Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Настройка Cisco PIX Firewall / ASA

Автор: grayfog
Дата сообщения: 17.10.2009 00:06
Подскажите, пожалуйста, где скачать Pix Device Manager (PDM) для PIX 501. На сайте там где логично его искать пишет "There are currently no files for this type". Заранее спасибо.
Автор: Sterh84
Дата сообщения: 17.10.2009 21:38
grayfog , проверте тут
Автор: stalker1980
Дата сообщения: 13.11.2009 14:52
доброго времени суток! помогите в решении незначительной для профессионалов проблеме.
итак проблема...
необходимо настроить впн до филиала, для соединения используем cisco vpn client. для настройки использовал ASDM, настроил все визардом. клиент конектится но моей сетки не видит и не пингует, хотя соединение на циске видно.
также прописал два ACL
access-list outside_nat0_inbound extended permit ip 10.10.15.0 255.255.255.0 10.10.10.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip 10.10.10.0 255.255.255.0 10.10.15.0 255.255.255.0
в access rules на интерфейсе outside прописано правило permit ip 10.10.15.0/24 10.10.10.0/24
но все без результатно...
если есть у кого нибудь мысли на эту тему буду благодарен любой помощи.
Автор: ESX091
Дата сообщения: 16.11.2009 11:56
stalker1980
а вы конфиг скиньте
Автор: stalker1980
Дата сообщения: 16.11.2009 13:13
hostname ciscoasa
domain-name my-domain.local
enable password kiS8rFK44oGwQQtS encrypted
passwd kiS8rFK44oGwQQtS encrypted
names
name 10.10.15.0 orenburg
dns-guard
!
interface Ethernet0/0
nameif outside
security-level 0
ip address xxx.xxx.xxx.xxx 255.255.255.252
ospf cost 10
!
interface Ethernet0/1
nameif inside
security-level 100
ip address 10.10.10.1 255.255.255.0
ospf cost 10
!
interface Ethernet0/2
shutdown
nameif dmz
security-level 50
ip address 10.10.50.1 255.255.255.0
ospf cost 10
!
interface Ethernet0/3
shutdown
nameif foo
security-level 100
ip address 10.10.100.1 255.255.255.0
ospf cost 10
!
interface Management0/0
nameif management
security-level 100
ip address 192.168.0.1 255.255.255.0
ospf cost 10
management-only
!
!
time-range orenburg
periodic daily 0:00 to 23:59
!
boot system disk0:/asa804-k8.bin
ftp mode passive
clock timezone MSK/MDD 3
clock summer-time MSK/MSD recurring last Sun Mar 2:00 last Sun Oct 3:00
dns domain-lookup inside
dns server-group DefaultDNS
name-server 10.10.10.5
domain-name my-domain.local
object-group protocol TCPUDP
protocol-object udp
protocol-object tcp
access-list inside_access_in extended permit object-group TCPUDP 10.10.10.0 255.255.255.0 any eq domain
access-list inside_access_in extended permit object-group TCPUDP 10.10.10.0 255.255.255.0 any eq www
access-list inside_access_in extended permit tcp 10.10.10.0 255.255.255.0 any eq https
access-list inside_access_in extended permit tcp 10.10.10.0 255.255.255.0 any eq ftp
access-list inside_access_in extended permit tcp 10.10.10.0 255.255.255.0 any eq 1863
access-list inside_access_in extended permit udp 10.10.10.0 255.255.255.0 any eq ntp
access-list inside_access_in extended permit icmp 10.10.10.0 255.255.255.0 any echo
access-list inside_access_in extended permit tcp 10.10.10.0 255.255.255.0 any eq pop3
access-list inside_access_in extended permit tcp 10.10.10.0 255.255.255.0 any eq smtp
access-list outside_access_in extended permit ip any any
access-list outside_nat0_inbound extended permit ip orenburg 255.255.255.0 10.10.10.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip 10.10.10.0 255.255.255.0 orenburg 255.255.255.0
access-list outside_nat0_outbound extended permit ip orenburg 255.255.255.0 any
pager lines 24
logging asdm informational
mtu outside 1500
mtu inside 1500
mtu dmz 1500
mtu foo 1500
mtu management 1500
ip local pool orenburg 10.10.15.5-10.10.15.15 mask 255.255.255.0
