PIX525 VLANs, разные подсети и static routing, anton_lva, 24-Ноя-06, 23:54 [смотреть все]Есть PIX с двумя виртуальными интерфейсами смотрящими в инет, внешние адреса на интерфейсах, предположим, vlan10 - 195.1.1.10/24 и vlan20 - 220.2.2.20/24Дефолтный маршрут идет на интерфейс vlan10, с него на роутер 195.1.1.1, статический маршрут для сети 220.2.2.20/24 - на роутер 220.2.2.1. Задача следующая - нужно, чтобы пользователи из мира, обращаясь на 195.1.1.10:80, транслировались на внутренний сервер в inside 192.168.1.10:80, а обращаясь на 220.2.2.20:21 на внутренний сервер в inside 192.168.1.15:21 Проблема в том, что обращения на 195.1.1.10:80 проходят нормально, а вот на 220.2.2.20:21 - нет. При этом, ошибка пикса выглядит так: PIX-3-710003: TCP access denied by ACL from x.x.x.x/65080 to vlan20:220.2.2.20/21 А при попытке пинга адреса 220.2.2.20 извне, появляется ошибка: PIX-6-110001: No route to x.x.x.x from 220.2.2.20 На пиксе прописан статический маршрут для сети 220.2.2.20/24, но что интересно, при просмотре его show route, он не показывается! А еще - при использовании софта версии 7.0(4) такой конфиг работает! Но в 7.0(4) есть проблема - при попытке поднятия динамических crypto-map`ов, железяка уходит в глубокую перезагрузку, поэтому было приянто решение обновить софт... Помогите, уже третий день вожусь, скоро у ума сойти можно! Вот часть конфига, касающаяся проблемы: ! PIX Version 7.2(2) ! interface Ethernet0 no nameif no security-level no ip address ! interface Ethernet0.10 vlan 10 nameif vlan10 security-level 0 ip address 195.1.1.10 255.255.255.0 ! interface Ethernet0.20 vlan 20 nameif vlan20 security-level 0 ip address 220.2.2.20 255.255.255.0 ! interface Ethernet1 nameif inside security-level 100 ip address 192.168.1.254 255.255.255.0 ! same-security-traffic permit inter-interface same-security-traffic permit intra-interface access-list INSIDE-NAT extended permit ip 192.168.1.0 255.255.255.0 any access-list ACL-OUT-10 extended permit tcp any host 195.1.1.10 eq www access-list ACL-OUT-20 extended permit tcp any host 220.2.2.20 eq ftp mtu vlan10 1500 mtu vlan20 1500 mtu inside 1500 ip verify reverse-path interface vlan10 nat-control global (vlan10) 1 interface nat (inside) 1 access-list INSIDE-NAT static (inside,vlan10) tcp 195.1.1.10 www 192.168.1.10 www netmask 255.255.255.255 static (inside,vlan20) tcp 220.2.2.20 ftp 192.168.1.15 ftp netmask 255.255.255.255 access-group ACL-OUT-10 in interface vlan10 access-group ACL-OUT-20 in interface vlan20 route vlan10 0.0.0.0 0.0.0.0 195.1.1.1 1 route vlan20 0.0.0.0 0.0.0.0 220.2.2.1 2 ! |
- PIX525 VLANs, разные подсети и static routing, ra, 11:40 , 25-Ноя-06 (1)
Попробуй двум дефолтным маршрутам поставить разные метрики. Может заработает... Ток потом расскажешь, помогло аль нет...
- PIX525 VLANs, разные подсети и static routing, anton_lva, 12:36 , 25-Ноя-06 (2)
>Попробуй двум дефолтным маршрутам поставить разные метрики. Может заработает... >Ток потом расскажешь, помогло аль нет... Дык разные метрики и стоят:
>> route vlan10 0.0.0.0 0.0.0.0 195.1.1.1 1 <- метрика 1 >> route vlan20 0.0.0.0 0.0.0.0 220.2.2.1 2 <- метрика 2
- PIX525 VLANs, разные подсети и static routing, chuvy, 12:40 , 25-Ноя-06 (3)
static (inside,vlan20) tcp 220.2.2.20 20(ftp-data) 192.168.1.15 20(ftp-data) netmask 255.255.255.255Может это надо добавить?
