Pix 515E NAT Policies bzw. VPN-Problem
Hallo,
ich habe eine Frage zu meinen geposteten NAT-Policies, die wir angezeigt bekommen.
Die Pix ist VPN-Server und der Tunnel endet auf dem outside.
Was bedeuten die Fehlermeldungen im Post ?
192.168.50.0 und 172.16.1.0 sind unsere beiden LAN bzw. DMZ.
Wir kommen aber mit dem Cisco VPN-Client nur ins 172.16.1.0 er Netz (DMZ)
Kann mir jemand erklären, was die Fehlermeldung genau bedeutet.
(siehe post unten)
Gruss Roland
pix515E# sh nat
NAT policies on Interface inside:
match ip inside 192.168.50.0 255.255.255.0 inside 192.168.6.0 255.255.255.0
NAT exempt
translate_hits = 0, untranslate_hits = 0
match ip inside 192.168.50.0 255.255.255.0 outside 192.168.6.0 255.255.255.0
NAT exempt
translate_hits = 0, untranslate_hits = 76
match ip inside 192.168.50.0 255.255.255.0 dmz 192.168.6.0 255.255.255.0
NAT exempt
translate_hits = 0, untranslate_hits = 0
match ip inside 192.168.50.0 255.255.255.0 inside any
dynamic translation to pool 3 (No matching global)
translate_hits = 0, untranslate_hits = 0
match ip inside 192.168.50.0 255.255.255.0 outside any
dynamic translation to pool 3 (192.168.200.253 [Interface PAT])
translate_hits = 339, untranslate_hits = 34
match ip inside 192.168.50.0 255.255.255.0 dmz any
dynamic translation to pool 3 (No matching global)
translate_hits = 0, untranslate_hits = 0
NAT policies on Interface dmz:
match ip dmz 172.16.1.0 255.255.255.0 outside 192.168.6.0 255.255.255.0
NAT exempt
translate_hits = 324, untranslate_hits = 310
match ip dmz 172.16.1.0 255.255.255.0 dmz 192.168.6.0 255.255.255.0
NAT exempt
translate_hits = 0, untranslate_hits = 0
match ip dmz 172.16.1.0 255.255.255.0 outside any
dynamic translation to pool 3 (192.168.200.253 [Interface PAT])
translate_hits = 62603, untranslate_hits = 4088
match ip dmz 172.16.1.0 255.255.255.0 dmz any
dynamic translation to pool 3 (No matching global)
translate_hits = 0, untranslate_hits = 0
ich habe eine Frage zu meinen geposteten NAT-Policies, die wir angezeigt bekommen.
Die Pix ist VPN-Server und der Tunnel endet auf dem outside.
Was bedeuten die Fehlermeldungen im Post ?
192.168.50.0 und 172.16.1.0 sind unsere beiden LAN bzw. DMZ.
Wir kommen aber mit dem Cisco VPN-Client nur ins 172.16.1.0 er Netz (DMZ)
Kann mir jemand erklären, was die Fehlermeldung genau bedeutet.
(siehe post unten)
Gruss Roland
pix515E# sh nat
NAT policies on Interface inside:
match ip inside 192.168.50.0 255.255.255.0 inside 192.168.6.0 255.255.255.0
NAT exempt
translate_hits = 0, untranslate_hits = 0
match ip inside 192.168.50.0 255.255.255.0 outside 192.168.6.0 255.255.255.0
NAT exempt
translate_hits = 0, untranslate_hits = 76
match ip inside 192.168.50.0 255.255.255.0 dmz 192.168.6.0 255.255.255.0
NAT exempt
translate_hits = 0, untranslate_hits = 0
match ip inside 192.168.50.0 255.255.255.0 inside any
dynamic translation to pool 3 (No matching global)
translate_hits = 0, untranslate_hits = 0
match ip inside 192.168.50.0 255.255.255.0 outside any
dynamic translation to pool 3 (192.168.200.253 [Interface PAT])
translate_hits = 339, untranslate_hits = 34
match ip inside 192.168.50.0 255.255.255.0 dmz any
dynamic translation to pool 3 (No matching global)
translate_hits = 0, untranslate_hits = 0
NAT policies on Interface dmz:
match ip dmz 172.16.1.0 255.255.255.0 outside 192.168.6.0 255.255.255.0
NAT exempt
translate_hits = 324, untranslate_hits = 310
match ip dmz 172.16.1.0 255.255.255.0 dmz 192.168.6.0 255.255.255.0
NAT exempt
translate_hits = 0, untranslate_hits = 0
match ip dmz 172.16.1.0 255.255.255.0 outside any
dynamic translation to pool 3 (192.168.200.253 [Interface PAT])
translate_hits = 62603, untranslate_hits = 4088
match ip dmz 172.16.1.0 255.255.255.0 dmz any
dynamic translation to pool 3 (No matching global)
translate_hits = 0, untranslate_hits = 0
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 75376
Url: https://administrator.de/contentid/75376
Ausgedruckt am: 22.11.2024 um 07:11 Uhr
14 Kommentare
Neuester Kommentar
Hallo Roland,
ich habe deinen Betrag gerade erst gesehen. Ist das Problem schon gelöst?
evtl. fehlt der dazu gehörige global bzw. outside Eintrag.
