slut
Цитата:
Цитата:
Guide for Cisco PIX 6.2 and 6.3 Users Upgrading to Cisco PIX Software Version 7.0ссылку дай
» Настройка Cisco PIX Firewall / ASA
привет,
после перехода на 7.2(2) пришлось терминировать pptp на отдельном сервере (win2k).
проблема такая - клиент соединяется , получает IP - трафик не проходит.
у кого есть рабочий конфиг с pptp pptp through - дайте посмотреть плз!
после перехода на 7.2(2) пришлось терминировать pptp на отдельном сервере (win2k).
проблема такая - клиент соединяется , получает IP - трафик не проходит.
у кого есть рабочий конфиг с pptp pptp through - дайте посмотреть плз!
Достался мне такой девайс: PIX-515E-R-DMZ-BUN
Вот его версия:
Cisco PIX Firewall Version 6.3(5)
Cisco PIX Device Manager Version 3.0(4)
Compiled on Thu 04-Aug-05 21:40 by morlee
fw up 21 days 2 hours
Hardware: PIX-515E, 64 MB RAM, CPU Pentium II 433 MHz
Flash E28F128J3 @ 0x300, 16MB
BIOS Flash AM29F400B @ 0xfffd8000, 32KB
0: ethernet0: address is 0015.fa81.2a01, irq 10
1: ethernet1: address is 0015.fa81.2a02, irq 11
2: ethernet2: address is 000e.0c9d.139a, irq 11
Licensed Features:
Failover: Disabled
VPN-DES: Enabled
VPN-3DES-AES: Disabled
Maximum Physical Interfaces: 3
Maximum Interfaces: 5
Cut-through Proxy: Enabled
Guards: Enabled
URL-filtering: Enabled
Inside Hosts: Unlimited
Throughput: Unlimited
IKE peers: Unlimited
This PIX has a Restricted (R) license.
Хотелось бы перед вводом его в боевую работу обновить софт на 7.2(2)
Подскажите начинающему надо ли мне добавлять память до 128 Мег или можно остаться на 64? Если я правильно понял Cisco PIX 515/515E Security Appliance Memory Upgrade for PIX Software v7.0, то для версии с Restricted license достаточно и 64 Мег.
И второй вопрос. Если память необходимо добавлять, то какую надо? Можно ли использовать обычные DIMM (PC-100, PC-133, ECC, non-ECC)?
Вот его версия:
Cisco PIX Firewall Version 6.3(5)
Cisco PIX Device Manager Version 3.0(4)
Compiled on Thu 04-Aug-05 21:40 by morlee
fw up 21 days 2 hours
Hardware: PIX-515E, 64 MB RAM, CPU Pentium II 433 MHz
Flash E28F128J3 @ 0x300, 16MB
BIOS Flash AM29F400B @ 0xfffd8000, 32KB
0: ethernet0: address is 0015.fa81.2a01, irq 10
1: ethernet1: address is 0015.fa81.2a02, irq 11
2: ethernet2: address is 000e.0c9d.139a, irq 11
Licensed Features:
Failover: Disabled
VPN-DES: Enabled
VPN-3DES-AES: Disabled
Maximum Physical Interfaces: 3
Maximum Interfaces: 5
Cut-through Proxy: Enabled
Guards: Enabled
URL-filtering: Enabled
Inside Hosts: Unlimited
Throughput: Unlimited
IKE peers: Unlimited
This PIX has a Restricted (R) license.
Хотелось бы перед вводом его в боевую работу обновить софт на 7.2(2)
Подскажите начинающему надо ли мне добавлять память до 128 Мег или можно остаться на 64? Если я правильно понял Cisco PIX 515/515E Security Appliance Memory Upgrade for PIX Software v7.0, то для версии с Restricted license достаточно и 64 Мег.
И второй вопрос. Если память необходимо добавлять, то какую надо? Можно ли использовать обычные DIMM (PC-100, PC-133, ECC, non-ECC)?
От ведь жизть! Пытаюсь настроить PIX 515 (версия 6.3(5)) и бьюсь как рыба об лед. Из консоли пингует интернетовские адреса и внутренние тоже, а из внутренней сети не дает ни пинга, ничего другого. В чем может быть трабл? Поначалу когда делал debug icmp trace он мне на попытку пинга внешнего интерфейса из внутреннего выдавал translating outside ... и.т.д. (т.е. NAT чудИл), теперь молчит собака и трейсит тока когда снаружи из инета бьешься.