- PIX525 VLANs, разные подсети и static routing, anton_lva, 12:53 , 25-Ноя-06 (4)
>static (inside,vlan20) tcp 220.2.2.20 20(ftp-data) 192.168.1.15 20(ftp-data) netmask 255.255.255.255 > >Может это надо добавить? Не думаю, во-первых порт дефолтный и пикс его должен инспектить сам. А во-вторых - проблема все-таки не в неправильной статической трансляции...
В любом случае - попробовал только что, не помогло :)
- PIX525 VLANs, разные подсети и static routing, ra, 17:45 , 25-Ноя-06 (5)
Да, не заметил метрики. А ФТП-ДАТА тоже не поможет, под просто ФТП подразумиваются оба порта и ФТП и ФТП-ДАТА... А попробуй поменять метрики местами. Если заработает ФТП а ХТТП пропадёт, тогда будит понятно где раться нужно...
- PIX525 VLANs, разные подсети и static routing, anton_lva, 12:16 , 27-Ноя-06 (6)
>Да, не заметил метрики. >А ФТП-ДАТА тоже не поможет, под просто ФТП подразумиваются оба порта и >ФТП и ФТП-ДАТА... >А попробуй поменять метрики местами. Если заработает ФТП а ХТТП пропадёт, тогда >будит понятно где раться нужно... Ха, только что пробовал поменять - поднимается vlan20, зато падает vlan10 с теми же симптомами - no route...
И сервисы - падает www, но поднимается ftp :(
- PIX525 VLANs, разные подсети и static routing, anton_lva, 12:20 , 27-Ноя-06 (7)
Друзья, я ведь не один такой особенный, у кого пикс несколькими интерфейсами в мир смотрит?Может быть кто поделится своим куском рабочего конфига?
- PIX525 VLANs, разные подсети и static routing, ra, 23:36 , 27-Ноя-06 (8)
Всё понятно.... Проблема в маршрутизации.... Тут остаётся только одно, а именно отказаться от default route. Уберёшь маршруты и ФТП и ХТТП заработают. Но тогда если у тебя есть рабочие станции в локалке, они не будут ходить в инет. Вот тут-то нужно подумать как всё замутить. Может какой нибудь протокол динамической маршрутизации поднять.
- PIX525 VLANs, разные подсети и static routing, anton_lva, 07:36 , 28-Ноя-06 (10)
>Всё понятно.... Проблема в маршрутизации.... >Тут остаётся только одно, а именно отказаться от default route. >Уберёшь маршруты и ФТП и ХТТП заработают. Но тогда если у тебя >есть рабочие станции в локалке, они не будут ходить в инет. >Вот тут-то нужно подумать как всё замутить. Может какой нибудь протокол >динамической маршрутизации поднять. Если бы так просто... Роутер с братьями работает по eigrp, да и, боюсь, не поможет, даже если рип поднять.
- PIX525 VLANs, разные подсети и static routing, ВОЛКА, 00:53 , 28-Ноя-06 (9)
- PIX525 VLANs, разные подсети и static routing, anton_lva, 07:37 , 28-Ноя-06 (11)
>нельзя... А вообще подобное можно сделать? Пусть средствами роутера, не суть важно. Мне бы только основную идею подсказать... :)
- PIX525 VLANs, разные подсети и static routing, ВОЛКА, 10:01 , 28-Ноя-06 (12)
>>нельзя... > > >А вообще подобное можно сделать? Пусть средствами роутера, не суть важно. Мне >бы только основную идею подсказать... :) средствами рутера - можно, использую policy routing
|