Configuration PIX 5O6E CISCO

Question

Bonjour, J'ai mis en place un firewall Cisco Pix 506E entre un routeur DLINK et un switch NETGEAR 5 ports. en gros: INTERNET --------- ip publique : X.X.X.X ip Admin : 192.168.1.1 ------------- ip outside : 192.168.1.2 ip inside : 192.168.3.1 -------------- reseau Lan en ip 192.168.3.X j'ai commencé à configurer le pix mais j'arrive toujours pas à avoir du net sur les PC de mon réseau Lan. voici la configuration de mon Pix: MONPIX# sh run : Saved : PIX Version 6.3(4) interface ethernet0 100full interface ethernet1 auto nameif ethernet0 outside security0 nameif ethernet1 inside security100 enable password A8kukAiA0LFtSSSC encrypted passwd A8kukAiA0LFtSSSC encrypted hostname MONPIX fixup protocol dns maximum-length 512 fixup protocol ftp 21 fixup protocol h323 h225 1720 fixup protocol h323 ras 1718-1719 fixup protocol http 80 fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol sip 5060 fixup protocol sip udp 5060 fixup protocol skinny 2000 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol tftp 69 names access-list inside permit ip 192.168.3.0 255.255.255.0 any pager lines 24 mtu outside 1500 mtu inside 1500 ip address outside 192.168.1.2 255.255.255.0 ip address inside 192.168.3.1 255.255.255.0 ip audit info action alarm ip audit attack action alarm pdm history enable arp timeout 14400 global (outside) 1 192.168.1.1 netmask 255.255.255.224 nat (inside) 1 0.0.0.0 0.0.0.0 0 0 access-group inside in interface inside route outside 0.0.0.0 0.0.0.0 192.168.1.1 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server TACACS+ max-failed-attempts 3 aaa-server TACACS+ deadtime 10 aaa-server RADIUS protocol radius aaa-server RADIUS max-failed-attempts 3 aaa-server RADIUS deadtime 10 aaa-server LOCAL protocol local no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps floodguard enable telnet timeout 5 ssh timeout 5 console timeout 0 dhcpd address 192.168.3.120-192.168.3.145 inside dhcpd lease 3600 dhcpd ping_timeout 750 terminal width 80 Cryptochecksum:e7ad3bc9286a8ffff7fd46578e76e1c4 : end MONPIX# Et depuis l'hyperterminal mon pix ping bien mon routeur et les addresse correspondantes à www.google.com et www.yahoo.fr toutes les interfaces Eth0 et eth1 sont up mais j'ai d'internet sur les PC qui sont reliés au switch. Aidez-moi SVP, cela fait déja plusieurs semaines que je galere avec ça. Configuration: Windows XP / Firefox 3.0.19

Utilisateur anonyme · Answer

Salut,

Ils ont quoi comme passerelle par défaut tes PC ?

tira18 · Answer

salut,
la passerelle c'est l'adresse inside de mon pix c'est-à-dire 192.168.3.1.

Utilisateur anonyme · Answer

OK. Sur n'importe lequel de tes clients, peux-tu faire un tracert www.google.com (par exemple) et poster le résultat ?

tira18 · Answer

avec le dos voilà ce que ça donne:
C:\Documents and Settings	ira>tracert www.google.com
Impossible de résoudre le nom du système cible www.google.com.

C:\Documents and Settings	ira>

Utilisateur anonyme · Answer

On avance ...

donne moi le résultat d'un Ipconfig / all sur ce même client.

tira18 · Answer

voilà ce que ça donne

C:\Documents and Settings	ira>ipconfig/all

Configuration IP de Windows

        Nom de l'hôte . . . . . . . . . . : Student2
        Suffixe DNS principal . . . . . . :
        Type de noud . . . . . . . . . . : Hybride
        Routage IP activé . . . . . . . . : Non
        Proxy WINS activé . . . . . . . . : Non

Carte Ethernet Connexion au réseau local:

        Suffixe DNS propre à la connexion :
        Description . . . . . . . . . . . : Intel(R) PRO/100 VE Network Connecti
on
        Adresse physique . . . . . . . . .: 00-A0-D1-63-6E-E6
        DHCP activé. . . . . . . . . . . : Non
        Adresse IP. . . . . . . . . . . . : 192.168.3.2
        Masque de sous-réseau . . . . . . : 255.255.255.0
        Passerelle par défaut . . . . . . : 192.168.3.1
        Serveurs DNS . . . . . . . . . .  : 216.146.35.35
                                            216.146.36.36

C:\Documents and Settings	ira>

Utilisateur anonyme · Answer

OK. Bon, on va permettre à tes machines qui sont derrière le PIX de pouvoir faire du ping et du tracert, quitte à virer la règle après.

Tu configures comme ça :

object-group icmp-type icmp-grp
 description ICMP Types allowed into the PIX
 icmp-object echo-reply
 icmp-object unreachable
 icmp-object time-exceeded

access-list outside_in permit icmp any any object-group icmp-grp

Une fois que c'est fait, tu essaies de pinger du 192.168.1.x à partir du vlan 192.168.3.x

PS : pour les DNS c'est bon, ça a bien l'air d'être ceux de ton provider.

tira18 · Answer

j'ai entré les 4 lignes de commandes que vous m'avez données
et quand je ping mon routeur par exemple cela donne ceci:

C:\Documents and Settings	ira>ping 192.168.1.1

Envoi d'une requête 'ping' sur 192.168.1.1 avec 32 octets de don

Délai d'attente de la demande dépassé.
Délai d'attente de la demande dépassé.
Délai d'attente de la demande dépassé.
Délai d'attente de la demande dépassé.

Statistiques Ping pour 192.168.1.1:
    Paquets : envoyés = 4, reçus = 0, perdus = 4 (perte 100%),

C:\Documents and Settings	ira>

tira18 · Answer

j'ai entré les 4 lignes de commandes que vous m'avez données
et quand je ping mon routeur par exemple cela donne ceci:

C:\Documents and Settings	ira>ping 192.168.1.1

Envoi d'une requête 'ping' sur 192.168.1.1 avec 32 octets de don

Délai d'attente de la demande dépassé.
Délai d'attente de la demande dépassé.
Délai d'attente de la demande dépassé.
Délai d'attente de la demande dépassé.

Statistiques Ping pour 192.168.1.1:
Paquets : envoyés = 4, reçus = 0, perdus = 4 (perte 100%),

C:\Documents and Settings	ira>

tira18 · Answer

meme quand j'essaie de pinguer l'adresse 209.85.135.105 qui celle de www.google.com
cela fait la meme chose.

Nico le Vosgien · Answer

Bonjour, 

Ta config est un peu étrange : tu indiques que la 192.168.1.1 correspond à ton DLINK, ce que tu sembles confirmer avec ta route defaut sur le pix : 0.0.0.0 0.0.0.0 192.168.1.1 

Maintenant : pourquoi un nat global avec cette même adresse ? (et un masque n'ayant rien à voir ?) 

