Buongiorno a tutti,
ho un problema che fino adesso non mi è mai sorto.
Come potete vedere dal disegno ho una rete con circa una decina di punti collegati via mpls. La sede "master" ha il collegamento a internet su 2 linee bilanciate e in failover, tutte altre sedi sfruttano la sede master per uscire sul web. Adesso il collegamento a internet presso la sede master è protetto da un pix 515E (7.21), tramite il quale avrei bisogno di creare una VPN con un'altro PIX (6.3.5) via Internet. Finqui nessun problema, creo la "solita" VPN e la rete 10.10.9.0/24 raggiunge la 192.168.144.0/24 e viceversa. Il problema e la domanda sta nel fatto; come faccio a raggiungere dalla 192.168.144.0/24 i host su altre reti tipo 10.10.12.0/24, 10.10.13.0/24 ecc.
Spero di esseremi espresso al quanto più chiaro possibile.
Grazie
Raggiungere "altre" reti via VPN oltre a quella de
Moderatore: Federico.Lagni
-
MaiO
- Messianic Network master
- Messaggi: 1083
- Iscritto il: sab 15 ott , 2005 10:55 am
- Località: Milano
- Contatta:
Non hai i permessi necessari per visualizzare i file allegati in questo messaggio.
-=] MaiO [=-
-
MaiO
- Messianic Network master
- Messaggi: 1083
- Iscritto il: sab 15 ott , 2005 10:55 am
- Località: Milano
- Contatta:
Mi rispondo da solo, magari a qualcuno servira (mi raccomando non fate domade prima di aver cercato almeno nel forum!!!!)
Allora sul PIX nella 10.10.9.0/24 bisogna aggiungere:
access-list outside_20_cryptomap extended permit ip 10.10.9.0 255.255.255.0 192.168.144.0 255.255.255.0
access-list outside_20_cryptomap extended permit ip 10.10.12.0 255.255.255.0 192.168.144.0 255.255.255.0
access-list outside_20_cryptomap extended permit ip 10.10.13.0 255.255.255.0 192.168.144.0 255.255.255.0
access-list outside_20_cryptomap extended permit ip 10.10.14.0 255.255.255.0 192.168.144.0 255.255.255.0
ecc...
bisogna aggiungere pure le rotte statiche:
route inside 10.10.12.0 255.255.255.0 10.10.9.254 1
route inside 10.10.13.0 255.255.255.0 10.10.9.254 1
route inside 10.10.14.0 255.255.255.0 10.10.9.254 1
non dimentichiamoci pure di escludere queste sottoreti dal NAT:
access-list inside_nat0_outbound extended permit ip 10.10.9.0 255.255.255.0 192.168.144.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip 10.10.12.0 255.255.255.0 192.168.144.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip 10.10.13.0 255.255.255.0 192.168.144.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip 10.10.14.0 255.255.255.0 192.168.144.0 255.255.255.0
Sul PIX nella 192.168.144.0/24: aggiungiamo:
access-list outside_cryptomap_20 permit ip 192.168.144.0 255.255.255.0 10.10.9.0 255.255.255.0
access-list outside_cryptomap_20 permit ip 192.168.144.0 255.255.255.0 10.10.12.0 255.255.255.0
access-list outside_cryptomap_20 permit ip 192.168.144.0 255.255.255.0 10.10.13.0 255.255.255.0
access-list outside_cryptomap_20 permit ip 192.168.144.0 255.255.255.0 10.10.14.0 255.255.255.0
access-list inside_outbound_nat0_acl permit ip 192.168.144.0 255.255.255.0 10.10.9.0 255.255.255.0
access-list inside_outbound_nat0_acl permit ip 192.168.144.0 255.255.255.0 10.10.12.0 255.255.255.0
access-list inside_outbound_nat0_acl permit ip 192.168.144.0 255.255.255.0 10.10.13.0 255.255.255.0
access-list inside_outbound_nat0_acl permit ip 192.168.144.0 255.255.255.0 10.10.14.0 255.255.255.0
STOP! Il gioco è fatto, ed è più semplice di quanto pensasi.
Ciao
Allora sul PIX nella 10.10.9.0/24 bisogna aggiungere:
access-list outside_20_cryptomap extended permit ip 10.10.9.0 255.255.255.0 192.168.144.0 255.255.255.0
access-list outside_20_cryptomap extended permit ip 10.10.12.0 255.255.255.0 192.168.144.0 255.255.255.0
access-list outside_20_cryptomap extended permit ip 10.10.13.0 255.255.255.0 192.168.144.0 255.255.255.0
access-list outside_20_cryptomap extended permit ip 10.10.14.0 255.255.255.0 192.168.144.0 255.255.255.0
ecc...
bisogna aggiungere pure le rotte statiche:
route inside 10.10.12.0 255.255.255.0 10.10.9.254 1
route inside 10.10.13.0 255.255.255.0 10.10.9.254 1
route inside 10.10.14.0 255.255.255.0 10.10.9.254 1
non dimentichiamoci pure di escludere queste sottoreti dal NAT:
access-list inside_nat0_outbound extended permit ip 10.10.9.0 255.255.255.0 192.168.144.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip 10.10.12.0 255.255.255.0 192.168.144.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip 10.10.13.0 255.255.255.0 192.168.144.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip 10.10.14.0 255.255.255.0 192.168.144.0 255.255.255.0
Sul PIX nella 192.168.144.0/24: aggiungiamo:
access-list outside_cryptomap_20 permit ip 192.168.144.0 255.255.255.0 10.10.9.0 255.255.255.0
access-list outside_cryptomap_20 permit ip 192.168.144.0 255.255.255.0 10.10.12.0 255.255.255.0
access-list outside_cryptomap_20 permit ip 192.168.144.0 255.255.255.0 10.10.13.0 255.255.255.0
access-list outside_cryptomap_20 permit ip 192.168.144.0 255.255.255.0 10.10.14.0 255.255.255.0
access-list inside_outbound_nat0_acl permit ip 192.168.144.0 255.255.255.0 10.10.9.0 255.255.255.0
access-list inside_outbound_nat0_acl permit ip 192.168.144.0 255.255.255.0 10.10.12.0 255.255.255.0
access-list inside_outbound_nat0_acl permit ip 192.168.144.0 255.255.255.0 10.10.13.0 255.255.255.0
access-list inside_outbound_nat0_acl permit ip 192.168.144.0 255.255.255.0 10.10.14.0 255.255.255.0
STOP! Il gioco è fatto, ed è più semplice di quanto pensasi.
Ciao
-=] MaiO [=-
