vpn tra pix515e e pix501

[rrroberto]

Ok, tutto va, ultimo problema

Più di ordine tcp/ip generico che altro...

Nella sede dove ho il 515 ho una linea fisica dedicata che mi connette ad un'altra sede dove ho degli altri server.
Più o meno ho

Rete A (pix 501) (router A) ===VPN=== (router B1) (pix 515) Rete B (router B2) ===Linea dedicata===(router C1) Rete C

Ora, io devo poter vedere dalla rete A la rete C.

Ho provato a impostare una route su a dove dico che il gateway per rete c è B2, ma evidentemente non è sufficiente.
Forse lo devo mettere su B1?

[MaiO]

Sia PIX sia B1 che B2 C1 devo conscere le rotte per poter "rispondere" ai pachetti. La cosa idael nel caso tuo sarebbe prendere un'altra interfaccia per il pix e collegarci il router B2.



Ciao

[rrroberto]

uhm?
effettivamente il mio pix 515 ha 2 interfacce
sulla wan c'è il router verso internet b1.
il router b2 è sull'interfaccia lan del pix.

ora ho messo
sul 501
route outside <rete c> <mask c> <indirizzo pix 515>
sul 515
route inside <rete c> <mask c> <indirizzo b2>.

ho lanciato una richiesta per farlo anche sui router che purtroppo non sono miei ma del provider...

[rrroberto]

se può essere utile, io dalla rete b riesco già tranquillamente a vedere la rete c e viceversa.
questo è già attivo e funzionante da tempo. il problema ora è soltanto connettere la rete a, cioè quella collegata via vpn.

[MaiO]

sia sul b2 che sul c1 devi inserire le rotte statiche verso la rete in vpn.

del tipo sul router c1 ci dovrebbe essere qualcosa di genere

ip route 10.10.10.0 255.255.255.0 10.10.9.1 1

dove 10.10.10.0 e la rete dietro la vpn e il 10.10.9.1 è l'indirizzo della inside del pix.

Riguardo al pix intendevo la terza interfaccia sulla quale collegare il router b2.

Ciao

(ooo questi tip altro che birra, pizza + birra lol )

[rrroberto]

il b2 è storicamente collegato sul lato lan perché effettivamente è spuntato prima b2 del pix 515. non ci dev'essere nessun filtro su quel collegamento, e visto che è già lentino di suo se gli evito un passaggio tutto sommato credo che gli faccia anche bene.

lasciamo stare c1 e b2 che purtroppo non sono miei, pensiamo ai 2 pix che fanno la vpn.
il 501 tra l'altro è anche default gateway per la sua rete (a)
il 515 invece funge solo da gateway per la vpn.

è corretto che nel pix 501
metta
route outside <rete c> <mask c> <indirizzo pix 515>
e nel 515
route inside <rete c> <mask c> <indirizzo b2>.

ci sta anche il dolce e il limoncello

grazie ancora

[rrroberto]

scusa eh ma più ci penso più me ne vengono

come faccio ad accedere al pdm o meglio telnet del pix 501 dalla rete del 515?
adesso sono accessibili soltanto dalla sua stessa rete.
come faccio ad abilitare l'accesso sui client vpn?

ps: da quando ho fatto su la vpn il pdm non va più, dice che ci sono delle impostazioni che non riesce a utilizzare, riguardo multiple use of a access list, e funziona solo in monitoring. è normale?

[MaiO]

lasciamo stare c1 e b2 che purtroppo non sono miei

Allora se non puoi intervenire sul B2 e il C1 non riuscirai mai a raggiungere la rete che sta dietro il PIX 501, inquanto loro non sapranno mai a chi e in che modo devono inoltrare la risposta ai pachetti che gli arrivano e verranno scartati (o mandati al default gateway).

Percio...

o ti fai aggiungere delle rotte statiche
o cambi i router o la modalità d'accesso a quelle reti

Spero di essere stato chiaro


Ciao

[rrroberto]

c1 e b2 li lascio stare nel senso che non posso intervenire direttamente, ho già mandato la richiesta al provider per farle aggiungere, e ci penseranno loro, io volevo valutare quello che devo fare io.

Grazie
Ciao

[MaiO]

Perche non fai una vpn tra il pix 515 e il c1???

Manda a c...... il provider

ciao

[rrroberto]

no dai seriamente, se io ho i miei router
A-----vpn-----B1--lan--B2-----cdn-----C
e devo instradare da A a C
di volta in volta
devo indicare come router per quella rete il router definitivo o quello più prossimo?
cioè in A per la rete di C, come gateway devo indicare B1? o direttamente C?
e poi a questo punto, ma è ammissibile che un gateway sia su una subnet diversa?
per cui se io devo dire ad A che il suo gw per la rete C è B1, dove B1 è collegato via vpn e non ha un'interfaccia sulla rete di A (no vero?) (no che non ce l'ha) non è un problema?
cioè metti che l'ip di A sia 10.0.0.1/24 e quello di B1 sia 10.0.1.1/24 e quello di C 10.0.2.1/24
possi dire su A route outside 10.0.2.0 255.255.255.0 10.0.1.1?

ciao
grazie

[rrroberto]

considerazione generale:
il thread è stato giustamente spostato nel forum vpn... ma di là mi pare che non scriva né legga nessuno