Помогите кто чего знает! Конфигурация:
: Written by enable_15 at 06:02:54.732 UTC Thu Feb 8 2007
PIX Version 6.3(5)
interface ethernet0 10full
interface ethernet1 10full
interface ethernet2 10full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security50
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname mypix
domain-name ciscopix.com
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol tftp 69
names
name 192.168.1.2 webserver
access-list ping_acl permit icmp any any
access-list acl_out permit icmp any any
access-list acl_out permit tcp any host 177.108.66.107 eq www
pager lines 24
logging buffered debugging
mtu outside 1500
mtu inside 1500
mtu dmz 1500
ip address outside 177.108.66.106 255.255.255.248
ip address inside 192.168.0.253 255.255.255.0
ip address dmz 192.168.1.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 1 177.108.66.108-177.108.66.109
global (outside) 1 177.108.66.110
global (dmz) 1 webserver-192.168.1.5
nat (inside) 1 192.168.0.0 255.255.255.0 0 0
static (dmz,outside) 177.108.66.107 webserver netmask 255.255.255.255 0 0
access-group acl_out in interface outside
access-group ping_acl in interface inside
access-group ping_acl in interface dmz
route outside 0.0.0.0 0.0.0.0 177.108.66.105 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
no snmp-server enable traps
floodguard enable
telnet 192.168.0.14 255.255.255.255 inside
telnet 192.168.0.14 255.255.255.255 dmz
telnet timeout 15
ssh timeout 5
console timeout 0
dhcpd auto_config outside
terminal width 80
Cryptochecksum:58ce4fb399416d2cb68c2c8bbe70bcf4
Помогите кто чего знает! Конфигурация:
: Written by enable_15 at 06:02:54.732 UTC Thu Feb 8 2007
PIX Version 6.3(5)
interface ethernet0 10full
interface ethernet1 10full
interface ethernet2 10full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security50
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname mypix
domain-name ciscopix.com
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol tftp 69
names
name 192.168.1.2 webserver
access-list ping_acl permit icmp any any
access-list acl_out permit icmp any any
access-list acl_out permit tcp any host 177.108.66.107 eq www
pager lines 24
logging buffered debugging
mtu outside 1500
mtu inside 1500
mtu dmz 1500
ip address outside 177.108.66.106 255.255.255.248
ip address inside 192.168.0.253 255.255.255.0
ip address dmz 192.168.1.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 1 177.108.66.108-177.108.66.109
global (outside) 1 177.108.66.110
global (dmz) 1 webserver-192.168.1.5
nat (inside) 1 192.168.0.0 255.255.255.0 0 0
static (dmz,outside) 177.108.66.107 webserver netmask 255.255.255.255 0 0
access-group acl_out in interface outside
access-group ping_acl in interface inside
access-group ping_acl in interface dmz
route outside 0.0.0.0 0.0.0.0 177.108.66.105 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
no snmp-server enable traps
floodguard enable
telnet 192.168.0.14 255.255.255.255 inside
telnet 192.168.0.14 255.255.255.255 dmz
telnet timeout 15
ssh timeout 5
console timeout 0
dhcpd auto_config outside
terminal width 80
Cryptochecksum:58ce4fb399416d2cb68c2c8bbe70bcf4
Я бы вот так сделал и попробовал пинги.
no access-group ping_acl in interface inside
Непонятно, зачем на внутренний интерфейс вешать акцесс лист разрешающий только ICMP.
no access-group ping_acl in interface inside
Непонятно, зачем на внутренний интерфейс вешать акцесс лист разрешающий только ICMP.
это что бы вопросы незадавали как настраивать
Pix Firewall Simulator
htitipi://rapidshare.com/files/5543686/pis.rar
возвращаясь к вопросу что лучше CP or PIX то помоему чекпоинт становиться лучше покрайней мере тестировал последнюю версию NGX R65, у нас еще стоит NGX R61 при включеных опциях модуля смарт дефенс несколько тормозит и еще насчет вирусов да точно для PIX их нет но если поставить Чекпоинт на SecurePlatform то тоже можно подстраховаться
и судя по опубликованным результатам версия R65 по производительности лидер, а таких вещей как VSX помоему у циски нет хотя могу ошибаться.
Pix Firewall Simulator
htitipi://rapidshare.com/files/5543686/pis.rar
возвращаясь к вопросу что лучше CP or PIX то помоему чекпоинт становиться лучше покрайней мере тестировал последнюю версию NGX R65, у нас еще стоит NGX R61 при включеных опциях модуля смарт дефенс несколько тормозит и еще насчет вирусов да точно для PIX их нет но если поставить Чекпоинт на SecurePlatform то тоже можно подстраховаться
и судя по опубликованным результатам версия R65 по производительности лидер, а таких вещей как VSX помоему у циски нет хотя могу ошибаться.
Blins
Цитата:
Вот почему пингается снаружи.
А изнутри не пингается потому что не знаю как в 6-ом пикс-осе, но в седьмом реализовано наблюдение за icmp сессией, т.к. icmp асимметричный протокол, т.е. ответ от хоста приходит с другим номером сессии, а не как ответ на запрос и соотвественно не проходит цепочку "форвард" говоря языком iptables.
Цитата:
access-group acl_out in interface outside
Вот почему пингается снаружи.
А изнутри не пингается потому что не знаю как в 6-ом пикс-осе, но в седьмом реализовано наблюдение за icmp сессией, т.к. icmp асимметричный протокол, т.е. ответ от хоста приходит с другим номером сессии, а не как ответ на запрос и соотвественно не проходит цепочку "форвард" говоря языком iptables.
coderz
Спасибо тебе за симулятор, оченно полезная вещь.
Есть и у меня вопросец к сообществу.
Вот написано выше в конфиге (и у меня почти так же
):
---
global (outside) 1 177.108.66.108-177.108.66.109
global (outside) 1 177.108.66.110
nat (inside) 1 192.168.0.0 255.255.255.0 0 0
---
Всё понятно: ТРИ внешних адреса, на два первых из которые НАТится внутренняя сеть, а если их не хватает, то на 110 ПАТом (и потОм
) транслируются все остальные, кто не влез в НАТ.
А вот если у меня ТОЛЬКО ДВА внешних свободно?
- оставить первую строчку "глобал", убрать вторую - только двое вылезут в outside, остальные нет.
- прописать два глобала по образцу второй строчки - сомнительно, как будет работать, скорее всего - не будет.
Есть мнения?
Пробовать "путём тыка" нежелательно, девайс в работе почти круглосуточно...
Можно ли развести юзеров по двум ПАТам, в зависимости от их (юзеров) айпишников?
Вроде "полиси нат" что-то такое позоляет...
...Ушёл читать доки...
Спасибо тебе за симулятор, оченно полезная вещь.
Есть и у меня вопросец к сообществу.
Вот написано выше в конфиге (и у меня почти так же
): ---
global (outside) 1 177.108.66.108-177.108.66.109
global (outside) 1 177.108.66.110
nat (inside) 1 192.168.0.0 255.255.255.0 0 0
---
Всё понятно: ТРИ внешних адреса, на два первых из которые НАТится внутренняя сеть, а если их не хватает, то на 110 ПАТом (и потОм
) транслируются все остальные, кто не влез в НАТ. А вот если у меня ТОЛЬКО ДВА внешних свободно?
