vpn tra due pix - non riesco a vedere il pix dell'altra sede

rrroberto · gio 25 ott , 2007 2:45 pm

Ho una vpn tra 2 pix, configurata come da esempio cisco (http://www.cisco.com/warp/public/110/38.html)

con una crypto map associata ad una access list per instradare il traffico all'altro capo della vpn.

funziona tutto perfettamente ma non capisco una cosa: perché non riesco a raggiungere il pix dall'altro capo della vpn? non riesco né a pingarlo né a connettermi in nessun modo.

mi sfugge il senso della cosa. l'altra rete viene trattata come inside o outside?

Un suggerimento?
Grazie
Roberto

rrroberto · gio 25 ott , 2007 2:52 pm

scusate non sono stato molto chiaro:
per raggiungere l'altro pix intendo alla sua interfaccia interna.
per cui se ho
RETE1--PIX1==(tunnel ipsec)==PIX2--RETE2

io vorrei da una macchina di rete1 collegarmi all'interfaccia interna di pix2 (con pdm, telnet, o semplice ping di test), e viceversa, da una macchina di rete1 all'interfaccia interna del pix1.

Wizard · gio 25 ott , 2007 3:14 pm

Codice: Seleziona tutto

conf t
management-access inside

rrroberto · gio 25 ott , 2007 3:55 pm

Ti ringrazio, ma rimane metà problema.

Uno dei due firewall è più recente (ver 6.3(5)) e accetta il comando.
L'altro invece invece (ver 6.1(4)) non lo accetta.

Codice: Seleziona tutto

# management-access inside
Type help or '?' for a list of available commands.

Effettivamente sul sito della Cisco dice che è un comando dalla 6.3 in avanti.
Esiste un modo per farlo con una versione precedente?

Grazie

Wizard · gio 25 ott , 2007 4:11 pm

6.1(4)

Sei impazzito?! E' come avere un antivirus con le definizioni di 5 anni fa...non serve a niente...
Aggiornalo subito alla 6.3.5 almeno!

rrroberto · ven 26 ott , 2007 8:49 am

Sì lo so, è una cosa che propongo ogni tot ma non mi passano mai, per cui quando me lo faranno passare lo farò.

Intanto, aiutami a risparmiarmi un po' di viaggi avanti e indietro per andare a toccare la configurazione di quella macchina lì, non si sa mai che con quello che risparmiano sulle trasferte decidano di aggiornare il firewall

Wizard · ven 26 ott , 2007 8:58 am

Gestiscilo da remoto via ssh puntando al ip pubblico...
Se configuri l'accesso solo dal tuo ip è cmq sicuro

rrroberto · ven 26 ott , 2007 9:02 am

Si questo è quello che sto già facendo.
Quindi mi confermi comunque che non c'è maniera di attivare PDM e icmp sull'interfaccia interna da VPN?
Ti ringrazio per tutto,
Ciao
Roberto

Wizard · ven 26 ott , 2007 9:37 am

Vai in terminal su un server dietro al pix con ios vecchia e da li accedi al firewall

vpn tra due pix - non riesco a vedere il pix dell'altra sede

Login • Iscriviti