hegl 10 Geschrieben 5. März 2007 Melden Teilen Geschrieben 5. März 2007 Hallo, folgendes Szenario: Ich betreibe für eine Firma ein PIX mit ein Netz (DMZ) 10.10.10.0/24, das per Site-to-Site-VPN in ein DataCenter (172.20.20.0/24) einer anderen Firma verbunden ist. Der Tunnel klappt soweit auch. Nun muss ich aber aus dem DataCenter hinaus von einem Server ins inside-LAN der PIX zu einem Netzwerkdrucker (10.20.20.1/24) drucken. Das Problem ist, dass im DataCenter dieses Netz schon bekannt ist. Also habe ich mir gedacht, ich verstecke dieses Netz bzw. diese eine IP hinter einer Adresse der DMZ. Dazu habe ich ein static (inside,dmz) 10.10.10.1 10.20.20.1 netmask 255.255.255.255 conduit permit tcp host 10.10.10.1 eq 515 host 172.20.20.1 konfiguriert. Nur leider funktioniert das nicht. Bei einem telnet per tcp/515 erhält der Server 172.20.20.1 keine Antwort. Zum Testen habe ich die zwei Befehle wieder gelöscht und einen Drucker mit dieser IP in die DMZ gestellt; hier klappt das telnet per tcp/515 hervorragend. Also muss es doch m.E am NAT liegen? Im CISCO-Forum hat mir einen CISCO-Mitarbeiter geschrieben, ich müsste die inside-IP mit in die encrypted ACL aufnehmen. Das kann doch wohl nicht wahr sein, wofür habe ich denn sonst NAT? Zitieren Link zu diesem Kommentar
#9370 10 Geschrieben 6. März 2007 Melden Teilen Geschrieben 6. März 2007 Hallo, das ist deshalb, da IPSec vor dem NAT gemacht wird. siehe Link: NAT Order of Operation [iP Addressing Services] - Cisco Systems der ist zwar für IOS, gilt aber in Teilen auch für die PIX. /#9370 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.