Новые ответы

PIX525 VLANs, разные подсети и static routing,

anton_lva, 24-Ноя-06, 23:54 [смотреть все]

Есть PIX с двумя виртуальными интерфейсами смотрящими в инет, внешние адреса на интерфейсах, предположим, vlan10 - 195.1.1.10/24 и vlan20 - 220.2.2.20/24
Дефолтный маршрут идет на интерфейс vlan10, с него на роутер 195.1.1.1, статический маршрут для сети 220.2.2.20/24 - на роутер 220.2.2.1.
Задача следующая - нужно, чтобы пользователи из мира, обращаясь на 195.1.1.10:80, транслировались на внутренний сервер в inside 192.168.1.10:80, а обращаясь на 220.2.2.20:21 на внутренний сервер в inside 192.168.1.15:21
Проблема в том, что обращения на 195.1.1.10:80 проходят нормально, а вот на 220.2.2.20:21 - нет. При этом, ошибка пикса выглядит так:
PIX-3-710003: TCP access denied by ACL from x.x.x.x/65080 to vlan20:220.2.2.20/21
А при попытке пинга адреса 220.2.2.20 извне, появляется ошибка:
PIX-6-110001: No route to x.x.x.x from 220.2.2.20
На пиксе прописан статический маршрут для сети 220.2.2.20/24, но что интересно, при просмотре его show route, он не показывается!
А еще - при использовании софта версии 7.0(4) такой конфиг работает! Но в 7.0(4) есть проблема - при попытке поднятия динамических crypto-map`ов, железяка уходит в глубокую перезагрузку, поэтому было приянто решение обновить софт...
Помогите, уже третий день вожусь, скоро у ума сойти можно!
Вот часть конфига, касающаяся проблемы:
!
PIX Version 7.2(2)
!
interface Ethernet0
no nameif
no security-level
no ip address
!
interface Ethernet0.10
vlan 10
nameif vlan10
security-level 0
ip address 195.1.1.10 255.255.255.0
!
interface Ethernet0.20
vlan 20
nameif vlan20
security-level 0
ip address 220.2.2.20 255.255.255.0
!
interface Ethernet1
nameif inside
security-level 100
ip address 192.168.1.254 255.255.255.0
!
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
access-list INSIDE-NAT extended permit ip 192.168.1.0 255.255.255.0 any
access-list ACL-OUT-10 extended permit tcp any host 195.1.1.10 eq www
access-list ACL-OUT-20 extended permit tcp any host 220.2.2.20 eq ftp
mtu vlan10 1500
mtu vlan20 1500
mtu inside 1500
ip verify reverse-path interface vlan10
nat-control
global (vlan10) 1 interface
nat (inside) 1 access-list INSIDE-NAT
static (inside,vlan10) tcp 195.1.1.10 www 192.168.1.10 www netmask 255.255.255.255
static (inside,vlan20) tcp 220.2.2.20 ftp 192.168.1.15 ftp netmask 255.255.255.255
access-group ACL-OUT-10 in interface vlan10
access-group ACL-OUT-20 in interface vlan20
route vlan10 0.0.0.0 0.0.0.0 195.1.1.1 1
route vlan20 0.0.0.0 0.0.0.0 220.2.2.1 2
!

Ответить | Сообщить модератору

PIX525 VLANs, разные подсети и static routing, ra, 11:40 , 25-Ноя-06 (1)
Попробуй двум дефолтным маршрутам поставить разные метрики. Может заработает...
Ток потом расскажешь, помогло аль нет...
Ответить | Сообщить модератору

PIX525 VLANs, разные подсети и static routing, anton_lva, 12:36 , 25-Ноя-06 (2)
>Попробуй двум дефолтным маршрутам поставить разные метрики. Может заработает...
>Ток потом расскажешь, помогло аль нет...

