Исходное сообщение
"PIX-515 не хочет транслировать сетку. " Отправлено AMG, 01-Июн-06 16:33
>>Добрый день всем. >> >>при добавлении новой сети на пикс, столкнулся со след. проблемой - статические >>трансляции в/из этой сети работают, а динамические нет! вот конфиг относительно >>новой сети - >> >> >>interface ethernet2 auto >>interface ethernet1 auto >> >> >>nameif ethernet1 inside security100 >>nameif ethernet2 newnet security9 >> >>ip address inside 10.36.28.1 255.255.255.0 >>ip address newnet 131.108.40.50 255.255.240.0 >> >>access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq www >>access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.54 eq www >>access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq 1433 >>access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq 1533 >>access-list from_newnet permit tcp 131.108.32.0 255.255.240.0 host 131.108.40.55 eq 1352 >> >> >>static (inside,newnet) tcp 131.108.40.55 www 192.168.164.53 www netmask 255.255.255.255 >>static (inside,newnet) tcp 131.108.40.55 1433 10.36.28.14 1433 netmask 255.255.255.255 >>static (inside,newnet) tcp 131.108.40.55 1533 192.168.164.55 1533 netmask 255.255.255.255 >>static (inside,newnet) tcp 131.108.40.55 lotusnotes 192.168.164.56 lotusnotes netmask 255.255.255.255 >> >>static (inside,newnet) tcp 131.108.40.54 www 10.36.28.24 www netmask 255.255.255.255 >> >>Вообщем, эти трансляции работают "на ура" доступ  из сети 131.108.32.0 в >>сеть 192.168.164.0 по нужным портам есть. >> >>Теперь >>Необходимо сделать доступ из inside в newnet. >>Добавляю - >>global (newnet) 6 131.108.40.52 netmask 255.255.255.255 >>nat (inside) 6 access-list inside_to_newnet >>access-list inside_to_newnet permit ip 10.36.28.0 255.255.255.0 131.108.32.0 255.255.240.0 > >а нужен именно полиси-нат? > >как вариант попробуйте nat (inside) 6 10.... 255.255.255.0 Я так пробовал уже - те же грабли... > >> >> >>при попытке сделать соединение в сеть 131.108 пикс пишет в лог (уровень >>дебаг) >> >> >>Jun  1 15:35:06 10.36.28.1 %PIX-3-305006: portmap translation creation failed for tcp >>src inside:10.36.28.3/2801 dst newnet:131.108.32.5/1433 >>Jun  1 15:35:06 10.36.28.1 %PIX-3-305006: portmap translation creation failed for tcp >>src inside:10.36.28.3/4952 dst newnet:131.108.32.5/1433 >>Jun  1 15:35:06 10.36.28.1 %PIX-3-305006: portmap translation creation failed for tcp >>src inside:10.36.28.3/4578 dst newnet:131.108.32.5/1433 >>Jun  1 15:35:07 10.36.28.1 %PIX-3-305006: portmap translation creation failed for tcp >>src inside:10.36.28.3/3724 dst newnet:131.108.32.5/1433 >> >>посмотрел описание ошибки - %PIX-3-305006 - вроде не мой случай. >> >>Зато если сказать вот так >> >>static (inside,newnet) 131.108.40.53  10.36.28.3 netmask 255.255.255.255 >> >>машина 10.36.28.3 будет ходить в данную сеть без проблем (ну и обратно >>соотв.)! >> >> >>Народ, подскажите, плз, отчего такое может быть, А? >> >>СПАСИБО зАРАНЕЕ >> >> >> >>PS> >> >>да, на пиксе еще другие сетки - там все нормально работают наты >>в аналогичных конфигурациях! >> >>PPS> >>На интерфейсе inside присутствуют две сети 192.168.164.0 и 10.36.28.0 > >эт как? на одном интерфейсе два адреса? да, inside соединяется с внутренней сетью, в которой еще за одним роутером находится серверный сегмент 192.168.164.0