- оставить первую строчку "глобал", убрать вторую - только двое вылезут в outside, остальные нет.
- прописать два глобала по образцу второй строчки - сомнительно, как будет работать, скорее всего - не будет.
Есть мнения?
Пробовать "путём тыка" нежелательно, девайс в работе почти круглосуточно...
Можно ли развести юзеров по двум ПАТам, в зависимости от их (юзеров) айпишников?
Вроде "полиси нат" что-то такое позоляет...
...Ушёл читать доки...
osten
Цитата:
ну во первых у тебя все выходят ПАт-ом, только первый глобал предоставляет пул из двух адресов, а второй глобал один, нафига так сделано не понятно... можно спокойно все три адреса в один глобал писать... пул действительно нужен для того чтоб когда на одном адресе закончаться xlate-ы использовать другие адреса. ограничение - 2000 соединений с одного адреса.
Цитата:
если сетка не шибко большая можешь один адрес только оставить.
Цитата:
можно и описанием ната, например так:
Код: global (outside) 1 177.108.66.109
global (outside) 2 177.108.66.110
nat (inside) 1 192.168.0.0 255.255.255.128 0 0
nat (inside) 2 192.168.0.128 255.255.255.128 0 0
Цитата:
Всё понятно: ТРИ внешних адреса, на два первых из которые НАТится внутренняя сеть, а если их не хватает, то на 110 ПАТом (и потОм ) транслируются все остальные, кто не влез в НАТ.
ну во первых у тебя все выходят ПАт-ом, только первый глобал предоставляет пул из двух адресов, а второй глобал один, нафига так сделано не понятно... можно спокойно все три адреса в один глобал писать... пул действительно нужен для того чтоб когда на одном адресе закончаться xlate-ы использовать другие адреса. ограничение - 2000 соединений с одного адреса.
Цитата:
А вот если у меня ТОЛЬКО ДВА внешних свободно?
- оставить первую строчку "глобал", убрать вторую - только двое вылезут в outside, остальные нет.
- прописать два глобала по образцу второй строчки - сомнительно, как будет работать, скорее всего - не будет.
если сетка не шибко большая можешь один адрес только оставить.
Цитата:
Можно ли развести юзеров по двум ПАТам, в зависимости от их (юзеров) айпишников?
можно и описанием ната, например так:
Код: global (outside) 1 177.108.66.109
global (outside) 2 177.108.66.110
nat (inside) 1 192.168.0.0 255.255.255.128 0 0
nat (inside) 2 192.168.0.128 255.255.255.128 0 0
Цитата:
нафига так сделано не понятно...
А это кусок из стандартного цисковского мануала - все и повторяют, думать кому ж охота...
Цитата:
если сетка не шибко большая можешь один адрес только оставить.
Так и сделаю, для проверки внешних мыл и праздного шатания по сети полутора десяткам юзверей хватит. Ибо нефиг...
А вот что ещё неясно: в DMZ у меня поднят web-сервер. Я его вижу из внутренней сети, набирая в браузере его внутренний айпишник - как и должно быть.
А вот если я пытаюсь его увидеть через outside по IP, который прописан ему в static (dmz, outside) - не вижу. Соответственно, по имени - тоже не вижу...
Если обращаюсь к нему же через любой интернет-прокси - то начинаю видеть! И по имени, и по IP.
В общем-то мне это и нафиг не нужно, но надо же объяснить директору, почему он набрав в браузере www.нашафирма.ru не видит сайта...
Что может быть криво сделано?
Конфиг - один в один тот, что выше приведён...
osten
Цитата:
До этого я чото недодумался
Цитата:
Через аутсайд и не увидишь, получается корявый роутинг в пределах одного интерфейса...
Цитата:
Код: name 192.168.1.2 webserver
Цитата:
А это кусок из стандартного цисковского мануала - все и повторяют, думать кому ж охота...
До этого я чото недодумался
Цитата:
А вот если я пытаюсь его увидеть через outside по IP, который прописан ему в static (dmz, outside) - не вижу. Соответственно, по имени - тоже не вижу...
Через аутсайд и не увидишь, получается корявый роутинг в пределах одного интерфейса...
Цитата:
Если обращаюсь к нему же через любой интернет-прокси - то начинаю видеть! И по имени, и по IP.
В общем-то мне это и нафиг не нужно, но надо же объяснить директору, почему он набрав в браузере www.нашафирма.ru не видит сайта...
Что может быть криво сделано?
Код: name 192.168.1.2 webserver
Raredemon, спасибо за разъяснения, с аутсайдом понятно, директору пропишу в hosts внутренний IP нашего сайта и сделаю ipconfig /flushdns. Пусть наслаждается 
Да вроде ошибок нет, вообще конфиг слизан отсюда: http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/pix_v52/config/examples.htm
Там и пошаговые комментарии есть (позже выяснилось, что неполные, хотя и полезные)...
И кстати, когда я внешний пул оставлял из двух адресов без ПАТа на третьем - нихрена автоматом ПАТ не включается, пару юзеров выпустило по НАТу - и всё. Так что остался вариант с одним внешним айпи/ПАТом на все юзерские нужды. Как и ожидалось...
Добавлю
Знание, выстраданное тремя днями экспериментов с девайсом, чтения доков и обдумывания ненайденного в них:
В вот таком конфиге, (почти как восемью постами выше),
Код:
...
ip address outside 177.108.66.106 255.255.255.248
ip address inside 192.168.0.254 255.255.255.0
ip address dmz 192.168.1.1 255.255.255.0
global (outside) 1 177.108.66.108-177.108.66.109
global (outside) 1 177.108.66.110
global (dmz) 1 192.168.1.2-192.168.1.5 - ошибка!
nat (inside) 1 192.168.0.0 255.255.255.0 0 0
...
