Cisco PIX 506 mit zwei internen IP-Netzen

[ascaris 10]

Hallo,

 

ich habe das folgende Problem:

 

Ich habe eine Cisco PIX 506 mit dem internen IP-Netz 172.16.200.0/24 und der IP 172.16.200.1 auf dem internen Interface.

 

An der Pix hängen über Internet ein paar SITE-TO-SITE VPN-Anbindungen.

 

Nun greifen alle Remote-Sites an der PIX auf einen Server im 172.16.200.0/24 Netz zu und das klappt alles ganz hervorragend.

 

Nun muss ich eine neue Remote-SITE anbinden, die aber selbst das 172.16.0.0/16 Netz intern verwenden. Also mich ich irgendwie ausweichen.

 

Meine Idee war nun, dem betreffenden Server (W2K3-Server) eine zusätzliche IP z.B. 10.230.200.100 zu geben.

 

Aber wie bringe ich der PIX 506 bei, dass sie

 

a) Dieses neue IP-Netz erkennt und routet ?

Eine zweite IP kann ich dem inside Interface ja nicht gegen.

 

Mach ich da einfach ein route inside 10.230.200.0 255.255.255.0 172.16.100.1 ? ??

 

b) dieses neue IP-Netz auch durch die VPN-Tunnel routet.

Muss ich da einfach nur in den IPSec Rules eine Crypto policy mit den entsprechenden IP-Netzen eintragen und alles klappt ?

 

Das Problem ist, dass ich die Pix nicht physikalisch im Zugriff habe und wenn ich mich aussperre erstmal ne Stunde Autofahrt vor mir habe um sie zu resetten. Daher scheue ich mich vor experimenten.

 

Bin für jede Hilfe dankbar.

 

Dirk

[Otaku19 33]

da muss dann im Tunnel genattet werden, dann geht das