Question : Comment passer le trafic au filet inférieur à distance par l'intermédiaire de VPN sur Cisco Pix

Bonjour - le

I ont Cisco Pix installé qui agit en tant que serveur de VPN pour plusieurs clients de logiciel de Cisco.  Le VPN fonctionne grand quand les utilisateurs essayent d'accéder à n'importe quoi sur le filet inférieur local derrière le PIX (10.30.64.x) cependant quand ils essayent d'accéder à n'importe quoi sur un de nos filets inférieurs à distance (10.225.34.x) les clients de VPN n'essayent pas même d'employer le VPN pour ce trafic.  Au lieu de cela le trafic est conduit au passage local de l'utilisateur.  Ma question est donc comment je rends le trafic destiné pour 10.225.34.x « intéressant » au tunnel de VPN.  La config de PIX est ci-dessous.  Merci pour toute entrée ! version 6.3 du


PIX (l'auto
interface ethernet1 de 5)
interface ethernet0/>nameif ethernet0 en dehors de security0
nameif ethernet1 à l'intérieur de remarque maigre d'outside_access_in du tftp 69
names
name 10.30.64.80 dc1
access-list de protocole du sqlnet 1521
fixup de protocole de smtp 25
fixup de protocole du protocole 2000
fixup d'UDP 5060
fixup de sip de protocole du sip 5060
fixup de protocole du rtsp 554
fixup de protocole du rsh 514
fixup de protocole du protocole Ils 389
fixup de HTTP 80
fixup de protocole des ras 1718-1719
fixup du protocole h323 du protocole h323 h225 1720
fixup de ftp 21
fixup de protocole de la maximum-longueur 512
fixup du protocole DNS du
fixup du
domain-name test.net de security100
hostname fixent la laiss tcp d'outside_access_in de Traffic
access-list de Web n'importe quelle interface en dehors de la laiss tcp d'outside_access_in de Traffic
access-list de Web de remarque d'outside_access_in de Traffic
access-list d'email de remarque d'outside_access_in du https
access-list d'eq n'importe quelle interface en dehors de la laiss tcp d'outside_access_in du www
access-list d'eq n'importe quelle interface en dehors de la laiss tcp d'outside_access_in de l'eq 3389
access-list n'importe quelle interface en dehors de la laiss tcp d'outside_access_in de l'eq 5632
access-list n'importe quelle interface en dehors de la laiss tcp d'outside_access_in du pcanywhere-dat
a
access-list d'eq n'importe quelle interface en dehors de la laiss tcp d'outside_access_in du smtp
access-list d'eq n'importe quelle interface en dehors de la laiss tcp d'outside_access_in de l'eq 3391
access-list n'importe quelle interface en dehors de la laiss tcp d'outside_access_in de l'eq 3392
access-list n'importe quelle interface en dehors de la laiss tcp d'outside_access_in de l'eq 3393
access-list n'importe quelle interface en dehors du
pager d'IP 10.225.34.0 255.255.255.0 10.60.176.0 255.255.255.0 de laiss de vpn du
access-list d'IP 10.30.64.0 255.255.255.0 10.60.176.0 255.255.255.0 de laiss de vpn du
access-list d'IP 10.225.34.0 255.255.255.0 10.60.176.0 255.255.255.0 de laiss de nonat du
access-list d'IP 10.30.64.0 255.255.255.0 10.60.176.0 255.255.255.0 de laiss de nonat de l'eq 3394
access-list raye 24
mtu en dehors de 1500
mtu à l'intérieur d'IP address de 1500
en dehors d'IP address du
de 1.2.3.4 255.255.255.252 à l'intérieur de vpnpool 10.60.176.20 de piscine locale de l'alarm
ip d'action d'attaque d'audit de l'alarm
ip d'action d'information d'audit du
ip de 10.30.64.5 255.255.240.0 - inside
pdm de 255.255.255.255 de cefcudc d'endroit de l'inside
pdm de 0.0.0.0 255.255.255.255 d'endroit de l'inside
pdm de 10.30.64.0 255.255.255.0 d'endroit du
pdm de 255.255.255.0 de masque de 10.60.176.30 notant le temps mort informationnel 14400
global de l'enable
arp d'histoire de 100
pdm (dehors) 1 interface
nat (à l'intérieur) 0 nonat
nat d'accès-liste (à l'intérieur) 1 0.0.0.0 0.0.0.0 0 netmask 255.255.255.255 0
0
static de WWW dc1 WWW d'interface du
5 0 0
static (à l'intérieur, dehors) tcp de 255.255.255.25 de netmask de https des https dc1 d'interface de 0
static (à l'intérieur, dehors) tcp (à l'intérieur, dehors) netmask 255.255.255.255 du pcanywhere-da
ta de 10.30.64.134 de pcanywhere-données d'interface du netmask 255.255.255
