Ciao a tutti, ho provato a fare un pò di ricerche sia sul forum che su internet ma non sono riuscito a risolvere il problema.
Ringrazio in anticipo chiunque possa aiutarmi.
Ho un pix501 e vorrei usarlo al posto di un modem router adsl economico...
La configurazione finale dovrebbe essere:
1.Modem ADSL (configurato in bridge che assegna l'ip fornito dal provider direttamente all'interfaccia outside del pix configurata in dhcp)
2.PIX501 (con funzione di dhcp server sulla lan)
3.Switch unmanaged 16porte gigabit
L'outside del pix riceve correttamente l'ip dal provider.
I pc in lan ricevono correttamente l'ip assegnato dal dhcp del pix e addirittura hanno in automatico il dns fornito dal provider.
Dal pix riesco a pingare tranquillamente sia il gateway pubblico che i pc della lan.
L' "unico" problema è che i pc in lan non vanno in internet e non pingano nulla che sia al di fuori della lan.
Riporto la conf del pix
=======================================================
PIX Version 6.3(5)
hostname MyPIX
domain-name ciscopix.com
interface ethernet0 auto
nameif ethernet0 outside security0
ip address outside dhcp setroute retry 4
interface ethernet1 100full
nameif ethernet1 inside security100
ip address inside 192.168.1.1 255.255.255.0
dhcpd enable inside
dhcpd address 192.168.1.10-192.168.1.100 inside
dhcpd lease 10080
dhcpd ping_timeout 750
dhcpd auto_config outside
enable password uZLunMrs4maAUwT/ encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
telnet 192.168.1.0 255.255.255.0 inside
telnet timeout 60
ssh 192.168.1.0 255.255.255.0 inside
ssh timeout 5
management-access inside
console timeout 0
pdm location 0.0.0.0 255.255.255.0 inside
http server enable
http 192.168.1.0 255.255.255.0 inside
global (outside) 1 interface
nat (inside) 0 access-list inside_outbound_nat0_acl
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
access-list acl_out permit ip 192.168.1.0 255.255.255.0 any
ip verify reverse-path interface outside
access-group acl_out in interface inside
=======================================================
Immagino che manchi una rotta? Ma come configurarla?
Dai client in lan se lancio tracert ip_pubblico, già al primo hop ottengo tutti * ....
Ho anche provato a configurare una vpn e quella funziona perfettamente. Avete però consigli/critiche/pareri sulla mia conf?
aaa-server LOCAL protocol local
aaa authentication http console LOCAL
aaa authentication serial console LOCAL
aaa authentication ssh console LOCAL
aaa authentication telnet console LOCAL
access-list inside_outbound_nat0_acl permit ip any 192.168.1.160 255.255.255.248
access-list outside_cryptomap_dyn_40 permit ip any 192.168.1.160 255.255.255.248
access-list myvpn_splitTunnelAcl permit ip 192.168.1.0 255.255.255.0 any
ip local pool myvpn_pool 192.168.1.160-192.168.1.166
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-MD5
crypto dynamic-map outside_dyn_map 40 match address outside_cryptomap_dyn_40
crypto dynamic-map outside_dyn_map 40 set transform-set ESP-3DES-MD5
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map client authentication LOCAL
crypto map outside_map interface outside
isakmp enable outside
isakmp nat-traversal 20
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption 3des
isakmp policy 20 hash sha
isakmp policy 20 group 2
isakmp policy 20 lifetime 86400
isakmp policy 40 authentication pre-share
isakmp policy 40 encryption des
isakmp policy 40 hash md5
isakmp policy 40 group 2
isakmp policy 40 lifetime 86400
isakmp policy 60 authentication pre-share
isakmp policy 60 encryption 3des
isakmp policy 60 hash md5
isakmp policy 60 group 2
isakmp policy 60 lifetime 86400
vpngroup myvpn address-pool myvpn_pool
vpngroup myvpn default-domain ciscopix.com
vpngroup myvpn split-tunnel myvpn_splitTunnelAcl
vpngroup myvpn idle-time 1800
vpngroup myvpn password ********
username myvpn password 1H6096weKZ8ulv2s encrypted privilege 15
Grazie a tutti.
