pix 501: doppia numerazione su server inside

ctux · mer 19 set , 2007 9:47 am

Buongiorno a tutti!

Ho la necessita' di rendere raggiungibile una macchina nella inside di un PIX 501 tramite due indirizzi IP. (Questo temporaneamente, per una attivita' di rinumerazione, per permettermi di aggiornare tutti i puntamenti DNS dal vecchio al nuovo ip con un po' di calma...

I due indirizzi (pubblici) sono:
OLD: A.B.c.2 su nm 255.255.255.0
NEW: A.B.x.181 su nm 255.255.255.240

Ho configurato l'interfaccia di rete del server interno con 2 indirizzi ip privati con l'idea di implementarci sopra due distinte nat:
192.168.1.2
192.168.1.181

Codice: Seleziona tutto

ip address outside A.B.c.5 255.255.255.0
ip address inside 192.168.1.1 255.255.255.0
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) A.B.c.2 192.168.1.2 netmask 255.255.255.255 0 0
static (inside,outside) A.B.x.181 192.168.1.181 netmask 255.255.255.255 0 0
access-group outside_access_in in interface outside
access-group inside_access_in in interface inside
route outside 0.0.0.0 0.0.0.0 A.B.c.1 1
route outside A.B.x.176 255.255.255.240 A.B.x.177 1

Dal pix pingo tranquillamente la macchina interna su entrambe le numerazioni:

pix-test# ping 192.168.1.2
192.168.1.2 response received -- 0ms
192.168.1.2 response received -- 0ms
192.168.1.2 response received -- 0ms
pix-test# ping 192.168.1.181
192.168.1.181 response received -- 0ms
192.168.1.181 response received -- 0ms
192.168.1.181 response received -- 0ms

Da fuori pero' pingo la macchina solo sulla numerazione 'OLD' ma non su quella 'NEW'... come se il PIX annunciasse all'esterno solo una delle 2 nat implementate.

Nessuno ha qualche dritta al volo su cui farmi lavorare?
(Immagino che il problema sia dato dal fatto che il nuovo IP non sia parte della rete outside del PIX (ip address outside A.B.c.5 255.255.255.0)... giusto?)

Grazie in anticipo!
cTux

Wizard · gio 20 set , 2007 9:51 pm

eh?!
che centra la rete della outside?
Sta rotta percchè la hai: route outside A.B.x.176 255.255.255.240 A.B.x.177 1 ?

ctux · ven 21 set , 2007 4:00 pm

in realta' l'ho buttata li' come tentativo

Pero' ho notato che se metto un IP al pix (ip address outside) della rete NEW raggiungo il server interno tramite la nat con ip NEW, il contrario se metto al PIX un IP della rete OLD.

Qualcuno ha mai provato uno scenario come il mio?

Wizard · lun 24 set , 2007 9:19 am

Chiaro...
Così...il gateway del pix501 è il router della linea vecchia giusto?!
Dato che puoi dare solo una default route al pix l'unica tua soluzione sarebbe quella di avere un router singolo con 2 linee (2 interfaccie), in questo modo tramite nat dalla parte pix riesci a gestire entrambe le linee

ctux · mar 25 set , 2007 5:08 pm

Dopo X tentativi ho risolto il problema con un upgrade dell'IOS, dalla 6.3.1 alla 6.3.5.

La configurazione era corretta, si vede qualche bug nell'IOS .1

Wizard · mer 26 set , 2007 10:40 am

Allora devo avere capito male la tua configurazione...
Ci faresti vedere la config del pix aggiornata?
Grazie

ctux · gio 27 set , 2007 8:31 am

Certo!

Tutto e' nato dal fatto che volevo rendere visibile il mio serverino protetto dietro al PIX tramite due numerazioni pubbliche contemporaneamente, per una esigenza di cambio IP pubblico e per avere un po' di tempo di poter cambiare i puntamenti DNS avendo la macchina raggiungibile sia sul vecchio che sul nuovo ip pubblico.

I due indirizzi (pubblici) sono:
IP_OLD: A.B.c.63 su nm 255.255.255.0
IP_NEW: A.B.x.181 su nm 255.255.255.240

IP_PIX: A.B.c.62

Questo un estratto delle righe piu' significative:

Codice: Seleziona tutto

interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100

access-list inside_access_in permit ip 192.168.1.0 255.255.255.0 any
access-list outside_access_in permit icmp any any
access-list outside_access_in permit tcp any any eq www
access-list outside_access_in permit tcp any any eq 8083

ip address outside A.B.c.62 255.255.255.0
ip address inside 192.168.1.1 255.255.255.0

arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) A.B.c.63 192.168.1.2 netmask 255.255.255.255 0 0
static (inside,outside) A.B.x.181 192.168.1.181 netmask 255.255.255.255 0 0
access-group outside_access_in in interface outside
access-group inside_access_in in interface inside
route outside 0.0.0.0 0.0.0.0 A.B.c.1 1
timeout xlate 0:05:00

aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server TACACS+ (outside) host tacacs-server xxxxxx timeout 5
aaa-server LOCAL protocol local
aaa authentication http console TACACS+
aaa authentication ssh console TACACS+

ssh mio_ip 255.255.255.255 outside
ssh timeout 15
console timeout 0

Wizard · gio 27 set , 2007 8:35 am

In effetti è una config standard...
Strano x la vecchia ios...cmq, tutto è bene quel che finisce bene e aggiornate sempre quando potete!

zbize · ven 19 ott , 2007 8:33 am

Anche io ho lo stesso problema, cioè la gestione di più ip pubblici con un pix 501. Dove hai trovato il bin per l'upgrade del ios?

Mi potete aiutare

grazie

Wizard · ven 19 ott , 2007 10:59 am

Ennesima volta che lo scrivo:

X avere una nuova ios regolare occorre un contratto smartnet con cisco. Questo contratto ha un costo che varia della categoria appartenente e quindi dal tipo di apparato. Il contratto ha validità annuale.

pix 501: doppia numerazione su server inside

Login • Iscriviti