30. marts 2006 - 09:15Der er
11 kommentarer og 1 løsning
Cisco 3000 route på inside-interface
Hej eksperter!
Er der nogen der kan fortælle om nedenstående er muligt, og måske hvordan jeg får det til at virke?
Jeg har en Cisco 3000 VPN Concentrator. På indersiden bruger jeg ip-nettet 172.18.0.0 /16, og VPN-concentratoren har ip-adresse 172.18.0.1. Derudover har jeg en dmz-zone, med ip-nettet 172.20.1.0 / 24. Og så har jeg en yderside med en offentlig ip-adresse.
Alle klienter på indersiden har naturligvis 172.18.0.1 som gateway.
Så til problemet: Jeg vil gerne have ciscoen til at route alle pakker til 10.0.0.0 / 8 som den modtager på inderside, tilbage ud på indersiden til 172.18.55.1.
Jeg har prøvet med en static route på følgende måde: outside 10.0.0.0 255.0.0.0 172.18.55.1 1
Men jeg får ikke pakkerne frem på 172.18.55.1
Kan det evt. være at jeg skal en "Access Rule" også?
Er det klienterne på indersiden, der skal nå 10.0.0.0/8, er det vpn klienterne eller både og?
For inderside klienter burde det være nok at tilføje en statisk route. Via webinterface: Configuration/System/IP Routing/Static Routes Hvis du har en access liste på indersiden, skal den selvfølgelig rettes til.
For VPN klienterne, skal 10.0.0.0/8 tilføjes til listen over net, der routes igennem vpn'en, hvis du har split tunnel.
Ser du noget i loggen, når du prøver at pinge noget på 10.0.0.0/8?
Det er kun klienterne på indersiden der skal nå 10.0.0.0/8, IKKE vpn-klienterne.
Det er via webinterfacet jeg har tilføjet den statiske route.
Så vidt jeg kan se har jeg ikke nogen access liste på inderside.
Jeg har lidt svært ved at finde en log. Det eneste jeg synes, at jeg kan finde er en masse grafer. Kan du give mig et hint til hvordan jeg får en log, hvor jeg burde kunne se mine pakker?
Er du sikker på at 172.18.55.1 ved, hvad den skal gøre med pakker til 10.0.0.0/8? Kan du taste en route ind på klienten, der peger mod 172.18.55.1 og derved få pakken frem?
Jeg kan desværre ikke finde "Filterable Event Log" under Monitoring... Den skulle være under Categories, ik?
Jeg ved at 172.18.55.1 ved hvad den skal gøre ved pakkerne... Jeg har testet det ved at add'e routen direkte på en af klienterne, og det virkede fint...
OK. PIX'erne tillader ikke pakker fra et interface at blive routet tilbage på samme interface, så du skal enten have en statisk route på alle 172.18.0.0/16 klienterne eller bruge en anden default gateway. En let måde at komme om det på er, at give pix'en en ny ip, 172.18.0.2, og tilføje 172.18.0.1 som secondary på 172.18.55.1 (men det er ikke nødvendigvis kønt) Et andet alternativ kan være at sætte 172.18.55.1 maskinen/routeren ind mellem 172.18.0.0/16 og PIX'en. Så må du lige "opfinde" et ny net mellem dem.
Der foresvæver mig noget om, at PIX i 7.x rent faktisk tillader at route pakker tilbage igen ad samme interface, men jeg har ikke haft lejlighed til at afprøve det.
Sorry... Jeg synes nu også at jeg var herinde og skive min konklusion senere den aften... Men det er åbenbart ikke kommet med...
Men så får du den lige her igen: Efter at have prøvet alt muligt (også det som ikke gav mening), faldt jeg også over et dokument, hvor der stod at jeg ikke kunne route tilbage på samme interface... Så løsningen bliver at jeg konfigurerer en linux-pc til at være router på LAN.
Men mange tak for hjælpen....
inside - outside - backside - offside... Alt er afprøvet ;-) Men ja, det var selvfølgelig inside der skulle have stået i det oprindelige spørgsmål...
Du kunne jo sikkert have svaret mig med det samme, hvis jeg bare havde haft styr på hvilken cisco-boks jeg sad med... Så pointene er da helt klart dine...
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
