» Настройка Cisco PIX Firewall / ASA

Вопрос перед покупкой Cisco PIX 501
Имеется подключение к Интернет через кабельный модем. Провайдер обязал использовать имя и пароль пользователя (настроено в win). Если я сделаю так: "Отсоедините подключение Ethernet между кабельным или DSL-модемом и ПК и подсоедините между ними брандмауэр." будет ли устанавливаться подключение в Интернет?

oalek
а что за имя пользователя и пароль PPPoE ?
если так то можно смело брать.

slech

Подключение PPPoE. Ethernet настроен на автоматическое получение ip-адреса внутренней сетки провайдера. ipconfig:

internet - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Marvell Yukon 88E8001/8003/8010 PCI
Gigabit Ethernet Controller
Физический адрес. . . . . . . . . : 00-0A-29-31-35-AE
Dhcp включен. . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес . . . . . . . . . . . . : 10.5.138.100
Маска подсети . . . . . . . . . . : 255.255.0.0
Основной шлюз . . . . . . . . . . : 10.5.133.1
DHCP-сервер . . . . . . . . . . . : 10.5.133.11
Аренда получена . . . . . . . . . : 14 ноября 2007 г. 8:05:39
Аренда истекает . . . . . . . . . : 13 ноября 2008 г. 8:05:39

Всем

При подлючении PPPoE, получаю статический внешний ip-адрес.
Это подключение сделано общим. Другие пользователи моей локалки (рабочая группа, без доменов, статические адреса) подключаются к инету через шлюз (комп с двумя сет. платами и winXP). Proxy - Traffic inspector.

Вопрос в том, что необходимо настроить VPN-туннель для подключения к головному офису. При этом нужно оставить инет для пользователей моего офиса.

1. Можно ли, по возможности, не ломая текущую схему, использовать для этого Cisco PIX 501?
2. Можно ли использовать только web-интерфейс для настройки Cisco PIX 501?

Пожалуйста, поделитесь опытом.

oalek
Итого:
Инет по PPPoE.
Настроен NAT - для раздачи нета всем.
Настроен тунель к головному офису.

1. PIX 501 поддерживает PPPoE
Не ломая схему использовать думаю можно смело.
2. Про настройку нескажу - опыта нету. Но через веб настраивается вроде всё то же самое что из консоли.

Ты не будешь больше видеть подробную статистику - кто сколько накачал и чего(если сейчас есть).
501 - не шибко сильный - поэтому много пользователей на него не посадишь(20 -30 думаю потянет).

PIX 501, PIX OS 6.3(5)

Пробую настроить подсчет трафика на PIX 501 через SNMP.

snmp-server host inside 192.168.0.11
snmp-server community WPGqV17n
snmp-server enable traps

Софт - Paessler PRTG (Free edition)

И как-то не выходит каменный цветок

В связи с чем вопрос: это я что-то не докрутил на пиксе? Или с выбором софта ошибся?

Чем это принято делать для PIX OS 6.3? Т.к. NetFlow не поддерживается

--------------------------------------------------------------
Думаю что строка "snmp-server enable traps" у меня в конфиге лишняя, ибо трапов от него никто не ждет, PRTG полит.
В лог смотрел, записей о том, что что-либо было заблокировано не нашел, из чего сделал вывод что моих ACL на inside достаточно для работы SNMP.

PIX OS 7.2(3)
Интерфейсы inside,outside,dmz,private1
Пробую настроить доступ из private1 в inside.
access-list from_private1 extended permit ip object-group NET_PRIVATE1 host HOST1
access-list from_private1 extended permit icmp object-group NET_PRIVATE1 host HOST1
nat (private1) 0 access-list from_private1
access-group from_private1 in interface private1

Пробую ping из NET_PRIVATE1 до HOST1. Не работает. В логе запись
Feb 11 2008 14:21:40 PIX : %PIX-3-305005: No translation group found for icmp src private1:ROUTER1 dst inside:HOST1 (type 8, code 0)

ROUTER1 принадлежит сети NET_PRIVATE1.

Вопрос:
Почему ругается "No translation group found"?
Я ведь явно указал "nat (private1) 0 access-list from_private1", т.е. отключил трансляцию для этого трафика.

rakis
Пробни
access-group from_private1 in interface private1

Работает при
access-list from_private1 extended permit tcp object-group NET_PRIVATE1 host HOST1
nat (private1) 0 access-list from_private1
access-group from_private1 in interface private1

В принципе желаемого достиг. Доступ к сервисам HOST1 из сети NET_PRIVATE1 есть. Но имею пагубную привычку - тестить сеть ping'ом.
Но это бог с ним. Помнить что в данном конкретном случае надо telnet пользовать не сложно. Больше волнует почему не работает при добавлении icmp??? С первой попытки какких-либо ограничений в документации не нашел.

Причем на другом PIX'е с PIX OS 6.3(5)
scutum# sh run | inc nonat
access-list inside_nonat permit icmp object-group OFFICE_LAN object-group VPN_LAN
access-list inside_nonat permit ip object-group OFFICE_LAN object-group VPN_LAN
nat (inside) 0 access-list inside_nonat
Все отлично работает. Ping из VPN_LAN в OFFICE_LAN проходит.

