Configurazione di un pix 501 che mi fa impazzire... (Route)

[masterx81]

Ciao a tutti...
Ho un pix che mi sta facendo impazzire...
Questo firewall è posizionato in una rete dove non posso cambiare gli ip delle macchine, nè quelle del router. (network 10.169.2.64 mask 255.255.255.224)
Ovviamente il pix deve avere due subnet diverse per le due interfacce, quindi senza toccare il router ho fatto questo:
ip router: 10.169.2.65 255.255.255.224 (non configurabile)
ip computers: 10.169.2.68 -> 93 255.255.255.224(non configurabile)
interfaccia esterna del firewall: 10.169.2.66 255.255.255.252
interfaccia interna del firewall: 10.169.2.94 255.255.255.224

Facendo così sono riuscito a spezzare in 2 l'unica subnet originaria.
Ha funzionato tutto, ma ora devo fare una modifica:
Si aggiunge un router nell'interfaccia esterna, verso il quale devo reindirizzare tutto il traffico, ed al vecchio gateway devo reindirizzare solo il traffico destinato ad un range particolare di ip (10.0.0.0 255.0.0.0).
Gia' sono a corto di ip nell'interfaccia esterna (64 network, 65 router, 66 ext fw, 67 broadcast), ma so che quella di network 'in teoria' non si puo' usare, ma in pratica si, così ho messo il nuovo router al 10.169.2.64.
Ora non mi resta che fare le route giuste al pix... Ma non mi funziona! Lui utilizza sempre la default route!

Questa è la config:

Codice: Seleziona tutto

interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 inside security100
nameif ethernet1 outside security0
enable password blabla encrypted
passwd blabla encrypted
hostname pix
domain-name ciscopix.com
clock timezone CEST 1
clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
access-list inside_access_in permit icmp any any
access-list inside_access_in permit tcp any any
access-list inside_access_in permit udp any any
access-list inside_access_in permit ip any any
access-list outside_access_in permit icmp any any
access-list outside_access_in deny tcp any any log 4
access-list outside_access_in deny udp any any log 4
access-list outside_access_in deny ip any any log 4
pager lines 24
mtu inside 1500
mtu outside 1500
ip address inside 10.169.2.94 255.255.255.224
ip address outside 10.169.2.66 255.255.255.252
ip verify reverse-path interface outside
ip audit info action alarm
ip audit attack action alarm
pdm location 10.169.2.64 255.255.255.224 inside
pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 10.169.2.64 255.255.255.224 0 0
access-group inside_access_in in interface inside
access-group outside_access_in in interface outside
route outside 0.0.0.0 0.0.0.0 10.169.2.64 1
route outside 10.0.0.0 255.0.0.0 10.169.2.65 1
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
ntp authenticate
ntp server 193.204.114.232 source outside prefer
ntp server 193.204.114.233 source outside
http server enable
http 10.169.2.64 255.255.255.224 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet 10.169.2.64 255.255.255.224 inside
telnet timeout 5
ssh 10.169.2.64 255.255.255.224 inside
ssh timeout 5
console timeout 0
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd auto_config inside
terminal width 80

In teoria la default route 0.0.0.0 la deve usare solo se non ci sono altre route prima, vero?
Oltre al fatto che le route non vanno, c'e' anche un'altra cosa strana, non riesco ad entrarci via web...

Grazie a tutti!!!

[masterx81]

Allora, mi rispondo parzialmente gia' da solo:

La route era sbagliata, doveva essere così:
route outside 0.0.0.0 0.0.0.0 10.169.2.64 1
route inside 10.0.0.0 255.0.0.0 10.169.2.65 1

Pero' ancora non va... Cioè:
La default route funziona, ma se cerco di pingare un host nella sottorete 10.x.x.x non li pinga, ed un traceroute non mi trova neppure il next hop (10.169.2.65)... Strano...

Puo' creare problemi il fatto che il range che devo "routare" (10.0.0.0 255.0.0.0) comprende quello della rete locale (10.169.2.64 255.255.255.224)? Cmq non è questo il problema attuale perchè ho provato anzichè a girare il 10.x.x.x i 74.x.x.x (pingavo alcuni server di google con ip di quel genere) ed il problema mi usciva lo stesso...

In piu' non so ancora perchè l'interfaccia web non vada...

Cosa posso guardare?

Grazie mille!

[Wizard]

X la parte web sicuro di non avere problemi con la jvm?
Purtroppo il pdm con le ultime versioni non va...
Di sicuro funziona con la 1.4.2

[masterx81]

Jvm sono a posto, il problema è proprio che non riesco a raggiungere il servizio web (pagina on disponibile!).
Mah, alla fine l'interfaccia web è l'ultimo dei miei problemi...

Mi interessa sopratutto capire perchè non vanno le route...

Hai qualche idea tu?

Grazie!

[Wizard]

X https dovrebbe andare...
Per le route direi che è "route outside ..." non "route inside ..."
Il router è nella subnet della int outside non della inside!
Se fosse nella inside nn andrebbe x forza! Il pix nn fa same interface routing!

[masterx81]

Cavolo, mi hai risolto tutto!

Allora, non avevo ancora provato a raggiungerlo con l'https, ed effettivamente ci entra. Io pensavo che con i comandi

Codice: Seleziona tutto

http server enable
http 10.169.2.64 255.255.255.224 inside

potessi entrarci anche da http.. Invece solo http non ci entra...

Per le route... Avevo gia' provato con l'outside, ma non funzionava.
Ora ho provato ad allargare la subnet in dmz (quella che era in 252) ed utilizzare un indirizzo che non fosse quello di network (ho messo la mask a 248, ed ip del router anzichè a 64 l'ho messo 67), e la route ouside ha funzionato! Effettivamente il tutto ha senso. Probabilmente l'indirizzo di network non puo' proprio essere utilizzato...
Ora fa tutto quello che dovrebbe, le route funzionano bene (verificato col traceroute).

Per controprova ora provo a rimettere la mask 252...

Attualmente il pix è messo in una rete 'di prova', a vorrei, se possibile evitare di modificare le mask/ip gia' presenti... Se no mi tocca girare per tutti i pc... L'unico che non posso toccare è il 65... E' un apparato preconfigurato...

Grazie mille Wizar per avermi aperto gli occhi! Come direbbe (disse ) "Joliet" Jake Blues (John Belushi ) : HO VISTO LA LUCE!!!

Grazie mille Wizard!!!

[masterx81]

Ok, infatti...
Usando il 64 non va nulla...

Tutto a posto, grazie ancora!!!!