шлюз интернет-провайдера и любой другой сайт (yahoo.com), который я пробую.
Внутренний интерфейс настроен со статическим адресом 10.0.1.10, и он возвращает пинг от внутренних клиентов. DHCP во внутренней сети обрабатывается машиной 2012R2, и эта служба, а также DNS также работают (за исключением переадресации DNS, пока PIX тестируется)
Однако клиенты не могут получить доступ к Интернету. Нет ответов на ping и т. д. Я считаю, что это либо проблема маршрутизации, либо проблема NAT/PAT. Я отстал от восьмерки в этой области конфигурации Cisco и мог бы воспользоваться некоторой помощью. Ниже размещена моя текущая рабочая конфигурация. Я попробовал несколько руководств по настройке, найденных в сети, но, похоже, ничего не работает. Может ли кто-нибудь помочь мне с этим?
Спасибо! Майкл
: Saved
:
PIX Version 8.0(4)28
!
hostname GripPix
domain-name Grip.com
enable password ... encrypted
passwd ... encrypted
names
!
interface Ethernet0
nameif outside
security-level 0
ip address dhcp setroute
!
interface Ethernet1
nameif inside
security-level 100
ip address 10.0.1.10 255.255.0.0
!
interface Ethernet2
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet3
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet4
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet5
shutdown
no nameif
no security-level
no ip address
!
ftp mode passive
dns server-group DefaultDNS
domain-name Grip.com
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
access-list outside_in extended permit icmp any any echo-reply
access-list outside_in extended deny ip any any log
pager lines 24
logging enable
logging asdm informational
mtu outside 1500
mtu inside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image flash:/asdm-613.bin
no asdm history enable
arp timeout 14400
global (outside) 1 10.0.0.0 netmask 255.255.0.0
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
aaa authentication serial console LOCAL
aaa authentication telnet console LOCAL
aaa authentication ssh console LOCAL
http server enable
http 10.0.0.0 255.255.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet 10.0.0.0 255.255.0.0 inside
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
!
class-map inspection-default
match default-inspection-traffic
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect http
inspect icmp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:9cceeff3166fd745e3569853ea5c178c
: end
asdm image flash:/asdm-613.bin
no asdm history enable
решение1
Оказывается, я сделал что-то глупое. Клиенты на самом деле могли получить доступ к интернету, но я не знал об этом, потому что я на самом деле не пытался просматривать и т. д. Я просто открыл окно cmd и запустил "ping www.yahoo.com -t"
Я предполагал, что как только я получил ответ на ping, шлюз заработал. Я забыл разрешить трафик ICMP через брандмауэр NAT. Поэтому, хотя мои клиенты могли просматривать веб-страницы и т. д., я не получал ответов на ping, поэтому я предположил, что не прохожу. Как только я включил трафик ICMP, все стало нормально. Я немного смутился, но век живи, век учись, я полагаю.