Более старая PIX 515e, работающая 8.0(4)28: Не удается получить доступ в Интернет для работы с DHCP на внешнем интерфейсе

Question

Более старая PIX 515e, работающая 8.0(4)28: Не удается получить доступ в Интернет для работы с DHCP на внешнем интерфейсе

Хорошо.. Я признаю это. Я, наверное, упускаю что-то простое. Небольшая помощь?

У меня есть старая версия PIX 515e, которую я пытаюсь запустить. Внешний интерфейс подключен к кабельному модему и настроен для DHCP. Этому интерфейсу назначается IP-адрес от интернет-провайдера, поэтому эта часть, кажется, работает. Насколько я понимаю, использование команды должно автоматически устанавливать статический маршрут для шлюза ISP. Если я, кажется, это так. С консоли я также могу пропинговать шлюз ISP и любой другой сайт (yahoo.com), который я пробую.

Внутренний интерфейс настроен со статическим адресом 10.0.1.10, и это возвращает эхо-запрос от внутренних клиентов. DHCP во внутренней сети обрабатывается машиной 2012R2, и эта служба, а также DNS также работает (за исключением пересылки DNS во время тестирования PIX)

Однако клиенты не могут получить доступ к Интернету. Нет ответов на пинг и т. Д. Я считаю, что это либо проблема маршрутизации, либо проблема NAT/PAT. Я нахожусь за 8 мячом в этой области конфигурации Cisco и мог бы использовать некоторую помощь. Ниже приведен мой текущий работающий конфиг. Я попробовал несколько руководств по настройке, найденных в сети, но, похоже, ничего не работает. Кто-нибудь может мне помочь с этим?

Спасибо! Майкл

: Saved
:

PIX Version 8.0(4)28 
!
hostname GripPix

domain-name Grip.com

enable password ... encrypted

passwd ... encrypted

names

!

interface Ethernet0

 nameif outside

 security-level 0

 ip address dhcp setroute 

!

interface Ethernet1

 nameif inside

 security-level 100

 ip address 10.0.1.10 255.255.0.0 

!

interface Ethernet2

 shutdown

 no nameif

 no security-level

 no ip address

!

interface Ethernet3

 shutdown

 no nameif

 no security-level

 no ip address

!

interface Ethernet4

 shutdown

 no nameif

 no security-level

 no ip address

!

interface Ethernet5

 shutdown

 no nameif

 no security-level

 no ip address

!

ftp mode passive

dns server-group DefaultDNS

 domain-name Grip.com

same-security-traffic permit inter-interface

same-security-traffic permit intra-interface

access-list outside_in extended permit icmp any any echo-reply 

access-list outside_in extended deny ip any any log 

pager lines 24

logging enable

logging asdm informational

mtu outside 1500

mtu inside 1500

no failover

icmp unreachable rate-limit 1 burst-size 1

asdm image flash:/asdm-613.bin

no asdm history enable

arp timeout 14400

global (outside) 1 10.0.0.0 netmask 255.255.0.0

global (outside) 1 interface

nat (inside) 1 0.0.0.0 0.0.0.0

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02

timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00

timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00

timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute

timeout tcp-proxy-reassembly 0:01:00

dynamic-access-policy-record DfltAccessPolicy

aaa authentication serial console LOCAL 

aaa authentication telnet console LOCAL 

aaa authentication ssh console LOCAL 

http server enable

http 10.0.0.0 255.255.0.0 inside

no snmp-server location

no snmp-server contact

snmp-server enable traps snmp authentication linkup linkdown coldstart

crypto ipsec security-association lifetime seconds 28800

crypto ipsec security-association lifetime kilobytes 4608000

telnet 10.0.0.0 255.255.0.0 inside

telnet timeout 5

ssh timeout 5

console timeout 0

threat-detection basic-threat

threat-detection statistics access-list

no threat-detection statistics tcp-intercept

!

class-map inspection-default

 match default-inspection-traffic

class-map inspection_default

 match default-inspection-traffic

!

!

policy-map type inspect dns preset_dns_map

 parameters

  message-length maximum 512

policy-map global_policy

 class inspection_default

  inspect dns preset_dns_map 

  inspect ftp 

  inspect h323 h225 

  inspect h323 ras 

  inspect rsh 

  inspect rtsp 

  inspect esmtp 

  inspect sqlnet 

  inspect skinny  

  inspect sunrpc 

  inspect xdmcp 

  inspect sip  

  inspect netbios 

  inspect tftp 

  inspect http 

  inspect icmp 

!

service-policy global_policy global

prompt hostname context 

Cryptochecksum:9cceeff3166fd745e3569853ea5c178c

: end

asdm image flash:/asdm-613.bin

no asdm history enable

0

cisco-pix

Источник

Michael Paul 23 дек '13 в 03:18

1 ответ

Решение

Другие вопросы по тегам cisco-pix

Michael Paul 22 мар '14 в 02:17 2014-03-22 02:17 · Accepted Answer · 2014-03-22 02:17

Оказывается, я сделал что-то тупое. Клиенты действительно могли получить доступ к Интернету, но я не знал, потому что на самом деле не пытался просматривать и т. Д. Я просто открыл окно cmd и запустил "ping www.yahoo.com -t"

Мое предположение состояло в том, что, как только я получил ответ на пинг, шлюз работал. То, что я забыл сделать, это разрешить трафик ICMP через брандмауэр NAT. Так что, хотя мои клиенты действительно могли просматривать и т. Д., Я не получал ответы на пинг, поэтому я предположил, что не смог дозвониться. Как только я включил трафик ICMP, все было в порядке. Я чувствовал себя немного застенчиво на этом, но думаю, что живу и учусь.