collegamento inside del pix con eth del router

Mettete al sicuro la vostra rete!

Moderatore: Federico.Lagni

Rispondi
anubis
n00b
Messaggi: 12
Iscritto il: lun 14 feb , 2011 6:11 pm

...salve a tutti...
...spiego il problema

come da schema vorrei connettere all'interfaccia inside del pix l'interfaccia fastethernet0/0 di un router 2650xm, al quale convergono altre due reti...

non sono sicuro di essere riuscito ad allegare il file contenente lo schema pertanto cercherò di spiegare le connessioni

isp----837----pix515e, alla sua interfaccia inside viene collegato un router il quale tramite due collegamenti seriali si connette a due lan (calcolo e controllo)

...provando con un portatile sull'inside del pix riesco ad uscire (anche sulla dmz), se invece connetto il "blocco" dei router con tale interfaccia ho dei problemi.
(ho provato separatamente la parte dei router e funziona: da un pc in lan calcolo riesco a pingare sulla lan controllo e aggiungendo un secondo pc sull' interfaccia che vorrei connettere all'inside del pix pingo tranquillamente...i router sono configurati per routing puro con rotte statiche)

quello che ho notato è questo:
se connetto le due interfacce con un cavo dritto non ottengo nemmeno la connessione fisica...se utilizzo un cross si instaura...ho provato anche ad interporre uno switch e connettere il tutto con due cavi dritti...si connettono...
...a questo punto però mi sento confuso...
...se pingo dal pc in lan calcolo arrivo solo fino all'interfaccia fastethernet0/0 del router e non di più!!

...qualcuno può darmi consigli...
grazie a tutti in anticipo...
Rizio
Messianic Network master
Messaggi: 1158
Iscritto il: ven 12 ott , 2007 2:48 pm
Contatta:

MA LE VIRGOLEEEEEEEEEEEEEEEEEEEE !!!!

Mi è venuto il fiatone a leggere il post, oltre al fatto che l'ho dovuto rileggere 20 volte per capire i diversi periodi !!! Cacchio !!!!

Anyway, il cavo cross ti serve perchè sono certo che le porte del PIX non siano auto-cross, non ho altrettanta certezza sul 2650 ma le prove che riporti ci dicono che è così perciò usa un cavo cross e vivi felice.
Per il collegamento mi sembra strano che se va con un portatile non vada con il router.... mi verrebbe da pensare all'mtu o al tipo di pacchetto (hai dei fixup strani sul PIX ?).
Altrimenti deve andare. Ricorda solo che il pix NON fà routing perciò occhio a quello che gli vuoi far fare.

Sul router come ti vede l'interfaccia connessa al PIX ?
Uno "sh int" e uno "sh run int X" sul 2650 cosa ti restituisce ?
Se abiliti il cdp su tutti e due gli apparati si vedono ?
E se provi a togliere eventuali acl presenti su quell'interfaccia del PIX poi passi ?

Rizio
Si vis pacem para bellum
anubis
n00b
Messaggi: 12
Iscritto il: lun 14 feb , 2011 6:11 pm

...ciao Rizio...
...innanzitutto grazie per la tua risposta.
scusami per il fiatone, ma la voglia di comunicare il mio problema era veramente forte che ho digitato tutto in un solo fiato.

...allora ti aggiorno...
per il cross avevi ragione,
non ho nessun FIXUP sul pix,
gli mtu sono 1500,
ho attivato cdp sui router, ma non sul pix...non sò come si fà...non trovo il comando!
...il router direttamente connesso al pix, con il comando "sh cdp neighbors", vede solamente l'altro router ma non il pix!

