CiscoForums.it

Salve a tutt. Il mio problema e' il seguente:

ho un cisco pix 501 configurato per le vpn. Non riesco a capire come mai i client che si connettono alla rete locale tramite vpn abbiano come subnet mask il 255.255.255.255 mentre nell'ip pools ho specificato 255.255.0.0.

E' grave come problema perche i client collegati non riescono ad utilizzare le risorse della rete.

Need help thx.

Possiamo vedere la configurazione?

PIX Version 6.3(5)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password xxxxxxxxxxx encrypted
passwd xxxxxxxxxxxxxx encrypted
hostname pixfirewall
domain-name ciscopix.com
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
access-list inside_outbound_nat0_acl permit ip any 190.3.7.192 255.255.255.192
access-list inside_access_in permit ip any any
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside 217.220.x.x 255.255.255.248
ip address inside 190.3.7.52 255.255.0.0
ip audit info action alarm
ip audit attack action alarm
ip local pool puntodoc 190.3.7.200-190.3.7.230
pdm location 190.3.7.192 255.255.255.192 outside
pdm location 190.3.7.0 255.255.255.0 inside
pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list inside_outbound_nat0_acl
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
access-group inside_access_in in interface inside
route outside 0.0.0.0 0.0.0.0 217.220.x.x 1
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 190.3.0.0 255.255.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
sysopt connection permit-pptp
sysopt connection permit-l2tp
telnet timeout 5
ssh timeout 5
console timeout 0
vpdn group PPTP-VPDN-GROUP accept dialin pptp
vpdn group PPTP-VPDN-GROUP ppp authentication pap
vpdn group PPTP-VPDN-GROUP ppp authentication mschap
vpdn group PPTP-VPDN-GROUP ppp encryption mppe 40
vpdn group PPTP-VPDN-GROUP client configuration address local pool
vpdn group PPTP-VPDN-GROUP client configuration dns 190.3.7.1
vpdn group PPTP-VPDN-GROUP pptp echo 60
vpdn group PPTP-VPDN-GROUP client authentication local
vpdn username xxxx password *********
vpdn username xxxx password *********
vpdn enable outside
vpdn enable inside
dhcpd address 190.3.7.53-190.3.7.84 inside
dhcpd dns 190.3.7.1
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd domain PUDO
dhcpd auto_config outside
terminal width 80
Cryptochecksum:e764521bd2fec75357af18f28679130f
: end
[OK]

il fatto e' che una volta connesso alla vpn non riesco a pingare nessuno all interno dell azienda!!.

Ma dai andiamo.... si può fare una porcheria del genere????

ip address inside 190.3.7.52 255.255.0.0

ip local pool puntodoc 190.3.7.200-190.3.7.230



Ciao

^????? spiegami gentilmente...

MaiO ha scritto:Ma dai andiamo.... si può fare una porcheria del genere????

ip address inside 190.3.7.52 255.255.0.0

ip local pool puntodoc 190.3.7.200-190.3.7.230



Ciao

mi spieghi il senso di questa risposta?

1) Sulla inside dei IP Pubblici?!?! Ha senso???

2) Il pool VPDN ha il range settatto nella subnet della inside!?!?!?

Di qui mancano dei concetti base...


Ciao

MaiO ha scritto:1) Sulla inside dei IP Pubblici?!?! Ha senso???

2) Il pool VPDN ha il range settatto nella subnet della inside!?!?!?

Di qui mancano dei concetti base...


Ciao

non ti ho chiesto di spiegarmi cosa vuoldire ma che cavolo di risposta e' questa....non e' questo il modo di rispondere xke se dobbiamo fare gli sboroni hai sbagliato forum, se vuoi aiutare gli spieghi come vanno fatte senno nn replyare neanche.

Non è per fare come dici tu "sboroni", ma ti pare che uno chiede una mano per configurare una vpn e non sa neanche assegnare correttamente un indirizzo ip!
Se avesse chiesto "ragazzi cosa non va in questa conf" magari uno gli dava 4 tip, ma dai, voresti configurare una vpn e non hai un'idea minima su quello che stai facendo. Secondo il mio modesto parere, una perdita di tempo per lui e per tutta la gente del forum.

Ciao

purtroppo la situazione della rete mi e' stata consegnata cosi, e fino al trasferimento in nuova sede deve rimanere cosi.

L'avessi fatta io...

MaiO ha scritto:Non è per fare come dici tu "sboroni", ma ti pare che uno chiede una mano per configurare una vpn e non sa neanche assegnare correttamente un indirizzo ip!
Se avesse chiesto "ragazzi cosa non va in questa conf" magari uno gli dava 4 tip, ma dai, voresti configurare una vpn e non hai un'idea minima su quello che stai facendo. Secondo il mio modesto parere, una perdita di tempo per lui e per tutta la gente del forum.

Ciao

non credo sia questo lo spirito del forum....

Il spirito c'è, solo che ogni tanto a fronte di argomenti talmente vasti, e domande "imprecise" rimango sconcertato. Non si può iniziare a fare il tetto se le fondamenta sono traballanti.
Voglio precisare che i post non voleveno essere una critica o una presa in giro, ma soltanto spiegare alla persona in un modo un'pò meno formale che ci sono delle cose sotto sotto che devono essere sistemate per poter riuscirli a dare una mano sull'argomento richiesto.

Ciao

Giusto per mettere i puntini sulle i. Molto spesso, soprattutto su un argomento vasto come le reti, dove gli argomenti possono mutare nella sostanza in base ai vendor, non si può pensare di poter mettere le mani ovunque senza avere delle basi molto solide.
Un problema su un argomento sul quale si è completamente a secco non può essere urgente perché non ci sarebbe comunicazione tra chi la domanda la fa e chi risponde.
Detto questo, mi sento di poter dare qualche consiglio generale:
1. prima di porre delle domande, provate a documentarvi sugli argomenti che vi servono a porre la domanda in modo esaustivo;
2. una risposta ad una domanda poco esaustiva ha una suo valore nel momento in cui contiene qualcosa tipo "Datti una letta a come funziona <argomento>";
3. se la risposta è "così non si può fare", così non si può fare;

Detto questo, rimane il fatto, che ci piaccia o no, 'sta configurazione è da rifare.
Per fare questo è necessario avere TUTTI i dettagli della situazione.
Topologia, indirizzi IP, esigenze... Tutto. Perché io, francamente, non c'ho capito una mazza.