В помощь ИТ специалисту 

Cisco PIX: Не проходит пинг в туннель

Вопросы связанные с установкой и использованием межсетевых экранов (Firewall) и прокси серверов(Proxy) в сети организации.

Модератор: Модераторы

Ответить
sam_dim
Новый участник
Сообщения: 9
Зарегистрирован: 08 фев 2006, 19:59

Сообщение sam_dim » 24 апр 2006, 18:50

Всем доброго дня!

Есть устройство Cisco PIX 515E, версия 7.0.

На внешнем интерфейсе поднят IPSec туннель на удаленный сайт.
Через туннель работает мониторинг и обслуживание, но не идет пинг.
Все остальные пинги (из локалки, из DMZ) работают.

До Cisco PIX устанавливали IPSec туннель с удаленной циской при помощи софтверного клиента (TheGreenBow) и пинг шел, а после перехода на PIX пинг пропал. На удаленном сайте никаких изменений не делалось.

Кусок конфига ("/24" для сокращения):
--------------------------------------------
...
access-list ACL_WAN_IN extended permit icmp any any
...
access-list ACL_LAN_IN extended permit icmp any any
...
access-list ACL_IP_SEC extended permit ip 192.168.х.0/24 10.х.х.0/24
access-list ACL_IP_SEC extended permit icmp 192.168.х.0/24 10.х.х.0/24
...
access-list ACL_NO_NAT extended permit ip 192.168.х.0/24 10.х.х.0/24
access-list ACL_NO_NAT extended permit icmp 192.168.х.0/24 10.х.х.0/24
...
ip verify reverse-path interface inside
...
icmp permit any outside
icmp permit any inside
...
access-group ACL_WAN_IN in interface outside
access-group ACL_LAN_IN in interface inside
...
--------------------------------------------

Т.к. настраивалось все строго по примерам и ранее опыта настройки Cisco не было, то буду рад услышать конструктивную критику, а также возможные советы по оптимизации.

Спасибо.
Вернуться к началу
biruk
Активный пользователь
Сообщения: 1134
Зарегистрирован: 19 июл 2004, 11:30
Откуда: Москва

Сообщение biruk » 28 апр 2006, 17:20

когда настраиваешь ipsec на pix'е, то указываешь в acl какие пакеты заворачивать в туннель. Вот тот access-list и показывай.
Trust me - i know what i’m doing © Sledge Hummer
Вернуться к началу
sam_dim
Новый участник
Сообщения: 9
Зарегистрирован: 08 фев 2006, 19:59

Сообщение sam_dim » 04 май 2006, 09:17

Цитата

когда настраиваешь ipsec на pix'е, то указываешь в acl какие пакеты заворачивать в туннель. Вот тот access-list и показывай

[/quote]


Если имеется в виду acl, указываемый в crypto map, то это ACL_IP_SEC
------------------------------------------------
object-group network NET_IP_SEC
network-object 10.1.1.0 255.255.255.0
network-object 10.1.2.0 255.255.255.0
network-object 10.1.3.0 255.255.255.0

access-list ACL_IP_SEC extended permit ip 192.168.х.0 255.255.255.0 object-group NET_IP_SEC
------------------------------------------------
Пробовал добавлять в ACL_IP_SEC permit icmp... не помогло. ((
Вернуться к началу
sam_dim
Новый участник
Сообщения: 9
Зарегистрирован: 08 фев 2006, 19:59

Сообщение sam_dim » 18 май 2006, 13:41

Еще момент...
Настроил удаленный доступ к пиксу с последующим заворачиванием в существующий IPSec туннель. И вот странность: из локалки в IPSec туннель PING не идет, а при подключении к писку удаленно (Cisco VPN Client) ping на удаленный сайт (который на другой стороне IPSec туннеля) идет нормально.

Видимо мешают какие-то правила на внутреннем интерфейсе, которые не пропускают ICMP пакеты.

В конфиге есть:
icmp permit any inside

В access листе на интерфейсе ICMP разрешен.

В access листах для IPSec и NoNAT прописано
permit ICMP any any

В чем может быть дело? Или хотя бы где рыть?

Спасибо.
Вернуться к началу
Ответить

Вернуться в Межсетевые экраны (Firewall) и Прокси серверы (Proxy)

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 8

Список форумов
Удалить cookies конференции