1

У меня есть пикс 501 брандмауэр Cisco с внутренним IP 192.168.10.1. Я подключил маршрутизатор d-link (dir-655) к пикселю 501. Маршрутизатор D-Link имеет внутренний ip 192.168.0.1

Картинка хотела бы что-то вроде этого:

|pix 501| has 192.168.10.1 ip
|DIR-655| has 192.168.0.1 ip

1. |cable modem|----|pix 501|-------|DIR-655|-----PC
2. PC--------|pix 501|---------|DIR-655|
               |
               |
        |cable modem|

Когда я нахожусь в беспроводной сети (dir-655) с назначенным IP- 192.168.0.x я могу пересечь подсеть и подключиться к своему брандмауэру 192.168.10.1. (Рис. 1)

Проблема в том, что если я нахожусь в сети 192.168.10.x я не могу подключиться к чему-либо в сети 192.168.0.x (Рис.2)

Я попытался ввести статический маршрут, как это:

`route inside 192.168.0.0 255.255.255.0 192.168.10.1 1`

Я также попытался назначить статический ip интерфейсу wan на DIR-655 для 192.168.10.30 а затем попробовал это:

route inside 192.168.0.0 255.255.255.0 192.168.10.30 1

Но, тем не менее, не удается подключиться к 192.168.0.1 или к чему-либо в этой подсети.

Есть ли способ настроить статический маршрут? Поможет ли добавление отдельного маршрутизатора между PIX 501 и DIR-655?

Я думаю, что такой статический маршрут должен позаботиться об этом, но это не так.

Это мой маршрутный конфиг и nat:

(config)# sh route
outside 0.0.0.0 0.0.0.0 (outside_IP) 1 DHCP static
outside (outside_IP) 255.255.248.0 (outside_IP) 1 CONNECT static
inside 192.168.0.0 255.255.255.0 192.168.10.1 1 OTHER static
inside 192.168.10.0 255.255.255.0 192.168.10.1 1 CONNECT static

или (маршрут внутри 192.168.0.0 255.255.255.0 192.168.10.30 1)

(config)# sh nat
nat (inside) 1 192.168.1.0 255.255.255.0 0 0
nat (inside) 1 192.168.10.0 255.255.255.0 0 0
nat (inside) 1 0.0.0.0 0.0.0.0 0 0

Я закончил тем, что превратил DIR-655 в точку доступа (отключив DHCP и подключив кабель от интерфейса PIX LAN к одному из интерфейсов локальной сети на DIR-655, и оставив порт WAN пустым), который работает, пока DIR-655 включен теперь та же подсеть, и я могу получить доступ к любой машине. Однако вопрос в том, почему я не могу просто проложить маршрут между этими двумя? маршрутизатор между этими двумя поможет? Одна из причин в том, что у PIX 501 всего 10 лицензий, поэтому сейчас я использую почти все из них. (У меня мало компьютеров, iphones, ps3, принт-сервер и т.д.)

Буду очень признателен за помощь! Благодарю.

|источник

1 ответ1

0

добавление роутера не поможет. Я бы посмотрел на настройку зон / значений доверия на вашем пикселе. работа в одном направлении, а не в другом, говорит мне, что одному доверяют больше, чем другому, поэтому УСТАНАВЛИВАЕТСЯ обратный трафик. я не рассматриваю это как проблему маршрутизации, но проблему доверия. на более новых ASA cisco они передают трафик через все порты, пока вы не определите группы, но на более старых 501 я, кажется, помню сбой закрыт, а не открыт.

альтернативной возможностью является некоторая глупость с интегрированным переключателем переадресации на Wi-Fi - но это было бы прошивкой, но - маловероятно.

edit: nameif - это команда, на которую вы должны смотреть, я думаю:
http://www.cisco.com/en/US/docs/security/pix/pix62/command/reference/mr.html#wpmkr1026055

Я бы посмотрел на размещение разных диапазонов IP-адресов в разных зонах с одинаковыми значениями безопасности.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .