Cuestión : Cómo pasar tráfico al subnet alejado vía VPN en Cisco Pix

Hola - el

I tiene Cisco Pix fijado que esté actuando como servidor de VPN para varios clientes del software de Cisco.  El VPN trabaja grande cuando los usuarios están intentando tener acceso cualquier cosa en el subnet local detrás del PIX (10.30.64.x) sin embargo cuando intentan tener acceso cualquier cosa en uno de nuestros subnets alejados (10.225.34.x) los clientes de VPN incluso no intentan utilizar el VPN para este tráfico.  En lugar el tráfico se encamina a la entrada local del usuario.  Mi pregunta por lo tanto es cómo hago el tráfico destinado para 10.225.34.x “interesante” al túnel de VPN.  El config de PIX está abajo.  ¡Gracias por cualquie entrada! versión 6.3 del


PIX (el auto
nameif ethernet0 del auto
interface ethernet1 de 5)
interface ethernet0 fuera de security0
nameif ethernet1 dentro de la observación flaca del outside_access_in del tftp 69
names
name 10.30.64.80 dc1
access-list del protocolo del sqlnet 1521
fixup del protocolo del smtp 25
fixup del protocolo del protocolo 2000
fixup del UDP 5060
fixup del sorbo del protocolo del sorbo 5060
fixup del protocolo del rtsp 554
fixup del protocolo del rsh 514
fixup del protocolo del ils 389
fixup del protocolo del HTTP 80
fixup del protocolo de los ras 1718-1719
fixup del protocolo h323 del protocolo h323 h225 1720
fixup del ftp 21
fixup del protocolo de la máximo-longitud 512
fixup del dns del protocolo del
fixup del
domain-name test.net de security100
hostname aseguran el permiso tcp del outside_access_in de Traffic
access-list del Web cualquier interfaz fuera del permiso tcp del outside_access_in de Traffic
access-list del Web de la observación del outside_access_in de Traffic
access-list del email de la observación del outside_access_in del https
access-list del eq cualquier interfaz fuera del permiso tcp del outside_access_in del www
access-list del eq cualquier interfaz fuera del permiso tcp del outside_access_in del eq 3389
access-list cualquier interfaz fuera del permiso tcp del outside_access_in del eq 5632
access-list cualquier interfaz fuera del permiso tcp del outside_access_in del pcanywhere-dat
a
access-list del eq cualquier interfaz fuera del permiso tcp del outside_access_in del smtp
access-list del eq cualquier interfaz fuera del permiso tcp del outside_access_in del eq 3391
access-list cualquier interfaz fuera del permiso tcp del outside_access_in del eq 3392
access-list cualquier interfaz fuera del permiso tcp del outside_access_in del eq 3393
access-list cualquier interfaz fuera del
pager del IP 10.225.34.0 255.255.255.0 10.60.176.0 255.255.255.0 del permiso del vpn del
access-list del IP 10.30.64.0 255.255.255.0 10.60.176.0 255.255.255.0 del permiso del vpn del
access-list del IP 10.225.34.0 255.255.255.0 10.60.176.0 255.255.255.0 del permiso del nonat del
access-list del IP 10.30.64.0 255.255.255.0 10.60.176.0 255.255.255.0 del permiso del nonat del eq 3394
access-list alinea 24
mtu fuera de 1500
mtu dentro del IP address de 1500
fuera del IP address del
de 1.2.3.4 255.255.255.252 dentro del vpnpool 10.60.176.20 de la piscina local del alarm
ip de la acción del ataque de la intervención del alarm
ip de la acción de la intervención Info del
ip de 10.30.64.5 255.255.240.0 - el inside
pdm de 255.255.255.255 del cefcudc de la localización del inside
pdm de 0.0.0.0 255.255.255.255 de la localización del inside
pdm de 10.30.64.0 255.255.255.0 de la localización del
pdm de 255.255.255.0 de la máscara de 10.60.176.30 que registra el descanso informativo 14400
global del enable
arp de la historia de 100
pdm (afuera) 1 interface
nat (adentro) 0 nonat
nat de la acceso-lista (adentro) 1 0.0.0.0 0.0.0.0 0 netmask 255.255.255.255 0
0
static de WWW dc1 WWW del interfaz del
5 0 0
static (adentro, afuera) tcp de 255.255.255.25 del netmask de los https de los https dc1 del interfaz de 0
static (adentro, afuera) tcp (adentro, afuera) netmask 255.255.255.255 del pcanywhere-da
ta de 10.30.64.134 de los pcanywhere-datos del interfaz del netmask 255.255.255
.255 0 0
static (adentro, afuera) tcp de 10.30.64.134 5632 del interfaz 5632 del
0 0
static (adentro, afuera) tcp de 255.255.255.255 del netmask dc1 3389 del interfaz 3389 del tcp 0 netmask 255.255.255
.255 de 10.43.48.133 3389 del interfaz 3394 del netmask 255.255.255
.255 0 0
static (adentro, afuera) tcp de 10.43.48.130 3389 del interfaz 3391 del netmask 255.255.255
.255 0 0
static (adentro, afuera) tcp de 10.43.48.131 3389 del interfaz 3393 del netmask 255.255.255
.255 0 0
static (adentro, afuera) tcp de 10.43.48.143 3389 del interfaz 3392 del
0 0
static (adentro, afuera) tcp de 255.255.255.255 del netmask del smtp del smtp dc1 del interfaz de 0
static (adentro, afuera) tcp 0 outside_access_in de 0
access-group en el outside
route del interfaz fuera de 0.0.0.0 0.0.0.0 70.88.169.14 1
route dentro de 10.43.48.0 255.255.240.0 10.30.64.2 1
route dentro de 10.50.192.0 255.255.240.0 10.30.64.1 1
route dentro de 10.55.192.0 255.255.240.0 10.30.64.1 1
route dentro de 10.225.0.0 255.255.0.0 10.30.64.1 1
route dentro de 167.16.0.0 255.255.0.0 10.30.64.6 1
route dentro de 170.186.0.0 255.255.0.0 10.30.64.6 1
route dentro de 199.186.0.0 255.255.0.0 10.30.64.6 1
route dentro de 199.186.96.0 255.255.255.0 10.30.64.6 1
route dentro de 199.186.97.0 255.255.255.0 10.30.64.6 1
route dentro del 0:05 del xlate de 199.186.98.0 255.255.255.0 10.30.64.6 1
timeout: 1:00 de las conec de 00
timeout: 00 0:10 semicerrados: 00 0:02 del UDP: 00 0:10 del RPC: 00 1:00 h225: 0:05 de 00
timeout h323: 00 0:05 del mgcp: 00 0:30 del sorbo: 00 0:02 del sip_media: 00
timeout sorber-desconectan 0:02: 00 sorber-invitan a 0:03: 0:05 del uauth de 00
timeout: 00 el protocolo tacacs+
aaa-server TACACS+ del absolute
aaa-server TACACS+ máximo-failed-intenta el RADIO del radius
aaa-server del protocolo del RADIO del deadtime 10
aaa-server de 3
aaa-server TACACS+ máximo-failed-intenta el partnerauth LOCAL del radius
aaa-server del protocolo del partnerauth del local
aaa-server del protocolo del deadtime 10
aaa-server del RADIO de 3
aaa-server máximo-failed-intenta a comunidad del contact
snmp-server del SNMP-servidor del location
no del SNMP-servidor del inside
no del inside
http 10.30.64.0 255.255.255.0 del enable
http 192.168.1.0 255.255.255.0 del servidor del descanso 5
http del anfitrión dc1 xxxx del partnerauth del deadtime 10
aaa-server del partnerauth de 3
aaa-server (adentro) que el SNMP-servidor del public
no permite la conexión del enable
sysopt del traps
floodguard permite-ipsec
crypto transformar-fijó el sistema del outside_dyn_map 20 del dinámico-mapa de ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto transformar-fijó el ipsec-isakmp del outside_map 65535 del mapa de ESP-3DES-MD5
crypto el outside
isakmp del interfaz del outside_map del mapa del partnerauth
crypto de la autentificación de cliente del outside_map del mapa del outside_dyn_map
crypto permite la política del address
isakmp de la identidad del outside
isakmp 20 anchura 80 del descanso 0
terminal del descanso 5
console del outside
ssh del descanso 5
ssh 0.0.0.0 0.0.0.0 del inside
telnet del
telnet 10.30.64.0 255.255.255.0 de la contraseña del cfcuvpn del ocioso-tiempo 86400
vpngroup del cfcuvpn del
vpngroup del partir-dns test.net del cfcuvpn del vpn
vpngroup del partir-túnel del cfcuvpn del
vpngroup de test.net del omitir-dominio del cfcuvpn del ganar-servidor dc1
vpngroup del cfcuvpn del dns-servidor dc1
vpngroup del cfcuvpn del vpnpool
vpngroup de la tratar-piscina del cfcuvpn del curso de la vida 86400
vpngroup de la política 20 del grupo 2
isakmp de la política 20 del picadillo md5
isakmp de la política 20 de la encripción 3des
isakmp de la política 20 del pre-share
isakmp de la autentificación class= del

Respuesta : Cómo pasar tráfico al subnet alejado vía VPN en Cisco Pix

entonces una forma para hacerlo es
'definir esta nueva variable
Amortiguar el rngCell como gama

Para cada rngCell en rngCharAcct
  rngCell = strAccount
Después