Posté le: Mar Sep 30, 2003 12:38 pm Sujet du message: PIX : Probleme de routage ???
Bonjour,
J'ai un petit sousis avec un PIX 803. J'ai déclaré une route vers le réseau 172.16.0.0 255.240.0.0. Malheuresement dès que j'essai d'y acceder depuis une machine utilisant le PIX comme routeur par défaut, ce réseau reste inaccessible (ping, telnet et autre). Quelqu'un aurait une idée ?
Voici ma config:
PIX Version 6.1(3)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 5hwSJJ/phih8ftTa encrypted
passwd 5hwSJJ/phih8ftTa encrypted
hostname rout-vpn
domain-name sxb.appligos.fr
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
fixup protocol skinny 2000
names
name 81.XX.XX.XX SXB-BLR-GW
name 192.168.0.0 SXB-LOCALNET
name 192.168.2.0 MARNE-LOCALNET
name 192.168.254.0 VPN-LOCALNET
name 87.XX.XX.XX SXB-VPN-GW
name 84.XX.X.XX MARNE-VPN-GW
name 192.168.0.254 rout-vpn
name 213.XX.XX.XX LYON-VPN-GW
name 192.168.69.0 LYON-LOCALNET
access-list nonat permit ip SXB-LOCALNET 255.255.255.0 VPN-LOCALNET 255.255.255.0
access-list nonat permit ip SXB-LOCALNET 255.255.255.0 MARNE-LOCALNET 255.255.255.0
access-list nonat permit ip SXB-LOCALNET 255.255.255.0 LYON-LOCALNET 255.255.255.0
access-list nonat permit ip SXB-LOCALNET 255.255.255.0 172.16.0.0 255.240.0.0
access-list ACL_OUT permit icmp any any
access-list ACL_OUT permit ip SXB-LOCALNET 255.255.255.0 MARNE-LOCALNET 255.255.255.0
access-list ACL_OUT permit ip MARNE-LOCALNET 255.255.255.0 SXB-LOCALNET 255.255.255.0
access-list ACL_OUT permit ip LYON-LOCALNET 255.255.255.0 SXB-LOCALNET 255.255.255.0
access-list ACL_IN permit ip any any
access-list ACL_IN permit icmp any any
access-list ipsec-lyon permit ip SXB-LOCALNET 255.255.255.0 LYON-LOCALNET 255.255.255.0
access-list ipsec-marne permit ip SXB-LOCALNET 255.255.255.0 MARNE-LOCALNET 255.255.255.0
pager lines 24
logging on
logging timestamp
logging monitor debugging
interface ethernet0 auto
interface ethernet1 auto
mtu outside 1500
mtu inside 1500
ip address outside SXB-VPN-GW 255.255.255.240
ip address inside rout-vpn 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
ip local pool vpnclient 192.168.254.1-192.168.254.254
pdm history enable
arp timeout 14400
global (outside) 1 81.1.37.42
nat (inside) 0 access-list nonat
nat (inside) 1 SXB-LOCALNET 255.255.255.0 0 0
access-group ACL_OUT in interface outside
access-group ACL_IN in interface inside
route outside 0.0.0.0 0.0.0.0 SXB-BLR-GW 1
route inside 10.0.0.0 255.0.0.0 192.168.0.250 1
route inside 172.16.0.0 255.240.0.0 192.168.0.250 5
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
tftp-server inside 192.168.0.2 /
no floodguard enable
sysopt connection permit-ipsec
sysopt connection permit-pptp
no sysopt route dnat
crypto ipsec transform-set netopiavpn esp-des esp-md5-hmac
crypto ipsec transform-set std esp-des esp-md5-hmac
crypto dynamic-map dynclient 22 set transform-set std
crypto map ipsec 21 ipsec-isakmp
crypto map ipsec 21 match address ipsec-marne
crypto map ipsec 21 set peer MARNE-VPN-GW
crypto map ipsec 21 set transform-set netopiavpn
crypto map ipsec 22 ipsec-isakmp
crypto map ipsec 22 match address ipsec-lyon
crypto map ipsec 22 set peer LYON-VPN-GW
crypto map ipsec 22 set transform-set netopiavpn
crypto map ipsec interface outside
isakmp enable outside
isakmp key ******** address MARNE-VPN-GW netmask 255.255.255.255
isakmp key ******** address LYON-VPN-GW netmask 255.255.255.255
isakmp identity address
isakmp client configuration address-pool local vpnclient outside
isakmp policy 21 authentication pre-share
isakmp policy 21 encryption des
isakmp policy 21 hash md5
isakmp policy 21 group 2
isakmp policy 21 lifetime 28800
telnet MARNE-LOCALNET 255.255.255.0 outside
telnet SXB-LOCALNET 255.255.255.0 inside
telnet SXB-BLR-GW 255.255.255.255 inside
telnet timeout 5
ssh SXB-LOCALNET 255.255.255.0 inside
ssh VPN-LOCALNET 255.255.255.0 inside
ssh timeout 5
vpdn group 1 accept dialin pptp
vpdn group 1 ppp authentication pap
vpdn group 1 ppp authentication chap
vpdn group 1 ppp authentication mschap
vpdn group 1 ppp encryption mppe 40
vpdn group 1 client configuration address local vpnclient
vpdn group 1 pptp echo 60
vpdn group 1 client authentication local
vpdn username ***** password *****
vpdn enable outside
terminal width 80
Cryptochecksum:00f8a6b4fee1b310633318292d71b9df
: end
veut dire que le reseau 172.16.0.0 se connecte via un element actif à l'interface du pix inside qui est à l'adresse 192.168.0.250 avec un metric de 1.
J'en deduis donc que votre reseau interne inside est le 192.168.0.0 255.255.0.0
A partir de là, pour qu'une machine de l'inside accede à votre reseau 172.16.0.0 255.240.0.0, il faut d'une part avoir une interface du pix adressée sur cette classe d'adresse avec une adresse ip precise (par exemple 172.16.0.250, avec un nom bien particulier (dmz, inside2 ou autre) et d'autre part definir alors une commande route comme celle-ci :
route dmz 192.168.0.0 255.255.0.0 172.16.0.250 1
Pour ce qui est des interfaces elles peuvent etre physiques ou logiques, tout du moins sur les modeles de pix 515. Le modele logique ayant ete integré à partir de la version ios 6.3.1 sur le pix 515. Par contre cette fonctionnalité n'est pas supportée sur les 501 et 506.
Je ne connais pas le 803 qui est un module firewall adaptable sur routeur il me semble. A verifier avec cisco ?
Vous ne pouvez pas poster de nouveaux sujets dans ce forum Vous ne pouvez pas répondre aux sujets dans ce forum Vous ne pouvez pas éditer vos messages dans ce forum Vous ne pouvez pas supprimer vos messages dans ce forum Vous ne pouvez pas voter dans les sondages de ce forum
PIX : Probleme de routage ???
