主页 / server / 问题 / 18536
In Process
Asked: 2009-06-04 00:45:37 +0800 CST

pix 501 - 站点到站点 vpn 子网问题

  • 772

我已经配置了一个站点到站点的 vpn 隧道,该隧道已启动并可以按照我的意愿工作。我已经在需要相互通话的每一端的电脑上配置了持久路由。子网如下:

站点 1:10.0.0.0/11 站点 2:192.168.200.0/24

当我尝试从 pc 上的站点 1 访问站点 2 时遇到问题,其 ip 开头不是 10.0.xx 例如,如果我的 pc 配置了 ip 10.0.0.77/11,我可以访问站点 2。如果它配置了10.1.100.1/11,我不能。在我看来,pix 迫使站点 1 的子网掩码为 255.255.0.0 而不是 255.224.0.0。

有谁知道这是这种情况以及如何解决它?

我的运行配置是:

运行配置站点 1:

PIX 版本 6.3(4)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password sdf4536gdsfgsd encrypted
passwd 3425sdfsdfg2345 encrypted
hostname our-side
domain-name domain.com
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720 修复
协议 h323 ras 1718-1719 修复
协议 http 80修复
协议 rsh 514修复
协议 rtsp 554
修复协议 sip 5060
修复协议 sip udp 5060
修复协议 skinny 2000
修复协议 smtp 25
修复协议 sqlnet 1521
fixup protocol tftp 69
names
name 192.168.200.0 their_network
name 10.0.0.8 svr1
name 10.0.0.245 svr2
name 10.0.0.248 svr3
name 10.0.0.235 printer
access-list inside_outbound_nat0_acl permit ip 10.0.0.0 255.224.0.0 their_network 255.255.255.0 access-list outside_cryptomap_20 permit ip 10.0.0.0 255.224.0.0 their_network 255.255.255.0
access-list outside_access_in permit tcp their_network 255.255.255.0 any eq www
access-list outside_access_in permit tcp their_network 255.255.255.0 any eq https
access-list outside_access_in permit tcp their_network 255.0 hostsvr2555.0 eq 域
访问列表 outside_access_in 允许 udp their_network 255.255.255.0 主机 svr2 eq 域
access-list outside_access_in permit udp their_network 255.255.255.0 any eq ntp
access-list outside_access_in permit tcp their_network 255.255.255.0 host svr3 eq ssh
access-list outside_access_in permit icmp their_network 255.255.255.0 any
access-list inside_access_in permit tcp any their_access_in 255.25.25.2 ftp
访问列表 inside_access_in 允许 icmp any their_network 255.255.255.0
访问列表 inside_access_in 允许 tcp 主机 svr2 their_network 255.255.255.0 eq 域
访问列表 inside_access_in 允许 udp 主机 svr2 their_network 255.255.255.0 eq 域
访问列表 inside_access_in 允许 tcp 主机 5525 他们.255.0 eq ssh
访问列表 inside_access_in 允许 udp 任何 eq ntp their_network 255.255.255.0
access-list inside_access_in remark 请求远程管理
access-list inside_access_in permit tcp any their_network 255.255.255.0 eq 3389
access-list inside_access_in remark rsync svr1 to build server
access-list inside_access_in permit tcp host svr1 their_network 255.255.255.0 eq 873
pager lines 24
icmp允许任何外部
icmp 允许任何内部
mtu 外部 1500
mtu 内部 1500
外部 IP 地址 219.148.111.77 255.255.255.192
内部地址 10.0.0.4 255.224.0.0
ip 审计信息操作警报
ip 审计攻击操作警报
pdm 位置 10.0.0.0 255.224.0.0 内部
pdm 位置 their_network 255.255.255.0 外部
pdm location svr2 255.255.255.255 inside
pdm location svr1 255.255.255.255 inside
pdm location svr3 255.255.255.255 inside
pdm location awe_printer 255.255.255.255 inside
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list inside_outbound_nat0_acl
nat (内部)1 0.0.0.0 0.0.0.0 0 0
access-group outside_access_in 在接口外部
access-group inside_access_in 在接口内部
路由外部 0.0.0.0 0.0.0.0 219.148.111.77 255
超时 xlate 3:00:00
超时连接 1:00 :00 半关闭 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
超时 h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0: 02:00
超时 uauth 0:05:00 绝对
aaa-server TACACS+ 协议 tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS 协议半径
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL 协议 local
http server enable
http 10.0.0.0 255.224.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
crypto ipsec transform-set ESP-3DES -MD5 esp-3des esp-md5-hmac
加密映射 outside_map 20 ipsec-isakmp
加密映射 outside_map 20 匹配地址 outside_cryptomap_20
crypto map outside_map 20 set peer 219.148.111.76
crypto map outside_map 20 set transform-set ESP-3DES-MD5
crypto map outside_map interface outside
isakmp enable outside
isakmp key ******** address 219.148.111.76 netmask 255.255.255.255 no- xauth no-config-mode
isakmp 策略 20 认证预共享
isakmp 策略 20 加密 3des
isakmp 策略 20 哈希 md5
isakmp 策略 20 组 2
isakmp 策略 20 生存期 86400
telnet 超时 5
ssh 超时 5
控制台超时 0
用户名 user1 密码 asdfafddafaf 加密特权 15
终端宽度 80
加密校验和:43dfhsd34fghh
:结束
[OK]

