Ciao a tutti,
sono disperato, sono 3 giorni e non riesco a inserire una banalissima route statica sulla lan interna del Pix. Nella mia rete ho 2 default gateway, il primo punta su una linea dedicata Mpls Telecox router cisco837 192.168.1.1 (router che si collega alle altre reti Mpls 192.168.0.X, 192.168.2 ecc) e il secondo è la nostra interfaccia del Pix 506 lato trusted con indirizzo 192.168.1.2. L' altra scheda, la untrusted è connessa su un router cisco 837 con connettivita interbusiness a 8 ip pubblici. I computer connessi alla rete puntano come gateway il pix 192.168.1.2 (Lan trusted del Pix), se richiedono dati alla rete internet passano dalla trusted e vanno sulla untrusted internet, mentre se richiedono di andare su reti private come 192.168.0.1 la route statica mi deve passare le richieste sul defaul gataway Mpls 192.168.1. Questo lavoro prima ero riuscito a farlo fare da un cisco router con questa banalissima stringa:
ip classless
ip route 0.0.0.0 0.0.0.0 ATM0.1
ip route 192.168.0.0 255.255.255.0 192.168.1.1
ip route 192.168.2.0 255.255.255.0 192.168.1.1
ip route 192.168.3.0 255.255.255.0 192.168.1.1
Purtroppo col pix non funziona.....
Per favore mi potete dare una mano?
Grazie e buon lavoro!
Cisco PIX 506 e creare una static route sulla lan interna
Moderatore: Federico.Lagni
-
emanuele.ciani
- Cisco fan
- Messaggi: 62
- Iscritto il: gio 11 mag , 2006 1:47 pm
- Località: Forlì
Penso proprio che il pix non possa fare ridirezione di traffico con route statiche!!!
E' una funzione che la Cisco non ha inserito nei PIX ma ha preferito aggiungere protocolli di routing come rip e OSPF
Quindi se puoi usa come default Gateway il router
Ciao
E' una funzione che la Cisco non ha inserito nei PIX ma ha preferito aggiungere protocolli di routing come rip e OSPF
Quindi se puoi usa come default Gateway il router
Ciao
-
Renato.Efrati
- Holy network Shaman
- Messaggi: 637
- Iscritto il: gio 07 apr , 2005 9:30 pm
- Località: Cisco Systems Inc. West Tasman Drive 170, San Jose CA
- Contatta:
il pix nn e' un router, il pix e' un firewall. pero' sui pc puoi inserire piu' rotte.Quindi o metti le rotte sui pc o usi un router, cmq metti un disegno se puoi cosi' controllo se ho capito bene cm e' fatta la rete.
p.s. hai possibilita' di metter mani sul router mpls? se si metti una default verso il pix e fai direzionare tutto il traffico verso quel router.
p.s. hai possibilita' di metter mani sul router mpls? se si metti una default verso il pix e fai direzionare tutto il traffico verso quel router.
CCIE Routing & Switching # 20567
CCNP R&S - CCNP Sec - CCNP Collaboration - CCNP Datacenter - CCDP - VCP6-DCV
-
maurox
- n00b
- Messaggi: 9
- Iscritto il: lun 03 lug , 2006 11:35 am
- Località: Torino
Grazie per aiuto,
purtroppo non posso mettere mano sul router MPLS...
Ma leggendo nel manuale del PIX ho notato che è possibile inserire route statiche col comando "route".
In un' altra sede dove ho un firewall Zyxel Zywall 35 ho inserito senza nessuna semplicita una route statica dalla configurazione WEB del tipo:
route statica 192.168.0.0 255.255.255.0 192.168.1.1
e funziona alla grande.
Non riesco a capire come un prodotto migliore come è un PIX 506 non èpermette di far euna route statica sulla interfaccia interna....
AIUTO!!!
purtroppo non posso mettere mano sul router MPLS...
Ma leggendo nel manuale del PIX ho notato che è possibile inserire route statiche col comando "route".
In un' altra sede dove ho un firewall Zyxel Zywall 35 ho inserito senza nessuna semplicita una route statica dalla configurazione WEB del tipo:
route statica 192.168.0.0 255.255.255.0 192.168.1.1
e funziona alla grande.
