我已经配置了站点到站点 VPN 隧道,该隧道已启动并按我的意愿运行。我已经在需要相互通信的两端的 PC 上配置了持久路由。子网如下:
站点 1:10.0.0.0/11 站点 2:192.168.200.0/24
当我尝试使用 ip 开头不是 10.0.xx 的 PC 从站点 1 访问站点 2 时,遇到了问题。例如,如果我的 PC 配置了 ip 10.0.0.77/11,我可以访问站点 2。如果配置了 10.1.100.1/11,则无法访问。在我看来,pix 强制将站点 1 的子网掩码设置为 255.255.0.0,而不是 255.224.0.0。
有谁知道这种情况以及如何解决它?
我的运行配置是:
运行配置站点 1:
PIX 版本 6.3(4)
接口 ethernet0 自动
接口 ethernet1 100 全
名如果 ethernet0 外部 security0
名称如果 ethernet1 内部 security100
启用密码 sdf4536gdsfgsd 加密
密码 3425sdfsdfg2345 加密
主机名我们这边
域名 domain.com
修复协议 dns 最大长度 512
修复协议 ftp 21
修复协议 h323 h225 1720
修复协议 h323 ras 1718-1719
修复协议 http 80
修复协议 rsh 514
修复协议 rtsp 554
修复协议 sip 5060
修复协议 sip udp 5060
修复协议 skinny 2000
修复协议 smtp 25
修复协议 sqlnet 1521
修复协议 tftp 69
名称
名称192.168.200.0 their_network
名称 10.0.0.8 svr1
名称 10.0.0.245 svr2
名称 10.0.0.248 svr3
名称 10.0.0.235 打印机
访问列表 inside_outbound_nat0_acl 允许 ip 10.0.0.0 255.224.0.0 their_network 255.255.255.0 访问列表 outside_cryptomap_20 允许 ip 10.0.0.0 255.224.0.0 their_network 255.255.255.0
访问列表 outside_access_in 允许 tcp their_network 255.255.255.0 任何 eq www
访问列表 outside_access_in 允许 tcp their_network 255.255.255.0 任何 eq https
访问列表 outside_access_in 允许 tcp their_network 255.255.255.0 主机 svr2 eq 域
访问列表 outside_access_in 允许 udp their_network 255.255.255.0 主机 svr2 eq 域
访问列表 outside_access_in 允许 udp their_network 255.255.255.0 任何 eq ntp
访问列表 outside_access_in 允许 tcp their_network 255.255.255.0 主机 svr3 eq ssh
访问列表 outside_access_in 允许 icmp their_network 255.255.255.0 任何
访问列表 inside_access_in 允许 tcp 任何 their_network 255.255.255.0 eq ftp
访问列表 inside_access_in 允许 icmp 任何 their_network 255.255.255.0
访问列表inside_access_in 允许 tcp 主机 svr2 their_network 255.255.255.0 eq 域
访问列表 inside_access_in 允许 udp 主机 svr2 their_network 255.255.255.0 eq 域
访问列表 inside_access_in 允许 tcp 主机 svr1 their_network 255.255.255.0 eq ssh 访问
列表 inside_access_in 允许 udp 任何 eq ntp their_network 255.255.255.0
访问列表 inside_access_in 备注请求远程管理
访问列表 inside_access_in 允许 tcp 任何 their_network 255.255.255.0 eq 3389
访问列表 inside_access_in 备注 rsync svr1 构建服务器
访问列表 inside_access_in 允许 tcp 主机 svr1 their_network 255.255.255.0 eq 873
寻呼机线路 24
icmp 允许任何外部
icmp 允许任何内部
mtu 外部 1500
mtu 内部 1500
ip 地址外部 219.148.111.77 255.255.255.192
ip 地址内部 10.0.0.4 255.224.0.0
ip 审计信息操作警报
ip 审计攻击操作警报
pdm 位置 10.0.0.0 255.224.0.0 内部
pdm 位置 their_network 255.255.255.0 外部
pdm 位置 svr2 255.255.255.255 内部 pdm
位置 svr1 255.255.255.255 内部
pdm 位置 svr3 255.255.255.255 内部
pdm 位置 awe_printer 255.255.255.255 内部
pdm 历史记录启用
arp 超时14400
全局(外部) 1 接口
nat(内部) 0 访问列表 inside_outbound_nat0_acl
nat(内部) 1 0.0.0.0 0.0.0.0 0 0
访问组 outside_access_in 接口外部
访问组 inside_access_in 接口内部
路由外部 0.0.0.0 0.0.0.0 219.148.111.77 255
超时 xlate 3:00:00
超时 conn 1:00:00 半封闭 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
超时 h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 超时
uauth 0:05:00 绝对
aaa 服务器 TACACS+ 协议 tacacs+
aaa 服务器 TACACS+ 最大失败尝试次数 3
aaa 服务器 TACACS+ 死区时间 10
aaa 服务器 RADIUS 协议 radius
aaa 服务器 RADIUS 最大失败尝试次数 3
aaa 服务器 RADIUS 死区时间 10
aaa 服务器 LOCAL 协议本地
http 服务器启用
http 10.0.0.0 255.224.0.0 内部
无 snmp 服务器位置
无 snmp 服务器联系
snmp 服务器社区公共
无 snmp 服务器启用陷阱
洪水防护启用
加密 ipsec 变换集 ESP-3DES-MD5 esp-3des esp-md5-hmac
加密映射 outside_map 20 ipsec-isakmp
