PIX, Zugriff auf NAT-Adresse

[hegl 10]

Hallo,

ich habe folgendes Szenario: PIX mit DMZ (172.20.20.0) über die von INSIDE (10.10.10.0 ) über die DMZ in ein anderes LAN zugegriffen wird. Funktioniert prächtig :-)

Alle INSIDE-Clients greifen gleichzeitig auf Ressourcen über ein VPN (OUTSIDE) auf Ressourcen (172.30.30.0) an einem anderen Standort zu. Funktioniert auch prächtig :-)

Nun muss aber aus dem fremden LAN über die DMZ ein Zugriff über das VPN erfolgen. Problem ist hierbei, dass weder die Adressen aus diesem LAN, als auch die aus der DMZ nicht durch den Tunnel dürfen. Also habe ich mir gedacht, ich "verstecke" mich hinter einer IP-Adresse aus dem INSIDE. Dazu habe ich folgendes konfiguriert:

 

static (inside,dmz) 172.20.20.1 10.10.10.1 netmask 255.255.255.255

static (outside,inside) 10.10.10.1 172.30.30.1 netmask 255.255.255.255

 

Soll heißen: die INSIDE-Adresse 10.10.10.1 ist in Wirklichkeit die hinter dem VPN (172.30.30.1) und die 172.20.20.1 ist das mapping aus der DMZ nach INSIDE. Leider funktioniert´s nicht. Der Zugriff aus dem INSIDE über die virtuelle Adresse funktioniert aber!

 

Was mache ich falsch? Ich habe auch schon versucht testweise das DMZ-Netz mit in den Tunnel zu schieben, aber auch dann kommt auf der anderen Seite nichts an. Heisst für mich auch, dass der Fehler vorher irgendwo liegt. Nur wo?

 

THX.