buongiorno,
aiutatemi ho il seguente problema....
Nella configurazione del pix ci entro senza grossi problemi con https://192.168.1.1, questa e' la configurazione in essere...(allegata)
Un pc con indirizzo 192.168.1.10 naviga correttamente, ma il problema resta che le macchine della mia rete hanno 172.30.1.X.
Se puo esserVi utile vorrei aggiungere che il mio router telecom ha delle nat statiche 1 a 1 cioe un indirizzo pubblico nattato su un indirizzo privato (spero di essere stato chiaro). Come posso rendere il pix visibile nella mia rete con un indirizzo della mia classe ?
Grazie siete la mia unica speranza
Building configuration...
: Saved
:
PIX Version 6.3(5)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall
domain-name ciscopix.com
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside 172.30.1.119 255.255.255.0 <-ip per uscire da router
ip address inside 192.168.1.1 255.255.255.0 <-come si cambia ?
ip audit info action alarm
ip audit attack action alarm
pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
route outside 0.0.0.0 0.0.0.0 172.30.1.2 1 <-ip del router
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd address 192.168.1.2-192.168.1.33 inside
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd auto_config outside
dhcpd enable inside
terminal width 80
Cryptochecksum:6a460c36b855ba3d92ec3293288744d1
: end
[OK]
PIX 501 aiutatemi, vi prego
Moderatore: Federico.Lagni
-
foryou2002
- n00b
- Messaggi: 6
- Iscritto il: ven 03 nov , 2006 12:03 pm
Si credo di si...cosa dovrei inserire ?
-
matto
- n00b
- Messaggi: 16
- Iscritto il: mer 15 mar , 2006 2:58 pm
Il problema è leggermente complesso, ma spero di aiutarti.
Innanzitutto è normale che i tuoi PC non escano, ora stanno su un'altra rete. Puntano ad un Gateway che non esiste più.
La cosa più semplice da fare, non toccando il Router Telecom è cambiare l'indirizzo IP dei pc sulla classe della rete interna del firewall. Se vuoi cambiare rete interna basta che tu ripeta il comando
"ip address inside x.x.x.x 255.255.255.0" con il nuovo IP.
Se cambi indirizzo del firewall, ricordati di cambiare il range di indirizzi del DHCP Server.
Per la questione dei nat statici sul Router Telecom ti faccio una breve spiegazione:
es. hai nat pubblici - privati sul Router Telecom
80.80.80.80 --> 172.30.1.2
80.80.80.81 -->172.30.1.3
a questo punto devi in pratica creare delle statiche per pubblicare le tue macchine dietro al Firewall su questi indirizzi.
Se le tue macchine hanno indirizzi
192.168.1.1
192.168.1.2
devi creare due static
static (inside,outiside) 172.30.1.2 192.168.1.1 netmask 255.255.255.255
static (inside,outside) 172.30.1.3 192.168.1.2 netmask 255.255.255.255
Fatto questo devi creare access-list per l'accesso dall'esterno.
Potrebbero essere di questo tipo
access-list EXT permit ip any host 172.30.1.2
access-list EXT permit ip any host 172.30.1.3
poi applichi l'access-list all'interaccia outside
access-group EXT in interface outside.
OKKIO. Queste access-list non hanno alcuna restizione di protocolli.
Spero di essere stato esaustivo.
Ciao dal Matto
Innanzitutto è normale che i tuoi PC non escano, ora stanno su un'altra rete. Puntano ad un Gateway che non esiste più.
La cosa più semplice da fare, non toccando il Router Telecom è cambiare l'indirizzo IP dei pc sulla classe della rete interna del firewall. Se vuoi cambiare rete interna basta che tu ripeta il comando
"ip address inside x.x.x.x 255.255.255.0" con il nuovo IP.
Se cambi indirizzo del firewall, ricordati di cambiare il range di indirizzi del DHCP Server.
Per la questione dei nat statici sul Router Telecom ti faccio una breve spiegazione:
es. hai nat pubblici - privati sul Router Telecom
80.80.80.80 --> 172.30.1.2
80.80.80.81 -->172.30.1.3
a questo punto devi in pratica creare delle statiche per pubblicare le tue macchine dietro al Firewall su questi indirizzi.
