Pix + Vpn

Este hilo tiene 3 voces, contiene 28 respuestas.

Viendo 15 mensajes - 1 hasta 15 (de 29 en total)

1 2 →

Autor	Mensajes
Autor	Mensajes
15 septiembre, 2010 en 8:48 #355986
Julio30	Hola Foro, Tengo montado un tunel Pix-to-Pix Vpn + acceso con cliente cisco, todo funciona correcto pero a salido un problema al instalar una impresora de red en cada oficina, desde la oficina 2 pueden imprimir en la oficina 1 y la 2, pero desde la oficina 1 no pueden imprimir en la oficina 2 y si en la 1. Si haces ping desde la oficina 1 no contesta la impresora de la oficina 2. Si haces ping desde la oficina 2 si contesta la impresora de la oficina 1. QUE puede ser ???, esta es mi configuracion: ** Oficina 1 access-list VPN_SPLIT permit ip 192.168.0.0 255.255.255.0 192.168.9.0 255.255.255.0 access-list 100 permit ip 192.168.0.0 255.255.255.0 192.168.1.0 255.255.255.0 access-list 100 permit ip 192.168.0.0 255.255.255.0 192.168.9.0 255.255.255.0 access-list 110 permit ip 192.168.0.0 255.255.255.0 192.168.1.0 255.255.255.0 ip address outside XXX.XX.X.XXX 255.255.255.0 ip address inside 192.168.0.101 255.255.255.0 ip local pool redExterna 192.168.9.10-192.168.9.30 nat (inside) 0 access-list 100 nat (inside) 1 0.0.0.0 0.0.0.0 0 0 route outside 0.0.0.0 0.0.0.0 XXX.XX.X.XXX 1 sysopt connection permit-ipsec crypto ipsec transform-set myset esp-des esp-md5-hmac crypto dynamic-map dynmap 30 set transform-set myset crypto map newmap 10 ipsec-isakmp crypto map newmap 10 match address 110 crypto map newmap 10 set peer XXX.XX.X.XXX crypto map newmap 10 set transform-set myset crypto map newmap 65000 ipsec-isakmp dynamic dynmap crypto map newmap interface outside isakmp enable outside isakmp key XXXXXXXXXX address XXX.XX.X.XXX netmask 255.255.255.255 no-xauth no-config-mode isakmp identity address isakmp nat-traversal 10 isakmp policy 10 authentication pre-share isakmp policy 10 encryption des isakmp policy 10 hash md5 isakmp policy 10 group 2 isakmp policy 10 lifetime 86400 vpngroup Oficina1 address-pool redExterna vpngroup Oficina1 dns-server 192.168.0.1 vpngroup Oficina1 wins-server 192.168.0.1 vpngroup Oficina1 default-domain dominio.local vpngroup Oficina1 split-tunnel VPN_SPLIT vpngroup Oficina1 pfs vpngroup Oficina1 idle-time 1800 vpngroup Oficina1 password XXXXXXXXXXX Oficina 2 ** access-list VPN_SPLIT permit ip 192.168.1.0 255.255.255.0 192.168.8.0 255.255.255.0 access-list 100 permit ip 192.168.1.0 255.255.255.0 192.168.0.0 255.255.255.0 access-list 100 permit ip 192.168.1.0 255.255.255.0 192.168.8.0 255.255.255.0 access-list 110 permit ip 192.168.1.0 255.255.255.0 192.168.0.0 255.255.255.0 ip address outside XXX.XX.X.XXX 255.255.255.0 ip address inside 192.168.1.1 255.255.255.0 ip local pool redExterna 192.168.8.10-192.168.8.30 nat (inside) 0 access-list 100 nat (inside) 1 0.0.0.0 0.0.0.0 0 0 route outside 0.0.0.0 0.0.0.0 XXX.XX.X.XXX 1 sysopt connection permit-ipsec crypto ipsec transform-set myset esp-des esp-md5-hmac crypto dynamic-map dynmap 30 set transform-set myset crypto map newmap 10 ipsec-isakmp crypto map newmap 10 match address 