Ich habe deinen Beitrag vom 21.Nov. gesehen. Da steht: global (outside) 1 192.168.200.253 netmask 255.255.255.0
Ist der Eintrag auch jetzt noch in der Konfiguration? Es scheint mir falsch zu sein eine netmask 255.255.255.0 anzugeben. Ich hätte netmask 255.255.255.255 erwartet.
Gruß Rafiki
ich habe deinen Betrag gerade erst gesehen. Ist das Problem schon gelöst?
dynamic translation to pool 3 (No matching global)
evtl. fehlt der dazu gehörige global bzw. outside Eintrag.
Ich habe deinen Beitrag vom 21.Nov. gesehen. Da steht: global (outside) 1 192.168.200.253 netmask 255.255.255.0
Ist der Eintrag auch jetzt noch in der Konfiguration? Es scheint mir falsch zu sein eine netmask 255.255.255.0 anzugeben. Ich hätte netmask 255.255.255.255 erwartet.
Gruß Rafiki
Probier bitte mal aus ob dieser Befehl deine Probleme löst:
sysopt connection permit-vpn
For traffic that enters the security appliance through a VPN tunnel and is then decrypted, use the sysopt connection permit-vpn command in global configuration mode to allow the traffic to bypass interface access lists. Group policy and per-user authorization access lists still apply to the traffic. To disable this feature, use the no form of this command.
Das war bis Ver. 7.1: sysopt connection permit-ipsec
Dann wissen wir ob es an den acl oder am NAT liegt.
Gruß Rafiki
sysopt connection permit-vpn
For traffic that enters the security appliance through a VPN tunnel and is then decrypted, use the sysopt connection permit-vpn command in global configuration mode to allow the traffic to bypass interface access lists. Group policy and per-user authorization access lists still apply to the traffic. To disable this feature, use the no form of this command.
Das war bis Ver. 7.1: sysopt connection permit-ipsec
Dann wissen wir ob es an den acl oder am NAT liegt.
Gruß Rafiki
Deine NAT und Access listen habe ich mir jetzt schon 3-mal durchgelesen. Sieht eigentlich gut aus.
Hey, das könnte die Ursache sein!
Wenn ein Paket vom VPN Client an deinen Server im LAN 192.168.50.0 geht, dann hat das Paket als Absenderadresse eine 192.168.6.0 Adresse. Der Server antwortet dann, und da es nicht in seinem LAN ist wird die antwort an das default Gateway geschickt. Das ist das DMZ Interface der PIX. Die allerdings erwartet die Antwort auf dem LAN Interface.
Probiere doch bitte mal auf dem Windows Server ein den Befehl:
route add 192.168.6.0 mask 255.255.255.0 192.168.50.254
Also auf Deutsch: Das VPN Netzwerk befindet sich hinter dem LAN Interface der PIX.
Gruß Rafiki
Unsere Workstations haben alle als Standard GW den SBS 2003 (AD und Exchange) und der routet den Traffic über sein Bein in die dmz raus ins Internet. Über das inside interface läuft quasi kein Traffic, wir brauchen das inside interface der Pix 515E eigentlich nur um via VPN ins 192.168.50.0 Netz an die Workstations, Fileserver etc. zu kommen.
Hey, das könnte die Ursache sein!
Wenn ein Paket vom VPN Client an deinen Server im LAN 192.168.50.0 geht, dann hat das Paket als Absenderadresse eine 192.168.6.0 Adresse. Der Server antwortet dann, und da es nicht in seinem LAN ist wird die antwort an das default Gateway geschickt. Das ist das DMZ Interface der PIX. Die allerdings erwartet die Antwort auf dem LAN Interface.
Probiere doch bitte mal auf dem Windows Server ein den Befehl:
route add 192.168.6.0 mask 255.255.255.0 192.168.50.254
Also auf Deutsch: Das VPN Netzwerk befindet sich hinter dem LAN Interface der PIX.
Gruß Rafiki