Remplace : 

global (outside) 1 192.168.1.1 netmask 255.255.255.224  

par  

global (outside) 1 interface

Et en général, on controle les flux entrants sur l'outside :


access-list outside_in permit ip any any (pour commencer :) ) 
access-group outside_in in interface outside

tira18 · Answer

Bonjour, 
c'était une erreur de ma part pour le masque, c'est 225.255.255.0 au lieu 255.255.255.224; d'ailleurs je l'ai changé.Mais le problème reste intact.

Nico le Vosgien · Answer

C'est à dire ?

Tu as modifié ta config global outside ?

Ta 192.168.1.1 ne peut être à la fois sur ton pix et sur ton dlink

Que donne un "sh xlate" ?

tira18 · Answer

C'est-à-dire que   
j'ai tapé les commandes :  
MONPIX(config)# no global (outside) 1 192.168.1.1 netmask 255.255.255.224 
MONPIX(config)# sh global 
MONPIX(config)# global (outside) 1 interface 
outside interface address added to PAT pool 
MONPIX(config)# sh global 
global (outside) 1 interface 
MONPIX(config)# sh xlate 
0 in use, 152 most used 
MONPIX(config)#

tira18 · Answer

MONPIX(config)# no global (outside) 1 192.168.1.1 netmask 255.255.255.224
MONPIX(config)# sh global 
MONPIX(config)# global (outside) 1 interface 
outside interface address added to PAT pool 
MONPIX(config)# sh global 
global (outside) 1 interface 
MONPIX(config)# sh xlate 
0 in use, 152 most used 
MONPIX(config)#

tira18 · Answer

maintenant avec le dos, un  ping sur www.google.com repond à 100% et sans perte mais quand j'essaie d'ouvrir une page google cela refuse et je ne sais pas pourquoi

Nico le Vosgien · Answer

Tu as lancé le "sh xlate" apres avoir lancé un ping depuis une des station ? 

Tu peux ajouter :

access-list outside_in permit ip any any
access-list outside_in permit icmp any any
access-group outside_in in interface outside
access-list inside permit icmp 192.168.3.0 255.255.255.0 any

Tu peux valider que ton pix 'tape' bien une station ?

ping inside 192.168.3.???

Tu peux valider que ton pix tape bien ton dlink ?

ping outside 192.168.1.1

Tu peux faire un test de ping du dlink (192.168.1.1) depuis une de tes stations en 192.168.3 ?

tira18 · Answer

Voilà ce que j'ai quand je fais un sh xlate et sh access-list:

MONPIX(config)# sh xlate
29 in use, 146 most used
PAT Global 192.168.1.2(1859) Local 192.168.3.4(55763)
PAT Global 192.168.1.2(1203) Local 192.168.3.4(61087)
PAT Global 192.168.1.2(1762) Local 192.168.3.4(55670)
PAT Global 192.168.1.2(1858) Local 192.168.3.4(55762)
PAT Global 192.168.1.2(1857) Local 192.168.3.4(55761)
PAT Global 192.168.1.2(1856) Local 192.168.3.4(55760)
PAT Global 192.168.1.2(1863) Local 192.168.3.4(55767)
PAT Global 192.168.1.2(1862) Local 192.168.3.4(55766)
PAT Global 192.168.1.2(1206) Local 192.168.3.4(7513)
PAT Global 192.168.1.2(1861) Local 192.168.3.4(55765)
PAT Global 192.168.1.2(1860) Local 192.168.3.4(55764)
PAT Global 192.168.1.2(1492) Local 192.168.3.3(2600)
PAT Global 192.168.1.2(1739) Local 192.168.3.4(55647)
PAT Global 192.168.1.2(1851) Local 192.168.3.4(55755)
PAT Global 192.168.1.2(1467) Local 192.168.3.4(55491)
PAT Global 192.168.1.2(1211) Local 192.168.3.4(56276)
PAT Global 192.168.1.2(1866) Local 192.168.3.4(55770)
PAT Global 192.168.1.2(1785) Local 192.168.3.4(55693)
PAT Global 192.168.1.2(1833) Local 192.168.3.4(55737)
PAT Global 192.168.1.2(1465) Local 192.168.3.4(55488)
PAT Global 192.168.1.2(1865) Local 192.168.3.4(55769)
PAT Global 192.168.1.2(1768) Local 192.168.3.4(55676)
PAT Global 192.168.1.2(1864) Local 192.168.3.4(55768)
PAT Global 192.168.1.2(1855) Local 192.168.3.4(55759)
PAT Global 192.168.1.2(1854) Local 192.168.3.4(55758)
PAT Global 192.168.1.2(1870) Local 192.168.3.4(55774)
PAT Global 192.168.1.2(1214) Local 192.168.3.4(53019)
PAT Global 192.168.1.2(1853) Local 192.168.3.4(55757)
PAT Global 192.168.1.2(1869) Local 192.168.3.4(55773)
PAT Global 192.168.1.2(1868) Local 192.168.3.4(55772)
MONPIX(config)#
MONPIX(config)#
MONPIX(config)# sh access-list
access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 1024)
            alert-interval 300
access-list inside; 1 elements
access-list inside line 1 permit ip 192.168.3.0 255.255.255.0 any (hitcnt=1547)

access-list outside_in; 3 elements
access-list outside_in line 1 permit icmp any any object-group icmp-grp
access-list outside_in line 1 permit icmp any any unreachable (hitcnt=483)
access-list outside_in line 1 permit icmp any any time-exceeded (hitcnt=66)
access-list outside_in line 2 permit ip any any (hitcnt=10)

avec l'adresse 192.168.3.4 si je fais un ping avec dos sur www.google.com ou sur 192.168.1.1 ça répond.Mais pas moyen d'ouvrir avec un navigateur la page de google parexemple.

tira18 · Answer

voilà ce que j'ai à partir d'un PC d'adresse 192.168.3.4 C:\Documents and Settings ira>ping www.google.com Envoi d'une requête 'ping' sur www.l.google.com [209.85.135.106] avec 32 oct de données : Réponse de 209.85.135.106 : octets=32 temps=131 ms TTL=50 Réponse de 209.85.135.106 : octets=32 temps=130 ms TTL=50 Réponse de 209.85.135.106 : octets=32 temps=131 ms TTL=50 Réponse de 209.85.135.106 : octets=32 temps=130 ms TTL=50 Statistiques Ping pour 209.85.135.106: Paquets : envoyés = 4, reçus = 4, perdus = 0 (perte 0%), Durée approximative des boucles en millisecondes : Minimum = 130ms, Maximum = 131ms, Moyenne = 130ms C:\Documents and Settings ira>ping 192.168.1.1 Envoi d'une requête 'ping' sur 192.168.1.1 avec 32 octets de données : Réponse de 192.168.1.1 : octets=32 temps=1 ms TTL=255 Réponse de 192.168.1.1 : octets=32 temps<1ms TTL=255 Réponse de 192.168.1.1 : octets=32 temps<1ms TTL=255 Réponse de 192.168.1.1 : octets=32 temps<1ms TTL=255 Statistiques Ping pour 192.168.1.1: Paquets : envoyés = 4, reçus = 4, perdus = 0 (perte 0%), Durée approximative des boucles en millisecondes : Minimum = 0ms, Maximum = 1ms, Moyenne = 0ms C:\Documents and Settings ira> Cela signifie que mon PC a bel et bien du net par contre je ne peux pas afficher une page google via un navigateur(mozilla,opera,IE). Je crois que c'est au niveau des ACLS mais je ne sais pas comment résoudre ça.