110 crypto map newmap 10 set peer XXX.XX.X.XXX crypto map newmap 10 set transform-set myset crypto map newmap 65000 ipsec-isakmp dynamic dynmap crypto map newmap interface outside isakmp enable outside isakmp key XXXXXXXXXX address XXX.XX.X.XXX netmask 255.255.255.255 no-xauth no-config-mode isakmp identity address isakmp nat-traversal 10 isakmp policy 10 authentication pre-share isakmp policy 10 encryption des isakmp policy 10 hash md5 isakmp policy 10 group 2 isakmp policy 10 lifetime 86400 vpngroup Oficina2 address-pool redExterna vpngroup Oficina2 dns-server 192.168.1.1 vpngroup Oficina2 wins-server 192.168.1.1 vpngroup Oficina2 default-domain dominio.local vpngroup Oficina2 split-tunnel VPN_SPLIT vpngroup Oficina2 pfs vpngroup Oficina2 idle-time 1800 vpngroup Oficina2 password XXXXXXXXXXX Configuracion impresora 1: 192.168.0.61 255.255.255.0 192.168.0.101 Configuracion impresora 2: 192.168.1.65 255.255.255.0 192.168.1.1 Alguna Idea,
16 septiembre, 2010 en 17:01 #355998
craem	el pix dá la cara a internet ? tiene la ip pública en su interface outside ? M
17 septiembre, 2010 en 6:54 #356000
Julio30	Si correcto, delante tienen un router en monopuesto. Los Pcs de la oficina 2 hacen ping a todos los de la oficina 1, 2 y pueden imprimir en las impresoras de la oficina 1 y 2. Los Pcs de la oficina 1 hacen ping a todos los de la oficina 1, 2 y pueden imprimir en las impresoras de la ofina 1 pero NO en la oficina 2, no contesta ping la impresora. Los clientes VPN que se conectan a la oficina 1 pueden imprimir en oficina 1 y NO en oficina 2 Los clientes VPN que se conectan a la oficina 2 NO pueden imprimir en ninguna de las dos. Saludos
17 septiembre, 2010 en 22:27 #356006
craem	No viene a cuento, pero pule las reglas de nat 1 En la oficina 1, haz : (conf)#no nat (inside) 1 0.0.0.0 0.0.0.0 0 0 (conf)#nat (inside) 1 192.168.0.0 255.255.255.0 (conf)#global (outside) 1 interface En la oficina 2, haz : (conf)#no nat (inside) 1 0.0.0.0 0.0.0.0 0 0 (conf)#nat (inside) 1 192.168.1.0 255.255.255.0 (conf)#global (outside) 1 interface 2º) Desde el pix de la oficina 1, haz un # ping inside IP_DE_LA_IMPRESORA_OF2 3º) Desde el pix de la oficina 2, haz un # ping inside IP_DE_LA_IMPRESORA_OF2 4º) Haz los cambios y me comentas
22 septiembre, 2010 en 13:28 #356026
Julio30	Hola craem, Siento tardar tanto en la respuesta no estaba configurado el pix de la oficina 2 para acceder y me tenido que desplazar para cambiar la configuracion tuya. El resultado es el mismo, se puede imprimir desde la oficina 2 a la oficina 1 y 2. Y no se puede imprimir en la oficina 2 desde la 1 no contesta el ping. una cosa que me e dado cuenta es que desde la oficina 1 haces ping a los pcs y contestan todos excepto los que no tienen dominio.local configurado, solo tienen configurado grupo de trabajo (estos no contestan). tambien hay un server en la oficina 1 no windows que tiene una rutas configuradas: dftroute none 192.168.0.101 192.168.1.0 255.255.255.0 192.168.0.101 gracias por las molestias
22 septiembre, 2010 en 14:36 #356027
