URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 19907
[ Назад ]

Исходное сообщение
"VPN сервер на CISCO PIX 515"

Отправлено Цыс , 27-Окт-09 10:16 
Приветствую. Имеется задача организовать сабж. Перерыл половину интернетов с гуглами. Попытался сделать по мануалу http://www.cisco.com/en/US/products/ps6120/products_configur... с использованием АСДМ. При попытках коннекта на клиентской стороне висит и выдает ошибку 800: сервер недоступен или неверные параметры безопасности. На серверной стороне в логах впн все чисто и по нулям, нет никаких попыток коннекта. Подозреваю что чтото надо открыть на внешнем интерфейсе. Уже открыто ГРЕ, ППТП и ИСАКМП. Помогите советом или ссылочкой... Очень желательно по АСДМ. Прошивка 7.2.

Содержание

Сообщения в этом обсуждении
"VPN сервер на CISCO PIX 515"
Отправлено Николай , 27-Окт-09 12:35 
ВПН клиента какой? стандартный виндовый ВПН или Сisco Easy VPN?

"VPN сервер на CISCO PIX 515"
Отправлено Цыс , 27-Окт-09 13:21 
Стандартный. Делал ВСЕ как в мануале ) Ну кроме сервера авторизации. Он мне не нужен. Просто локальная база пикса.



"VPN сервер на CISCO PIX 515"
Отправлено Николай , 27-Окт-09 15:09 
>Стандартный. Делал ВСЕ как в мануале ) Ну кроме сервера авторизации. Он
>мне не нужен. Просто локальная база пикса.

http://gregsowell.com/wink/asaL2TP/asaL2TP.swf
и пиво мне по почте :)


"VPN сервер на CISCO PIX 515"
Отправлено Цыс , 28-Окт-09 10:35 
Да. Флэха действительно ценная и все понятно и разжевано так что даже рядовая бухгалтерша сможет по ней настроить пикс в качестве ВПН)) Но увы в моем случае ничего не поменялось. Клиенты не могут достучаться до внп, а в статистике на пиксе нолики... Подозреваю, что в ходе экспериментов уже чегото лишнего намолотил, а сбрасывать в фактори дефолт не вариант. Так что сооружаю ВПН на фрибсд и пробую пробросить порты... В любом случае огромное спасибо.

Но ежели у кого-то есть рабочий конфиг впн именно на пиксе именно для версии 7.2 (!) ибо под 6.* полно в интернетах с комментариями какие строки отвечают за впн и доступ к впн то буду очень признателен и пиво по электронной почте))))



"VPN сервер на CISCO PIX 515"
Отправлено Axios , 28-Окт-09 11:02 
Чтобы не создавать новую тему, задам тут вопрос по теме. Так же есть PIX515. настроен VPN туннель. заведен на пиксе локальный пользователь user с паролем 1234. на клиентской машине стоит Cisco VPN Client. Так вот сам вопрос. Три пользователя и работают без проблем. Начинает подключаться 4-й пользователь, и не может авторизоваться именно пользователь



"VPN сервер на CISCO PIX 515"
Отправлено Николай , 28-Окт-09 16:25 
>Чтобы не создавать новую тему, задам тут вопрос по теме. Так же
>есть PIX515. настроен VPN туннель. заведен на пиксе локальный пользователь user
>с паролем 1234. на клиентской машине стоит Cisco VPN Client. Так
>вот сам вопрос. Три пользователя и работают без проблем. Начинает подключаться
>4-й пользователь, и не может авторизоваться именно пользователь

попробуй создать новую Груп полиси и тунель груп на ней и отдебажить - 4 юзера я бы начал с того что отключил xauth вообще, а потом понемногу усложнял :)

сразу пришло нескольно мыслей: сколько лицензий на ВПН соединения и каких на самой PIX515 с твоим конкретным иосом. Юзера работают в одной группе? Какой диапазон пула адресов для ВПН клиентов. Остальное дебажте...


"VPN сервер на CISCO PIX 515"
Отправлено Axios , 28-Окт-09 17:53 
>[оверквотинг удален]
>>вот сам вопрос. Три пользователя и работают без проблем. Начинает подключаться
>>4-й пользователь, и не может авторизоваться именно пользователь
>
>попробуй создать новую Груп полиси и тунель груп на ней и отдебажить
>- 4 юзера я бы начал с того что отключил xauth
>вообще, а потом понемногу усложнял :)
>
>сразу пришло нескольно мыслей: сколько лицензий на ВПН соединения и каких на
>самой PIX515 с твоим конкретным иосом. Юзера работают в одной группе?
>Какой диапазон пула адресов для ВПН клиентов. Остальное дебажте...

так если создаю нового пользователя в этой же группе, то проблем нету. то есть поднимаетсяя три туннеля с пользователем user и с user1


"VPN сервер на CISCO PIX 515"
Отправлено Цыс , 29-Окт-09 12:40 
#

(Optional) If you expect multiple L2TP clients behind a NAT device to attempt L2TP over IPsec connections to the security appliance, you must enable NAT traversal so that ESP packets can pass through one or more NAT devices. Complete these steps in order to do this:

   1.

      Choose Configuration > VPN > IKE > Global Parameters.
   2.

      Ensure that ISAKMP is enabled on an interface.
   3.

      Check Enable IPSec over NAT-T.
   4.

      Click OK.

Может быть об этом речь?