Nico le Vosgien · Answer

Ah ben y'a du mieux !!!

Tu vois que tu ping le net maintenant ! :)

Tu confirmes bien que tu es en dhcp au niveau de ton PC ? et c'est le pix ou le dlink qui fait office de server ?

Commence par un ipconfig /all sur ton pc : on va confirmer ce que tu as (ou pas ! ) comme dns 

Ton dlink a un dns de référence je pense ? si tu mets sur ton pix "dhcpd dns 192.168.1.1" (et en supposant que c'est bien ton pix qui t'alloue l'adresse) : ça donne quoi ?

Fais un ipconfig /renew sur ton pc afin qu'il refasse une demande de bail

tira18 · Answer

non je ne suis pas en dhcp au niveau de mon PC c'est moi-même qui ai fixé l'adresse.
Une commande ipconfig/all donne ceci:

C:\Documents and Settings	ira>ipconfig/all

Configuration IP de Windows

        Nom de l'hôte . . . . . . . . . . : Student2
        Suffixe DNS principal . . . . . . :
        Type de noud . . . . . . . . . . : Hybride
        Routage IP activé . . . . . . . . : Non
        Proxy WINS activé . . . . . . . . : Non

Carte Ethernet Connexion réseau sans fil:

        Statut du média . . . . . . . . . : Média déconnecté
        Description . . . . . . . . . . . : Intel(R) PRO/Wireles
k Connection
        Adresse physique . . . . . . . . .: 00-19-D2-16-80-68

Carte Ethernet Connexion au réseau local:

        Suffixe DNS propre à la connexion :
        Description . . . . . . . . . . . : Intel(R) PRO/100 VE
on
        Adresse physique . . . . . . . . .: 00-A0-D1-63-6E-E6
        DHCP activé. . . . . . . . . . . : Non
        Adresse IP. . . . . . . . . . . . : 192.168.3.3
        Masque de sous-réseau . . . . . . : 255.255.255.0
        Passerelle par défaut . . . . . . : 192.168.3.1
        Serveurs DNS . . . . . . . . . .  : 216.146.35.35
                                            216.146.36.36

C:\Documents and Settings	ira>

Nico le Vosgien · Answer

ah ok : ton pix a une config dhcp server, d'où ma question.

Tu disais que des PC derrière ton DLINK avaient bien le net ? tu peux changer tes dns (au moins le premier) et remplacer "216.146.35.35" par "192.168.1.1" ?

tira18 · Answer

je l'ai changé,
C:\Documents and Settings	ira>ipconfig/all

Configuration IP de Windows

Nom de l'hôte . . . . . . . . . . : Student2
Suffixe DNS principal . . . . . . :
Type de noud . . . . . . . . . . : Hybride
Routage IP activé . . . . . . . . : Non
Proxy WINS activé . . . . . . . . : Non

Carte Ethernet Connexion réseau sans fil:

Statut du média . . . . . . . . . : Média déconnecté
Description . . . . . . . . . . . : Intel(R) PRO/Wireles
k Connection
Adresse physique . . . . . . . . .: 00-19-D2-16-80-68

Carte Ethernet Connexion au réseau local:

Suffixe DNS propre à la connexion :
Description . . . . . . . . . . . : Intel(R) PRO/100 VE
on
Adresse physique . . . . . . . . .: 00-A0-D1-63-6E-E6
DHCP activé. . . . . . . . . . . : Non
Adresse IP. . . . . . . . . . . . : 192.168.3.3
Masque de sous-réseau . . . . . . : 255.255.255.0
Passerelle par défaut . . . . . . : 192.168.3.1
Serveurs DNS . . . . . . . . . . : 192.168.1.1
216.146.36.36

C:\Documents and Settings	ira>
page google ne peut etre affichaé

Nico le Vosgien · Answer

tu peux faire : nslookup www.google.com Et ensuite, si tu as bien la resolution : telnet www.google.com 80 là, tu vas avoir ta fenêtre dos 'toute noire' :) tape "get" puis entrer : est ce que le server te répond ? Normalement, il doit te renvoyer ce genre de choses : HTTP/1.0 400 Bad Request Content-Type: text/html; charset=UTF-8 Content-Length: 1350 Date: Mon, 28 Jun 2010 18:37:45 GMT Server: GFE/2.0 400 Bad Request

tira18 · Answer

bonjour,
voilà ce que j'ai :

C:\Documents and Settings	ira>nslookup www.google.com
Serveur :  resolver1.dyndnsinternetguide.com
Address:  216.146.35.35

Réponse ne faisant pas autorité :
Nom :    www.l.google.com
Addresses:  209.85.135.99, 209.85.135.103, 209.85.135.147, 209.85.135.105
          209.85.135.106, 209.85.135.104
Aliases:  www.google.com


C:\Documents and Settings	ira>telnet www.google.com 80
Connexion à www.google.com...Impossible d'ouvrir une connexion à l'hôte, sur le
port 80: Échec lors de la connexion

C:\Documents and Settings	ira>
C:\Documents and Settings	ira>
C:\Documents and Settings	ira>
C:\Documents and Settings	ira>
C:\Documents and Settings	ira>get
'get' n'est pas reconnu en tant que commande interne
ou externe, un programme exécutable ou un fichier de commandes.

C:\Documents and Settings	ira>

et si je change l'adresse dns c-à-d 216.146.35.35 par 192.168.1.1 voilà ce que ça donne:


C:\Documents and Settings	ira>nslookup www.google.com
Serveur :  mygateway.ar7
Address:  192.168.1.1

Réponse ne faisant pas autorité :
Nom :    www.google.com
Address:  209.85.227.99


C:\Documents and Settings	ira>telnet www.google.com 80
Connexion à www.google.com...Impossible d'ouvrir une connexion à l'hôte, sur le
port 80: Échec lors de la connexion

C:\Documents and Settings	ira>get
'get' n'est pas reconnu en tant que commande interne
ou externe, un programme exécutable ou un fichier de commandes.

C:\Documents and Settings	ira>
C:\Documents and Settings	ira>
C:\Documents and Settings	ira>
C:\Documents and Settings	ira>get
'get' n'est pas reconnu en tant que commande interne
ou externe, un programme exécutable ou un fichier de commandes.

C:\Documents and Settings	ira>

tira18 · Answer

Autre chose et ce qui est étrange pour moi, j'arrive à me connecter sur msn c'est-à-dire que je chatte sur msn grâce à cette même adresse.

tira18 · Answer

j'ai ajouté l'acl suivante:
access-list outside_in permit tcp any any eq 80
Mais ça ne donne rien. Aidez-moi SVP.

Nico le Vosgien · Answer

On est pas toujours sur le forum ! 

Le fait que tu ping et que la resolution dns soient ok montrent en toute logique que ta conf pix est ok.