Se le tue macchine hanno indirizzi
192.168.1.1
192.168.1.2
devi creare due static
static (inside,outiside) 172.30.1.2 192.168.1.1 netmask 255.255.255.255
static (inside,outside) 172.30.1.3 192.168.1.2 netmask 255.255.255.255
Fatto questo devi creare access-list per l'accesso dall'esterno.
Potrebbero essere di questo tipo
access-list EXT permit ip any host 172.30.1.2
access-list EXT permit ip any host 172.30.1.3
poi applichi l'access-list all'interaccia outside
access-group EXT in interface outside.
OKKIO. Queste access-list non hanno alcuna restizione di protocolli.
Spero di essere stato esaustivo.
Ciao dal Matto
-
foryou2002
- n00b
- Messaggi: 6
- Iscritto il: ven 03 nov , 2006 12:03 pm
Credo di non essere stato chiaro.....me ne scuso....
E' chiaro che non posso cambiare tutti gli indirizzi delle macchine della mia rete....(non ho DHCP).
Vorrei solamente far diventare il firewall il nuovo gateway per le macchine che hanno necessita' di uscire su internet. Vorrei anche precisare che le macchine di cui ti parlo non devono essere pubblicate su internet...devono solo uscire, percio' non c'e' alcuna necessita' di accesso dall'esterno.
Non capisco percio cosa voglia dire "Se cambi indirizzo del firewall, ricordati di cambiare il range di indirizzi del DHCP Server. "
Spero di essermi spiegato......Comunque ti ringrazio anticipatamente se potrai darmi una mano......
Aspetto nuove
ciao
E' chiaro che non posso cambiare tutti gli indirizzi delle macchine della mia rete....(non ho DHCP).
Vorrei solamente far diventare il firewall il nuovo gateway per le macchine che hanno necessita' di uscire su internet. Vorrei anche precisare che le macchine di cui ti parlo non devono essere pubblicate su internet...devono solo uscire, percio' non c'e' alcuna necessita' di accesso dall'esterno.
Non capisco percio cosa voglia dire "Se cambi indirizzo del firewall, ricordati di cambiare il range di indirizzi del DHCP Server. "
Spero di essermi spiegato......Comunque ti ringrazio anticipatamente se potrai darmi una mano......
Aspetto nuove
ciao
-
matto
- n00b
- Messaggi: 16
- Iscritto il: mer 15 mar , 2006 2:58 pm
Prima che tu avessi il pix avevi come gateway della tua rete il Router Telecom. La tua rete era 172.30.x.x.
Se inserisci un firewall o qualche altro dispositivo che segmenta la rete davanti al Router, la rete 172.30.x.x viene riservata esclusivamente per il collegamento Router--firewall. A meno che tu non metta le macchine davanti al firewall. Ma questo ha poco senso.
Il Firewall di solito ha due interfaccie (interna,esterna)
se la rete 172.30.x.x viene utilizzata per la rete esterna (Router--Firewall) NON la posso utilizzare anche per la rete interna.
Quindi la rete interna deve avere un altro indirizzamento.
Se fai ciò però anche le macchine devono cambiare indirizzo. Devo essere sulla stessa rete interna del Firewall.
Il Default-Gateway a questo punto risulta essere il tuo Firewall.
Se non ti serve il DHCP Server sul Firewall allora lo toglierei. Il DHCP come è configurato sul PIX, rilascia indirizzi sulla rete interna già configurata ovvero la 192.168.x.x.
Tutto qua.
Ciao
Se inserisci un firewall o qualche altro dispositivo che segmenta la rete davanti al Router, la rete 172.30.x.x viene riservata esclusivamente per il collegamento Router--firewall. A meno che tu non metta le macchine davanti al firewall. Ma questo ha poco senso.
Il Firewall di solito ha due interfaccie (interna,esterna)
se la rete 172.30.x.x viene utilizzata per la rete esterna (Router--Firewall) NON la posso utilizzare anche per la rete interna.
Quindi la rete interna deve avere un altro indirizzamento.
Se fai ciò però anche le macchine devono cambiare indirizzo. Devo essere sulla stessa rete interna del Firewall.
Il Default-Gateway a questo punto risulta essere il tuo Firewall.
Se non ti serve il DHCP Server sul Firewall allora lo toglierei. Il DHCP come è configurato sul PIX, rilascia indirizzi sulla rete interna già configurata ovvero la 192.168.x.x.
Tutto qua.
Ciao