Да вроде ошибок нет, вообще конфиг слизан отсюда: http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/pix_v52/config/examples.htm
Там и пошаговые комментарии есть (позже выяснилось, что неполные, хотя и полезные)...
И кстати, когда я внешний пул оставлял из двух адресов без ПАТа на третьем - нихрена автоматом ПАТ не включается, пару юзеров выпустило по НАТу - и всё. Так что остался вариант с одним внешним айпи/ПАТом на все юзерские нужды. Как и ожидалось...
Добавлю
Знание, выстраданное тремя днями экспериментов с девайсом, чтения доков и обдумывания ненайденного в них:
В вот таком конфиге, (почти как восемью постами выше),
Код:
...
ip address outside 177.108.66.106 255.255.255.248
ip address inside 192.168.0.254 255.255.255.0
ip address dmz 192.168.1.1 255.255.255.0
global (outside) 1 177.108.66.108-177.108.66.109
global (outside) 1 177.108.66.110
global (dmz) 1 192.168.1.2-192.168.1.5 - ошибка!
nat (inside) 1 192.168.0.0 255.255.255.0 0 0
...
Цитата:
у кого есть рабочий конфиг с pptp pptp through - дайте посмотреть плз
Семёрка PPTP не поддерживает в принципе!
Всем привет.
Подскажите пожалуйста есть ли возможность на PIX или лутше ASA зарезервировать порт и реализовать возможность резервного подключения к другому провайдеру и желательно через LAN интерфейс. Модель ASA 5505 имеет ли такую возможность ?
что то типа Hot Standby Router Protocol.
Спасибо.
Подскажите пожалуйста есть ли возможность на PIX или лутше ASA зарезервировать порт и реализовать возможность резервного подключения к другому провайдеру и желательно через LAN интерфейс. Модель ASA 5505 имеет ли такую возможность ?
что то типа Hot Standby Router Protocol.
Спасибо.
Цитата:
Всем привет.
Подскажите пожалуйста есть ли возможность на PIX или лутше ASA зарезервировать порт и реализовать возможность резервного подключения к другому провайдеру и желательно через LAN интерфейс. Модель ASA 5505 имеет ли такую возможность ?
что то типа Hot Standby Router Protocol.
Спасибо.
HSRP - only for local redundancy.
возможность резервного подключения к другому провайдеру - sla monitor......
PolarBear
Спасибо за разъяснение - не подскажешь где на сайте можно найти подтверждение
поддерживают ли модели ASA 5505 И ASA 5510 SLA.
Не могу найти.
Спасибо за разъяснение - не подскажешь где на сайте можно найти подтверждение
поддерживают ли модели ASA 5505 И ASA 5510 SLA.
Не могу найти.
может правильным ответом на мой вопрос будет
Static Route Tracking ?
Static Route Tracking ?
Вопрос по лицензиям и обновлению софта.
Допустим купим Cisco ASA 5505 c OS 8.0
выйдет 9.0 прдётся покупать ? или на основе старой лицензии можем использовать ? с ограничениями нашей лицензии.
Спасибо.
Добавлено:
и где строчку в прайсе найти сколько стоит если стоит
ASA 5505.
Допустим купим Cisco ASA 5505 c OS 8.0
выйдет 9.0 прдётся покупать ? или на основе старой лицензии можем использовать ? с ограничениями нашей лицензии.
Спасибо.
Добавлено:
и где строчку в прайсе найти сколько стоит если стоит
ASA 5505.
slech
наверняка проблем с обновлением 8.х на более высокие версии не будет. Во всяк случае мои пиксы покупались еще с версиями 5.x и 6.x и сейчас прекрасно работают под 7.x и 8.x.
Касательно прайса ASA - наверняка как и в пиксах всё зависит от типа лицензии (у пиксов это: restricted, unrestricted, fallover и пр.)
наверняка проблем с обновлением 8.х на более высокие версии не будет. Во всяк случае мои пиксы покупались еще с версиями 5.x и 6.x и сейчас прекрасно работают под 7.x и 8.x.
Касательно прайса ASA - наверняка как и в пиксах всё зависит от типа лицензии (у пиксов это: restricted, unrestricted, fallover и пр.)
Приветствую,
Как можно завязать RRAS (WS2003) и Cisco ASA 5505 site-to-site, кроме как используя IPSec в режиме туннелирования?
Возможно поднять на со стороны ASA l2tp/ipsec ?
и еще вопрос - Easy VPN Remote к чему позволяет подключаться?
сорри - я немного ньюб в cisco...
Как можно завязать RRAS (WS2003) и Cisco ASA 5505 site-to-site, кроме как используя IPSec в режиме туннелирования?
Возможно поднять на со стороны ASA l2tp/ipsec ?
и еще вопрос - Easy VPN Remote к чему позволяет подключаться?
сорри - я немного ньюб в cisco...
Доброе утро,
может кто поможет с настройкой remote access VPN на PIX-515E? Бьюсь уже не первый день но все бестолку ... VPN соединение устанавливается но трафик в тунель не идет.
В качестве клиента WinXP с Cisco VPN Client 4.x. Может кто подскажет, что неправильно?
[more=Тут мой конфиг...]