Quand tu autorises "ip" , tu autorises tcp/udp : donc http

Tu es certain que tu n'as pas une config un peu articuliere de ton pc ? utilisation d'un proxy par exemple ? tu as un firewall ? 

Car effectivement, le telnet www.google.com 80 devrait être : ce n'est pas le cas dans ce que tu montres au dessus.

On peut toujours essayer de voir si ton pix log quelque chose :

Tu peux activer "logging buffered debug"

Tu fais quelques tests de surf et ensuite tu fais un "show logg" : copie ce qu'il t'affiche ... s'il te donne quelques chose.

Tu as plusieurs PC ? tous ont le même probléme derriere le pix et sont ok directement sur le dlink ?

tira18 · Answer

Bonjour,

Tu es certain que tu n'as pas une config un peu articuliere de ton pc ? utilisation d'un proxy par exemple ? tu as un firewall ?

je n'ai pas de proxy et pour le firewall je l'ai desactivé

Tu peux activer "logging buffered debug" 

je l'ai activé comme suit:
MONPIX(config)# logging on
MONPIX(config)# logging buffered debug
MONPIX(config)# sh log
Syslog logging: enabled
    Facility: 20
    Timestamp logging: disabled
    Standby logging: disabled
    Console logging: disabled
    Monitor logging: disabled
    Buffer logging: level debugging, 272 messages logged
    Trap logging: disabled
    History logging: disabled
    Device ID: disabled
UDP translation from inside:192.168.3.3/60561 to outside:192.168.1.2/1049 durati
on 0:00:31
710005: UDP request discarded from 192.168.1.110/137 to outside:192.168.1.255/ne
tbios-ns
710005: UDP request discarded from 192.168.1.109/137 to outside:192.168.1.255/ne
tbios-ns
710005: UDP request discarded from 192.168.1.110/137 to outside:192.168.1.255/ne
tbios-ns
710005: UDP request discarded from 192.168.1.109/137 to outside:192.168.1.255/ne
tbios-ns
710005: UDP request discarded from 192.168.1.110/137 to outside:192.168.1.255/ne
tbios-ns
710005: UDP request discarded from 192.168.1.109/137 to outside:192.168.1.255/ne
tbios-ns
710005: UDP request discarded from 192.168.1.110/137 to outside:192.168.1.255/ne
tbios-ns
710005: UDP request discarded from 192.168.1.109/138 to outside:192.168.1.255/ne
tbios-dgm
710005: UDP request discarded from 192.168.1.109/138 to outside:192.168.1.255/ne
tbios-dgm
710005: UDP request discarded from 192.168.1.109/138 to outside:192.168.1.255/ne
tbios-dgm
710005: UDP request discarded from 192.168.1.110/137 to outside:192.168.1.255/ne
tbios-ns
710005: UDP request discarded from 192.168.1.110/137 to outside:192.168.1.255/ne
tbios-ns
710005: UDP request discarded from 192.168.1.110/137 to outside:192.168.1.255/ne
tbios-ns
710005: UDP request discarded from 192.168.1.110/137 to outside:192.168.1.255/ne
tbios-ns
710005: UDP request discarded from 192.168.1.110/138 to outside:192.168.1.255/ne
tbios-dgm
710005: UDP request discarded from 192.168.1.110/6646 to outside:192.168.1.255/6
646
710005: UDP request discarded from 192.168.1.110/138 to outside:192.168.1.255/ne
tbios-dgm
710005: UDP request discarded from 192.168.1.109/138 to outside:192.168.1.255/ne
tbios-dgm
710005: UDP request discarded from 192.168.1.110/6646 to outside:192.168.1.255/6
646
710005: UDP request discarded from 192.168.1.110/6646 to outside:192.168.1.255/6
646
302014: Teardown TCP connection 64 for outside:74.125.67.99/80 to inside:192.168
.3.3/1847 duration 0:02:01 bytes 0 SYN Timeout
305012: Teardown dynamic TCP translation from inside:192.168.3.3/1847 to outside
:192.168.1.2/1060 duration 0:02:06
710005: UDP request discarded from 192.168.1.109/138 to outside:192.168.1.255/ne
tbios-dgm
710005: UDP request discarded from 192.168.1.110/6646 to outside:192.168.1.255/6
646
710005: UDP request discarded from 192.168.1.110/6646 to outside:192.168.1.255/6
646
302014: Teardown TCP connection 66 for outside:208.78.70.70/80 to inside:192.168
.3.3/1848 duration 0:02:01 bytes 0 SYN Timeout
305012: Teardown dynamic TCP translation from inside:192.168.3.3/1848 to outside
:192.168.1.2/1061 duration 0:02:06
710005: UDP request discarded from 192.168.1.110/6646 to outside:192.168.1.255/6
646
710005: UDP request discarded from 192.168.1.109/138 to outside:192.168.1.255/ne
tbios-dgm
710005: UDP request discarded from 192.168.1.110/6646 to outside:192.168.1.255/6
646
710005: UDP request discarded from 192.168.1.110/6646 to outside:192.168.1.255/6
646
710005: UDP request discarded from 192.168.1.110/6646 to outside:192.168.1.255/6
646
710005: UDP request discarded from 192.168.1.110/6646 to outside:192.168.1.255/6
646
710005: UDP request discarded from 192.168.1.110/6646 to outside:192.168.1.255/6
646
710005: UDP request discarded from 192.168.1.110/6646 to outside:192.168.1.255/6
646
710005: UDP request discarded from 192.168.1.110/6646 to outside:192.168.1.255/6
646
710005: UDP request discarded from 192.168.1.110/6646 to outside:192.168.1.255/6
646
710005: UDP request discarded from 192.168.1.110/6646 to outside:192.168.1.255/6
646
710005: UDP request discarded from 192.168.1.110/6646 to outside:192.168.1.255/6
646
710005: UDP request discarded from 192.168.1.110/6646 to outside:192.168.1.255/6
646
710005: UDP request discarded from 192.168.1.107/138 to outside:192.168.1.255/ne
tbios-dgm
710005: UDP request discarded from 192.168.1.110/6646 to outside:192.168.1.255/6
646
710005: UDP request discarded from 192.168.1.110/6646 to outside:192.168.1.255/6
646
710005: UDP request discarded from 192.168.1.110/6646 to outside:192.168.1.255/6
646
111009: User 'enable_15' executed cmd: show logging
MONPIX(config)#

Les adresse 192.168.1.110 , 192.168.1.107 et 192.168.1.109 sont des PC qui sont connectés directement au dlink; l'adresse 192.168.3.3 est celle du PC se trouvant derrière le Pix.

Nico le Vosgien · Answer

Le TCP SYN part en timeout.  

Me demande si ce n'est pas un pb de pat avec le dlink qui est devant et qui fait de même

Tu peux supprimer tes 2 commandes nat & global ?  

Et tu remplaces par :  

static (inside,outside) 192.168.1.2 192.168.3.3 netmask 255.255.255.0 0 0  

C'est valide uniquement pour un PC en 3.3 : on va voir si tu as du mieux  

Tu generes un peu de trafic http sur google et tu fais un   

sh xlate  
sh conn  
sh log

tira18 · Answer

Bonjour, j'ai supprimé les commandes nat et global comme tu l'a suggéré et quand j'ai tapé la commande " static (inside,outside) 192.168.1.2 192.168.3.3 netmask 255.255.255.0 0 0 " voilà ce que ça a donné: MONPIX(config)# static (inside,outside) 192.168.1.2 192.168.3.3 netmask 255.255.255.0 0 0 ERROR: invalid netmask 255.255.255.0 with global address 192.168.1.2 Usage: [no] static [(real_ifc, mapped_ifc)] {|interface} { [netmask ]} | {access-list } [dns] [norandomseq] [ []] [no] static [(real_ifc, mapped_ifc)] {tcp|udp} {|interface} { [netmask ]} | {access-list } [dns] [norandomseq] [ []] aprés j'ai changé le mask par 255.255.255.255 celui-ci a accepté MONPIX(config)# static (inside,outside) 192.168.1.2 192.168.3.3 netmask 255.255.255.255 0 0 MONPIX(config)# cet ecran est affiché quand je faisait un ping de www.google.com à partir du dos MONPIX(config)# p21: ICMP echo-request from inside:192.168.3.3 to 209.85.13 5.99 ID=768 seq=2304 length=40 22: ICMP echo-request: translating inside:192.168.3.3 to outside:192.168.1.2 23: ICMP echo-reply from outside:209.85.135.99 to 192.168.1.2 ID=768 seq=2304 le ngth=40 24: ICMP echo-reply: untranslating outside:192.168.1.2 to inside:192.168.3.3 25: ICMP echo-request from inside:192.168.3.3 to 209.85.135.99 ID=768 seq=2560 l ength=40 26: ICMP echo-request: translating inside:192.168.3.3 to outside:192.168.1.2 27: ICMP echo-reply from outside:209.85.135.99 to 192.168.1.2 ID=768 seq=2560 le ngth=40 28: ICMP echo-reply: untranslating outside:192.168.1.2 to inside:192.168.3.3 29: ICMP echo-request from inside:192.168.3.3 to 209.85.135.99 ID=768 seq=2816 l ength=40 30: ICMP echo-request: translating inside:192.168.3.3 to outside:192.168.1.2 31: ICMP echo-reply from outside:209.85.135.99 to 192.168.1.2 ID=768 seq=2816 le ngth=40 32: ICMP echo-reply: untranslating outside:192.168.1.2 to inside:192.168.3.3 33: ICMP echo-request from inside:192.168.3.3 to 209.85.135.99 ID=768 seq=3072 l ength=40 34: ICMP echo-request: translating inside:192.168.3.3 to outside:192.168.1.2 35: ICMP echo-reply from outside:209.85.135.99 to 192.168.1.2 ID=768 seq=3072 le ngth=40 36: ICMP echo-reply: untranslating outside:192.168.1.2 to inside:192.168.3.3 Ambiguous command. Please enter more characters. La commande sh xlate MONPIX(config)# sh xlate 1 in use, 7 most used Global 192.168.1.2 Local 192.168.3.3 La commande sh conn MONPIX(config)# sh conn 6 in use, 6 most used TCP out 209.85.135.106:80 in 192.168.3.3:2866 idle 0:00:06 Bytes 0 flags saA TCP out 209.85.135.103:80 in 192.168.3.3:2861 idle 0:01:51 Bytes 0 flags saA TCP out 209.85.135.104:80 in 192.168.3.3:2864 idle 0:00:48 Bytes 0 flags saA TCP out 209.85.135.147:80 in 192.168.3.3:2862 idle 0:01:30 Bytes 0 flags saA TCP out 209.85.135.105:80 in 192.168.3.3:2863 idle 0:01:09 Bytes 0 flags saA TCP out 209.85.135.99:80 in 192.168.3.3:2865 idle 0:00:27 Bytes 0 flags saA sh log MONPIX(config)# sh log Syslog logging: enabled Facility: 20 Timestamp logging: disabled Standby logging: disabled Console logging: disabled Monitor logging: disabled Buffer logging: level debugging, 424 messages logged Trap logging: disabled History logging: disabled Device ID: disabled outside:192.168.1.255/6646 111008: User 'enable_15' executed the 'static (inside,outside) 192.168.1.2 192.1 68.3.3 netmask 255.255.255.255 0 0' command. 305009: Built static translation from inside:192.168.3.3 to outside:192.168.1.2 302015: Built outbound UDP connection 9 for outside:216.146.35.35/53 (216.146.35 .35/53) to inside:192.168.3.3/64994 (192.168.1.2/64994) 302016: Teardown UDP connection 9 for outside:216.146.35.35/53 to inside:192.168 .3.3/64994 duration 0:00:01 bytes 196 710005: UDP request discarded from 192.168.1.110/6646 to outside:192.168.1.255/6 646 302015: Built outbound UDP connection 10 for outside:216.146.35.35/53 (216.146.3 5.35/53) to inside:192.168.3.3/52274 (192.168.1.2/52274) 302016: Teardown UDP connection 10 for outside:216.146.35.35/53 to inside:192.16 8.3.3/52274 duration 0:00:01 bytes 241 302015: Built outbound UDP connection 11 for outside:216.146.35.35/53 (216.146.3 5.35/53) to inside:192.168.3.3/52716 (192.168.1.2/52716) 302016: Teardown UDP connection 11 for outside:216.146.35.35/53 to inside:192.16 8.3.3/52716 duration 0:00:01 bytes 167 302015: Built outbound UDP connection 12 for outside:216.146.35.35/53 (216.146.3 5.35/53) to inside:192.168.3.3/64995 (192.168.1.2/64995) 302016: Teardown UDP connection 12 for outside:216.146.35.35/53 to inside:192.16 8.3.3/64995 duration 0:00:01 bytes 168 302013: Built outbound TCP connection 13 for outside:209.85.135.103/80 (209.85.1 35.103/80) to inside:192.168.3.3/2861 (192.168.1.2/2861) 710005: UDP request discarded from 192.168.1.110/6646 to outside:192.168.1.255/6 646 302013: Built outbound TCP connection 14 for outside:209.85.135.147/80 (209.85.1 35.147/80) to inside:192.168.3.3/2862 (192.168.1.2/2862) 710005: UDP request discarded from 192.168.1.110/6646 to outside:192.168.1.255/6 646 302013: Built outbound TCP connection 15 for outside:209.85.135.105/80 (209.85.1 35.105/80) to inside:192.168.3.3/2863 (192.168.1.2/2863) 710005: UDP request discarded from 192.168.1.110/6646 to outside:192.168.1.255/6 646 302013: Built outbound TCP connection 16 for outside:209.85.135.104/80 (209.85.1 35.104/80) to inside:192.168.3.3/2864 (192.168.1.2/2864) 710005: UDP request discarded from 192.168.1.110/6646 to outside:192.168.1.255/6 646 710005: UDP request discarded from 192.168.1.110/138 to outside:192.168.1.255/ne tbios-dgm 710005: UDP request discarded from 192.168.1.110/6646 to outside:192.168.1.255/6 646 302013: Built outbound TCP connection 17 for outside:209.85.135.99/80 (209.85.13 5.99/80) to inside:192.168.3.3/2865 (192.168.1.2/2865) 710005: UDP request discarded from 192.168.1.110/138 to outside:192.168.1.255/ne tbios-dgm 710005: UDP request discarded from 192.168.3.3/138 to inside:192.168.3.255/netbi os-dgm 302015: Built outbound UDP connection 18 for outside:216.146.35.35/53 (216.146.3 5.35/53) to inside:192.168.3.3/50059 (192.168.1.2/50059) 302016: Teardown UDP connection 18 for outside:216.146.35.35/53 to inside:192.16 8.3.3/50059 duration 0:00:01 bytes 207 111009: User 'enable_15' executed cmd: show xlate 710005: UDP request discarded from 192.168.1.110/6646 to outside:192.168.1.255/6 646 710005: UDP request discarded from 192.168.3.3/138 to inside:192.168.3.255/netbi os-dgm 302013: Built outbound TCP connection 19 for outside:209.85.135.106/80 (209.85.1 35.106/80) to inside:192.168.3.3/2866 (192.168.1.2/2866) 111009: User 'enable_15' executed cmd: show conn 302014: Teardown TCP connection 13 for outside:209.85.135.103/80 to inside:192.1 68.3.3/2861 duration 0:02:01 bytes 0 SYN Timeout 710005: UDP request discarded from 192.168.1.110/6646 to outside:192.168.1.255/6 646 302015: Built outbound UDP connection 20 for outside:216.146.35.35/53 (216.146.3 5.35/53) to inside:192.168.3.3/51581 (192.168.1.2/51581) 302015: Built outbound UDP connection 21 for outside:216.146.35.35/53 (216.146.3 5.35/53) to inside:192.168.3.3/51148 (192.168.1.2/51148) 302016: Teardown UDP connection 20 for outside:216.146.35.35/53 to inside:192.16 8.3.3/51581 duration 0:00:01 bytes 167 302016: Teardown UDP connection 21 for outside:216.146.35.35/53 to inside:192.16 8.3.3/51148 duration 0:00:01 bytes 168 MONPIX(config)#

