PIX501 NATen

[mupp 10]

Hallo zusammen,

 

ich würde gerne folgendes Szenario mit meinen PIXen (501 v.6.3(5)125) abbilden:

 

192.168.0.2/24

CLIENT-A

.

.

.

192.168.0.1/24

INSIDE PIX-A

OUTSIDE PIX- A

172.27.0.1/24

.

.

SWITCH / VPN Simuliert

.

.

172.27.1.1/24

OUTSIDE PIX-B

INSIDE PIX-B

192.168.1.1/24

.

.

.

CLIENT-B

192.168.1.2/24

[mupp 10]

Leider funktioniert meine NAT Konfig nicht, vielleicht kann mir jemand weiterhelfen?

 

Verkürzte Schreibweise PIX-A:

 

access-list VPN-A-SITE permit ip 192.168.0.0 255.255.255.0 192.168.1.0 255.255.255.0
access-list acl-nat permit ip 192.168.0.0 255.255.255.0 192.168.1.0 255.255.255.0

 

ip address outside 172.27.0.1 255.255.255.0
ip address inside 192.168.0.1 255.255.255.0

 

global (outside) 1 172.27.0.254
nat (inside) 1 access-list acl-nat 0 0
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) 172.27.0.254 192.168.0.2 netmask 255.255.255.255 0 0
route outside 0.0.0.0 0.0.0.0 172.27.1.0 1

 

Verkürzte Schreibweise PIX-B:

 

access-list VPN-A-SITE permit ip 192.168.1.0 255.255.255.0 192.168.0.0 255.255.255.0
access-list acl-nat permit ip 192.168.1.0 255.255.255.0 192.168.0.0 255.255.255.0

 

ip address outside 172.27.1.1 255.255.255.0
ip address inside 192.168.1.1 255.255.255.0

 

global (outside) 1 172.27.1.254
nat (inside) 1 access-list acl-nat 0 0
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) 172.27.1.254 192.168.1.2 netmask 255.255.255.255 0 0
route outside 0.0.0.0 0.0.0.0 172.27.0.1 1

[Wordo 11]

OUTSIDE PIX- A [/b]

172.27.0.1/24

.

.

SWITCH / VPN Simuliert

.

.

172.27.1.1/24

OUTSIDE PIX-B

 

Ein Switch und 2 verschiedene Netze. Ich zweifle generell mal an deiner IP Konnektivitaet.

[mupp 10]

Hallo Wordo,

 

ich habe mein Szenario mit dem Befehl "static (inside,outside)" gelöst..

Ich stehe aber jetzt vor ein anderes Problem:

 

[...]

access-list from_out permit icmp any any echo-reply

access-list from_out permit icmp any any unreachable

access-list from_out permit icmp any any time-exceeded

access-list from_out permit ip host 62.XX.XX.XX any

access-list from_in permit ip 172.XX.XX.XX 255.255.255.0 any

pager lines 22

logging on

logging buffered notifications

logging trap errors

logging history critical

logging facility 17

logging host outside 62.XX.XX.XX

logging message 611102 level critical

logging message 605004 level critical

logging message 111004 level critical

mtu outside 1500

mtu inside 1500

ip address outside 172.27.21.98 255.255.255.248

ip address inside 172.17.4.253 255.255.255.0

ip audit info action alarm

ip audit attack action alarm

pdm history enable

arp timeout 14400

static (inside,outside) 172.27.21.100 172.17.4.1 netmask 255.255.255.255 0 0

static (outside,inside) 172.17.4.252 62.XX.XX.XX netmask 255.255.255.255 0 0

access-group from_out in interface outside

access-group from_in in interface inside

route outside 0.0.0.0 0.0.0.0 172.27.21.97 1

[...]

 

Was passiert hier ? Kann ein Verbindung zustande kommen ?

(Auf dem Client mit der IP 172.17.4.1 ist keine Route gesetzt)

 

PIX# sh conn

2 in use, 3 most used

TCP out 172.17.4.252(62.XX.XX.XX):3167 in 172.17.4.1:80 idle 0:01:58 Bytes 0 flags SaAB

TCP out 172.17.4.252(62.XX.XX.XX):1823 in 172.17.4.1:22 idle 0:01:49 Bytes 0 flags SaAB

[mupp 10]

static (inside,outside) 172.27.21.100 172.17.4.1 netmask 255.255.255.255 0 0

 

Der Erste Static Befehl bewirkt doch, dass ich den internen Host 172.17.4.1 unter der IP 172.27.21.100 von "außen" erreichen kann.

 

static (outside,inside) 172.17.4.252 62.40.8.37 netmask 255.255.255.255 0 0

 

Den Zweiten Static Befehl verstehe ich nicht so ganz; in der Literatur finde ich nur die Aussage "static (high/low) low high" das widerspricht aber dem Zweiten static Befehl - oder?