Non riesco a capire come un prodotto migliore come è un PIX 506 non èpermette di far euna route statica sulla interfaccia interna....
AIUTO!!!
-=There is a Crack in Everything =-
-
Renato.Efrati
- Holy network Shaman
- Messaggi: 637
- Iscritto il: gio 07 apr , 2005 9:30 pm
- Località: Cisco Systems Inc. West Tasman Drive 170, San Jose CA
- Contatta:
ti ripeto il pix e' un firewall non un router, e' vero che il pix ha il comando router ma server x instradare i pacchetti qnd deve trovare una rete quindi tu gli specifichi la rete dietro che interfaccia sta, ma non ruota da interfaccia d interfaccia.mi pareva ke dall versione 7 del pix riusciva anche a fare routing base ma nn ne sono sicuro.
CCIE Routing & Switching # 20567
CCNP R&S - CCNP Sec - CCNP Collaboration - CCNP Datacenter - CCDP - VCP6-DCV
-
Maxwell
- Cisco fan
- Messaggi: 57
- Iscritto il: mar 28 feb , 2006 1:50 pm
In effetti quella dello Zyxel non è molto diversa da quella che dovresti:maurox ha scritto:In un' altra sede dove ho un firewall Zyxel Zywall 35 ho inserito senza nessuna semplicita una route statica dalla configurazione WEB del tipo:
route statica 192.168.0.0 255.255.255.0 192.168.1.1
route outiside 0 0 ip_cisco837_8ip
route inside 192.168.0.0 255.255.255.0 192.168.1.1 1
route inside 192.168.2.0 255.255.255.0 192.168.1.1 1
Includendo la nat
nat (inside) 1 192.168.0.0 255.255.0.0
Ad ogni modo google ci insegna che la vita non richiede particolari conoscenze, se non quella di usare ...google :))
- http://www.cisco.com/warp/public/110/19b.html
-
maurox
- n00b
- Messaggi: 9
- Iscritto il: lun 03 lug , 2006 11:35 am
- Località: Torino
Grazie mille,
è proprio quello lo scenario che devo creare.
Adesso mi metto a configurare il router con queste dritte...
Io uso molto google ma a quel documento non ci sono arrivato :'(
Eroi sicuro che si potesse fare questa configurazione!
Ti faccio sapere....
WORKING IN PROGRESS!
lol
è proprio quello lo scenario che devo creare.
Adesso mi metto a configurare il router con queste dritte...
Io uso molto google ma a quel documento non ci sono arrivato :'(
Eroi sicuro che si potesse fare questa configurazione!
Ti faccio sapere....
WORKING IN PROGRESS!
lol
-=There is a Crack in Everything =-
-
Renato.Efrati
- Holy network Shaman
- Messaggi: 637
- Iscritto il: gio 07 apr , 2005 9:30 pm
- Località: Cisco Systems Inc. West Tasman Drive 170, San Jose CA
- Contatta:
non fa routing cmq... ma nat
CCIE Routing & Switching # 20567
CCNP R&S - CCNP Sec - CCNP Collaboration - CCNP Datacenter - CCDP - VCP6-DCV
-
maurox
- n00b
- Messaggi: 9
- Iscritto il: lun 03 lug , 2006 11:35 am
- Località: Torino
Configurazione Pix 506:
PIX Version 6.3(5)
interface ethernet0 auto
interface ethernet1 auto
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside 85.42.xxx.xxx 255.255.255.248
ip address inside 192.168.1.2 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 1 85.42.xxx.xxx-85.42.xxx.xxx
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
route outside 0.0.0.0 0.0.0.0 85.42.xxx.xxx 1
route inside 192.168.0.0 255.255.255.0 192.168.1.1 1
route inside 192.168.2.0 255.255.255.0 192.168.1.1 1
route inside 192.168.3.0 255.255.255.0 192.168.1.1 1
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd address 192.168.1.50-192.168.1.100 inside
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd enable inside
terminal width 80
Cryptochecksum:ca31095379c5810de97a965d51bc097e
: end
pixfirewall#
pixfirewall#
pixfirewall# write
Not enough arguments.
Usage: write erase|floppy|mem|terminal|standby
write net [<tftp_ip>]:<filename>
pixfirewall# write memory
Building configuration...
