Posté le: Mar Nov 25, 2003 5:47 pm Sujet du message:
Bonjour Papaye,
Merci mais ca marche toujours pas
Voici ma config, si tu vois quelque chose dis le moi parce que là j'en ai marre!!!
Egalement j'ai un autre probléme.
Tu sais que j'ai un serveur Web sur la DMZ celui ci est accessible depuis l'exterieur mais
lui ne peut pas acceder à l'exterieur(http,smtp,...)
Pourtant j'ai l'ACL
access-list dmz_access permit tcp host 192.168.0.2 any
ou 192.168.0.2 est l'adresse de mon serveur Web
Quel est le probléme, je ne vois pas?
Merci encore pour ton aide précieuse
A bientôt
[size=1]
Building configuration...
: Saved
:
PIX Version 6.3(1)
interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 auto
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security50
enable password NuLKvvWGg.x9HEKO encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname Pix1
domain-name LAFAMOB
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
names
name 10.197.197.252 lafaproxy
access-list inside_outbound_nat0_acl permit ip 10.197.197.0 255.255.255.0 172.16.40.0 255.255.255.0
access-list acl_outside permit tcp any host x.x.x.x eq www
access-list acl_outside deny ip any any
access-list acl_inside permit tcp host lafaproxy any eq www
access-list acl_inside deny tcp 10.197.197.0 255.255.255.0 any eq www
access-list acl_inside permit ip any any
access-list dmz_access permit tcp host 192.168.0.2 any
access-list dmz_access deny ip any any
pager lines 24
logging buffered debugging
logging trap debugging
logging host inside 10.197.197.213
mtu outside 1500
mtu inside 1500
mtu dmz 1500
ip address outside x.x.x.x 255.255.255.248
ip address inside 10.197.197.1 255.255.255.0
ip address dmz 192.168.0.1 255.255.255.0
ip verify reverse-path interface outside
ip verify reverse-path interface inside
ip verify reverse-path interface dmz
ip audit info action alarm
ip audit attack action alarm
ip local pool pool_vpn 172.16.40.1-172.16.40.254
pdm history enable
arp timeout 14400
global (outside) 1 x.x.x.x
global (dmz) 1 192.168.0.100-192.168.0.200
nat (inside) 0 access-list inside_outbound_nat0_acl
nat (inside) 1 10.197.197.0 255.255.255.0 0 0
nat (dmz) 1 192.168.0.0 255.255.255.0 0 0
static (dmz,outside) x.x.x.x 192.168.0.2 netmask 255.255.255.255 0 0
static (inside,dmz) 192.168.0.12 10.197.197.2 netmask 255.255.255.255 0 0
static (inside,dmz) 192.168.0.14 10.197.197.4 netmask 255.255.255.255 0 0
access-group acl_outside in interface outside
access-group acl_inside in interface inside
access-group dmz_access in interface dmz
route outside 0.0.0.0 0.0.0.0 x.x.x.x 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
http server enable
http 10.197.197.4 255.255.255.255 inside
http 10.197.197.142 255.255.255.255 inside
http 10.197.197.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
crypto ipsec transform-set LAFA_transform esp-3des esp-md5-hmac
crypto dynamic-map LAFA_dyn_map 5 set transform-set LAFA_transform
crypto map LAFA_map 10 ipsec-isakmp dynamic LAFA_dyn_map
crypto map LAFA_map interface outside
isakmp enable outside
isakmp identity address
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
vpngroup Commerciaux address-pool pool_vpn
vpngroup Commerciaux dns-server 10.197.197.4
vpngroup Commerciaux wins-server 10.197.197.4
vpngroup Commerciaux default-domain LAFAMOB
vpngroup Commerciaux idle-time 1800
vpngroup Commerciaux password ********
telnet 10.197.197.16 255.255.255.255 inside
telnet timeout 15
ssh timeout 5
console timeout 0
username administrateur password 7KKG/zg/Wo8c.YfN encrypted privilege 2
terminal width 80
Cryptochecksum:9171e98ae385aa83c31a25e85db26862
: end
[OK]
Inscrit le: 14 Avr 2003 Messages: 167 Localisation: France
Posté le: Mer Nov 26, 2003 9:48 am Sujet du message:
Bonjour
Pour ce qui est du vpn, là j'avoue que je suis en panne d'idées, la conf mentionnée dans ton dernier post etant l'equivalent de ce que j'ai deja mis en place et qui fonctionne parfaitement, test à l'appui !!! ( bizarre cette affaire...le routeur doit y etre pour quelque chose...)
Pour la seconde partie, afin d'autoriser une machine à sortir faire ce qu'elle veut sur l'internet, je mettrais plutot
access-list dmz_access permit ip host 192.168.0.2 any
et pour que les personnes y accedent en http, smtp :
access-list acl_outside permit tcp any host 62.23.118.235 eq www
access-list acl_outside permit tcp any host 62.23.118.235 eq smtp
ce qui fonctionne actuellement dans la conf pour http puisque ça a ete mis...pas de problemes de ce coté là!
Toutes les heures sont au format GMT + 2 Heures Aller à la page Précédente1, 2
Page 2 sur 2
Vous ne pouvez pas poster de nouveaux sujets dans ce forum Vous ne pouvez pas répondre aux sujets dans ce forum Vous ne pouvez pas éditer vos messages dans ce forum Vous ne pouvez pas supprimer vos messages dans ce forum Vous ne pouvez pas voter dans les sondages de ce forum
Probléme de connexion VPN pix 515
