Toon posts:

vanuit 2 netwerken naar 1

Pagina: 1
Acties:

woensdag 14 februari 2007 12:21

Acties:
  • M@rijn
  • Registratie: December 2001
  • Laatst online: 19:59

M@rijn

Topicstarter
Ik zit met de volgende situatie, ik heb een 3-tal pix'en die via een vpn verbinding onderling verbonden zijn.

PIX1 --> 10.0.0.x netwerk
PIX2 --> 10.0.1.x netwerk
PIX3 --> 10.0.2.x netwerk

Onderling kunnen servers naar elkaar toe pingen, echter ben ik momenteel bezig met een procedure om de pix configs te backuppen. Echter zit de tftp-server achter het 10.0.0.x netwerk (10.0.0.155) en kunnen mijn andere pix'en niet op die server komen. Ik heb geprobeerd te pingen met zowel inside als outside (ping inside 10.0.0.155) maar dat doet het ook niet.
Ik kan dus geen config wegschrijven naar de tftp-server, omdat ie niet van het .254 adres naar die 10.0.0.155 kan komen.

Wat zie ik over het hoofd?

woensdag 14 februari 2007 13:59

Acties:
  • Mikey!
  • Registratie: Augustus 2001
  • Laatst online: 15:03

Mikey!

Om verkeer over de tunnel heen te krijgen naar een ander netwerk zal het verkeer door de pix heen moeten (van de inside naar de outside).

Als de pixen op de nevenlocaties de configuratie probeert op te slaan gaat het verkeer rechtstreeks naar de juiste locatie toe (van binnenuit de pix naar de outside).

Daardoor werkt het niet, er zijn echter wel een aantal andere mogelijkheden:
  • Je kan op elke nevenlocatie een werkstation een tftp-server geven, en dan bijvoorbeeld dmv een batchbestandje de bestanden naar een centrale opslag laten kopiëren.
  • Je kan handmatig een backup van de configuraties maken nadat je iets hebt aangepast.
  • Je kan op de locatie waar de tftp-server staat een static op de pix aanmaken zodat de tftp-server gewoon op een publiek ipadres te bereiken is. Je kan dan de andere pixen het publieke adres laten gebruiken.

woensdag 14 februari 2007 17:04

Acties:
  • M@rijn
  • Registratie: December 2001
  • Laatst online: 19:59

M@rijn

Topicstarter
de eerste 2 dingen heb ik ook al voorgesteld maar het zou centraal moeten! en de laatste is ook niet echt fijn aangezien je dan je TFTP poort open gaat zetten voor buiten, toch?
Zou er ook niets te doen zijn met access-list?

woensdag 14 februari 2007 19:03

Acties:
  • Mikey!
  • Registratie: Augustus 2001
  • Laatst online: 15:03

Mikey!

M@rijn schreef op woensdag 14 februari 2007 @ 17:04:
de eerste 2 dingen heb ik ook al voorgesteld maar het zou centraal moeten!
Klinkt logisch, ik heb het zelf ook altijd graag centraal geregeld, of conform een standaard.
en de laatste is ook niet echt fijn aangezien je dan je TFTP poort open gaat zetten voor buiten, toch? Zou er ook niets te doen zijn met access-list?
Dat is waar, en helaas heeft TFTP geen mogelijkheid tot user-authentication. Een oplossing hiervoor is dus inderdaad een goede access-list op de pix waar de tftp server staat.

Een voorbeeld:
access-list 101 permit udp host <ip pix 2> host <ip pix 1> eq 69
access-list 101 permit udp host <ip pix 3> host <ip pix 1> eq 69
access-group 101 in interface outside

static (inside,outside) tcp interface 69 <ip tftp server> 69 netmask 255.255.255.255


Zo mogen alleen de twee andere pixen tftp-en naar de tftp-server achter pix 1 :Y)

donderdag 15 februari 2007 10:13

Acties:
  • M@rijn
  • Registratie: December 2001
  • Laatst online: 19:59

M@rijn

Topicstarter
moet die static niet ook udp zijn?

static (inside,outside) udp interface 69 <ip tftp server> 69 netmask 255.255.255.255

donderdag 15 februari 2007 13:43

Acties:
  • M@rijn
  • Registratie: December 2001
  • Laatst online: 19:59

M@rijn

Topicstarter
Update, ik heb het volgende ingevoerd op PIX1, en op zich werkt het, poorten staan goed, ip-adressen kloppen, access-group ook etc. etc.

access-list outside_in permit udp host <outside ip pix2> host <outside ip pix1> eq 69
access-list outside_in permit udp host <outside ip pix3> host <outside ip pix1> eq 69
( access-group =)access-group outside_in in interface outside

static (inside,outside) udp interface tftp <local ip server> tftp netmask 255.255.255.255 0 0


Blijkbaar klopt het wel maar hij geeft een timeout aan.

donderdag 15 februari 2007 18:14

Acties:
  • Mikey!
  • Registratie: Augustus 2001
  • Laatst online: 15:03

Mikey!

M@rijn schreef op donderdag 15 februari 2007 @ 10:13:
moet die static niet ook udp zijn?

static (inside,outside) udp interface 69 <ip tftp server> 69 netmask 255.255.255.255
Copy-Paste foutje :)

Deze oplossing zou in princiepe moeten werken, kan je in de tftp-software geen grotere time-out instellen? Bij Pumpkin kan dit bijvoorbeeld wel.

donderdag 15 februari 2007 19:16

Acties:
  • M@rijn
  • Registratie: December 2001
  • Laatst online: 19:59

M@rijn

Topicstarter
oh ja, dat heb ik nog niet geprobeerd, k ga het morgen direct proberen.

vrijdag 16 februari 2007 10:04

Acties:
  • M@rijn
  • Registratie: December 2001
  • Laatst online: 19:59

M@rijn

Topicstarter
Blijkbaar was ik niet goed wakker ;) ik had staan:

tftp-server outside <ip> /tftpboot/pix.config


Maar het moest zijn:

tftp-server outside <ip> pix.config


:D bedankt voor de moeite in ieder geval
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq