Jump to content
Sign in to follow this  
mupp

PIX501 NATen

Recommended Posts

Hallo zusammen,

 

ich würde gerne folgendes Szenario mit meinen PIXen (501 v.6.3(5)125) abbilden:

 

192.168.0.2/24

CLIENT-A

.

.

.

192.168.0.1/24

INSIDE PIX-A

OUTSIDE PIX- A

172.27.0.1/24

.

.

SWITCH / VPN Simuliert

.

.

172.27.1.1/24

OUTSIDE PIX-B

INSIDE PIX-B

192.168.1.1/24

.

.

.

CLIENT-B

192.168.1.2/24

Share this post


Link to post
Share on other sites

Leider funktioniert meine NAT Konfig nicht, vielleicht kann mir jemand weiterhelfen?

 

Verkürzte Schreibweise PIX-A:

 

access-list VPN-A-SITE permit ip 192.168.0.0 255.255.255.0 192.168.1.0 255.255.255.0
access-list acl-nat permit ip 192.168.0.0 255.255.255.0 192.168.1.0 255.255.255.0

 

ip address outside 172.27.0.1 255.255.255.0
ip address inside 192.168.0.1 255.255.255.0

 

global (outside) 1 172.27.0.254
nat (inside) 1 access-list acl-nat 0 0
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) 172.27.0.254 192.168.0.2 netmask 255.255.255.255 0 0
route outside 0.0.0.0 0.0.0.0 172.27.1.0 1

 

Verkürzte Schreibweise PIX-B:

 

access-list VPN-A-SITE permit ip 192.168.1.0 255.255.255.0 192.168.0.0 255.255.255.0
access-list acl-nat permit ip 192.168.1.0 255.255.255.0 192.168.0.0 255.255.255.0

 

ip address outside 172.27.1.1 255.255.255.0
ip address inside 192.168.1.1 255.255.255.0

 

global (outside) 1 172.27.1.254
nat (inside) 1 access-list acl-nat 0 0
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) 172.27.1.254 192.168.1.2 netmask 255.255.255.255 0 0
route outside 0.0.0.0 0.0.0.0 172.27.0.1 1

Share this post


Link to post
Share on other sites

OUTSIDE PIX- A [/b]

172.27.0.1/24

.

.

SWITCH / VPN Simuliert

.

.

172.27.1.1/24

OUTSIDE PIX-B

 

Ein Switch und 2 verschiedene Netze. Ich zweifle generell mal an deiner IP Konnektivitaet.

Share this post


Link to post
Share on other sites

Hallo Wordo,

 

ich habe mein Szenario mit dem Befehl "static (inside,outside)" gelöst..

Ich stehe aber jetzt vor ein anderes Problem:

 

[...]

access-list from_out permit icmp any any echo-reply

access-list from_out permit icmp any any unreachable

access-list from_out permit icmp any any time-exceeded

access-list from_out permit ip host 62.XX.XX.XX any

access-list from_in permit ip 172.XX.XX.XX 255.255.255.0 any

pager lines 22

logging on

logging buffered notifications

logging trap errors

logging history critical

logging facility 17

logging host outside 62.XX.XX.XX

logging message 611102 level critical

logging message 605004 level critical

logging message 111004 level critical

mtu outside 1500

mtu inside 1500

ip address outside 172.27.21.98 255.255.255.248

ip address inside 172.17.4.253 255.255.255.0

ip audit info action alarm

ip audit attack action alarm

pdm history enable

arp timeout 14400

static (inside,outside) 172.27.21.100 172.17.4.1 netmask 255.255.255.255 0 0

static (outside,inside) 172.17.4.252 62.XX.XX.XX netmask 255.255.255.255 0 0

access-group from_out in interface outside

access-group from_in in interface inside

route outside 0.0.0.0 0.0.0.0 172.27.21.97 1

[...]

 

Was passiert hier ? Kann ein Verbindung zustande kommen ?

(Auf dem Client mit der IP 172.17.4.1 ist keine Route gesetzt)

 

PIX# sh conn

2 in use, 3 most used

TCP out 172.17.4.252(62.XX.XX.XX):3167 in 172.17.4.1:80 idle 0:01:58 Bytes 0 flags SaAB

TCP out 172.17.4.252(62.XX.XX.XX):1823 in 172.17.4.1:22 idle 0:01:49 Bytes 0 flags SaAB

Share this post


Link to post
Share on other sites

static (inside,outside) 172.27.21.100 172.17.4.1 netmask 255.255.255.255 0 0

 

Der Erste Static Befehl bewirkt doch, dass ich den internen Host 172.17.4.1 unter der IP 172.27.21.100 von "außen" erreichen kann.

 

static (outside,inside) 172.17.4.252 62.40.8.37 netmask 255.255.255.255 0 0

 

Den Zweiten Static Befehl verstehe ich nicht so ganz; in der Literatur finde ich nur die Aussage "static (high/low) low high" das widerspricht aber dem Zweiten static Befehl - oder?

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...