Julio30	Otra prueba con la configuracion nueva: conectado con el cliente cisco vpn a la oficina 1 SI puedo imprimir en la impresora de la oficina 1 y NO en la 2. conectado con el cliente cisco vpn a la oficina 2 NO puedo imprimir en la impresora de la oficina 1 y NO en la 2. Que extraño ??
22 septiembre, 2010 en 18:34 #356028
craem	conectado por vpn sólo podrás llegar a las máquinas de esa sede y no a las otras, a menos que publiques rutas. Tienes un problema en la red. Si haces un ping inside _ip_de_la_impresora_de_la_oficina_remota desde la consola del pix y no llegas, mira a fondo tu red local. Haz la prueba que te digo. Si no llegas desde el pix, haciendo un ping inside 192.x.x.x. , revisa tu red local a fondo; no es problema de la vpn. Para dejar más pulido el tema de las acl’s:. no access-list VPN_SPLIT permit ip 192.168.0.0 255.255.255.0 192.168.9.0 255.255.255.0 access-list VPN_SPLIT permit ip 192.168.0.0 255.255.255.0 any access-list VPN_SPLIT permit ip 192.168.9.0 255.255.255.0 any otro tema, si haces un sh ver a los pix, las licencias ??? inside host = máximo número de equipos con IP en la red, el resto no saldrán Para asegurar más el tiro: activa el log en los pix y los vuelcas en un syslog (kiwi syslog, por ejemplo) logging on logging host inside _ip_del_servidor_log format emblem logging trap warnin y mira los errores que te tira el pix salu2
23 septiembre, 2010 en 7:48 #356030
Julio30	No entiendo nada: Estoy en la oficina 1 mi ip es : 192.168.0.50 cmd.exe: ping 192.168.1.11 SI contesta perfecto ping 192.168.1.12 " " y asi sucesivamente, unica que no contesta es la impresora 192.168.1.65 Telnet al pix de la oficina 1 (192.168.0.101) desde la consola del pix: ping 192.168.1.11 NO contesta ping 192.168.1.12 " " y asi sucesivamente, nada contesta. sh version, todo correcto licencias, etc. etc. saludos
23 septiembre, 2010 en 8:19 #356032
craem	Estoy en la oficina 1 mi ip es : 192.168.0.50 cmd.exe: ping 192.168.1.11 SI contesta perfecto ping 192.168.1.12 " " y asi sucesivamente, unica que no contesta es la impresora 192.168.1.65 –> Tienes un problema en tu red local. Si en local no llegas, mal vamos…. problema de switching… Telnet al pix de la oficina 1 (192.168.0.101) desde la consola del pix: ping 192.168.1.11 NO contesta ping 192.168.1.12 " " y asi sucesivamente, nada contesta. así no, es ping inside 192.168.1.11 sh version, todo correcto licencias, etc. etc.
23 septiembre, 2010 en 9:31 #356033
Julio30	Estoy en la oficina 1 mi ip es : 192.168.0.50 cmd.exe: ping 192.168.1.11 contesta perfecto ping 192.168.1.12 contesta perfecto" ping 192.168.1.65 NO contesta ping 192.168.0.50 contesta ping 192.168.0.60 contesta ping 192.168.0.61 contesta Telnet al pix de la oficina 1 (192.168.0.101) desde la consola del pix: ping inside 192.168.1.11 NO contesta ping inside 192.168.1.12 NO contesta ping inside 192.168.0.60 contesta ping inside 192.168.0.61 contesta Desde la oficina 2 mi ip es : 192.168.1.20 cmd.exe: ping 192.168.1.11 contesta perfecto ping 192.168.1.12 contesta perfecto ping 192.168.1.65 contesta ping 192.168.0.50 contesta ping 192.168.0.60 contesta ping 192.168.0.61 contesta Telnet al pix de la oficina 2 (192.168.1.1) desde la consola del pix: ping inside 192.168.1.11 contesta ping inside 192.168.1.12 contesta ping inside 192.168.0.60 NO contesta ping inside 192.168.0.61 NO contesta Pregunta porque desde la oficina 2 cmd.exe contesta a todas las ips de la red. ???? Saludos
