problemi PIX+routing

Tutto ciò che ha a che fare con la configurazione di apparati Cisco (e non rientra nelle altre categorie)

Moderatore: Federico.Lagni

Rispondi
rrroberto
Cisco power user
Messaggi: 120
Iscritto il: mer 19 ott , 2005 3:06 pm

Buongiorno a tutti,
ho un problema -credo di routing- con la mia (solita) rete costituita da sede centrale con PIX515 e sedi periferiche con PIX501.
Il codice per la VPN l'ho preso da un'esempio sul sito della Cisco che mi è stato consigliato qui per cui suppongo che funzioni.
Il mio problema è che sembra che certo traffico NON venga routato. Che sia filtrato in qualche maniera ma non capisco dove e perché...

In generale mi pare che dal centro verso la periferia funzioni tutto, dalla periferia verso il centro sia bloccato certo traffico. Per es: i ping funzionano, dns (udp) funziona, connessioni tcp non funzionano.

posto parte della configurazione dei firewall:
(perdonatemi la valanga di codice, spero di essere sintetico e comunque non perdermi niente)

nota: nella sede centrale sono collegati degli altri router che vanno con linee fisiche verso altre reti, ho riportato le route anche verso quelle.

da notare che le connessioni verso quelle altre reti invece sembrano funzionare perfettamente.........

grazie a tutti per l'attenzione
Roberto

515 sede centrale:

Codice: Seleziona tutto

access-list 101 permit ip RETE_CENTRO 255.255.255.0 RETE_PERIFERIA 255.255.255.0
access-list 101 permit ip any RETE_PERIFERIA 255.255.255.0
access-list vpn1 permit ip RETE_CENTRO 255.255.255.0 RETE_PERIFERIA 255.255.255.0
access-list vpn1 permit ip any RETE_PERIFERIA 255.255.255.0
access-list outside_access_in permit ip RETE_PERIFERIA 255.255.255.0 any
...
global (outside) 1 interface
nat (inside) 0 access-list vpn1
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
access-group outside_access_in in interface outside
route outside 0.0.0.0 0.0.0.0 ROUTER 1
route inside ALTRA_RETE 255.255.255.0 ALTRO_ROUTER 1
...
crypto ipsec transform-set chevelle esp-des esp-md5-hmac
crypto map transam 1 ipsec-isakmp
crypto map transam 1 match address 101
crypto map transam 1 set peer IP_PUBBLICO_PIX_PERIFERIA
crypto map transam 1 set transform-set chevelle
...
515 sede periferica

Codice: Seleziona tutto

access-list 101 permit ip RETE_PERIFERICA 255.255.255.0 RETE_CENTRALE 255.255.255.0 
access-list 101 permit ip RETE_PERIFERICA 255.255.255.0 ALTRA_RETE_OLTRE_QUELLA_CENTRALE 255.255.0.0 
...
access-list 102 permit ip RETE_PERIFERICA 255.255.255.0 RETE_CENTRALE 255.255.255.0 
access-list 102 permit ip RETE_PERIFERICA 255.255.255.0 ALTRA_RETE_OLTRE_QUELLA_CENTRALE 255.255.0.0 
...
global (outside) 10 interface
nat (inside) 0 access-list 101
nat (inside) 10 0.0.0.0 0.0.0.0 0 0
route outside 0.0.0.0 0.0.0.0 ROUTER_PERIFERIA 1
...
crypto ipsec transform-set toyota esp-des esp-md5-hmac 
crypto map bmw 1 ipsec-isakmp
crypto map bmw 1 match address 102
crypto map bmw 1 set peer PIX_CENTRALE
crypto map bmw 1 set transform-set toyota
crypto map bmw interface outside
Top
Avatar utente
cisketto
Cisco pathologically enlightened user
Messaggi: 178
Iscritto il: mar 20 dic , 2005 12:02 pm
Località: Milano

Ciao...
il sysopt connection permit-ipsec è abilitato?
altrimenti il traffico viene filtrato dalle acl applicate alle varie interfacce...
prova a verificare e facci sapere! :wink:
Ciao,
Cisketto!
Top
rrroberto
Cisco power user
Messaggi: 120
Iscritto il: mer 19 ott , 2005 3:06 pm

ti posto il risutato di show sysopt su tutti e due i firewall.
mi pare che ci sia quello che mi chiedi tu, però magari gli altri interferiscono in qualche modo... :)
grazie!

centrale:

Codice: Seleziona tutto

no sysopt security fragguard
no sysopt connection timewait
sysopt connection tcpmss 1380
sysopt connection tcpmss minimum 0
no sysopt nodnsalias inbound
no sysopt nodnsalias outbound
no sysopt radius ignore-secret
no sysopt uauth allow-http-cache
sysopt connection permit-ipsec
no sysopt connection permit-pptp
no sysopt connection permit-l2tp
no sysopt ipsec pl-compatible
no sysopt route dnat
periferico

Codice: Seleziona tutto

no sysopt connection timewait
sysopt connection tcpmss 1380
sysopt connection tcpmss minimum 0
no sysopt nodnsalias inbound
no sysopt nodnsalias outbound
no sysopt radius ignore-secret
no sysopt uauth allow-http-cache
sysopt connection permit-ipsec
no sysopt connection permit-pptp
no sysopt connection permit-l2tp
no sysopt ipsec pl-compatible
Top
rrroberto
Cisco power user
Messaggi: 120
Iscritto il: mer 19 ott , 2005 3:06 pm

anomalie.
non è vero che tutte le connessioni tcp sono rifiutate.
per esempio se dalla rete periferica provo ad aprire via http la configurazione di un certo print server nella rete principale, funziona correttamente.
se provo invece con altri server no.
Top
Rispondi

Torna a “Configurazioni”