加密映射 outside_map 20 匹配地址 outside_cryptomap_20
加密映射 outside_map 20 设置对等219.148.111.76
加密映射 outside_map 20 设置变换集 ESP-3DES-MD5
加密映射 outside_map 接口 outside
isakmp 启用 outside
isakmp 密钥 ******** 地址 219.148.111.76 网络掩码 255.255.255.255 no-xauth no-config-mode
isakmp 策略 20 身份验证预共享
isakmp 策略 20 加密 3des
isakmp 策略 20 哈希 md5
isakmp 策略 20 组 2
isakmp 策略 20 生存期 86400
telnet 超时 5
ssh 超时 5
控制台超时 0
用户名 user1 密码 asdfafddafaf 加密权限 15
终端宽度 80
加密校验和:43dfhsd34fghh
:结束
[OK]
运行配置站点2:
PIX 版本 6.3(4)
接口 ethernet0 100full
接口 ethernet1 100full
nameif ethernet0 外部 security0
nameif ethernet1 内部 security100
启用密码 iCEghfhgeC10Q80xp 加密
密码 iCEghgfhC10Q80xp 加密
主机名 vietnam-their-side
域名 domain1.com
修复协议 dns 最大长度 512
修复协议 ftp 21
修复协议 h323 h225 1720
修复协议 h323 ras 1718-1719
修复协议 http 80
修复协议 rsh 514
修复协议 rtsp 554
修复协议 sip 5060
修复协议 sip udp 5060
修复协议 skinny 2000
修复协议 smtp 25
修复协议 sqlnet 1521
修复协议 tftp 69
名称
名称 10.0.0.0 our_network
访问列表 acl_inside 允许 tcp 192.168.200.0 255.255.255.0 主机 219.148.111.76 eq www
访问列表 inside_outbound_nat0_acl 允许 ip 192.168.200.0 255.255.255.0 our_network 255.224.0.0
访问列表 outside_cryptomap_20 允许 ip 192.168.200.0 255.255.255.0 our_network 255.224.0.0
访问列表 outside_access_in 允许 icmp our_network 255.224.0.0 任何
寻呼机线路 24
icmp 允许任何外部
icmp 允许任何内部
mtu 外部 1500
mtu 内部1500
ip 地址外部 219.148.111.76 255.255.255.192
ip 地址内部 192.168.200.1 255.255.255.0
ip 审计信息操作警报
ip 审计攻击操作警报
pdm 位置 192.160.0.0 255.224.0.0 内部
pdm 位置 our_network 255.224.0.0 外部
pdm 历史记录启用
arp 超时 14400
全局(外部) 1 接口
nat(内部) 0 访问列表 inside_outbound_nat0_acl
nat(内部) 1 0.0.0.0 0.0.0.0 0 0
访问组 outside_access_in 接口外部
路由外部 0.0.0.0 0.0.0.0 219.148.111.76 1
超时 xlate 3:00:00
超时 conn 1:00:00 半关闭 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
超时 h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 超时
uauth 0:05:00 绝对
aaa 服务器 TACACS+ 协议 tacacs+
aaa 服务器 TACACS+ 最大失败尝试次数 3
aaa 服务器 TACACS+ 死区时间 10
aaa 服务器 RADIUS 协议 radius
aaa 服务器 RADIUS 最大失败尝试次数 3
aaa 服务器 RADIUS 死区时间 10
aaa 服务器 LOCAL 协议本地
aaa 身份验证 ssh 控制台 LOCAL
http 服务器启用
http our_network 255.224.0.0 外部
http 192.168.200.0 255.255.255.0 内部
无 snmp 服务器位置
没有 snmp 服务器联系
snmp 服务器社区公共
没有 snmp 服务器启用陷阱
洪水警卫启用
sysopt 连接允许 ipsec
加密 ipsec 变换集 ESP-3DES-MD5 esp-3des esp-md5-hma
加密映射 outside_map 20 ipsec-isakmp
加密映射 outside_map 20 匹配地址 outside_cryptomap_20
加密映射 outside_map 20 设置对等体 219.148.111.77
加密映射 outside_map 20 设置变换集 ESP-3DES-MD5
加密映射 outside_map 接口外部
isakmp 启用外部
isakmp 密钥 ******** 地址 219.148.111.77 网络掩码 255.255.255.255 no-xauth no-c onfig-mode
isakmp 策略 20 身份验证预共享
isakmp 策略 20 加密 3des
isakmp 策略 20 哈希 md5
isakmp 策略 20 组 2
isakmp 策略 20 生命周期 86400
telnet 超时 5
ssh 192.168.200.0 255.255.255.0 内部
ssh 超时 60
控制台超时 0
用户名 user1 密码 tjqqn/L/teN49dfsgsdfgZbw 加密权限 15
终端宽度 80
Cryptochecksum:bf200a9175be27sdfgsfdgdb91320d6df7ce5b21
: 结束
我看不到任何不正确的面具,但我可能对此视而不见。
谢谢
嘉米
答案1
我没有深入研究过 PIX,但我想知道两边是否都需要“ip classless”?过去,由于缺少该选项,我曾遇到过 IOS 设备决定使用奇数全类(或至少八位字节边界)网络掩码的问题。
答案2
乍一看还行。我将其与我的 Pic (515E) 配置进行了比较,两者看起来非常相似。我注意到您在 their_network 上使用了 sysopt connection permit-ipsec,但没有在 our_network 上使用。大概您想限制从远程端访问您的中央 LAN。可能值得添加 sysopt connection permit-ipsec 作为测试。
诊断此类问题通常的方法是查看日志输出。当您从 10.1.100.* 地址 ping 或从远程站点到 10.1.100.* 地址时,Pix 会报告任何有用的信息吗?在 ping 之前关闭 VPN 会很有趣,这样您就可以查看任何 VPN 设置日志。
JR