Всем привет!
помогите в настройке asa5510
настроено
nat-control
global (outside) 1 interface
global (outside) 1 a.b.c.1
nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 0 access-list inside_nat0_outbound_1 outside
nat (inside) 1 x.y.10.0 255.255.255.0

необходимо
чтобы с одного внутренего Host x.y.10.10 пакеты уходили и транслировались в a.b.c.2

делаю
global (outside) 2 a.b.c.2
nat (inside) 2 x.y.10.10 255.255.255.255
ничего не выходит ((

DanCap

видимо, x.y.10.10 содержится в access-list inside_nat0_outbound или inside_nat0_outbound_1 outside

DanCap

Цитата:

global (outside) 2 a.b.c.2

должно быть global (outside) 1 - это номер правила ната который указывает какие внутренние адреса нужно натить.

8BNHWZ
Спасибо)
а как можно исключить x.y.10.10 из этих ACl?

DanCap
ставишь в начале листа
access-list inside_nat0_outbound deny ip host x.y.10.10 any

или сделать так (смотря какая задача)
global (outside) 1 a.b.c.2
static (inside,outside) a.b.c.2 x.y.10.10 netmask 255.255.255.255 0 0

8BNHWZ
попробывал не помогло ((
при просмотре sh xlate
вот что получается
Global a.b.c.2 Local x.y.10.10
PAT Global a.b.c.1 Local x.y.10.10

задача: необходимо чтобы вся подсеть x.y.10.0 255.255.255.0 транслировалась в interface a.b.c.1, а отдельный host x.y.10.10 255.255.255.255 транслировалась в a.b.c.2

DanCap

варианты есть разные, кому как нравится, так и делает(зависит от задачи и предпочтений).
у меня так работает
!
global (outside) 1 77.106.200.22
global (outside) 2 77.106.200.20
global (outside) 3 interface
!
nat (inside) 0 access-list 101
nat (inside) 1 10.24.242.6 255.255.255.255 0 0
nat (inside) 2 10.24.242.100 255.255.255.255 0 0
nat (inside) 3 0.0.0.0 0.0.0.0 0 0
!
если так не хочешь, конфиг целиком выложи, попробую подсказать.

8BNHWZ

Спасибо!
вечером попробую)

да и еще вопрос
при nat (inside) 0 access-list 101
что у тебя входит в access-list 101

DanCap

Цитата:

что у тебя входит в access-list 101

этим правилом описывается, что не надо натить пакеты из локалки к VPN-клиентам.
и vpngroup default split-tunnel 101

8BNHWZ
извини, что долго молчал

по access-list 101 понятно,

по этому варианту (соответcтвенно ставил свои ip)
!
global (outside) 1 77.106.200.22
global (outside) 2 77.106.200.20
global (outside) 3 interface
!
nat (inside) 0 access-list 101
nat (inside) 1 10.24.242.6 255.255.255.255 0 0
nat (inside) 2 10.24.242.100 255.255.255.255 0 0
nat (inside) 3 0.0.0.0 0.0.0.0 0 0
!
так у меня и не вышло ((

Ребята помогите настроить VPN через Cisco 5510.
Схема такая:

Есть 3 стороны участвующие в VPN.

Сторона 1 - ISP провайдер принимающий сигналы от устройств в сети 172.18.0.0/16
имеет внешний ip1 для peer.

Сторона 2 - наша cisco 5510 передающая транзитом информацию о состоянии устройств в
сети 172.18.0.0/16 стороне 3.
имеет внешний ip2 для peer.

Сторона 3 - мониторит состояние устройств в сети 172.18.0.0/16 и получающая

информацию от стороны 1 через сторону 2 транзитом.
имеет внешний ip3 для peer.

Как настроить сторону 2 (Cisco 5510) для обеспечения связности?

Народ! Помогите, плз., голова уже набекрень.

Настраиваю тунель ASA5505 <-> FreeBSD, с обеих сторон локальные сети.
ЛВС на ASA5505 ходит через НАТ, ЛВС за FreeBSD без НАТа.
ДМЗ за циской нет.
Тунель настроил, из ЛВС за циской могу спокойно обращаться к компам в ЛВС за фрей, а наоборо не выходит.

Правило НАТа для доступа из вне

static (inside,outside) tcp 172.17.1.5 2222 192.168.1.99 2222 netmask 255.255.255.255
172.17.1.5 - внешний адрес циски,
192.168.1.99 - адрес сервера к которому нужно получить доступ, находится в ЛВС за циской.

На фаерволе у циски, на данный момент, все разрешено во всех направлениях. Когда заработает, конечно буду дыры закрывать.