!
interface Ethernet0
speed 100
duplex full
nameif outside
security-level 0
ip address xxx.xxx.xxx.xxx 255.255.255.224
!
interface Ethernet2
speed 100
duplex full
nameif inside
security-level 100
ip address 172.16.6.200 255.255.255.0
!
ftp mode passive
dns server-group DefaultDNS
domain-name local-domain.com
same-security-traffic permit intra-interface
access-list inside_nat0_outbound extended permit ip any 172.16.5.0 255.255.255.0
pager lines 24
logging enable
logging asdm informational
mtu outside 1500
mtu inside 1500
ip local pool vpnpool 172.16.5.1-172.16.5.254
icmp unreachable rate-limit 1 burst-size 1
asdm image flash:/asdm-602.bin
no asdm history enable
arp timeout 14400
nat-control
global (outside) 1 interface
nat (outside) 1 172.16.5.0 255.255.255.0
nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 1 0.0.0.0 0.0.0.0
!
router ospf 65
network 172.16.2.0 255.255.255.0 area 0
network 172.16.6.0 255.255.255.0 area 0
log-adj-changes
redistribute static subnets
default-information originate
!
route outside 0.0.0.0 0.0.0.0 zzz.zzz.zzz.zzz 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
crypto ipsec transform-set myset esp-3des esp-sha-hmac
crypto dynamic-map rtpdynmap 20 set pfs
crypto dynamic-map rtpdynmap 20 set transform-set myset
crypto map mymap 20 ipsec-isakmp dynamic rtpdynmap
crypto map mymap interface outside
crypto isakmp identity address
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash md5
group 2
lifetime 86400
crypto isakmp policy 65535
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
group-policy clientgroup internal
group-policy clientgroup attributes
vpn-idle-timeout 20
password-storage enable
split-tunnel-policy tunnelall
username admin password blahblahblah
tunnel-group vpn-group type remote-access
tunnel-group vpn-group general-attributes
address-pool vpnpool
default-group-policy clientgroup
tunnel-group vpn-group ipsec-attributes
pre-shared-key *
prompt hostname context
[/more]
может кто поможет с настройкой remote access VPN на PIX-515E? Бьюсь уже не первый день но все бестолку ... VPN соединение устанавливается но трафик в тунель не идет.
В качестве клиента WinXP с Cisco VPN Client 4.x. Может кто подскажет, что неправильно?
[more=Тут мой конфиг...]
!
interface Ethernet0
speed 100
duplex full
nameif outside
security-level 0
ip address xxx.xxx.xxx.xxx 255.255.255.224
!
interface Ethernet2
speed 100
duplex full
nameif inside
security-level 100
ip address 172.16.6.200 255.255.255.0
!
ftp mode passive
dns server-group DefaultDNS
domain-name local-domain.com
same-security-traffic permit intra-interface
access-list inside_nat0_outbound extended permit ip any 172.16.5.0 255.255.255.0
pager lines 24
logging enable
logging asdm informational
mtu outside 1500
mtu inside 1500
ip local pool vpnpool 172.16.5.1-172.16.5.254
icmp unreachable rate-limit 1 burst-size 1
asdm image flash:/asdm-602.bin
no asdm history enable
arp timeout 14400
nat-control
global (outside) 1 interface
nat (outside) 1 172.16.5.0 255.255.255.0
nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 1 0.0.0.0 0.0.0.0
!
router ospf 65
network 172.16.2.0 255.255.255.0 area 0
network 172.16.6.0 255.255.255.0 area 0
log-adj-changes
redistribute static subnets
default-information originate
!
route outside 0.0.0.0 0.0.0.0 zzz.zzz.zzz.zzz 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
crypto ipsec transform-set myset esp-3des esp-sha-hmac
crypto dynamic-map rtpdynmap 20 set pfs
crypto dynamic-map rtpdynmap 20 set transform-set myset
crypto map mymap 20 ipsec-isakmp dynamic rtpdynmap
crypto map mymap interface outside
crypto isakmp identity address
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash md5
group 2
lifetime 86400
crypto isakmp policy 65535
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
group-policy clientgroup internal
group-policy clientgroup attributes
vpn-idle-timeout 20
password-storage enable
split-tunnel-policy tunnelall
username admin password blahblahblah
tunnel-group vpn-group type remote-access
tunnel-group vpn-group general-attributes
address-pool vpnpool
default-group-policy clientgroup
tunnel-group vpn-group ipsec-attributes
pre-shared-key *
prompt hostname context
[/more]
Artello
Я так понял иос 8-ой? попробуй сделать впн сервер визардом из асдм, причем все параметры шифрации оставь дефолтовые. после этого все работает. сам с таким столкнулся, а почему так происходит хз
Я так понял иос 8-ой? попробуй сделать впн сервер визардом из асдм, причем все параметры шифрации оставь дефолтовые. после этого все работает. сам с таким столкнулся, а почему так происходит хз
Raredemon
Дык я и ASDM пробовал и ручками по докам ... никакого прогресса. Шифрация и так дефолт стоит 3DES + SHA1. Туннель же поднимается, только по статистике VPN Client'a счетчики нарастают счетчики Encrypted packets и Sent Packets растут а Received и Decrypted по нулям .
Дык я и ASDM пробовал и ручками по докам ... никакого прогресса. Шифрация и так дефолт стоит 3DES + SHA1
. Туннель же поднимается, только по статистике VPN Client'a счетчики нарастают счетчики Encrypted packets и Sent Packets растут а Received и Decrypted по нулям .Artello
а где трафик-селектор для твоих VPN пользователей?
скорее всего надо так:
access-list vpnusers extended permit ip any 172.16.5.0 255.255.255.0
crypto dynamic-map rtpdynmap 20 match address vpnusers
а где трафик-селектор для твоих VPN пользователей?
скорее всего надо так:
access-list vpnusers extended permit ip any 172.16.5.0 255.255.255.0
crypto dynamic-map rtpdynmap 20 match address vpnusers
Здравствуйте!
Вот решил поделиться первым опытом работы с этими мегажелезяками
конкретно Cisco PIX 501
две штуки
конфигурялись через веб интерфейс
изначально стояла задача завязать два офиса абсолютно прозрачным туннелем. Провайдер наложил своих кабелей, дал живые IP и мы начали думать.
схемы продумывались разные, в итоге решили остановиться на том чтобы внедрить туннель прямо в рабочую сеть.
исходно
офис1 - подсеть 192,168,0,0
офис2 - подсеть 192,168,99,0
по локалкам адреса раздает ДХЦП, машинок не то чтобы много, по десятку-полтора в каждом офисе.