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-61551.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (outside) 0 access-list outside_nat0_outbound outside
nat (inside) 1 0.0.0.0 0.0.0.0
access-group inside_access_in in interface inside
route outside 0.0.0.0 0.0.0.0 xxx.xxx.xxx.xxx 1
route outside orenburg 255.255.255.0 10.10.15.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
dynamic-access-policy-record orenburg
network-acl outside_access_in
network-acl outside_nat0_inbound
network-acl inside_nat0_outbound
priority 1
webvpn
url-list none
file-browsing enable
file-entry enable
nac-policy oren nac-framework
reval-period 36000
sq-period 300
exempt-list os WinNT filter
aaa local authentication attempts max-fail 5
http server enable
http 192.168.0.0 255.255.255.0 management
http 10.10.10.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
sla monitor 1
type echo protocol ipIcmpEcho xxx.xxx.xxx.xxx interface outside
sla monitor schedule 1 life forever start-time now
crypto ipsec transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac
crypto ipsec transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set pfs group1
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP
-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set security-association lifetime seconds 28800
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set security-association lifetime kilobytes 4608000
crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map outside_map interface outside
crypto map inside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map inside_map interface inside
crypto isakmp enable outside
crypto isakmp enable inside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
crypto isakmp policy 30
authentication pre-share
encryption aes-256
hash sha
group 2
lifetime 86400
no crypto isakmp nat-traversal
crypto isakmp ipsec-over-tcp port 10000
!
track 1 rtr 1 reachability
no vpn-addr-assign aaa
no vpn-addr-assign dhcp
telnet 10.10.10.0 255.255.255.0 inside
telnet 192.168.0.0 255.255.255.0 management
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd address 192.168.0.2-192.168.0.254 management
dhcpd enable management
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
ntp server 64.147.116.229 source outside
ntp server 129.6.15.29 source outside
ntp server 129.6.15.28 source outside
ntp server 198.123.30.132 source outside
ntp server 64.125.78.85 source outside
webvpn
enable outside
enable inside
svc image disk0:/anyconnect-win-2.3.0185-k9.pkg 1
svc enable
group-policy DfltGrpPolicy attributes
vpn-tunnel-protocol IPSec l2tp-ipsec svc webvpn
group-policy orenburg internal
group-policy orenburg attributes
dns-server value 10.10.10.5
vpn-access-hours value orenburg
vpn-simultaneous-logins 3
vpn-tunnel-protocol IPSec l2tp-ipsec svc
group-lock value orenburg
split-tunnel-policy tunnelspecified
split-tunnel-network-list value outside_nat0_inbound
address-pools value orenburg
client-firewall req cisco-integrated acl-in outside_nat0_inbound acl-out inside_nat0_outbound
webvpn
svc compression deflate
username orenit password Bb.eLH9DwulDgAdX encrypted privilege 0
username orenit attributes
vpn-group-policy orenburg
vpn-tunnel-protocol IPSec l2tp-ipsec
group-lock value orenburg
service-type remote-access
tunnel-group orenburg type remote-access
tunnel-group orenburg general-attributes
address-pool orenburg
authorization-server-group LOCAL
default-group-policy orenburg
username-from-certificate use-entire-name
tunnel-group orenburg ipsec-attributes
pre-shared-key *
tunnel-group-map default-group DefaultL2LGroup
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect icmp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:3445b1ba58ed0688d63aed8a13b25cf2
: end
Автор: ESX091
Дата сообщения: 16.11.2009 14:14
stalker1980

