Я настроил VPN-туннель между сайтами, который работает и работает так, как мне хотелось бы. Я настроил постоянные маршруты на компьютерах на каждом конце, которые должны общаться друг с другом. Подсети следующие:

Сайт 1: 10.0.0.0/11 Сайт 2: 192.168.200.0/24

У меня возникают проблемы, когда я пытаюсь получить доступ к сайту 2 с сайта 1 на компьютере с IP-адресом, начинающимся с любого другого значения, кроме 10.0.xx. Например, если мой компьютер настроен с IP 10.0.0.77/11, я могу получить доступ к сайту 2. Если настроен с 10.1.100.1/11, не могу. Мне кажется, что пикс заставляет маску подсети для сайта 1 быть 255.255.0.0 вместо 255.224.0.0.

Кто-нибудь знает, что это так и как это обойти?

Мои текущие конфигурации:

Запуск конфигурации сайта 1:

PIX Version 6.3 (4)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 external security0
nameif ethernet1 inside security100
enable password sdf4536gdsfgsd encrypted
passwd 3425sdfsdfg2345 encrypted
hostname our-side
domain-name
domain.com fixup protocol dns max-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
протокол исправления h323 ras 1718-1719
протокол исправления http 80
протокол исправления rsh 514
протокол исправления rtsp 554
протокол исправления sip 5060
протокол исправления sip udp 5060
протокол исправления скинни 2000
протокол исправления smtp 25
протокол исправления sqlnet 1521
протокол исправления tftp 69
имена
имя 192.168.200.0 их_сети
имя 10.0.0.8
имя svr1
10.0.0.245 имя svr2 10.0.0.248 имя svr3
10.0.0.235
список доступа принтера inside_outbound_nat0_acl разрешение ip 10.0.0.0 255.224.0.0 their_networkpt 255.255.255.0 список доступа external_cry разрешить ip 10.0.0.0 255.224.0.0 их_сеть 255.255.255.0
список доступа external_access_in разрешение tcp их_сеть 255.255.255.0 любой eq www
список доступа external_access_in разрешение tcp их_сеть 255.255.255.0 любой eq https
список доступа external_access_in разрешение tcp.255.255.0 хост.
список доступа домена eq external_access_in разрешение udp their_network 255.255.255.0 хост svr2 домен eq
список доступа external_access_in разрешение udp their_network 255.255.255.0 любой eq ntp
список доступа external_access_in разрешение tcp their_network 255.255.255.0 хост svr3 eq ssh
список доступа external_access_in разрешение icmp their_network 255.255.255.0 любой
список доступа inside_access_network 255.255.255.0 любой список доступа inside_access_in55.0 любой eq-список inside_access_in55.0 любой доступ-список inside_access_in55.1 ftp
access-list inside_access_in разрешить icmp любая их_сеть 255.255.255.0
список доступа inside_access_in разрешение tcp host svr2 their_network 255.255.255.0 eq domain
access-list inside_access_in allow udp host svr2 their_network 255.255.255.0 eq domain