Cryptochecksum: 863ea869 2515bd3b d19814dd 14e753a1
[OK]
pixfirewall#
Configurazione Cisco 837 Defaul Gatawey:
!
version 12.3
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname xxxxxxxxxxx
!
boot-start-marker
boot-end-marker
!
memory-size iomem 5
security authentication failure rate 3 log
security passwords min-length 6
logging buffered 51200 debugging
logging console critical
enable secret 5 xxxxxxxxxx
!
clock timezone PCTime 1
clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00
no aaa new-model
ip subnet-zero
no ip source-route
!
!
!
!
ip tcp synwait-time 10
ip cef
ip domain name interbusiness.it
ip name-server 151.99.125.2
ip name-server 151.99.0.100
no ip bootp server
ip ips po max-events 100
ip ssh time-out 60
ip ssh authentication-retries 2
no ftp-server write-enable
!
!
username administrator privilege 15 secret 5 xxxxxxxxxxxxxx
!
!
no crypto isakmp ccm
!
!
!
interface Ethernet0
description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-Ethernet 10/100$$ES_LAN$$FW_INSI
DE$
ip address 85.42.xxx.xxx 255.255.255.248
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
hold-queue 100 out
!
interface ATM0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
description $ES_WAN$$FW_OUTSIDE$
ip address 85.46.xxx.xxx 255.255.255.252
pvc 8/35
encapsulation aal5snap
!
!
interface FastEthernet1
duplex auto
speed auto
!
interface FastEthernet2
duplex auto
speed auto
!
interface FastEthernet3
duplex auto
speed auto
!
interface FastEthernet4
duplex auto
speed auto
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.1.2
ip route 192.168.0 255.255.255.0 ATM0.1
ip route 192.168.2 255.255.255.0 ATM0.1
ip route 192.168.3 255.255.255.0 ATM0.1
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 5 life 86400 requests 10000
!
!
logging trap debugging
no cdp run
!
!
control-plane
!
banner login ^CAuthorized access only!
Disconnect IMMEDIATELY if you are not an authorized user!^C
!
line con 0
login local
no modem enable
transport output telnet
line aux 0
login local
transport output telnet
line vty 0 4
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
scheduler interval 500
end
PIX Version 6.3(5)
interface ethernet0 auto
interface ethernet1 auto
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside 85.42.xxx.xxx 255.255.255.248
ip address inside 192.168.1.2 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 1 85.42.xxx.xxx-85.42.xxx.xxx
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
route outside 0.0.0.0 0.0.0.0 85.42.xxx.xxx 1
route inside 192.168.0.0 255.255.255.0 192.168.1.1 1
route inside 192.168.2.0 255.255.255.0 192.168.1.1 1
route inside 192.168.3.0 255.255.255.0 192.168.1.1 1
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd address 192.168.1.50-192.168.1.100 inside
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd enable inside
terminal width 80
Cryptochecksum:ca31095379c5810de97a965d51bc097e
: end
pixfirewall#
pixfirewall#
pixfirewall# write
Not enough arguments.
Usage: write erase|floppy|mem|terminal|standby
write net [<tftp_ip>]:<filename>
pixfirewall# write memory
Building configuration...
Cryptochecksum: 863ea869 2515bd3b d19814dd 14e753a1
[OK]
pixfirewall#
Configurazione Cisco 837 Defaul Gatawey:
!
version 12.3
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname xxxxxxxxxxx
!
boot-start-marker
boot-end-marker
!
memory-size iomem 5
security authentication failure rate 3 log
security passwords min-length 6
logging buffered 51200 debugging
logging console critical
enable secret 5 xxxxxxxxxx
!
clock timezone PCTime 1
clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00
no aaa new-model
ip subnet-zero
no ip source-route
!
!
!
!
ip tcp synwait-time 10
ip cef
ip domain name interbusiness.it
ip name-server 151.99.125.2
ip name-server 151.99.0.100
no ip bootp server
ip ips po max-events 100
ip ssh time-out 60
ip ssh authentication-retries 2
no ftp-server write-enable
!
!
username administrator privilege 15 secret 5 xxxxxxxxxxxxxx
!