Пока вот такие замечения/вопросы
вот эта команда зачем?
nat (outside) 0 access-list outside_nat0_outbound outside
зачем crypto map на inside интерфейсе?
зачем webvpn активирован на inside интерфейсе?

чтобы из ezvpn подсети пользователи могли попадать в lan, необходимо убрать эту подсеть из ната
access-list no-nat extended permit ip any 10.10.15.0 255.255.255.0
nat (inside) 0 access-list no-nat

В качестве split-tunnel
access-list SPLIT_TUNNEL standard permit <внутренняя подсеть> 255.255.255.0
и добавляете этот acl в split-tunnel-network-list value, которое находится в
group-policy orenburg attributes.

Что-то много всего понамудрили в конфиге../

Добавлено:
если можно, то напишите, что должно работать на асе.
Автор: stalker1980
Дата сообщения: 17.11.2009 08:59
ESX091
Спасибо за помощь, все работает..
Автор: ESX091
Дата сообщения: 17.11.2009 10:58
stalker1980
не за что =)
обращайтесь еще. тока конфиг "причешите", а то в нем много лишнего.
Автор: asm74
Дата сообщения: 19.11.2009 02:25
Привет всем,
Просмотрел всю тему, вроде бы не нашёл похожих сценариев. ASA 5510 (8.2.1) уже преднастроенная до меня, у нас есть белая 212.154.210.х и серая 192.168.1.х сети. Внутри стоит SBS 2003 на сером адресе 192.168.1.5, для доступа извне к OWA с адреса 212.154.210.5 на него проброшен порт 443. Мне нужно, чтобы при обращении из локалки (из сети 192.168.1.x), на адрес 212.154.210.5 на порт 443 я попадал на 192.168.1.5 порт 443. Наверняка чтото простое, я наверное плохо ищу, подскажите, кто знает, где прочитать о похожем сценарии.
Забавно, что на домашнем роутере (Asus с прошитым dd-wrt) такой сценарий работает "из коробки", т.е. набирая с внутреннего хоста белый адрес и порт, попадаешь на нужный серый адрес и порт.
Читал, что можно модифицировать ответ ДНС, чтобы он указал на нужный адрес, но такое решение по некоторым причинам не подходит.
Второй вопрос - где прочитать, как открытые с одного белого адреса порты можно мапить на несколько хостов внутри локалки, например 212.154.210.6:8080 на 192.168.1.10:8080, 212.154.210.6:8081 на 192.168.1.15:8081 и тд. Те мануалы что я нашёл, подразумевают схему один белый адрес и порт - один внутренний адрес и порт.
Примеры конфигов приветствуются, но еще лучше ссылка на соотв.документ на циско.ком
Спасибо!
Автор: Delfinok
Дата сообщения: 19.11.2009 11:04
asm74
1) Не очень понятен смысл такого сценария.. Зачем из той же подсети, что и сервер назначения, пытаться достучаться до него через внешний IP шлюза..
И понятия "белая" "серая" я встречал только в отношении зарплаты =)
По-моему, в таком сценарии как вы хотите это невозможно реализовать, т.к. не может трафик, выходящий из WAN интерфейса в него же входить.

2) Для этого решения используйте статический нат и команду static (LAN,WAN) ip_WAN ip_LAN eq port
Если не ошибся в написании.. проверьте командой static ? на ASA
Прямой внешний IP может быть и один. Внутренних может быть сколько угодно.. Здесь все решается PAT и портами..
Автор: ESX091
Дата сообщения: 19.11.2009 11:17
asm74
несколько раз прочитал
"Второй вопрос - где прочитать, как открытые с одного белого адреса порты можно мапить на несколько хостов внутри локалки, например 212.154.210.6:8080 на 192.168.1.10:8080, 212.154.210.6:8081 на 192.168.1.15:8081 и тд. Те мануалы что я нашёл, подразумевают схему один белый адрес и порт - один внутренний адрес и порт"
и не понял отличия между тем, что надо и тем, что написано в мануалах.
посоветовали верно
static (inside,outside) tcp 212.154.210.6 8080 192.168.1.10 8080 netmask 255.255.255.255
static (inside,outside) tcp 212.154.210.6 8081 192.168.1.15 8081 netmask 255.255.255.255

не забудьте открыть соответствующие порты на асе.

Сервер на том же интерфейсе, что и пользователи?
не пробовали вынести его в отдельный интерфейс, например dmz?
Автор: jofri09
Дата сообщения: 19.11.2009 12:01
Здраствуйте. У меня проблема с фаерволом cisco pix 506e.
Не осталось ничего от него. Только сетевой шнур. Вопросы: используем провода кросс-овер.? Как попасть в его конфиги? Если нет консольного кабеля. Может его спаять? Распайку никак не пойму. Рдж45-да9. Такая же? Спасибо.
Автор: ESX091
Дата сообщения: 19.11.2009 12:05
http://www.tts.lt/wired/data/CiscoConsole9.html
Автор: asm74
Дата сообщения: 19.11.2009 17:53
Delfinok
спасибо за ответ.

