Aiuto URGENTE per ACL su PIX
Inviato: ven 20 lug , 2007 10:03 am
Da una parte è successo che il loro sistemista "ufficiale" doveva permettere l'accesso in VPN ad un server interno ad un'azienda partner...io ero li per specificare un pò tutto quello che serviva a questa azienda partner per collegarsi.....
Si scopre che il PIX che hanno loro manda la VPN solo su un server che non serviva allo scopo.....bisogna abilitare l'accesso ai client in VPN anche su un'altro server.
Il sistemista ufficiale si siede su un PC e dopo un pò riesce a trovare le password per accedere via WEB al PIX...e mi chiede...mo mi devi dare una mano tu!!!!
Io rispondo : se proprio ti devo dare una mano......almeno entra in console che dell'interfaccia WEB ho il prurito.Si collega con il telnet di Windows e fa un bello sh run......leggi che ti leggi,vedo un ACL del tipo "access-list nat_inside_vpn permit ip 192.168.0.1 255.255.255.0" (dove 192.168.0.1 è il server attualmente abilitato per i client vpn) e un'altra riga del tipo "nat (0) inside nat_inside_vpn ....... "
Allora dico proviamo a rifare l'acl nat_inside_vpn e ad aggiungerci una riga dove si permette l'accesso al server che ci serve.
Il sistemista si collega,gli dico di fare un "no nat_inside_vpn" e di riscrivere l'acl con in più la riga per permettere l'accesso al server che ci serve......
Proviamo ma non funziona....ci viene un dubbio : proviamo a collegarci al server che prima funzionava e...non funziona più neanche lui...opss che bel casino......dice lui.
Dico io va bhe riavvia il PIX che riprende la conf prima dei nostri smanettamenti....gli faccio fare "reload".......ma nella configurazione è rimasta la ACL che avevamo scritto e nessuno a salvato nulla!!!
E' normale che con i PIX (in questo caso la vers 6.3) la conf viene salvata automaticamente?
Poi,perchè il PIX anche con la ACL che abbiamo riscritto com'era in origine,continua a non far passare su nessun server?
Purtroppo non mi ha voluto lasciare la configurazione....quello che posso postare sono solo i messaggi d'errore del client VPN CISCO.
1 19:33:39.290 07/19/07 Sev=Warning/2 CVPND/0xE3400013
AddRoute failed to add a route: code 87
Destination 151.31.255.255
Netmask 255.255.255.255
Gateway 192.168.200.1
Interface 192.168.200.1
2 19:33:39.290 07/19/07 Sev=Warning/2 CM/0xA3100024
Unable to add route. Network: 971fffff, Netmask: ffffffff, Interface: c0a8c801, Gateway: c0a8c801.
Se qualche anima pia mi desse una mano visto che stamattina molti che non possono collegarsi stanno imprecando in afrocubano antico e,anche se la mia responsabilità è molto limitata,mi sento comunque in dovere di dare una mano per risolvere la questione..........
Si scopre che il PIX che hanno loro manda la VPN solo su un server che non serviva allo scopo.....bisogna abilitare l'accesso ai client in VPN anche su un'altro server.
Il sistemista ufficiale si siede su un PC e dopo un pò riesce a trovare le password per accedere via WEB al PIX...e mi chiede...mo mi devi dare una mano tu!!!!
Io rispondo : se proprio ti devo dare una mano......almeno entra in console che dell'interfaccia WEB ho il prurito.Si collega con il telnet di Windows e fa un bello sh run......leggi che ti leggi,vedo un ACL del tipo "access-list nat_inside_vpn permit ip 192.168.0.1 255.255.255.0" (dove 192.168.0.1 è il server attualmente abilitato per i client vpn) e un'altra riga del tipo "nat (0) inside nat_inside_vpn ....... "
Allora dico proviamo a rifare l'acl nat_inside_vpn e ad aggiungerci una riga dove si permette l'accesso al server che ci serve.
Il sistemista si collega,gli dico di fare un "no nat_inside_vpn" e di riscrivere l'acl con in più la riga per permettere l'accesso al server che ci serve......
Proviamo ma non funziona....ci viene un dubbio : proviamo a collegarci al server che prima funzionava e...non funziona più neanche lui...opss che bel casino......dice lui.
Dico io va bhe riavvia il PIX che riprende la conf prima dei nostri smanettamenti....gli faccio fare "reload".......ma nella configurazione è rimasta la ACL che avevamo scritto e nessuno a salvato nulla!!!
E' normale che con i PIX (in questo caso la vers 6.3) la conf viene salvata automaticamente?
Poi,perchè il PIX anche con la ACL che abbiamo riscritto com'era in origine,continua a non far passare su nessun server?
Purtroppo non mi ha voluto lasciare la configurazione....quello che posso postare sono solo i messaggi d'errore del client VPN CISCO.
1 19:33:39.290 07/19/07 Sev=Warning/2 CVPND/0xE3400013
AddRoute failed to add a route: code 87
Destination 151.31.255.255
Netmask 255.255.255.255
Gateway 192.168.200.1
Interface 192.168.200.1
2 19:33:39.290 07/19/07 Sev=Warning/2 CM/0xA3100024
Unable to add route. Network: 971fffff, Netmask: ffffffff, Interface: c0a8c801, Gateway: c0a8c801.
Se qualche anima pia mi desse una mano visto che stamattina molti che non possono collegarsi stanno imprecando in afrocubano antico e,anche se la mia responsabilità è molto limitata,mi sento comunque in dovere di dare una mano per risolvere la questione..........