服务器 Gind.cn
  1. 服务器 Gind.cn
  3. pix 501 – 站点到站点vpn子网问题
Intereting Posts
从星号到IPPhone / Softphone用户的标准方式是什么? 是否有可能根据主机头来限制速度? 即不只是在IP地址 一个全封闭的分区还是只使用整个设备? 普罗米修斯警报是否有可能计算另一个警报状态? Amazon EC2 – 重新启动后无SSH,连接被拒绝 Nginx和js / css通过浏览器的caching进行版本控制 如果没有提供“-s”选项,smartd是否会启动自测? 需要特定命令的sudo密码 在RHEL5主机上的Xen中将Ubuntu 10.10设置为paravirtualized guest – 什么是内核? 后缀强制发送顺序 Windows 7部署虚拟磁盘? ADMX策略和首选项 我怎么知道mysql服务器中是否有innodb表? 如何连接到从另一个networking自定义端口上运行的SqlServer 2008的NAMED INSTANCE? Bash脚本:跨平台检查是否安装在系统中的软件包?

pix 501 – 站点到站点vpn子网问题

我已经configuration了一个站点到站点vpn隧道,它正在运行,并按我的意愿工作。 我在每台电脑上都configuration了持久的路由,需要彼此交谈。 子网如下:

站点1:10.0.0.0/11站点2:192.168.200.0/24

我遇到了问题,当我尝试访问网站2从一个电脑上的网站2以10.0.xx以外的任何东西开始例如,如果我的电脑configuration了IP 10.0.0.77/11我可以访问网站2.如果它configuration了10.1.100.1/11,我不行。 在我看来,pix是强制网站1的子网掩码为255.255.0.0而不是255.224.0.0。

有谁知道这是如此,如何解决它?

我运行的configuration是:

运行configuration站点1:

PIX版本6.3(4)
接口ethernet0自动
接口ethernet1 100full
nameif ethernet0在security0之外
name100中的名称为ethernet1
启用密码sdf4536gdsfgsdencryption
passwd 3425sdfsdfg2345encryption
主机名称我们这边
域名domain.com
fixup协议dns最大长度为512
fixup协议ftp 21
修复协议h323 h225 1720
fixup protocol h323 ras 1718-1719
修复协议http 80
修复协议rsh 514
修复协议rtsp 554
修复协议sip 5060
修复协议sip udp 5060
修复协议瘦身2000
修复协议smtp 25
修复协议sqlnet 1521
修复协议tftp 69

名称192.168.200.0 their_network
名称10.0.0.8 svr1
名称10.0.0.245 svr2
名称10.0.0.248 svr3
名称10.0.0.235打印机
access-list inside_outbound_nat0_acl permit ip 10.0.0.0 255.224.0.0 their_network 255.255.255.0 access-list outside_cryptomap_20 permit ip 10.0.0.0 255.224.0.0 their_network 255.255.255.0
access-list outside_access_in permit tcp their_network 255.255.255.0 any eq www
access-list outside_access_in permit tcp their_network 255.255.255.0 any eq https
access-list outside_access_in permit tcp their_network 255.255.255.0 host svr2 eq domain
access-list outside_access_in permit udp their_network 255.255.255.0 host svr2 eq domain
access-list outside_access_in permit udp their_network 255.255.255.0 any eq ntp
access-list outside_access_in permit tcp their_network 255.255.255.0 host svr3 eq ssh
access-list outside_access_in permit icmp their_network 255.255.255.0 any
访问列表inside_access_in许可tcp任何their_network 255.255.255.0 eq ftp
access-list inside_access_in permit icmp any theirnetwork 255.255.255.0
access-list inside_access_in permit tcp host svr2 their_network 255.255.255.0 eq domain
access-list inside_access_in permit udp host svr2 their_network 255.255.255.0 eq domain
access-list inside_access_in permit tcp host svr1 their_network 255.255.255.0 eq ssh
access-list inside_access_in permit udp any eq ntp their_network 255.255.255.0
访问列表inside_access_in备注请求远程pipe理
access-list inside_access_in permit tcp any their_network 255.255.255.0 eq 3389
访问列表inside_access_in备注rsync svr1构build服务器
access-list inside_access_in permit tcp host svr1 their_network 255.255.255.0 eq 873
传呼机线路24
icmp允许任何外面
icmp允许任何内部
mtu 1500以外
mtu 1500以内
ip地址219.148.111.77 255.255.255.192之外
10.0.0.4里面的IP地址255.224.0.0
ip审计信息动作警报
ip审计攻击行动警报
pdm位置10.0.0.0 255.224.0.0里面
pdm的位置在their_network 255.255.255.0之外
pdm位置svr2 255.255.255.255里面
pdm位置svr1 255.255.255.255里面
pdm位置svr3 255.255.255.255里面
pdm位置awe_printer 255.255.255.255里面
pdm历史启用
ARP超时14400
全球(外部)1个界面
NAT(内部)0访问列表inside_outbound_nat0_acl
nat(内部)1 0.0.0.0 0.0.0.0 0 0
接口外部的access-group outside_access_in
access-group inside_access_in在界面里面
外线路由0.0.0.0 0.0.0.0 219.148.111.77 255
超时xlate 3:00:00
超时连接1:00:00半封闭0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
超时h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
超时uauth 0:05:00绝对
aaa-server TACACS +协议tacacs +
AAA服务器TACACS +最大失败尝试3
aaa-server TACACS + deadtime 10
aaa-server RADIUS协议半径
aaa-server RADIUS最大失败尝试3
aaa-server RADIUS死锁时间10
aaa-server LOCAL协议本地
http服务器启用
http 10.0.0.0 255.224.0.0里面
没有snmp服务器的位置
没有snmp-server联系
snmp-server社区公众
没有snmp-server启用陷阱
防洪启用
crypto ipsec转换集ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto map outside_map 20 ipsec-isakmp
crypto map outside_map 20匹配地址outside_cryptomap_20
crypto map outside_map 20 set peer 219.148.111.76
crypto map outside_map 20 set transform-set ESP-3DES-MD5
encryption映射outside_map接口外
isakmp启用外部
isakmp key ******** address 219.148.111.76 netmask 255.255.255.255 no-xauth no-config-mode
isakmp策略20authentication预共享
isakmp政策20encryption3des
isakmp策略20哈希md5
isakmp政策20组2
isakmp政策20寿命86400
远程login超时5
SSH超时5
控制台超时0
用户名user1密码asdfafddafafencryption权限15
terminal宽度80
Cryptochecksum:43dfhsd34fghh
: 结束
[好]