access-list inside_ccess_internet .255.0 eq ssh
access-list inside_access_in allow udp any eq ntp their_network 255.255.255.0
Доступ к списку inside_access_in замечание испрашивается для удаленного управления
списка доступа inside_access_in разрешений ТСРА любого their_network 255.255.255.0 эк 3389
список доступа inside_access_in замечание RSync SVR1 для сборки сервера
списка доступа inside_access_in разрешения TCP хоста SVR1 their_network 255.255.255.0 эк 873
пейджера линии 24
ИКМПА разрешить любой внешний
icmp разрешить любой внутренний
mtu за пределами 1500
mtu внутри 1500
ip-адрес за пределами 219.148.111.77 255.255.255.192
ip-адрес внутри 10.0.0.4 255.224.0.0
ip audit info action alarm
ip audit attack action alarm
pdm location 10.0.0.0 255.224.0.0 inside
pdm расположение их_сети 255.255.255.0 снаружи
ДПМ расположение SVR2 255.255.255.255 внутри
ДПМ расположение SVR1 255.255.255.255 внутри
ДПМ расположение SVR3 255.255.255.255 внутри
ДПМ расположение awe_printer 255.255.255.255 внутри
истории ДПМ позволяют
агр тайм - аут 14400
глобальные (вне) 1 интерфейс
нац (внутри) 0 списка доступа inside_outbound_nat0_acl
физ (внутри) 1 0.0.0.0 0.0.0.0 0 0
группа доступа external_access_in в интерфейсе вне
группы доступа inside_access_in в интерфейсе внутри
маршрута вне 0.0.0.0 0.0.0.0 219.148.111.77 255
тайм-аут xlate 3:00:00
тайм- аут conn 1:00 : 00 полузакрытый 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
тайм-аут h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0: 02:00
тайм-аут uauth 0:05:00 абсолютный
aaa-server TACACS + протокол tacacs +
aaa-server TACACS + max-failed-попыток 3
aaa-server TACACS + deadtime 10
aaa-server RADIUS протокол радиус
aaa-server RADIUS max-неудачных попыток 3
aaa-server RADIUS deadtime 10
aaa-server ЛОКАЛЬНЫЙ протокол локальный
http-сервер включить
http 10.0.0.0 255.224.0.0 внутри
нет snmp-сервера местоположение
нет snmp-сервера контакт
snmp-сервер сообщество общедоступно
нет snmp-сервер включить ловушки
Floodguard включить
крипто ipsec transform-set ESP-3DES -MD5 esp-3des esp-md5-hmac
crypto map outside_map 20 ipsec-isakmp
crypto map outside_map 20 сопоставление адреса external_cryptomap_20
криптокарта outside_map 20 установить равноправный узел 219.148.111.76
криптокарта outside_map 20 установить преобразовать набор ESP-3DES-MD5
криптокарта интерфейс вне
isakmp включить внешний
ключ isakmp ******** адрес 219.148.111.76 netmask 255.255.255.255 no- xauth no-config-mode
isakmp policy 20 аутентификация pre-share
isakmp policy 20 encryption 3des
isakmp policy 20 hash md5
isakmp policy 20 group 2
isakmp policy 20 Life 86400
telnet timeout 5
ssh timeout 5
console timeout 0
username user1 password asdfafddafaf encrypted privilege 15
терминал width 80
Cryptochecksum: 43dfhsd34fghh
: end
[OK]