Цитата:
Не очень понятен смысл такого сценария.. Зачем из той же подсети, что и сервер назначения, пытаться достучаться до него через внешний IP шлюза..

Проблема примерно таже, что и описана здесь:
http://forum.ru-board.com/topic.cgi?forum=8&topic=0854&start=60#12

ДНС указывает на реальный адрес. Когда пользователь снаружи, всё работает нормально, когда внутри - тут либо надо поднимать отдельный ДНС для этой же зоны с указанием внутреннего адреса, либо выносить ДНС куда то наружу и включать преобразование ДНС-ответов в ASA. Вариант с исправлением файла hosts, как у автора поста выше, мне не подходит, второй ДНС поддерживать ради 3-4 хостов, которые доступны из интернета - тоже выглядит как костыль.

Цитата:
И понятия "белая" "серая" я встречал только в отношении зарплаты =)

Вроде бы в русском это устойчивые выражения:
http://www.google.com/search?q=%D0%B1%D0%B5%D0%BB%D1%8B%D0%B9+ip+%D0%B0%D0%B4%D1%80%D0%B5%D1%81
http://www.google.com/search?q=%D1%81%D0%B5%D1%80%D1%8B%D0%B9+ip+%D0%B0%D0%B4%D1%80%D0%B5%D1%81

Добавлено:
ESX091

Цитата:
Сервер на том же интерфейсе, что и пользователи?
не пробовали вынести его в отдельный интерфейс, например dmz?


нет, для серверов есть отдельные реальные адреса, есть такая возможность. Не хотелось бы выносить КД и Exchange в DMZ, но если других вариантов нет, то буду пробовать так.
Автор: at200859
Дата сообщения: 23.11.2009 16:26
Провайдер подключает к интернет через PPPoE. Протокол проверки пароля MS-CHAP. По моей просьбе провайдер включил поддержку MS-CHAP версии 1 и 2. Никак не могу поднять PPPoE на моей ASA 5505 (ver 8.2(1)).
Настройка в ASA 5505:
interface Vlan2
nameif outside
security-level 0
pppoe client vpdn group yyy
ip address pppoe

vpdn group yyy request dialout pppoe
vpdn group yyy localname xxx
vpdn group yyy ppp authentication mschap
vpdn username xxx password ********* store-local

На ASA 5505 включил:
debug pppoe error 255
debug pppoe event 255
debug pppoe packet 255

и получил такой лог:
PPPoE: send_padi:(Snd) Dest:ffff.ffff.ffff Src:001d.45fd.565f Type:0x8863=PPPoE-Discovery
PPPoE: Ver:1 Type:1 Code:09=PADI Sess:0 Len:12
PPPoE: Type:0101:SVCNAME-Service Name Len:0
PPPoE: Type:0103:HOSTUNIQ-Host Unique Tag Len:4
PPPoE: 0000002F
PPPoE: PPPoE:(Rcv) Dest:001d.45fd.565f Src:0026.18bc.4a5f Type:0x8863=PPPoE-Discovery
PPPoE: Ver:1 Type:1 Code:07=PADO Sess:0 Len:54
PPPoE: Type:0102:ACNAME-AC Name Len:6
PPPoE: pppoe1
PPPoE: Type:0101:SVCNAME-Service Name Len:8
PPPoE: ts-pppoe
PPPoE: Type:0104:ACCOOKIE-AC Cookie Len:20
PPPoE: AF205E21
PPPoE: 119D7EB2
PPPoE: 0BFD40B2
PPPoE: 7C62E719
PPPoE:

PPPoE: C6050000
PPPoE: Type:0103:HOSTUNIQ-Host Unique Tag Len:4
PPPoE: 0000002F
PPPoE: PADO
PPPoE: PPPoE: Service name 'any' not found in PADO
PPPoE: send_padr:(Snd) Dest:0026.18bc.4a5f Src:001d.45fd.565f Type:0x8863=PPPoE-Discovery
PPPoE: Ver:1 Type:1 Code:19=PADR Sess:0 Len:54
PPPoE: Type:0102:ACNAME-AC Name Len:6
PPPoE: pppoe1
PPPoE: Type:0101:SVCNAME-Service Name Len:8
PPPoE: ts-pppoe
PPPoE: Type:0104:ACCOOKIE-AC Cookie Len:20
PPPoE: AF205E21
PPPoE: 119D7EB2
PPPoE: 0BFD40B2
PPPoE: 7C62E719
PPPoE:

PPPoE: C6050000
PPPoE: Type:0103:HOSTUNIQ-Host Unique Tag Len:4
PPPoE: 0000002F
PPPoE: PPPoE:(Rcv) Dest:001d.45fd.565f Src:0026.18bc.4a6d Type:0x8863=PPPoE-Discovery
PPPoE: Ver:1 Type:1 Code:07=PADO Sess:0 Len:54
PPPoE: Type:0102:ACNAME-AC Name Len:6
PPPoE: pppoe2
PPPoE: Type:0101:SVCNAME-Service Name Len:8
PPPoE: ts-pppoe
PPPoE: Type:0104:ACCOOKIE-AC Cookie Len:20
PPPoE: 398B5253
PPPoE: ABA45388
PPPoE: D15DCB34
PPPoE: C2CA208D
PPPoE:

PPPoE: C6050000
PPPoE: Type:0103:HOSTUNIQ-Host Unique Tag Len:4
PPPoE: 0000002F
PPPoE: PADO
PPPoE: PPPoE: Unsolicited PADO, Invalid session state
PPPoE: PPPoE:(Rcv) Dest:001d.45fd.565f Src:0026.18bc.4a5f Type:0x8863=PPPoE-Discovery
PPPoE: Ver:1 Type:1 Code:65=PADS Sess:4 Len:20
PPPoE: Type:0101:SVCNAME-Service Name Len:8
PPPoE: ts-pppoe
PPPoE: Type:0103:HOSTUNIQ-Host Unique Tag Len:4
PPPoE: 0000002F
PPPoE: PADS
PPPoE: IN PADS from PPPoE tunnel
PPPoE: Service name 'any' not found in PADS
PPPoE: Opening PPP link and starting negotiations.
PPPoE: PPPoE:(Rcv) Dest:001d.45fd.565f Src:0026.18bc.4a5f Type:0x8863=PPPoE-Discovery
PPPoE: Ver:1 Type:1 Code:A7=PADT Sess:4 Len:43
PPPoE: Type:0203:GENERICERR-Generic Error Len:39
PPPoE:

PPPoE: RP-PPPoE: Child pppd process terminated
PPPoE: PADT
PPPoE: Shutting down client session

Для проверки кабеля, правильности логин-пароля смог успешно подключиться из-под Windowxs XP используя протоколы MS-CHAP версии 1 и 2 по отдельности. Но что делать с ASA 5505? Как на ней запустить PPPoE? Подскажите пожалуйста.
Автор: ESX091
Дата сообщения: 27.11.2009 12:27
at200859

Какой mtu на outside интерфейсе?
Должен быть
mtu outside 1492
Автор: at200859
Дата сообщения: 27.11.2009 12:32
ESX091

Цитата:
mtu outside 1492

да. именно такой и есть.
Автор: zeropv
Дата сообщения: 02.12.2009 12:46
Помогите разобраться с PIX 506E (6.3(5))
Пикс находится в локалке 10.0.26.x Настроен NAT (PAT), который выпускает сетку 192.168.0.x в 10.0.0.0 через айпи внешнего интерфейса. на обоих интерфейсах ip any any Все просто. Делалось для доступа в интеренет нескольким машинам, к-е идут через http-проксю под одним аккаунтом. Интернет работеает. НО проблема с Microsoft network или netbios... хз. заключается в следующем. Если одна из машин (192.168.0.х) копирует файл с \\server1\shara_x и при этом к \\server1\shara_y подключается другая машина из 192.168.0.x происходит обрыв связи.
В логах пикса есть сообщения связанные с RESET-I RESET-O.
Автор: ESX091
Дата сообщения: 04.12.2009 13:53
at200859
если проблема не решилась, то постараюсь кошку притащить домой и потестить.
полного конфига не видел, выложи или скиньте в личку плз
как вариант ip address outside pppoe setroute
или ip address outside х.х.х.х 255.255.255.0 pppoe
Автор: molotok666
Дата сообщения: 24.12.2009 09:09
Здравствуйте!