tira18 · Answer

et la page google ne s'affiche toujours pas. Autre chose un ping à partir de l'hyperterminal du pix de  www.google.com ne repond pas aussi c'est seulement un ping de son adresse correspondante qui repond c-à-d:

MONPIX(config)#ping www.google.com
Usage: ping [if_name] <host>
MONPIX(config)#

avec le navigateur meme si je rentre http://209.85.135.105 ,qui celle de google en ce moment ,ça ne repond pas

tira18 · Answer

Aidez-moi SVP je ne sais plus quoi faire!!!!!

Nico le Vosgien · Answer

Je ne fais que cela  !!!

Ca ne peut pas fonctionner : ta session tcp entre google et ton pc n'arrive pas à s'établir : c'est là qu'est le pb.

Le ping depuis le pix : il faut que tu renseignes le dns

Pour le masque du nat static : tu as bein fait, c'est moi qui me suis planté.

Reste que ce qui se passe est étrange!!

Peux tu changer le NAT ?

Au lieu de 192.168.1.2, mets une adresse non utilisée dans le lan 192.168.1.x

tu fais :

no static (inside,outside) 192.168.1.2 192.168.3.3 netmask 255.255.255.255 0 0 

et tu remplaces :

static (inside,outside) 192.168.1.240 192.168.3.3 netmask 255.255.255.255 0 0 

Ensuite :

clear xlate


et tu refais un test. (donne les logs comme précédemment)

Si ça ne fonctionne toujours pas, tu connais wireshark ? tu l'as sur ton pc ?

tira18 · Answer

Le ping depuis le pix : il faut que tu renseignes le dns 

Comment je peux faire ça?

Peux tu changer le NAT ?
Au lieu de 192.168.1.2, mets une adresse non utilisée dans le lan 192.168.1.x
tu fais :
no static (inside,outside) 192.168.1.2 192.168.3.3 netmask 255.255.255.255 0 0
et tu remplaces :
static (inside,outside) 192.168.1.240 192.168.3.3 netmask 255.255.255.255 0 0 

 voilà ce que j'ai fait:

MONPIX(config)# no static (inside,outside) 192.168.1.2 192.168.3.3 netmask 255.255.255.255 0 0
MONPIX(config)# static (inside,outside) 192.168.1.240 192.168.3.3 netmask 255.255.255.255 0 0
MONPIX(config)#clear xlate
MONPIX(config)# 

maitenant la page google s'affiche UN GRANG MERCI A VOUS . 

Par contre si je change la commande "static (inside,outside) 192.168.1.240 192.168.3.3 netmask 255.255.255.255 0 0" par "static (inside,outside) 192.168.1.240 192.168.3.0 netmask 255.255.255.255 0 0 " pour permettre aux PC du reseau 192.168.3.0 de sortir avec l'adresse globale 192.168.1.140  ils n'ont plus de net.
Est-ce suis-je obligée de d'attribuer une IP globale à chaque PC?

Nico le Vosgien · Answer

Pour le dns, ça depend de la version que tu as : possible que tu ne puisses pas le faire. Mais ça n'a pas d'importance : ça n'a pas une grande utilité.

Regarde si tu as une commande "name-server". Si c'est le cas , entre "name-server 192.168.1.1"

Pour la translation :

Refais un test en PAT sans utiliser l'adresse d'interface mais j'ai l'impression que ça pose soucis :

supprime :

no static (inside,outside) 192.168.1.240 192.168.3.3 netmask 255.255.255.255 0 0 

refais :

global (outside) 1  192.168.1.240
nat (inside) 1 192.168.3.0 255.255.255.0 0

Clear xlate et retest : marche ou pas ?

Si nok

Supprime la conf precedente est repasse en nat static :

static (inside,outside) 192.168.1.128 192.168.3.0 netmask 255.255.255.128 0 0 

Ca te permet de nater de 3.0 à 3.127 : ça devrait suffir ? :)

Derriere le dlink (et devant le pix), il faut donc que tu adresses en dessous de 192.168.1.128 : ça te laisse également 127 adresses ... !!