Запуск конфигурации сайта 2:

PIX версия 6.3 (4)
Интерфейс Ethernet0 100full
интерфейс Ethernet1 100full
nameif Ethernet0 вне security0
nameif Ethernet1 внутри security100
включить зашифрованный пароль iCEghfhgeC10Q80xp
PASSWD iCEghgfhC10Q80xp зашифрована
-их на сторону Вьетнамского имя хост
имя домена domain1.com
Fixup протокол DNS максимальной длиной 512
протокол Fixup FTP 21
протокол исправления h323 h225 1720
протокол исправления h323 ras 1718-1719
протокол исправления http 80
протокол исправления rsh 514
протокол исправления rtsp 554
протокол исправления sip 5060
протокол исправления sip udp 5060
протокол исправления скинни 2000
протокол исправления smtp 25
Fixup протокола SQLNET 1521
Fixup протокола TFTP 69
имен
имя 10.0.0.0 our_network
разрешение списка доступа acl_inside TCP 192.168.200.0 255.255.255.0 хост 219.148.111.76 эк WWW
разрешения доступа к списку inside_outbound_nat0_acl IP - 192.168.200.0 255.255.255.0 255.224.0.0 our_network
Access - list outside_cryptomap_20 allow ip 192.168.200.0 255.255.255.0 our_network 255.224.0.0
access-list outside_access_in allow icmp our_network 255.224.0.0 любые
линии пейджера 24
icmp разрешить любое внешнее
разрешение icmp любое внутреннее
mtu за пределами 1500
mtu внутри 1500
ip-адрес за пределами 219.148.111.76 255.255.255.255.255.255.255.255.255.255.255.255.255.255.255.255 255.192
IP-адрес внутри 192.168.200.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
Расположение pdm 192.160.0.0 255.224.0.0 внутри pdm
location our_network 255.224.0.0 вне
истории pdm enable
arp timeout 14400
global ( external ) 1 interface
nat (inside) 0 access-list inside_outbound_nat0_acl
nat (inside ) 1 0.0.0.0 0.0.0.0 0 0
группа доступа external_access_in в интерфейсе вне
маршрута вне 0.0.0.0 0.0.0.0 219.148.111.76 1
тайм-аут xlate 3:00:00
тайм- аут conn 1:00:00 полузакрытый 0:10: 00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05: 00 абсолютный
aaa-сервер TACACS + протокол tacacs +
aaa-server TACACS + макс-неудачных попыток 3
aaa-server TACACS + deadtime 10
aaa-server радиус протокола RADIUS
aaa-server RADIUS max-failed-попыток 3
aaa-server RADIUS deadtime 10
aaa-server ЛОКАЛЬНЫЙ протокол локальная
проверка подлинности aaa Консоль SSH ЛОКАЛЬНЫЙ
http сервер включить
http наша_сеть 255.224.0.0 за пределами
http 192.168.200.0 255.255.255.0 внутри
нет snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permission-ipsec
crypto ipsec transform-set ESP -3DES-MD5 esp-3des esp-md5-hma
криптокарта external_map 20 ipsec-isakmp
криптокарта outside_map 20 сопоставить адрес outside_cryptomap_20
криптокарта outside_map 20 установить равноправный узел 219.148.111.77
криптокарта external_map 20 установить преобразовать-установить ESP-3DES-MD5
криптокарта интерфейс
outside_map вне isakmp включить внешний
ключ isakmp ******** адрес 219.148. 111.77 netmask 255.255.255.255 no-xauth no-c onfig-mode
isakmp policy 20 аутентификация pre-share
isakmp policy 20 encryption 3des
isakmp policy 20 hash md5
isakmp policy 20 group 2
isakmp policy 20 life 86400
telnet timeout 5
ssh 192.168.200.0 255.255.255.255.255.255.255.255.255.255.255.255.255.255.255.255.255.255.255.255.255.255.255. 255.0 внутри
ssh timeout 60
console timeout 0
имя пользователя user1 пароль tjqqn / L / teN49dfsgsdfgZbw зашифрованные привилегии 15
ширина терминала 80
Cryptochecksum: bf200a9175be27sdfgsfdgdb91320d6df7ce5b21
: end

Я не вижу неправильных масок, но могу не замечать этого.

Спасибо

Камми

answer

Я не особо разбирался в PIX, но мне интересно, нужен ли "ip classless" с обеих сторон? У меня были любопытные проблемы с устройствами IOS, которые выбирали нечетные сетевые маски с полным классом (или, по крайней мере, с границами октетов) из-за их отсутствия.

На первый взгляд все в порядке. Я сравнил его с моей конфигурацией Pic (515E), и они выглядят очень похоже. Замечу, что вы использовали sysopt connection permission-ipsec в their_network, но не в our_network. Предположительно вы хотите ограничить доступ к своей центральной LAN с удаленного конца. Возможно, стоит добавить sysopt connection permission-ipsec просто в качестве теста.

Обычный способ диагностировать это - посмотреть на вывод журнала. Сообщает ли Pix о чем-нибудь полезном при пинге с адреса 10.1.100. * Или с удаленного сайта на адрес 10.1.100. *? Было бы интересно отключить VPN перед проверкой связи, чтобы вы могли видеть любые журналы настройки VPN.

JR