Дык разные метрики и стоят:
>> route vlan10 0.0.0.0 0.0.0.0 195.1.1.1 1 <- метрика 1
>> route vlan20 0.0.0.0 0.0.0.0 220.2.2.1 2 <- метрика 2
Ответить | Сообщить модератору

PIX525 VLANs, разные подсети и static routing, chuvy, 12:40 , 25-Ноя-06 (3)
static (inside,vlan20) tcp 220.2.2.20 20(ftp-data) 192.168.1.15 20(ftp-data) netmask 255.255.255.255
Может это надо добавить?
Ответить | Сообщить модератору

PIX525 VLANs, разные подсети и static routing, anton_lva, 12:53 , 25-Ноя-06 (4)
>static (inside,vlan20) tcp 220.2.2.20 20(ftp-data) 192.168.1.15 20(ftp-data) netmask 255.255.255.255
>
>Может это надо добавить?

Не думаю, во-первых порт дефолтный и пикс его должен инспектить сам. А во-вторых - проблема все-таки не в неправильной статической трансляции...
В любом случае - попробовал только что, не помогло :)
Ответить | Сообщить модератору

PIX525 VLANs, разные подсети и static routing, ra, 17:45 , 25-Ноя-06 (5)
Да, не заметил метрики.
А ФТП-ДАТА тоже не поможет, под просто ФТП подразумиваются оба порта и ФТП и ФТП-ДАТА...
А попробуй поменять метрики местами. Если заработает ФТП а ХТТП пропадёт, тогда будит понятно где раться нужно...
Ответить | Сообщить модератору

PIX525 VLANs, разные подсети и static routing, anton_lva, 12:16 , 27-Ноя-06 (6)
>Да, не заметил метрики.
>А ФТП-ДАТА тоже не поможет, под просто ФТП подразумиваются оба порта и
>ФТП и ФТП-ДАТА...
>А попробуй поменять метрики местами. Если заработает ФТП а ХТТП пропадёт, тогда
>будит понятно где раться нужно...

Ха, только что пробовал поменять - поднимается vlan20, зато падает vlan10 с теми же симптомами - no route...
И сервисы - падает www, но поднимается ftp :(
Ответить | Сообщить модератору

PIX525 VLANs, разные подсети и static routing, anton_lva, 12:20 , 27-Ноя-06 (7)
Друзья, я ведь не один такой особенный, у кого пикс несколькими интерфейсами в мир смотрит?
Может быть кто поделится своим куском рабочего конфига?
Ответить | Сообщить модератору

PIX525 VLANs, разные подсети и static routing, ra, 23:36 , 27-Ноя-06 (8)
Всё понятно.... Проблема в маршрутизации....
Тут остаётся только одно, а именно отказаться от default route.
Уберёшь маршруты и ФТП и ХТТП заработают. Но тогда если у тебя есть рабочие станции в локалке, они не будут ходить в инет. Вот тут-то нужно подумать как всё замутить. Может какой нибудь протокол динамической маршрутизации поднять.
Ответить | Сообщить модератору

PIX525 VLANs, разные подсети и static routing, anton_lva, 07:36 , 28-Ноя-06 (10)
>Всё понятно.... Проблема в маршрутизации....
>Тут остаётся только одно, а именно отказаться от default route.
>Уберёшь маршруты и ФТП и ХТТП заработают. Но тогда если у тебя
>есть рабочие станции в локалке, они не будут ходить в инет.
>Вот тут-то нужно подумать как всё замутить. Может какой нибудь протокол
>динамической маршрутизации поднять.

Если бы так просто... Роутер с братьями работает по eigrp, да и, боюсь, не поможет, даже если рип поднять.
Ответить | Сообщить модератору

PIX525 VLANs, разные подсети и static routing, ВОЛКА, 00:53 , 28-Ноя-06 (9)
нельзя...
Ответить | Сообщить модератору

PIX525 VLANs, разные подсети и static routing, anton_lva, 07:37 , 28-Ноя-06 (11)
>нельзя...

А вообще подобное можно сделать? Пусть средствами роутера, не суть важно. Мне бы только основную идею подсказать... :)
Ответить | Сообщить модератору

PIX525 VLANs, разные подсети и static routing, ВОЛКА, 10:01 , 28-Ноя-06 (12)
>>нельзя...
>
>
>А вообще подобное можно сделать? Пусть средствами роутера, не суть важно. Мне
>бы только основную идею подсказать... :)
средствами рутера - можно, использую policy routing

Ответить | Сообщить модератору