clear xlate et retest

tira18 · Answer

bonjour, pour la commande name-server je ne l'ai pas et je me rejoins à vous " c'est pas grave". maintenant tous les PC du reseau 192.168.3.0 sortent avec la meme adresse globale qui est 192.168.1.240 et leur ping ne marche (c-à-d 192.168.3.3 ne ping pas 192.168.3.4 et vice versa). Mais il y'a un probleme ,je ne peux pas attribuer des adresses de façon dynamique à mes PC ; je les donne de maniere static et pourtant voilà ce que donne la commande sh dhcpd: MONPIX(config)# sh dhcpd dhcpd address 192.168.3.120-192.168.3.145 inside dhcpd lease 3600 dhcpd ping_timeout 750 MONPIX(config)# Autre chose j'ai un serveur ftp installé sur la machine 192.168.3.3 (et j'utilise le dyndns au bureau comme à la maison pour régler le problème de nom de domaine) quelque chose qui pourra me permettre depuis chez moi c-à-d à la maison d'attaquer mon serveur ftp qui est au bureau. dyndns bureau=bureauftp.dyndns.org dyndns maison=maisonftp.dyndns.org Voilà comme j'ai procédé: MONPIX(config)#static (inside,outside) 192.168.1.240 192.168.3.3 netmask 255.255.255.255 et il met le message suivant: WARNING: static overlaps with global (outside) 1 192.168.1.240 parcontre si au lieu de 1.240 je tape 1.241 il accepte MONPIX(config)#static (inside,outside) 192.168.1.241 192.168.3.3 netmask 255.255.255.255 MONPIX(config)# MONPIX(config)# access-list acl_out permit ftp maisonftp.dyndns.org host 192.168.1.241 eq 21 ERROR: invalid protocol ftp Usage: [no] access-list compiled [no] access-list deny-flow-max [no] access-list alert-interval [no] access-list object-group-search [no] access-list compiled [no] access-list [line ] remark [no] access-list [line ] deny|permit |object-group | interface | object-group [ [] | object-group ] | interface | object-group [ [] | object-group ] [log [disable|default] | [] [interval ]] [no] access-list [line ] deny|permit icmp | interface | object-group | interface | object-group [ | object-group ] [log [disable|default] | [] [interval ]] Restricted ACLs for route-map use: [no] access-list deny|permit {any | | host

} j'ai le meme resultat si je tape 102 au lieu acl_out et puisque ces access-list ne sont pas définies alors point de les appliquer avec la commande access-group acl_out in interface outside. Et merci pour toute l'aide que vous m'apportez.

Nico le Vosgien · Answer

Bonjour,

Si tu as un pb de ping entre stations derriere le pix, ce ne peut être qu'un probleme de masque : là, le pix ne joue aucun rôlr.

En ce qui concerne le dhcp, oui , je t'en avais fait la remarque :

https://forums.commentcamarche.net/forum/affich-18266749-configuration-pix-5o6e-cisco?page=2#23

Mais ça ne 'derange' pas si ta conf est statique.

Pour être certain de bien comprendre, tu es avec cette conf ?

global (outside) 1 192.168.1.240
nat (inside) 1 192.168.3.0 255.255.255.0 0 

Si c'est le cas, c'est effectivement normal qu'il 't'insulte' lorsque tu essaie cette commande :

MONPIX(config)#static (inside,outside) 192.168.1.240 192.168.3.3 netmask 255.255.255.255 

Pour l'acl, je verrais plutot quelque chose du genre :

access-list acl_out permit tcp @ip bureau host 192.168.1.241 eq 21

tira18 · Answer

bonjour, 
excusez-moi pour tout ce silence car j'étais malade. 

Si tu as un pb de ping entre stations derriere le pix, ce ne peut être qu'un probleme de masque : là, le pix ne joue aucun rôlr. 

pour le masque tous les PC ont le meme masque qui est 255.255.255.0. 

MONPIX(config)# sh global 
global (outside) 1 192.168.1.240 
MONPIX(config)# sh nat 
nat (inside) 1 192.168.3.0 255.255.255.0 0 0 
MONPIX(config)# 

Pour l'acl, je verrais plutot quelque chose du genre : 
access-list acl_out permit tcp @ip bureau host 192.168.1.241 eq 21

pourquoi l'adresse 192.168.1.241 ? Cette adresse doit etre celle de la machine où est installé le serveur FTP ?et si je comprend bien votre requete: 
elle permet aux PC dont l@ip = @ip bureau d'acceder au serveur FTP qui est installé sur la machine dont l'@ip = 192.168.1.241. 
Or dans mon cas le PC qui heberge le serveur FTP a comme adresse 192.168.3.3. 
Donc pour permettre aux PC dont leur addresse publique correspond au nom " maisonftp.dyndns.com " est-ce que je devrais pas faire: 
access-list acl_out permit tcp maisonftp.dyndns.com host 192.168.3.3 eq 21 

?

tira18 · Answer

Autre chose à partir du ping j'arrive plus à pinguer mes PC 
MONPIX(config)# ping 192.168.3.3
41: ICMP echo request (len 32 id 9233 seq 0) 192.168.3.1 > 192.168.3.3
        192.168.3.3 NO response received -- 1000ms
42: ICMP echo request (len 32 id 9233 seq 1) 192.168.3.1 > 192.168.3.3
        192.168.3.3 NO response received -- 1000ms
43: ICMP echo request (len 32 id 9233 seq 2) 192.168.3.1 > 192.168.3.3
        192.168.3.3 NO response received -- 1000ms
MONPIX(config)# ping 192.168.3.4
44: ICMP echo request (len 32 id 9233 seq 0) 192.168.3.1 > 192.168.3.4
        192.168.3.4 NO response received -- 1000ms
45: ICMP echo request (len 32 id 9233 seq 1) 192.168.3.1 > 192.168.3.4
        192.168.3.4 NO response received -- 1000ms
46: ICMP echo request (len 32 id 9233 seq 2) 192.168.3.1 > 192.168.3.4
        192.168.3.4 NO response received -- 1000ms
MONPIX(config)#sh xlate
7 in use, 13 most used
PAT Global 192.168.1.240(1035) Local 192.168.3.3(1504)
PAT Global 192.168.1.240(1031) Local 192.168.3.3(1500)
PAT Global 192.168.1.240(1027) Local 192.168.3.3(1495)
PAT Global 192.168.1.240(1026) Local 192.168.3.3(1490)
PAT Global 192.168.1.240(1037) Local 192.168.3.3(1506)
PAT Global 192.168.1.240(1033) Local 192.168.3.3(1502)
PAT Global 192.168.1.240(1028) Local 192.168.3.3(1496)
MONPIX(config)#sh conn
8 in use, 9 most used
TCP out 65.54.49.40:1863 in 192.168.3.3:1490 idle 0:00:06 Bytes 15291 flags UIO
TCP out 65.55.15.242:80 in 192.168.3.3:1496 idle 0:03:36 Bytes 1091 flags UFRIO
TCP out 65.55.15.242:80 in 192.168.3.3:1495 idle 0:03:36 Bytes 2944 flags UFRIO
TCP out 194.169.240.15:80 in 192.168.3.3:1506 idle 0:00:54 Bytes 5598 flags UIO
TCP out 209.85.227.100:80 in 192.168.3.3:1500 idle 0:03:07 Bytes 2068 flags UIO
TCP out 209.85.227.100:443 in 192.168.3.3:1507 idle 0:00:43 Bytes 1654 flags UIO

TCP out 77.67.19.83:80 in 192.168.3.3:1502 idle 0:02:07 Bytes 57443 flags UIO
TCP out 74.125.79.102:80 in 192.168.3.3:1504 idle 0:02:13 Bytes 2725 flags UIO
MONPIX(config)#

tira18 · Answer

Bonjour,
voilà ce que donne la commande " ping inside 192.168.3.3 "

MONPIX(config)# ping inside 192.168.3.3
29: ICMP echo request (len 32 id 9233 seq 0) 192.168.3.1 > 192.168.3.3
        192.168.3.3 NO response received -- 1000ms
30: ICMP echo request (len 32 id 9233 seq 1) 192.168.3.1 > 192.168.3.3
        192.168.3.3 NO response received -- 1000ms
31: ICMP echo request (len 32 id 9233 seq 2) 192.168.3.1 > 192.168.3.3
        192.168.3.3 NO response received -- 1000ms