Настраивал через ASDM.
Packet Tracer в ASDMе на тестовый пакет из ЛВС за фрей к 172.17.1.5:2222 показывает

static (inside,outside) tcp 172.17.1.5 2222 192.168.1.99 2222 netmask 255.255.255.255 nat-control match tcp inside host 192.168.1.99 eq 2222 outside any static translation to 172.17.1.5/2222 translate_hits = 0, untranslate_hits = 8
Info
NAT divert to egress interface inside Untranslate 172.17.1.5/2222 to 192.168.1.99/2222 using netmask 255.255.255.255

Похоже, что НАТ не отработал, как хотелось.

Подскажите, что я не правильно делаю, уже несколько дней бьюсь!

Если кому интересно, проблемму пока решить не удалось, но обходной путь есть: не использовать PAT. Пришлось на этот сервер отдать целый внешний IP-адрес. В таком режиме заработало.

res2001
хм, весьма смутило
Код:
static (inside,outside) tcp 172.17.1.5 2222 192.168.1.99 2222 netmask 255.255.255.255

Всем доброго времени суток...=)
Я очень извиняюсь. Вобщем приобрели в конторе межсетевой экран Cisco Pix 506E. Могу зайти через консоль, через гипертермнал. Но там мало мне что понятно. У кого нибудь есть какая нибудь инфа о web интерфейсе cisco pix device manager 3.0. Как там все настраивается? С чего начать?

Isyaslav
При настройке PIX трудно выделить то "с чего начать". Изначально крайне рекомендуется понимать логику работы данной системы. Т.е. вполне логично отправиться курить мануалы на cisco.com, там всё популярно описано, включая Cisco Pix 6.x configuration example. Лучше бы Вы дали некие изначальные параметры, типа вашего пула "белых" адресов, адресацию внутренней сети, кому что можно, и мы бы вам накидали некий скелет, по которому уже можно было бы детальнее разбираться.

slut
Где же тут PAT?

Код: ! сначала собственно PAT
static (inside,outside) 172.17.1.5 192.168.1.99 netmask 255.255.255.255

res2001
Дык, если не хотите прокидывать отдельный адрес на конкретный хост, то вам прям в руки идёт порт-маппинг. Вообще по идее сербезные сервера прокидываются статично, ка описано выше. Если вы хотите некий пул, то настраивается порт-маппинг, когда на одном белом адресе на разных портах откликаются разные внутренние хосты

slut
О чем и реч, хотел добиться именно этого. Не получилось.
Я не силен в цисках.
Когда в том же правиле НАТа включаю ПАТ, настраиваю порты, то все перестает работать.

Что я не так делаю?

res2001
к сожалению, под рукой рабочего конфига нет ввиде непользования данной фичи. Но помню точно, что порт-маппинг делается не через static (insite,outside), а через global (outsite) + nat (inside). Если не разберетесь - пишите, я попробую у себя сэмулировать.

slut
Да я с Вами совершенно согласен. Вот только что у меня не получается понять пока... Самое главное не получается настроить просто пинга между двумя машинами, которые подключены в соответствующие интерфейсы
192.168.20.10 соответственно к 192.168.20.1
192.168.4.10 соответственно к 192.168.4.1

Вобщем слил конфигурацию, помогите разобраться, добрые люди, где и что надо сделать чтобы эти две машинки могли пинговать друг друга. Заранее благодарен, Isyaslav....

Result of firewall command: "show startup"

: Saved
: Written by enable_15 at 07:14:34.962 UTC Thu Apr 24 2008
PIX Version 6.3(5)
interface ethernet0 auto
interface ethernet1 auto
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall
domain-name ciscopix.com
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
access-list inside_access_in permit icmp interface inside interface outside
access-list outside_access_in permit icmp interface outside host 192.168.4.1
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside 192.168.20.1 255.255.254.0
ip address inside 192.168.4.1 255.255.254.0ip audit info action alarm
ip audit attack action alarm
pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 10 interface
static (inside,outside) 192.168.4.1 192.168.4.1 netmask 255.255.255.255 0 0
access-group outside_access_in in interface outside
access-group inside_access_in in interface inside
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 192.168.20.0 255.255.254.0 outside
http 192.168.4.0 255.255.254.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0
terminal width 80
Cryptochecksum:0da951ca39b4d68b63c00eb53d591cd0

slut
Пока не могу настроить желаемую конфигурацию.
Уже поджимает время (есть еще пара дней). Остановлюсь на статическом НАТе.
Настроенную циску надо будет отправлять в другой город, посему дальнейшие манипуляции представляются потенциально опасными вдруг отвалится все и придется самому туда ехать.

Isyaslav
Если я все правильно понял, то НАТ тебе не нужен, посему удали правило НАТа, все равно оно у тебя какое-то кривое и не должно работать в таком виде.
В access-listах надо указывать правила для двух направлений на каждом интерфейсе, т.е. inside input/output и outside input/output, соответственно для входящих/исходящих пакетов на внутреннем и внешнем интерфейсах.
Для начала я бы посоветовал все 4 правила написать как разрешающие все пакеты. Когда добьешся работы в этом режиме, отредактируешь правила в соответствии с потребностями. Оставлять разрешения в рабочем варианте "все для всех" крайне не рекомендуется.