!
no crypto isakmp ccm
!
!
!
interface Ethernet0
description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-Ethernet 10/100$$ES_LAN$$FW_INSI
DE$
ip address 85.42.xxx.xxx 255.255.255.248
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
hold-queue 100 out
!
interface ATM0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
description $ES_WAN$$FW_OUTSIDE$
ip address 85.46.xxx.xxx 255.255.255.252
pvc 8/35
encapsulation aal5snap
!
!
interface FastEthernet1
duplex auto
speed auto
!
interface FastEthernet2
duplex auto
speed auto
!
interface FastEthernet3
duplex auto
speed auto
!
interface FastEthernet4
duplex auto
speed auto
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.1.2
ip route 192.168.0 255.255.255.0 ATM0.1
ip route 192.168.2 255.255.255.0 ATM0.1
ip route 192.168.3 255.255.255.0 ATM0.1
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 5 life 86400 requests 10000
!
!
logging trap debugging
no cdp run
!
!
control-plane
!
banner login ^CAuthorized access only!
Disconnect IMMEDIATELY if you are not an authorized user!^C
!
line con 0
login local
no modem enable
transport output telnet
line aux 0
login local
transport output telnet
line vty 0 4
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
scheduler interval 500
end
-=There is a Crack in Everything =-
-
Maxwell
- Cisco fan
- Messaggi: 57
- Iscritto il: mar 28 feb , 2006 1:50 pm
Ma a te funziona ? :)maurox ha scritto:Sto configurando gli apparati e incollerò le configurazioni degli apparecchi.
Assurdo, adesso sono io che ho problemi.. pur credendo di non aver tralasciato nulla.
La situazione è la seguente:
in cui da un punto 10.10.10.5 cerco di raggiungere il punto 10.10.11.2 attraverso il pix come gw, quest'ultimo configurato con una route inside in modo da fare forward su 10.10.10.100 per tutte le richieste 10.10.11.0. La configurazione del pix e' la seguente:
Codice: Seleziona tutto
PIX Version 6.3(5)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password bla bla encrypted
passwd bla bla encrypted
hostname PrimaryPix501
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
access-list 90 permit icmp any any
access-list no-nat permit ip 10.10.10.0 255.255.255.0 host 192.168.1.100
access-list no-nat permit ip 10.10.10.0 255.255.255.0 host 192.168.1.101
access-list no-nat permit ip 10.10.10.0 255.255.255.0 host 192.168.1.102
access-list no-nat permit ip 10.10.10.0 255.255.255.0 host 192.168.1.103
access-list no-nat permit ip 10.10.10.0 255.255.255.0 host 192.168.1.104
access-list no-nat permit ip 10.10.10.0 255.255.255.0 host 192.168.1.105
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside 192.168.1.2 255.255.255.0
ip address inside 10.10.10.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
ip local pool vpn-pool 192.168.1.100-192.168.1.105
pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list no-nat
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) 192.168.1.3 10.10.10.2 netmask 255.255.255.255 0 0
static (inside,outside) 192.168.1.4 10.10.10.3 netmask 255.255.255.255 0 0
access-group 90 in interface outside
route outside 0.0.0.0 0.0.0.0 192.168.1.1 1
route inside 10.10.11.0 255.255.255.0 10.10.10.100 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 10.10.10.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
crypto ipsec transform-set strong-set esp-3des esp-md5-hmac
crypto dynamic-map my-dynmap 10 set transform-set strong-set
crypto map my-map 10 ipsec-isakmp dynamic my-dynmap
crypto map my-map client configuration address initiate
crypto map my-map interface outside
isakmp enable outside
isakmp nat-traversal 10
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
vpngroup vpn-idea address-pool vpn-pool
vpngroup vpn-idea split-tunnel no-nat
vpngroup vpn-idea idle-time 1800
vpngroup vpn-idea password
vpngroup dns-server idle-time 1800
telnet 10.10.10.0 255.255.255.0 inside
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd address 10.10.10.10-10.10.10.40 inside
dhcpd dns 151.99.125.2 151.99.0.2
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd auto_config outside
dhcpd enable inside
terminal width 80
Cryptochecksum:62cb9ee57e7e0440549b70f7b41e7320
: end