------
по цискам -
inside IP каждой циске вручается ручками из диапазона офисной подсети, в которой настраивается железка, то есть, в офисе1 на внутренний интерфейс в моем случае сгодился адрес 192.168.0.2 во офисе2, соответственно, 192.168.99.2 - делается это предварительно на отключенной от сеток машине.
в самой циске нашли небольшой нюанс - почему то невозможно прописать DNS на внутреннем адреса, если отключен ДХЦП - до сиих пор гадаю- баг это или фича. пришлось сначала вручить через ДХЦП адрес, затем прописать DNS, затем уже вырубить DHCP.
В принципе, никаких технических данных здесь расписывать смысла нет - веб интерфейс предполагает два достаточно дружелюбных мастера - первичной настройки и VPN. в первичной настройке настраиваются интерфейсы - внешний и внутренний, а вот на ВПН остановлюсь чуть подробнее (рассматривая именно мой случай).
во первых PIXа спрашивает, чего мы собственно собираемся делать - Site-to-Site или Remote Access VPN и через какой интерфейс мы собираемся этот самый VPN разрешать. для туннеля делаем Site-to-Site через outside интерфейс (следует помнить, что работа предполагается с уже настроенными интерфейсами, внутренним и внешним)
Далее PIX интересуется, такой штукой, как Remote Site Peer - это не что иное, как внешний адрес удаленной PIX, которая будет установлена на втором офисе - смело отдаем ей внешний IP второго офиса - неважно, что у нас там пока ничего не настроено и даже не подключено. Далее, в том же окне мастера нужно выбрать режим аутентификации. мы в своих изысканиях далеко в дебри не вдавались и нафигачили в первом же поле (Pre-shared key) пароль. два раза.
Далее циска интересуется, какой политикой ей шифровать предполагаемый туннель - мы оставили параметры по умолчанию - Encryption="3DES", Authentication="MD5", DH Group= "Group2-1024bit"
Затем идет вопрос про Transform Set, шо це за звер, мы малость не догнали, предположили, что это параметры шифрование, которые должны быть идентичны с обоих сторон (типа согласования) - оставили как есть - Encryption="3DES", Authentication="MD5"
После этого потребовалось указать, из какой подсети и в какую нужно проложить туннель: IP Traffic selector - > on local site. Здесь все просто- указываем из какой подсети шифровать данные, естессно, указали нашу офис1 (192,168,0,0) = интерфейс указали Inside, и чуть ниже сеть\маску. переместили выбранные параметры в Selected.
Следующим шагом, как нетрудно догадаться, Циска хотела знать, а в какую подсеть ей, собственно передавать данные - мы указали внутренний интерфейс удаленной второй циски, который будет жить в подсети 192,168,99,0. Офигевший от такого поворота событий девайс удивленно спросил, как ему обозвать подсеть, к которой он пока не подключен, мы обозвали office2 и добавили получившийся пресет в список "Selected".
после чего нажимается кнопка финиш. и циска подключается к первому доступному свитчу в офисной локалке. Ну и естессно, пингуется. пока нам более ничего с этой стороны делать не нужно.
на удаленном офисе делается то же самое с зеркальным отражением настроек - удаленной сетью указывается office1, локальной - office2, пиром для туннеля указывается внешний IP первого офиса - единственно, что синхронно - это параметры шифрования. Через какие то минутки спустя на девайсах загораются лампочки "VPN Tunnel" - это означает конец первого этапа "марлезонского балета" - железяки друг друга нашли, поздоровались и крепко друг за дружку уцепились - если верить обещаниям, несколько самых умных суперкомпьютеров будут расшифровывать данные в этом туннеле несколько сотен лет. Бог в помощь.
для того чтобы инфа начала ходить по этому туннелю, нужно в качестве основного маршрутизатора (параметр DHCP) на обоих офисах указать ip пиксов. Если DHCP в сети нет = сочувствую, пишите руками, иного способа сменить основной шлюз я не знаю... если, как в моем случае, кроме этого туннеля, есть иные дыры в мир, которые раздают, например интернет, то на них оставляется задача исключительно как прокси - здесь оговорюсь - что у меня ранее вопрос VPN-туннеля решал Kerio, поэтому во избежание всяких недоразумений я его убил.
Выяснились еще некоторые непонятные вещи - для того чтобы пинговать внутренние адреса удаленных цисок, потребовалось прописать дополнительно правило для ICMP пакетов, несмотря на то, что железяка по завершении конфигуряния создает правило "все-всегда-всем-в любые дыры" можно. не знаю почему, на для пингов пришлось писать.
И все у меня пошло-побежало, я аж кофием подавился, как радостно стало.
Однако мучают вопросы - все ли я сделал правильно? нет ли иных простых и безопасных путей организовать грамотный туннель?
и если есть какие то слишком глупые ошибки - укажите мне на них пожалуйста, и за текст не ругайте - всеж первый опыт общения с такими устройствами
С уважением, Я!
Вот решил поделиться первым опытом работы с этими мегажелезяками
конкретно Cisco PIX 501
две штуки
конфигурялись через веб интерфейс
изначально стояла задача завязать два офиса абсолютно прозрачным туннелем. Провайдер наложил своих кабелей, дал живые IP и мы начали думать.
схемы продумывались разные, в итоге решили остановиться на том чтобы внедрить туннель прямо в рабочую сеть.
исходно
офис1 - подсеть 192,168,0,0
офис2 - подсеть 192,168,99,0
по локалкам адреса раздает ДХЦП, машинок не то чтобы много, по десятку-полтора в каждом офисе.
------
по цискам -
inside IP каждой циске вручается ручками из диапазона офисной подсети, в которой настраивается железка, то есть, в офисе1 на внутренний интерфейс в моем случае сгодился адрес 192.168.0.2 во офисе2, соответственно, 192.168.99.2 - делается это предварительно на отключенной от сеток машине.