.255 0 0
static (à l'intérieur, dehors) tcp de 10.30.64.134 5632 de l'interface 5632 du
0 0
static (à l'intérieur, dehors) tcp de 255.255.255.255 du netmask dc1 3389 de l'interface 3389 de tcp 0 netmask 255.255.255
.255 de 10.43.48.133 3389 de l'interface 3394 du netmask 255.255.255
.255 0 0
static (à l'intérieur, dehors) tcp de 10.43.48.130 3389 de l'interface 3391 du netmask 255.255.255
.255 0 0
static (à l'intérieur, dehors) tcp de 10.43.48.131 3389 de l'interface 3393 du netmask 255.255.255
.255 0 0
static (à l'intérieur, dehors) tcp de 10.43.48.143 3389 de l'interface 3392 du
0 0
static (à l'intérieur, dehors) tcp de 255.255.255.255 de netmask de smtp de smtp dc1 d'interface de 0
static (à l'intérieur, dehors) tcp 0 outside_access_in de 0
access-group dans l'outside
route d'interface en dehors de 0.0.0.0 0.0.0.0 70.88.169.14 1
route à l'intérieur de 10.43.48.0 255.255.240.0 10.30.64.2 1
route à l'intérieur de 10.50.192.0 255.255.240.0 10.30.64.1 1
route à l'intérieur de 10.55.192.0 255.255.240.0 10.30.64.1 1
route à l'intérieur de 10.225.0.0 255.255.0.0 10.30.64.1 1
route à l'intérieur de 167.16.0.0 255.255.0.0 10.30.64.6 1
route à l'intérieur de 170.186.0.0 255.255.0.0 10.30.64.6 1
route à l'intérieur de 199.186.0.0 255.255.0.0 10.30.64.6 1
route à l'intérieur de 199.186.96.0 255.255.255.0 10.30.64.6 1
route à l'intérieur de 199.186.97.0 255.255.255.0 10.30.64.6 1
route à l'intérieur de 0h05 de xlate de 199.186.98.0 255.255.255.0 10.30.64.6 1
timeout : 1h00 de conn. de 00
timeout : 00 0h10 à moitié fermés : 00 0h02 d'UDP : 00 0h10 de RPC : 00 1h00 h225 : 0h05 de 00
timeout h323 : 00 0h05 de mgcp : 00 0h30 de sip : 00 0h02 de sip_media : 00
timeout siroter-déconnectent le 0h02 : 00 siroter-invitent le 0h03 : 0h05 d'uauth de 00
timeout : 00 le protocole tacacs+
aaa-server TACACS+ de l'absolute
aaa-server TACACS+ maximum-failed-essaye le RAYON du radius
aaa-server de protocole de RAYON du deadtime 10
aaa-server de 3
aaa-server TACACS+ maximum-failed-essaye le partnerauth LOCAL du radius
aaa-server de protocole de partnerauth du local
aaa-server de protocole du deadtime 10
aaa-server de RAYON de 3
aaa-server maximum-failed-essaye la communauté du contact
snmp-server de SNMP-serveur du location
no de SNMP-serveur de l'inside
no de l'inside
http 10.30.64.0 255.255.255.0 de l'enable
http 192.168.1.0 255.255.255.0 de serveur du temps mort 5
http du centre serveur dc1 xxxx de partnerauth du deadtime 10
aaa-server de partnerauth de 3
aaa-server (à l'intérieur) que le SNMP-serveur du public
no permettent le raccordement de l'enable
sysopt du traps
floodguard permettent-ipsec
crypto transformer-a placé l'ensemble de l'outside_dyn_map 20 de dynamique-carte d'ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto transformer-a placé l'ipsec-isakmp de l'outside_map 65535 de carte d'ESP-3DES-MD5
crypto l'outside
isakmp d'interface d'outside_map de carte du partnerauth
crypto d'authentification de client d'outside_map de carte de l'outside_dyn_map
crypto permettent la politique de l'address
isakmp d'identité de l'outside
isakmp 20 largeur 80 du temps mort 0
terminal du temps mort 5
console de l'outside
ssh du temps mort 5
ssh 0.0.0.0 0.0.0.0 de l'inside
telnet du
telnet 10.30.64.0 255.255.255.0 de mot de passe de cfcuvpn du l'à vide-temps 86400
vpngroup de cfcuvpn du
vpngroup du cfcuvpn dédoubler-DNS test.net du vpn
vpngroup de dédoubler-tunnel de cfcuvpn du
vpngroup de test.net de transférer-domaine de cfcuvpn du gagner-serveur dc1
vpngroup de cfcuvpn du DNS-serveur dc1
vpngroup de cfcuvpn du vpnpool
vpngroup d'adresser-piscine de cfcuvpn de la vie 86400
vpngroup de la politique 20 du groupe 2
isakmp de la politique 20 du gâchis md5
isakmp de la politique 20 du chiffrage 3des
isakmp de la politique 20 du pre-share
isakmp d'authentification class= de

Réponse : Comment passer le trafic au filet inférieur à distance par l'intermédiaire de VPN sur Cisco Pix

puis l'one-way pour le faire est
'définir cette nouvelle variable
Obscurcir le rngCell comme gamme

Pour chaque rngCell dans le rngCharAcct
  rngCell = strAccount
Après