 PIX-515 IOS 8.0.4 настроить PPTP,  alexey63rus, 21-Фев-12, 09:23 [смотреть все]Прошу помощи,
проgoogle достаточное количество материале, решения так и не смог найти.
как на PIX515 IOS 8.0.4 настроить PPTP сервер, чтобы клиенты из вне цеплялись к PIX - в свою очередь PIX их пробрасывал на определённые внутренние ресурсы DMZ и т.п.На PIX нет DHCP сервера, он поднят на CISCO Catalyst 3550 Заранее извиняюсь.
С уважением Алексей Используемое оборудование:
Cisco PIX Security Appliance Software Version 8.0(4)32
Device Manager Version 6.1(5)57 Compiled on Tue 05-May-09 14:50 by builders
System image file is "flash:/pix804.bin"
Config file at boot was "startup-config" Hardware: PIX-515, 256 MB RAM, CPU Pentium 200 MHz
Flash i28F640J5 @ 0x300, 16MB
BIOS Flash AT29C257 @ 0xfffd8000, 32KB 0: Ext: Ethernet0 : address is 0050, irq 11
1: Ext: Ethernet1 : address is 0050, irq 10 Licensed features for this platform:
Maximum Physical Interfaces : 6
Maximum VLANs : 25
Inside Hosts : Unlimited
Failover : Active/Active
VPN-DES : Enabled
VPN-3DES-AES : Enabled
Cut-through Proxy : Enabled
Guards : Enabled
URL Filtering : Enabled
Security Contexts : 2
GTP/GPRS : Disabled
VPN Peers : Unlimited This platform has an Unrestricted (UR) license.
|
- PIX-515 IOS 8.0.4 настроить PPTP, kot141, 09:51 , 21-Фев-12 (1)
- PIX-515 IOS 8.0.4 настроить PPTP, kot141, 09:58 , 21-Фев-12 (2)
- PIX-515 IOS 8.0.4 настроить PPTP, alexey63rus, 10:31 , 21-Фев-12 (3)
- PIX-515 IOS 8.0.4 настроить PPTP, alexey63rus, 10:33 , 21-Фев-12 (4)
- PIX-515 IOS 8.0.4 настроить PPTP, alexey63rus, 11:27 , 21-Фев-12 (5)
- PIX-515 IOS 8.0.4 настроить PPTP, kot141, 11:39 , 21-Фев-12 (6)
pix(config)# vpdn ?
Usage: vpdn group <name>
accept dialin pptp|l2tp
request dialout pppoe
ppp authentication pap|chap|mschap |
ppp encryption mppe 40|128|auto [required] |
client configuration address local <address_pool_name> |
client configuration dns <dns_ip1> [<dns_ip2>]|
client configuration wins <wins_ip1> [<wins_ip2>]|
client authentication local|aaa <auth_aaa_group>|
client accounting <acct_aaa_group>|
pptp echo <echo_time>|
l2tp tunnel hello <hello_time>
localname <name>
vpdn group <name> client configuration dns <dns_ip1> [<dns_ip2>]|
- PIX-515 IOS 8.0.4 настроить PPTP, kot141, 11:41 , 21-Фев-12 (7)
Если соединение устанавливается и происходит выдача адреса клиенту, проверьте маршрутизацию и access-list для отключения NAT на адреса участвующие в PPTP
- PIX-515 IOS 8.0.4 настроить PPTP, alexey63rus, 12:13 , 21-Фев-12 (8)
> Если соединение устанавливается и происходит выдача адреса клиенту, проверьте маршрутизацию
> и access-list для отключения NAT на адреса участвующие в PPTP большое спасибо, да действительно это так! access-list не правильно прописан был! Исправил! теперь Ping работает во внутреннею сеть.
это моя не внимательность в доках с Cisco.com еще такой вопрос:
от провайдера у меня статический - шлюз, IP, DNS1, DNS2
как мне на PIX не поднимая DHCP прописать DNS1, DNS2??? Вы пишите vpdn group <name> client configuration dns <dns_ip1> [<dns_ip2>]|
это для настроек VPN, а мне нужно PIXу прописать DNS вот что было:
dhcpd address 192.168.1.2-192.168.1.254 inside
dhcpd dns 62.213.0.12 62.213.2.1 interface inside а нужно без DHCP во внутренней сети!
- PIX-515 IOS 8.0.4 настроить PPTP, kot141, 13:12 , 21-Фев-12 (9)
В режиме конфигурации внешнего интерфейса
PIX515E(config-subif)# dns name-server ?configure mode commands/options:
Hostname or A.B.C.D Server address
PIX515E(config-subif)# dns name-server
- PIX-515 IOS 8.0.4 настроить PPTP, alexey63rus, 13:39 , 21-Фев-12 (10)
> В режиме конфигурации внешнего интерфейса
> PIX515E(config-subif)# dns name-server ?
> configure mode commands/options:
> Hostname or A.B.C.D Server address
> PIX515E(config-subif)# dns name-server понял, так и сделаю, спасибо за помощь!
извиняюсь за незнание доков!
- PIX-515 IOS 8.0.4 настроить PPTP, kot141, 13:42 , 21-Фев-12 (11)
Делать из пикса dns relay не очень хорошая идея...
Удачи Вам в изучении.
- PIX-515 IOS 8.0.4 настроить PPTP, alexey63rus, 08:14 , 22-Фев-12 (12)
> Делать из пикса dns relay не очень хорошая идея...
> Удачи Вам в изучении.по какой причине dns relay это не хорошо?
у меня такая ситуация: две Cisco Catalyst 3550 они соединены между собою по Gbic.
на одном из них поднят DHCP server, VLAN 1,2,3. Установлены правила для внутренней сети. есть отдельным серваком прокси работает в режиме transparent proxy на Ubuntu Server + SYSLOG План был таков: что PIX515 будет выступать как маршрутизатор через Squid используя WCCP (proxy squid transparent cache).
То есть на PIX515 не планируются ни какие доп сервисы, просто доступ в инет и ограничения + доступ по PPTP. То есть, в случае атаки с PIX по syslog будут сливаться логи на сервак. Если уж завалят PIX, то и хрен с ним, всё равно дальше идёт прокся... а внутренняя сеть будет работоспособна. Идея такова, но не знаю на сколько правильна.
|
Версия для распечатки