в самой циске нашли небольшой нюанс - почему то невозможно прописать DNS на внутреннем адреса, если отключен ДХЦП - до сиих пор гадаю- баг это или фича. пришлось сначала вручить через ДХЦП адрес, затем прописать DNS, затем уже вырубить DHCP.
В принципе, никаких технических данных здесь расписывать смысла нет - веб интерфейс предполагает два достаточно дружелюбных мастера - первичной настройки и VPN. в первичной настройке настраиваются интерфейсы - внешний и внутренний, а вот на ВПН остановлюсь чуть подробнее (рассматривая именно мой случай).
во первых PIXа спрашивает, чего мы собственно собираемся делать - Site-to-Site или Remote Access VPN и через какой интерфейс мы собираемся этот самый VPN разрешать. для туннеля делаем Site-to-Site через outside интерфейс (следует помнить, что работа предполагается с уже настроенными интерфейсами, внутренним и внешним)
Далее PIX интересуется, такой штукой, как Remote Site Peer - это не что иное, как внешний адрес удаленной PIX, которая будет установлена на втором офисе - смело отдаем ей внешний IP второго офиса - неважно, что у нас там пока ничего не настроено и даже не подключено. Далее, в том же окне мастера нужно выбрать режим аутентификации. мы в своих изысканиях далеко в дебри не вдавались и нафигачили в первом же поле (Pre-shared key) пароль. два раза.
Далее циска интересуется, какой политикой ей шифровать предполагаемый туннель - мы оставили параметры по умолчанию - Encryption="3DES", Authentication="MD5", DH Group= "Group2-1024bit"
Затем идет вопрос про Transform Set, шо це за звер, мы малость не догнали, предположили, что это параметры шифрование, которые должны быть идентичны с обоих сторон (типа согласования) - оставили как есть - Encryption="3DES", Authentication="MD5"
После этого потребовалось указать, из какой подсети и в какую нужно проложить туннель: IP Traffic selector - > on local site. Здесь все просто- указываем из какой подсети шифровать данные, естессно, указали нашу офис1 (192,168,0,0) = интерфейс указали Inside, и чуть ниже сеть\маску. переместили выбранные параметры в Selected.
Следующим шагом, как нетрудно догадаться, Циска хотела знать, а в какую подсеть ей, собственно передавать данные - мы указали внутренний интерфейс удаленной второй циски, который будет жить в подсети 192,168,99,0. Офигевший от такого поворота событий девайс удивленно спросил, как ему обозвать подсеть, к которой он пока не подключен, мы обозвали office2 и добавили получившийся пресет в список "Selected".
после чего нажимается кнопка финиш. и циска подключается к первому доступному свитчу в офисной локалке. Ну и естессно, пингуется. пока нам более ничего с этой стороны делать не нужно.
на удаленном офисе делается то же самое с зеркальным отражением настроек - удаленной сетью указывается office1, локальной - office2, пиром для туннеля указывается внешний IP первого офиса - единственно, что синхронно - это параметры шифрования. Через какие то минутки спустя на девайсах загораются лампочки "VPN Tunnel" - это означает конец первого этапа "марлезонского балета" - железяки друг друга нашли, поздоровались и крепко друг за дружку уцепились - если верить обещаниям, несколько самых умных суперкомпьютеров будут расшифровывать данные в этом туннеле несколько сотен лет. Бог в помощь.
для того чтобы инфа начала ходить по этому туннелю, нужно в качестве основного маршрутизатора (параметр DHCP) на обоих офисах указать ip пиксов. Если DHCP в сети нет = сочувствую, пишите руками, иного способа сменить основной шлюз я не знаю... если, как в моем случае, кроме этого туннеля, есть иные дыры в мир, которые раздают, например интернет, то на них оставляется задача исключительно как прокси - здесь оговорюсь - что у меня ранее вопрос VPN-туннеля решал Kerio, поэтому во избежание всяких недоразумений я его убил.
Выяснились еще некоторые непонятные вещи - для того чтобы пинговать внутренние адреса удаленных цисок, потребовалось прописать дополнительно правило для ICMP пакетов, несмотря на то, что железяка по завершении конфигуряния создает правило "все-всегда-всем-в любые дыры" можно. не знаю почему, на для пингов пришлось писать.
И все у меня пошло-побежало, я аж кофием подавился, как радостно стало.
Однако мучают вопросы - все ли я сделал правильно? нет ли иных простых и безопасных путей организовать грамотный туннель?
и если есть какие то слишком глупые ошибки - укажите мне на них пожалуйста, и за текст не ругайте - всеж первый опыт общения с такими устройствами
С уважением, Я!
Всем привет!
помогите решить задачку
исходные данные:
PIX506, за ним 1801, используется внутри как впн-концентратор.
сейчас надо снаружи между 1801 и внешним хостом cisco 857 пропустить туннель.
на эту тему есть статья http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a008009486e.shtml
по ней все работает, но они пишут типа отдайте один адрес из внешнего диапазона и сделайте
static (inside,outside) 10.99.99.12 10.1.1.2 netmask 255.255.255.255 0 0
а я не могу себе такого позволить, хотя бы потому, что внешний адрес всего один и на нем слушаются другие сервисы.
собственно, вопрос: как пропустить с наружи ESP-трафик через пикс на приватный ip-адрес?
помогите решить задачку
исходные данные:
PIX506, за ним 1801, используется внутри как впн-концентратор.
сейчас надо снаружи между 1801 и внешним хостом cisco 857 пропустить туннель.
на эту тему есть статья http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a008009486e.shtml
по ней все работает, но они пишут типа отдайте один адрес из внешнего диапазона и сделайте
static (inside,outside) 10.99.99.12 10.1.1.2 netmask 255.255.255.255 0 0
а я не могу себе такого позволить, хотя бы потому, что внешний адрес всего один и на нем слушаются другие сервисы.
