CiscoForums.it

SAlve a tutti, ho un problema di configurazione su un pix515:

situazione iniziale: 3 interfacce, outside, inside e dmz

outside: 192.168.0.2

inside: 10.0.0.100

dmz: 192.168.1.1

sulla rete outside ho un router fornito da fastweb, con ip pubblico, che gira tutto sull'ip del pix.

Ora, è stato aggiunto un secondo router fastweb sulla rete outside che su cui è attestata una rete di 16 ip pubblici: x.y.z.48/24. Il router ha quindi ip .49 ed attualmente, mi dice fastweb, gira gli altri ip senza nat sulla sua rete interna, quindi semplice routing.

Ho provato a creare una logical interface sulla hw interface outside del pix e dargli ip .50 innanzitutto, ma c'è nessuna comunicazione in/out su questa nuova interfaccia. Ho sbagliato qualcosa nella configurazione o è la teoria a essere sbagliata? Ah, va specificato che per adesso ho necessità di avere in parallelo entrambe le linee esterne fornite da fw.

Grazie in anticipo per ogni aiuto

Se crei una sub-interface della outside hai quindi creato una vlan sul pix, questa vlan c'è anche sul router di fastweb?

no, è obbligatorio?

le connessioni sono così effettuate:

tra i router e il fw c'è uno switch hp che uso sia per la outside sia per la dmz; le porte da 1 a 14 e da 21 a 24 sono attribuite alla vlan1 (di default, untagged) per la dmz e le porte 15-20 alla vlan2 (untagged) per il collegamento tra firewall e i due router di fastweb

a livello di switch, immagino per il fatto che le porte sono configurate come untagged, dovrei aver creato una separazione "fisica" tra due reti, o almeno così sta funzionando...

Ora, se ho capito il senso della domanda, il firewall richiede pacchetti taggati, giusto? devo chiedere a fw di configurare di conseguenza il loro router appena fornito per la vlan2, ho capito bene? tra l'altro una curiosità: ad una delle porte dello switch configurate sulla vlan2 ho collegato un notebook con xp a cui avevo dato un ip pubblico (.51) per provare a pingare il router fw... cosa che non accadeva... ma senza aver ovviamente settato la vlan perchè immaginavo che bastasse averla settata sullo switch. devo averla pensata male, suppongo!

Grazie per l'aiuto, passato e spero futuro!

ho fatto alcune modifiche intanto allo switch e al pix

poichè avevo sullo switch la vlan2 configurata in untagged (e lavorando intanto da remoto per cui non posso rischiare perdita di connettività per un errore di config), ho modificato sul pix il vlan tag della sub interfaccia a 3 e creato una tagged vlan sullo switch con id3

ora: sullo switch hp la untagged vlan2 fa si che le comunicazioni tra gli apparati connessi alle porte 15-20 senza tag siano mantenute e che il pix anche comunichi con tale vlan con l'interfaccia hw outside. la tagged vlan3, sempre sulle porte 15-20, configurata sullo switch matcha la vlan3 configurata sul pix, e se ho capito bene basterebbe ora configurare il secondo router di fw per taggare i pacchetti con id 3 per metterlo in comunicazione con il pix e qualsiasi altro apparato collegato ad una delle suddette porte e che abbia la vlan con id 3 configurata, corretto?

Si sarà capito che ho scoperto ora le vlan!

ulteriore sviluppo, e con qualche risultato:

non potendo dire adesso a fastweb di modificare la config del nuovo router, e dopo aver letto qualcosina in rete su come funziona la comunicazione in una vlan tra porte tagged e untagged, ho modificato le vlan

nella vlan2 ci sono, in untagged, la porta del pix e quella del vecchio router, e fin qui, come da principio, funziona.

nella vlan3 ci sono in tagged la porta del pix e in untagged la porta del nuovo router, e ora il pix pinga con successo quest'ultimo: il tag viene eliminato dallo switch, semplicemente. Ora però, quando la comunicazione è inversa (untagged port => tagged port), da quanto ho letto il tag dovrebbe essere aggiunto, ma non sembra accadere...

anzi no mi correggo, il firewall vede il ping che sto effettuando dal mio pc esterno di casa in questo momento, lo vedo nel log dell'asdm, adesso il problema delle vlan è risolto, devo mettere mano al resto della configurazione!

anzi no mi correggo, il firewall vede il ping che sto effettuando dal mio pc esterno di casa in questo momento, lo vedo nel log dell'asdm, adesso il problema delle vlan è risolto, devo mettere mano al resto della configurazione!

Bene!
Vedo che nn lavoro sl io di notte...

direi proprio di no

adesso ho un altro problema... coem sfruttare gli ulteriori ip pubblici che ho a disposizione!

Mi spiego meglio: ho parallelizzato tutti le pat sul pix, quelle che avevo inside,outside e dmz,outside adesso esistono anche in versione inside,newext e dmz,newext, ma così continuo a usare in pratica il solo ip pubblico che ho assegnato all'interfaccia newext, così come prima usavo il solo ip pubblico assegnato all'interfaccia outside. Nello specifico, mi servirebbe passare almeno alcuni degli altri ip pubblici verso una macchina messa in dmz, senza "perdere" la differenziazione dell'ip su cui è stata chiamata la connessione: la macchina in questione è un isa server che mi filtra le connessioni ftp, http e https e in particolare, avendo + siti che richiedono certificati ssl diversi, pensavo di assegnare + indirizzi pubblici alla scheda di rete montata su isa server e su ognuno metterci un listerner, ognuno col suo bel certificato ssl

riassumendo:

.49 newrouter
.50 pix
.51 isaserver (collegato all'interfaccia dmz del pix)
.52 idem
.53 idem
.54 idem
.55 altro server collocato in pix dmz

la dmz è attualmente configurata così:

pix dmz intf: 192.168.1.1
isasrv: 192.168.1.10
altrosrv: 129.168.1.11

in questo caso non mi è assolutamente necessario mantenere in parallelo la vecchia config e la nuova, posso migrare la dmz a nuova configurazione con un intervento programmato il prossimo week end (devo cambiare gli ip dei vari host sui dns pubblici e subire il naturale disservizio generato dalla propagazione di 48h prevista)

Un piccolo aiuto su da dove iniziare sarebbe proprio utilissimo, come vedi prima è bastata una piccola spinta è ho poi fatto i compiti a casa per bene

Ciao

Prima di questo io ragionerei sul routing...
Come fai a gestire 2 rotte verso internet dato che i pix nn fanno source routing o policy routing?

la rotta verso internet è ormai tramite il nuovo indirizzo ip, come dici giustamente non si possono fare source e/o policy routing. Il route è quindi:

0.0.0.0 0.0.0.0 x.y.z.49 (x.y.z.48/28 è la nuova subnet, .49 il router e .50 il firewall)

da quanto ho letto in giro, un semplice static 1 a 1 sulla dmz dovrebbe andare, ma credo solo dopo che fastweb abbia configurato il router per far girare TUTTE le chiamate entranti attraverso l'ip pubblico del firewall

ho letto questo esempio: http://www.linuxhomenetworking.com/cisc ... oc50175067

non parla della configurazione dell'apparato fornito dal provider a monte, ma sembra essere un po' il mio caso (ok, lui natta sulla inside e io sulla dmz, ma il concetto è quello).

Come vado?

Ciao e grazie

ps
mi si perdoni il delay nella risposta, non mi ero accorto dell'ultimo post...