Ho un problema con un pix e515!!!! E' installato con la versione a 6 interfacce!!!
1 Inside
2 Outside
3 DMZ
4 ?????????????????????????????????????????
5 down
6 down
La quarta interfaccia é a tutti gli effetti un'altra linea esterna!!!
In questo momento sulla outside, girano: il proxy e il server MAIL!!!!
Sulla rete 4 sono definite due rotte per raggiungere tramite PAT queste due reti da tutti i PC della rete INSIDE!!!
Come gateway del PIX ovviamente vi è impostato il router sull'interfaccia OUTSIDE!!!
Come potrei fare a: lasciar nattati i pc sull'interfaccia 4 per raggiungere le due reti, girare il proxy e MAIIL sull'interfaccia 4, e lasciare l'interfaccia OUTSIDE per le connessione VPN già attive lì???
PS. il problema più grosso vi è nelle rotte di instradamento. Se giro il proxy e quindi anche il gateway sulla linea 4, l'interfaccia OUTSIDE non è più raggiungibile dall'esterno!!!
COME posso fare!!!
HELP!!!
Ciao!!!
Cisco PIX, routig per VPN!!
Moderatore: Federico.Lagni
-
MrCisco
- Cisco pathologically enlightened user
- Messaggi: 202
- Iscritto il: mar 29 giu , 2004 12:12 pm
Ok, penso di aver capito il problema ma prima di azzardare risposte, vorrei riepilogare e chiederti conferma:
LINEA 1 (INSIDE) : collegata ai PC;
LINEA 2 (OUTSIDE) : collegata a un proxy e un server mail. Questa linea è anche il default gateway del PIX;
LINEA 3 (DMZ) : presumo ci saranno dei server;
LINEA 4 (EXT) : c'è una linea esterna
Allora, ci sono un paio di cose che non capisco.
Scusami, so di essere tardo, ma a me le cose vanno spiegate come se avessi 5 anni...
A proposito, potrebbe essere utile se tu postassi uno schema, magari usando http://mesh.dl.sourceforge.net/sourcefo ... p-0.94.zip
Grazie e scusa ancora
LINEA 1 (INSIDE) : collegata ai PC;
LINEA 2 (OUTSIDE) : collegata a un proxy e un server mail. Questa linea è anche il default gateway del PIX;
LINEA 3 (DMZ) : presumo ci saranno dei server;
LINEA 4 (EXT) : c'è una linea esterna
Allora, ci sono un paio di cose che non capisco.
Cosa vuol dire? Al momento, che giro fanno gli utenti di inside per raggiungere le altre reti?Sulla rete 4 sono definite due rotte per raggiungere tramite PAT queste due reti da tutti i PC della rete INSIDE!!!
Ma non mi avevi detto che sull'OUTSIDE c'era un proxy e un server mail? Quale router?Come gateway del PIX ovviamente vi è impostato il router sull'interfaccia OUTSIDE!!!
che reti??Come potrei fare a: lasciar nattati i pc sull'interfaccia 4 per raggiungere le due reti,
Ci sono delle connessioni VPN quindi...e lasciare l'interfaccia OUTSIDE per le connessione VPN già attive lì???
Scusami, so di essere tardo, ma a me le cose vanno spiegate come se avessi 5 anni...
A proposito, potrebbe essere utile se tu postassi uno schema, magari usando http://mesh.dl.sourceforge.net/sourcefo ... p-0.94.zip
Grazie e scusa ancora
-
TheIrish
- Site Admin
- Messaggi: 1840
- Iscritto il: dom 14 mar , 2004 11:26 pm
- Località: Udine
- Contatta:
Wow!
Gran bello schema! Con cosa l'hai fatto?
Non sono molto pratico di PIX, ma penso che la teoria sia analoga ai router.
Quando dici che, una volta effettuata la modifica, le VPN non funzionano vuoi dire che le VPN perdono connettività?
Io ho come il sospetto che le VPN restino dove siano, ma il traffico non venga instradato correttamente. Un default gateway è solo una rotta verso l'ignoto, ma le VPN sono note! Come Default gateway l'interfaccia 4 dovrebbe andare bene, non ti resta che definire le rotte verso le 2 VPN (per ora staticamente, ma suggerisco la soluzione routing).
Spero di aver afferrato il problema, facci sapere che 'sta cosa è intrigante!
Gran bello schema! Con cosa l'hai fatto?
Non sono molto pratico di PIX, ma penso che la teoria sia analoga ai router.
Quando dici che, una volta effettuata la modifica, le VPN non funzionano vuoi dire che le VPN perdono connettività?
Io ho come il sospetto che le VPN restino dove siano, ma il traffico non venga instradato correttamente. Un default gateway è solo una rotta verso l'ignoto, ma le VPN sono note! Come Default gateway l'interfaccia 4 dovrebbe andare bene, non ti resta che definire le rotte verso le 2 VPN (per ora staticamente, ma suggerisco la soluzione routing).
Spero di aver afferrato il problema, facci sapere che 'sta cosa è intrigante!
-
Ditrix
- n00b
- Messaggi: 14
- Iscritto il: mer 22 dic , 2004 6:56 am
Carino è lo schema!!!
Visio 2003, incluso nell'office 2003...
Comunque....
Il problema di fondo è questo: le VPN non sono LAN to LAN, ma HOST to LAN, quindi l'ip del client non è statico, non posso definire rotte per le VPN
!!!!!
Cosa ancora più significativa è che l'ip pubblico dell'interfaccia OUTSIDE, non è raggiungibile dall'esterno, perchè ovviamente una volta effettuato il passaggio del proxy sull'interfaccia 4, il gateway sta lì, e i pacchetti si perdono sull'interfaccia 4 piuttosto che andare sulla OUTSIDE!!!!
Sono finito, non ne uscirò mai!!!! [/b]
Visio 2003, incluso nell'office 2003...
Comunque....
Il problema di fondo è questo: le VPN non sono LAN to LAN, ma HOST to LAN, quindi l'ip del client non è statico, non posso definire rotte per le VPN
!!!!! Cosa ancora più significativa è che l'ip pubblico dell'interfaccia OUTSIDE, non è raggiungibile dall'esterno, perchè ovviamente una volta effettuato il passaggio del proxy sull'interfaccia 4, il gateway sta lì, e i pacchetti si perdono sull'interfaccia 4 piuttosto che andare sulla OUTSIDE!!!!
Sono finito, non ne uscirò mai!!!!
[/b]-
TheIrish
- Site Admin
- Messaggi: 1840
- Iscritto il: dom 14 mar , 2004 11:26 pm
- Località: Udine
- Contatta:
Intendi quelli che sostengono le vpn dall'altro lato? In questo caso si può tunnelizzare RIP (anche se consiglierei EIGRP) perché comunichi con l'altro capo della VPN. E' una cossa un po' complessa ma ti mette a posto anche nei confronti di futuri cambiamenti.
Per questioni di complessità, non mi metterò ad annoiarti sul come abilitarlo, ma c'è tanta di quella documentazione in linea da perderci la testa!
Se dovesse esserci qualche dubbio, mi raccomando, siamo qui!
Per questioni di complessità, non mi metterò ad annoiarti sul come abilitarlo, ma c'è tanta di quella documentazione in linea da perderci la testa!
Se dovesse esserci qualche dubbio, mi raccomando, siamo qui!