...ti posto i tratti salienti delle cfg del pix e dei router...così magari ti fai un'idea migliore

schema topologico

ISP---837---PIX515e----2620xm_a----2620xm_b----switch-----(rete)

pix515e
PIX Version 8.0(4)
!
hostname PIX515E
enable password cVQ3zU2IfQUUqi5F encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0
nameif outside
security-level 0
ip address dhcp setroute
ospf cost 10
!
interface Ethernet1
nameif inside
security-level 100
ip address 192.168.20.254 255.255.255.0
ospf cost 10
!
interface Ethernet2
nameif dmz
security-level 50
ip address 192.168.30.254 255.255.255.0
ospf cost 10
!
ftp mode passive
dns domain-lookup inside
dns server-group DefaultDNS
name-server 85.37.17.8
name-server 85.38.28.73
access-list entra_inside extended permit tcp any any
access-list entra_inside extended permit udp any any
access-list entra_inside extended permit icmp any any
access-list entra_outside extended permit icmp any any
access-list entra_outside extended permit tcp any any
access-list entra_outside extended permit udp any any
access-list entra_dmz extended permit tcp any any
access-list entra_dmz extended permit udp any any
access-list entra_dmz extended permit icmp any any
...
...
mtu outside 1500
mtu inside 1500
mtu dmz 1500
...
...
arp timeout 14400
global (outside) 10 interface
nat (inside) 10 192.168.0.0 255.255.0.0
nat (dmz) 10 192.168.30.0 255.255.255.0
access-group entra_outside in interface outside
access-group entra_inside in interface inside
access-group entra_dmz in interface dmz
route outside 0.0.0.0 0.0.0.0 192.168.1.1 1

2650xm_a
...
...
no network-clock-participate slot 1
no network-clock-participate wic 0
no aaa new-model
ip subnet-zero
ip cef
interface FastEthernet0/0
description interfaccia verso PIX515E
ip address 192.168.20.253 255.255.255.0
duplex auto
speed auto
!
interface Serial0/0
description interfaccia verso R2
ip address 192.168.40.254 255.255.255.0
clock rate 56000
!
interface Serial0/1
description interfaccia verso R3
ip address 192.168.50.254 255.255.255.0
clock rate 56000
!
...
...
p classless
ip route 0.0.0.0 0.0.0.0 192.168.20.254
ip route 192.168.60.0 255.255.255.0 192.168.40.253
ip route 192.168.70.0 255.255.255.0 192.168.50.253

2620xm_b
...
...
!
call rsvp-sync
!
interface FastEthernet0/0
description interfaccia verso reti 2/3
ip address 192.168.60.254 255.255.255.0
duplex auto
speed auto
!
interface Serial0/0
description interfaccia verso R1
ip address 192.168.40.253 255.255.255.0
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.40.254
ip route 192.168.20.0 255.255.255.0 192.168.40.254
ip route 192.168.50.0 255.255.255.0 192.168.40.254
ip route 192.168.70.0 255.255.255.0 192.168.40.254
ip http server
!
!
dial-peer cor custom


...volevo ancora aggiungere che pingando dal 2620xm_b, riesco ad arrivare fino alla
fastethernet0/0 del 2620xm_a, ma non oltre!!

...se vi è necessità di altre informazioni fammelo sapere!!

...ciao e grazie ancora
Massimo
Rizio
Messianic Network master
Messaggi: 1158
Iscritto il: ven 12 ott , 2007 2:48 pm
Contatta:

A prima vista mi sembra che tutto vada bene e per capire bene dovrei mettermi lì a fare delle prove, ora però non ho tempo perchè al lavoro sono parecchio incasinato, mi spiace.

Appena riesco magari metto sù gns3 le tue conf e provo a vedere cosa succede.

Rizio
Si vis pacem para bellum
Avatar utente
zot
Messianic Network master
Messaggi: 1274
Iscritto il: mer 17 nov , 2004 1:13 am
Località: Teramo
Contatta:

Le rotte sul PIX ???
Anche se leggo "OSPF" da qualche parte, non ne leggo la configurazione, ergo devi mettere sul PIX le rotte per le reti "LAN"...
Se c'è soluzione perchè t'arrabbi?
Se non c'è soluzione perchè t'arrabbi?


http://www.zotbox.net
Rispondi