MONPIX(config)# ping inside 192.168.3.4
32: ICMP echo request (len 32 id 9233 seq 0) 192.168.3.1 > 192.168.3.4
        192.168.3.4 NO response received -- 1000ms
33: ICMP echo request (len 32 id 9233 seq 1) 192.168.3.1 > 192.168.3.4
        192.168.3.4 NO response received -- 1000ms
34: ICMP echo request (len 32 id 9233 seq 2) 192.168.3.1 > 192.168.3.4
        192.168.3.4 NO response received -- 1000ms

MONPIX(config)# ping outside 192.168.1.1
35: ICMP echo request (len 32 id 9233 seq 0) 192.168.1.2 > 192.168.1.1
36: ICMP echo reply (len 32 id 9233 seq 0) 192.168.1.1 > 192.168.1.2
        192.168.1.1 response received -- 10ms
37: ICMP echo request (len 32 id 9233 seq 1) 192.168.1.2 > 192.168.1.1
38: ICMP echo reply (len 32 id 9233 seq 1) 192.168.1.1 > 192.168.1.2
        192.168.1.1 response received -- 0ms
39: ICMP echo request (len 32 id 9233 seq 2) 192.168.1.2 > 192.168.1.1
40: ICMP echo reply (len 32 id 9233 seq 2) 192.168.1.1 > 192.168.1.2
        192.168.1.1 response received -- 0ms

tira18 · Answer

Et sur le reseau 192.168.1.0 j'ai un PC d'@ ip 192.168.1.106 auquel j'ai donné la permission de pinguer la machine 192.168.3.3 (natté sur 192.168.1.131) par la commande suivante:

MONPIX(config)# access-liste outside permit icmp host 192.168.1.106 host 191.168.1.131
MONPIX(config)# access-group outside in interface outside

Mais elle n'arrive pas à pinguer le PC 192.168.1.131
et pourtant quand je regarde le debug icpm trace au niveau du pix  au moment où la machine 192.168.1.106 ping celle de 192.168.1.131 j'ai ceci:

9: ICMP echo-request from outside:192.168.1.106 to 192.168.1.131 ID=1 seq=20 len
gth=40
10: ICMP echo-request: untranslating outside:192.168.1.131 to inside:192.168.3.3

11: ICMP echo-request from outside:192.168.1.106 to 192.168.1.131 ID=1 seq=21 le
ngth=40
12: ICMP echo-request: untranslating outside:192.168.1.131 to inside:192.168.3.3

13: ICMP echo-request from outside:192.168.1.106 to 192.168.1.131 ID=1 seq=22 le
ngth=40
14: ICMP echo-request: untranslating outside:192.168.1.131 to inside:192.168.3.3

15: ICMP echo-request from outside:192.168.1.106 to 192.168.1.131 ID=1 seq=23 le
ngth=40
16: ICMP echo-request: untranslating outside:192.168.1.131 to inside:192.168.3.3


MONPIX(config)#

tira18 · Answer

Voilà ce que donne un ping inside 192.168.3.3

MONPIX(config)# ping inside 192.168.3.3
228: ICMP echo request (len 32 id 9233 seq 0) 192.168.3.1 > 192.168.3.3
        192.168.3.3 NO response received -- 1000ms
229: ICMP echo request (len 32 id 9233 seq 1) 192.168.3.1 > 192.168.3.3
        192.168.3.3 NO response received -- 1000ms
230: ICMP echo request (len 32 id 9233 seq 2) 192.168.3.1 > 192.168.3.3
        192.168.3.3 NO response received -- 1000ms
MONPIX(config)#

tira18 · Answer

Bonjour,


Tu as changé un masque ? tu es toujours en /24 ? (255.255.255.0) ? 

J'ai pas changé le masque c'est toujours 255.255.255.0.

Voilà ce que donne en dos la cmde ipconfig/all 

C:\Documents and Settings	ira>ipconfig/all

Configuration IP de Windows

        Nom de l'hôte . . . . . . . . . . : Student2
        Suffixe DNS principal . . . . . . :
        Type de noud . . . . . . . . . . : Hybride
        Routage IP activé . . . . . . . . : Non
        Proxy WINS activé . . . . . . . . : Non

Carte Ethernet Connexion au réseau local:

        Suffixe DNS propre à la connexion :
        Description . . . . . . . . . . . : Intel(R) PRO/100 VE Network Connecti
on
        Adresse physique . . . . . . . . .: 00-A0-D1-63-6E-E6
        DHCP activé. . . . . . . . . . . : Non
        Adresse IP. . . . . . . . . . . . : 192.168.3.3
        Masque de sous-réseau . . . . . . : 255.255.255.0
        Passerelle par défaut . . . . . . : 192.168.3.1
        Serveurs DNS . . . . . . . . . .  : 216.146.35.35
                                            216.146.36.36

C:\Documents and Settings	ira>

Tu as quoi devant le pix pour faire ton lan et connecter tes PC ? un autre switch ? tes pc en 192.168.3 ne se ping pas entre eux ?

j'utilise toujours le meme switch NETGEAR FS605 de 5 ports pour faire les tests.
Les pc en 192.168.3 ne se ping pas entre eux ?
.

tira18 · Answer

maintenant mes 2 PC se voient c-à-d qu'ils se ping mutuellement c'etait un probleme d'antivirus (antivirus desactivé maintenant).
Donc si sur chaque machine du reseau 192.168.3.0 il y'a un antivirus installé je doit le desactiver pour qu'on puisse y acceder?
Mais il y'a une chose que je n'arrive pas à cerner c-à-d:
l'adresse outside du pix est 192.168.1.2 et le PC 192.168.3.3 utilise l'adresse 192.168.1.131 pour sortir (local vers internet).
 je ne comprends vraiment pas.

tira18 · Answer

bonjour,
et merci vraiment de toute l'aide que vous m'avez apportéé .
Mention spéciale à Nico le Vosgien sans vous mon pix n'aurait pas marché vraiment merci encore une fois.

tira18 · Answer

Bonjour,
je n'arrive toujours pas à attribuer de manière dynamique des adresses ip à mes machines qui sont sur le reseau local 192.168.3.0.

tira18 · Answer

Aussi si dans le réseau 192.168.3.0, on a un serveur windows 2003 qui gère les machines locales  telle l'attribution d'adresse dynamique, cela ne va influencer en rien la configuration actuelle de mon pix ?

Nico le Vosgien · Answer

Bonjour,

Desolé de ne repondre que maintenant mais j'étais absent

Ton pix avait, au tout début de ton pb, un début de conf dhcp. 

Tu peux avoir plusieurs dhcp mais si tu as un serveur windows pour cela, inutile de compliquer.

Non, si ton serveur est bien sur le même LAN (j'imagine qu'il est connecté sur le même switch que tes PC ?), ton pix ne rentre pas en ligne de compte.

Tu es certain de la config de ton serveur dhcp ?

Configuration PIX 5O6E CISCO

49 réponses

Votre réponse

Discussions similaires