собственно, вопрос: как пропустить с наружи ESP-трафик через пикс на приватный ip-адрес?
2 PIX'а 515 и 501, на 515 крутиться еще 10+ тунелей.
По аналогии с предыдущим настраиваю новый.
Тунель не поднимается.
Пробую выянить причину:
logging on
logging buffered warnings
debug crypto ipsec 2
debug crypto isakmp 2
debug crypto engine
clear crypto ipsec sa
И ничего, и ошибок нет, и тунеля нет.
Есть ли какой либо способ более точно выяснить причину?
P.S. ACL, PSK и IP адреса перепроверены на несколько раз.
По аналогии с предыдущим настраиваю новый.
Тунель не поднимается.
Пробую выянить причину:
logging on
logging buffered warnings
debug crypto ipsec 2
debug crypto isakmp 2
debug crypto engine
clear crypto ipsec sa
И ничего, и ошибок нет, и тунеля нет.
Есть ли какой либо способ более точно выяснить причину?
P.S. ACL, PSK и IP адреса перепроверены на несколько раз.
Всем привет
Есть:
Cisco ASA 5505
Cisco Adaptive Security Appliance Software Version 7.2(2)
Device Manager Version 5.2(2)
Хочу посмотреть графики по каким-либо праметрам, но мне пишет что интерфайсы down
Интерфейсы понатное дело в up
Interface Vlan1 "inside", is up, line protocol is up
Interface Vlan2 "outside", is up, line protocol is up
Как вылечить ? Хочу видеть графики различных параметров по интерфейсам.
Ище вопрос ASDM 6.0(2) можно только к ASA OS 8.0(2) ?
Или можно залить и пользовать на текущей OS ?
Добавлено:
хм, а можно вообще снимать статистику по Vlan-у ?
Есть:
Cisco ASA 5505
Cisco Adaptive Security Appliance Software Version 7.2(2)
Device Manager Version 5.2(2)
Хочу посмотреть графики по каким-либо праметрам, но мне пишет что интерфайсы down
Интерфейсы понатное дело в up
Interface Vlan1 "inside", is up, line protocol is up
Interface Vlan2 "outside", is up, line protocol is up
Как вылечить ? Хочу видеть графики различных параметров по интерфейсам.
Ище вопрос ASDM 6.0(2) можно только к ASA OS 8.0(2) ?
Или можно залить и пользовать на текущей OS ?
Добавлено:
хм, а можно вообще снимать статистику по Vlan-у ?
PIX 7.2
Настроен PAT для подсети 192.168.100.0/24 в глобальный адрес a.b.c.d.
Необходимо разрешить pptp соединения с внешним сервером.
На cisco.com сказано "You can only have one PPTP connection through the PIX Security Appliance when you use PAT". Но я не могу давать каждому страждущему static nat. Есть ли способы обойти это? Есть ли возможность разрешить пользователям с PAT работать с внешними pptp серверами?
P.S. Для клиентов со статической трансляцией все работает.
P.P.S. Для клиентов с PAT имеем в логе запись
... regular translation creation failed for protocol 47 ...
P.P.P.S. Кусок конфига
access-list from_outside extended permit gre any any
access-list from_inside extended permit ip 192.168.100.0 255.255.255.0 any
access-list from_inside extended permit icmp 192.168.100.0 255.255.255.0 any
access-list from_inside extended permit gre 192.168.100.0 255.255.255.0 any
access-list inside_nat extended permit ip 192.168.100.0 255.255.255.0 any
access-list inside_nat extended permit icmp 192.168.100.0 255.255.255.0 any
access-list inside_nat extended permit icmp 192.168.100.0 255.255.255.0 any
policy-map global_policy
class inspection_default
inspect pptp
================================
Вылечилось добавлением fixup опции
Настроен PAT для подсети 192.168.100.0/24 в глобальный адрес a.b.c.d.
Необходимо разрешить pptp соединения с внешним сервером.
На cisco.com сказано "You can only have one PPTP connection through the PIX Security Appliance when you use PAT". Но я не могу давать каждому страждущему static nat. Есть ли способы обойти это? Есть ли возможность разрешить пользователям с PAT работать с внешними pptp серверами?
P.S. Для клиентов со статической трансляцией все работает.
P.P.S. Для клиентов с PAT имеем в логе запись
... regular translation creation failed for protocol 47 ...
P.P.P.S. Кусок конфига
access-list from_outside extended permit gre any any
access-list from_inside extended permit ip 192.168.100.0 255.255.255.0 any
access-list from_inside extended permit icmp 192.168.100.0 255.255.255.0 any
access-list from_inside extended permit gre 192.168.100.0 255.255.255.0 any
access-list inside_nat extended permit ip 192.168.100.0 255.255.255.0 any
access-list inside_nat extended permit icmp 192.168.100.0 255.255.255.0 any
access-list inside_nat extended permit icmp 192.168.100.0 255.255.255.0 any
policy-map global_policy
class inspection_default
inspect pptp
================================
Вылечилось добавлением fixup опции
Lan-to-Lan туннели, один ко многим, в центре PIX 7.2, к нему цепляются PIX 6.3.
После добавления нового изменения настроек на 6.3 выполняю
clear ipsec sa
clear isakmp sa
В итоге сразу туннель не поднимается, попытки происходят каждые 30 мин.
Есть ли возможность уменьшить этот интервал, или жестко форсировать старт?
После добавления нового изменения настроек на 6.3 выполняю
clear ipsec sa
clear isakmp sa
В итоге сразу туннель не поднимается, попытки происходят каждые 30 мин.
Есть ли возможность уменьшить этот интервал, или жестко форсировать старт?
Страницы: 12345678910111213141516171819202122232425
Предыдущая тема: Как проверить,ушло ли писмо через вингейт на смтп провайдера
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.