Pix dietro a router in HSRP

Mettete al sicuro la vostra rete!

Moderatore: Federico.Lagni

Rispondi
Avatar utente
Francesco87
Cisco fan
Messaggi: 59
Iscritto il: mar 10 apr , 2007 9:13 am
Località: Ethernet 0/0

Ciao,

ho una topologia simile a questa:

server <----> 2 Router in HSRP <----> outside.PIX.inside <----> client

I due router in HSRP fungono da default gw per il pix, c'è un client sulla inside e un server oltre il gateway.

Ho messo una acl sulla inside del pix che permette il traffico del client in uscita verso il server. In teoria il firewall dovrebbe consentire in automatico il traffico di ritorno: in realtà non lo fa.

Ho sniffato il traffico sulla outside del Pix e l'unica cosa che potrebbe non consentire il traffico di ritorno è il fatto che il mac address sorgente della trama di ritorno è diverso da quello di destinazione della trama di andata.

Sul pix c'è infatti c'è una default route che punta al VIP dell'hsrp (che viene risolto dall'arp request del pix con il mac address dell'HSRP - dovrebbe essere un multicast). La trama di ritorno invece ha il mac address fisico del router che in quel momento è quello attivo dell'hsrp.

Potrebbe essere questo il problema?

Qualcuno ha idea di come aggirare l'ostacolo (senza aprire esplicitamente anche il traffico di ritorno in una acl)?

Grazie

Francesco
The netmask in Cisco access lists are inverted. Nobody knows why, they just are.
Rispondi