运行configuration站点2:

PIX版本6.3(4)
接口ethernet0 100full
接口ethernet1 100full
nameif ethernet0在security0之外
name100中的名称为ethernet1
启用密码iCEghfhgeC10Q80xpencryption
passwd iCEghgfhC10Q80xpencryption
主机名越南 – 他们的一面
域名domain1.com
fixup协议dns最大长度为512
fixup协议ftp 21
修复协议h323 h225 1720
fixup protocol h323 ras 1718-1719
修复协议http 80
修复协议rsh 514
修复协议rtsp 554
修复协议sip 5060
修复协议sip udp 5060
修复协议瘦身2000
修复协议smtp 25
修复协议sqlnet 1521
修复协议tftp 69

名称10.0.0.0 our_network
access-list acl_inside permit tcp 192.168.200.0 255.255.255.0 host 219.148.111.76 eq www
access-list inside_outbound_nat0_acl permit ip 192.168.200.0 255.255.255.0 our_network 255.224.0.0
access-list outside_cryptomap_20 permit ip 192.168.200.0 255.255.255.0 our_network 255.224.0.0
access-list outside_access_in permit icmp our_network 255.224.0.0 any
传呼机线路24
icmp允许任何外面
icmp允许任何内部
mtu 1500以外
mtu 1500以内
ip地址219.148.111.76 255.255.255.192之外
IP地址在192.168.200.1 255.255.255.0里面
ip审计信息动作警报
ip审计攻击行动报警
pdm位置192.160.0.0 255.224.0.0里面
pdm的位置our_network 255.224.0.0以外
pdm历史启用
ARP超时14400
全球(外部)1个界面
NAT(内部)0访问列表inside_outbound_nat0_acl
nat(内部)1 0.0.0.0 0.0.0.0 0 0
接口外部的access-group outside_access_in
外线路由0.0.0.0 0.0.0.0 219.148.111.76 1
超时xlate 3:00:00
超时连接1:00:00半封闭0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
超时h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
超时uauth 0:05:00绝对
aaa-server TACACS +协议tacacs +
AAA服务器TACACS +最大失败尝试3
aaa-server TACACS + deadtime 10
aaa-server RADIUS协议半径
aaa-server RADIUS最大失败尝试3
aaa-server RADIUS死锁时间10
aaa-server LOCAL协议本地
aaa身份validationSSH控制台本地
http服务器启用
http our_network 255.224.0.0以外
http 192.168.200.0 255.255.255.0里面
没有snmp服务器的位置
没有snmp-server联系
snmp-server社区公众
没有snmp-server启用陷阱
防洪启用
sysopt连接permit-ipsec
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hma
crypto map outside_map 20 ipsec-isakmp
crypto map outside_map 20匹配地址outside_cryptomap_20
crypto map outside_map 20 set peer 219.148.111.77
crypto map outside_map 20 set transform-set ESP-3DES-MD5
encryption映射outside_map接口外
isakmp启用外部
isakmp key ******** address 219.148.111.77 netmask 255.255.255.255 no-xauth no-c onfig-mode
isakmp策略20authentication预共享
isakmp政策20encryption3des
isakmp策略20哈希md5
isakmp政策20组2
isakmp政策20寿命86400
远程login超时5
ssh 192.168.200.0 255.255.255.0里面
SSH超时60
控制台超时0
用户名user1密码tjqqn / L / teN49dfsgsdfgZbwencryption权限15
terminal宽度80
Cryptochecksum:bf200a9175be27sdfgsfdgdb91320d6df7ce5b21
: 结束

我看不到任何不正确的面具,但我可能会视而不见。

谢谢

CAMMY

我还没有用PIX的东西,但我想知道是否有一个“无类别”需要双方? 我曾经有过好奇的问题,IOS设备在过去因为这个缺失而决定了奇数级别的(或者至less是八位字节边界)networking掩码。

一目了然,它看起来不错。 我把它和我的Pic(515E)configuration进行了比较,两者看起来非常相似。 我注意到你已经在their_network上使用了sysopt连接permit-ipsec,但在our_network上没有。 大概你想限制从远端访问你的中央局域网。 这可能是值得添加sysopt连接许可证-ipsec只是作为一个testing。

诊断这种东西的通常方法是查看日志输出。 当您从10.1.100。*地址或从远程站点ping到10.1.100。*地址时,Pix报告什么是有用的? 在ping之前拆除VPN会很有趣,所以你可以看到任何VPN安装日志。

JR