Подскажите, может ли PIX 501 работать как маршрутизатор. Необходим доступ к сети за inside интерфейсом и наоборот. Если возможно с описанием данного решения.
Автор: taelas
Дата сообщения: 26.12.2009 12:43
molotok666
укажи конфигурацию сети поточнее.
Автор: molotok666
Дата сообщения: 28.12.2009 11:27
inside 192.168.1.0/24
outside 192.168.2.0/24
Автор: ESX091
Дата сообщения: 29.12.2009 09:32
molotok666
пиксы и работают как маршрутизаторы.
если точнее опишите, что требуется и какой софт стоит на писке, то будет и решение.
Автор: 3I4I5D
Дата сообщения: 17.01.2010 18:02
Есть вопрос к спецам по VPN на Cisco (PIX 515E)

Есть провайдер, на котором поднят VPN сервер, необходимо к нему подключить клиентом мой PIX (515E)

Делаю так: (из config)

Код: PIX Version 8.0(4)
!
interface Ethernet0
nameif outside
security-level 0
pppoe client vpdn group mag
ip address pppoe setroute
!
vpdn group mag request dialout pppoe
vpdn group mag localname vpn.user
vpdn group mag ppp authentication chap
vpdn username vpn.user password ******** store-local
!
Автор: slut
Дата сообщения: 17.01.2010 22:03
3I4I5D
А лицензия случаем не unrestricted?
Если нет, то покажите
show ip address outside pppoe
show vpdn session pppoe
show vpdn pppinterface
Автор: 3I4I5D
Дата сообщения: 18.01.2010 06:40
slut

лицензия restricted


Код: Licensed Features:
Failover: Disabled
VPN-DES: Enabled
VPN-3DES: Disabled
Maximum Interfaces: 3
Cut-through Proxy: Enabled
Guards: Enabled
Websense: Enabled
Inside Hosts: Unlimited
Throughput: Unlimited
ISAKMP peers: Unlimited
Автор: slut
Дата сообщения: 18.01.2010 09:34
3I4I5D
хорошо, а если группу назвать не mag, а stk ? Но этим поле svcname не измените. По сути-то конфигурация правильная. Имя пользователя такое и есть ?
PS Кстати, частенько такое решение стало встречаться у провадеров, этим фактически отрубают возможность ипользования cisco.
Автор: 3I4I5D
Дата сообщения: 18.01.2010 10:04
slut
Только что разговаривал с провайдером (с поддержкой) пытались с двух сторон проверить связь
Действительно пустое поле сервиса они не поддерживают
Признался что такие проблемы у них уже были, посоветовал обратится к менеджерам с целью разруливания...
Они ведь всю циску кидают этим...
Циска тоже хороша, есть поле по стандарту? - почему оно должно быть пустым и неизменяемым?

Даж не знаю, как рулить...
Автор: foruru
Дата сообщения: 18.01.2010 14:40
здравствуйте, уважаемые!
Помогите разобраться с pix 506. Пытаюсь настроить интернет для локальной сети. Pix принимает настройки провайдера через dhcp на outside. С него все ip адреса внешние пинугются нормально. Т.е. интернет есть. У пользователей интернет тоже как бы есть, но только выход в инете по ip-адресам веб-ресурсов катит. DNS проавайдера не видит никто. В самом пиксе также не понятно где ДНС провайдера вписывать.
DHCP сервер для внутренней сети отключен.
По идее все долджно быть легко и просто, но не получается чего-то..
Автор: ESX091
Дата сообщения: 25.01.2010 13:59
foruru
попробуйте команду
dns domain-lookup outside

Страницы: 12345678910111213141516171819202122232425

Предыдущая тема: Как проверить,ушло ли писмо через вингейт на смтп провайдера


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.