运行配置站点 2:

PIX 版本 6.3(4)
interface ethernet0 100full
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password iCEghfhgeC10Q80xp encrypted
passwd iCEghgfhC10Q80xp encrypted
hostname vietnam-their-side
domain-name domain1.com
fixup protocol dns maximum-length 512
fixup protocol ftp 21
修复协议 h323 h225 1720 修复
协议 h323 ras 1718-1719 修复
协议 http 80修复
协议 rsh 514修复
协议 rtsp 554
修复协议 sip 5060
修复协议 sip udp 5060修复协议 Skinny
2000
修复协议 smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
name 10.0.0.0 our_network
access-list acl_inside permit tcp 192.168.200.0 255.255.255.0 host 219.148.111.76 eq www
access-list inside_outbound_nat0_acl permit ip 192.168.200.0 255.255.255.0 our_network 255.224.0.0
access- list outside_cryptomap_20 permit ip 192.168.200.0 255.255.255.0 our_network 255.224.0.0
access-list outside_access_in permit icmp our_network 255.224.0.0 any
pager lines 24
icmp permit any outside
icmp permit any inside
mtu outside 1500
mtu inside
15020 ip address outside 276195.1. 255.192
ip地址在192.168.200.1 255.255.255.0里面
ip audit info action alarm
ip audit attack action alarm
pdm location 192.160.0.0 255.224.0.0 inside
pdm location our_network 255.224.0.0 outside
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list inside_outbound_nat0_acl
nat (inside ) 1 0.0.0.0 0.0.0.0 0 0
access-group outside_access_in in interface outside
route outside 0.0.0.0 0.0.0.0 219.148.111.76 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-close 0:10: 00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
超时 h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
超时 uauth 0:05: 00 绝对
aaa-server TACACS+ 协议 tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS 协议半径
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
aaa authentication ssh console LOCAL
http server enable
http our_network 255.224.0.0 outside
http 192.168.200.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
crypto ipsec transform-set ESP -3DES-MD5 esp-3des esp-md5-hma
加密映射 outside_map 20 ipsec-isakmp
加密映射 outside_map 20 匹配地址 outside_cryptomap_20
加密映射 outside_map 20 设置对等体 219.148.111.77
加密映射 outside_map 20 设置转换集 ESP-3DES-MD5
加密映射 outside_map 接口外部
isakmp 启用外部
isakmp 密钥 ******** 地址 219.148。 111.77 网络掩码 255.255.255.255 no-xauth no-c onfig-mode
isakmp 策略 20 身份验证预共享
isakmp 策略 20 加密 3des
isakmp 策略 20 哈希 md5
isakmp 策略 20 组 2
isakmp 策略 20 寿命 86400
telnet 超时 5
ssh 192.168.200.0 255.255。 255.0 inside
ssh 超时 60
控制台超时 0
用户名 user1 密码 tjqqn/L/teN49dfsgsdfgZbw 加密权限 15
终端宽度 80
Cryptochecksum:bf200a9175be27sdfgsfdgdb91320d6df7ce5b21
: end

我看不到任何不正确的面具,但我可能对此视而不见。

谢谢

卡米

site-to-site-vpn cisco subnet

2 个回答

  1. 我对 PIX 没有太多兴趣,但我想知道双方是否都需要“ip classless”?过去我对 IOS 设备决定奇数类全(或至少八位字节边界)网络掩码有过奇怪的问题,因为那是缺失的。

    • 1

  2. 乍一看,它看起来还不错。我将它与我的 Pic (515E) 配置进行了比较,两者看起来非常相似。我注意到您在 their_network 上使用了 sysopt 连接 permit-ipsec,但在 our_network 上没有使用。大概您想限制从远程端对中央 LAN 的访问。可能值得添加 sysopt 连接 permit-ipsec 作为测试。

    诊断这些东西的常用方法是查看日志输出。当您从 10.1.100.* 地址或从远程站点 ping 到 10.1.100.* 地址时,Pix 是否报告任何有用的信息?在 ping 之前拆除 VPN 会很有趣,这样您就可以看到任何 VPN 设置日志。

    JR

    • 0

相关问题