23 septiembre, 2010 en 10:31 #356034
craem	Tienes algo mal configurado en las impresoras o en esa red local, ya sea puerta de enlace o rutas. Mírate con cariño los logs de los pix con el syslog…. no es problema de la vpn. Yo, sin verlo poco te puedo decir, pero estoy seguro que es local de la red y no de la vpn…. la vpn es para todos igual… o va o no va.
23 septiembre, 2010 en 16:12 #356035
Julio30	Syslog.. a esta hora ya no hay actividad. 09-23-2010 19:05:09 Local4.Warning 192.168.0.101 :%PIX-4-402101: decaps: rec’d IPSEC packet has invalid spi for destaddr=xxx.xx.x.xxx, prot=esp, spi=0x9b2d375e(-1691535522), srcaddr=yy.yy.yyy.yyy Saludos, mañana +
24 septiembre, 2010 en 7:24 #356036
Julio30	Logg de la oficina 1 (192.168.0.101) :%PIX-4-402106: Rec’d packet not an IPSEC packet. (ip) dest_addr= xxx.xx.x.xxx, src_addr= yy.yy.yy.yyy, prot= tcp :%PIX-4-402106: Rec’d packet not an IPSEC packet. (ip) dest_addr= xxx.xx.x.xxx, src_addr= 190.232.32.86, prot= tcp :%PIX-3-305005: No translation group found for udp src inside:192.168.8.10/137 dst outside:192.168.1.1/137 :%PIX-2-106007: Deny inbound UDP from 194.179.1.100/53 to xxx.xx.x.xxx/1042 due to DNS Response :%PIX-2-106007: Deny inbound UDP from 194.179.1.100/53 to xxx.xx.x.xxx/1042 due to DNS Query :%PIX-2-106007: Deny inbound UDP from 194.179.1.100/53 to xxx.xx.x.xxx/1042 due to DNS Query :%PIX-2-106007: Deny inbound UDP from 194.179.1.100/53 to xxx.xx.x.xxx/1037 due to DNS Response :%PIX-2-106007: Deny inbound UDP from 194.179.1.100/53 to xxx.xx.x.xxx/1037 due to DNS Query Saludos
30 septiembre, 2010 en 11:21 #356053
craem	Tienes algún problema en la red 192.168.0.0. 1º) problemas de configuración, ip’s y puertas de enlace correctas 2º) problemas de switching –> algún switch en la red dropeando paquetes. No hay más
30 septiembre, 2010 en 13:50 #356055
Julio30	Hola craem, Prueba 1º desde la oficina 1 desde un pc: ping 194.179.1.100 dns de telefonica y contesta bien, lo hago desde el pc de la oficina 2 y NO contesta el ping. Prueba 2º Desde la oficina 1 desde un pc : ping 80.33.xx.xx mi ip fija particular de casa y contesta bien, lo hago desde el pc de la oficina 2 y NO contesta el ping. Resto de funciones de red funciona todo bien, el problema a salido al instalar una impresora de red en la oficina 2 que no imprime desde la oficina 1. Gracias .

Viendo 15 mensajes - 1 hasta 15 (de 29 en total)

1 2 →

Debes estar registrado para responder a este tema.

ADSLNet

Aún sin registrarte?

Participa en nuestros foros

Pix + Vpn

Últimas noticias

Últimos comentarios

Últimos temas en el foro

Routers ADSL VDSL2. Documentación y Manuales de Configuración

ADSL ADSL2+ ADSL Rural VDSL2 FTTH

Accede a ADSLNet

Últimas entradas en la red QuasarBlogs

Sign in to your account