URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 23547
[ Назад ]

Исходное сообщение
"PIX-515 IOS 8.0.4 настроить PPTP"

Отправлено alexey63rus , 21-Фев-12 09:23 
Прошу помощи,
проgoogle достаточное количество материале, решения так и не смог найти.
как на PIX515 IOS 8.0.4 настроить PPTP сервер, чтобы клиенты из вне цеплялись к PIX - в свою очередь PIX их пробрасывал на определённые внутренние ресурсы DMZ и т.п.

На PIX нет DHCP сервера, он поднят на CISCO Catalyst 3550

Заранее извиняюсь.
С уважением Алексей

Используемое оборудование:
Cisco PIX Security Appliance Software Version 8.0(4)32
Device Manager Version 6.1(5)57

Compiled on Tue 05-May-09 14:50 by builders
System image file is "flash:/pix804.bin"
Config file at boot was "startup-config"

Hardware:   PIX-515, 256 MB RAM, CPU Pentium 200 MHz
Flash i28F640J5 @ 0x300, 16MB
BIOS Flash AT29C257 @ 0xfffd8000, 32KB

0: Ext: Ethernet0           : address is 0050, irq 11
1: Ext: Ethernet1           : address is 0050, irq 10

Licensed features for this platform:
Maximum Physical Interfaces  : 6
Maximum VLANs                : 25
Inside Hosts                 : Unlimited
Failover                     : Active/Active
VPN-DES                      : Enabled
VPN-3DES-AES                 : Enabled
Cut-through Proxy            : Enabled
Guards                       : Enabled
URL Filtering                : Enabled
Security Contexts            : 2
GTP/GPRS                     : Disabled
VPN Peers                    : Unlimited

This platform has an Unrestricted (UR) license.


Содержание

Сообщения в этом обсуждении
"PIX-515 IOS 8.0.4 настроить PPTP"
Отправлено kot141 , 21-Фев-12 09:51 
Что именно из данного руководства Вам не понятно? В нем Вас интересует все что касается pptp, остальное можно опустить.
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/produc...

"PIX-515 IOS 8.0.4 настроить PPTP"
Отправлено kot141 , 21-Фев-12 09:58 
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/produc...
Более полное руководство касательно настройки именно PPTP.

"PIX-515 IOS 8.0.4 настроить PPTP"
Отправлено alexey63rus , 21-Фев-12 10:31 
> http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/produc...
> Более полное руководство касательно настройки именно PPTP.

по этому описанию и настраивал, но пинги не идут во внутреннею сеть!


"PIX-515 IOS 8.0.4 настроить PPTP"
Отправлено alexey63rus , 21-Фев-12 10:33 
> http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/produc...
> Более полное руководство касательно настройки именно PPTP.

если не получится, наверное сброшу на дефолт конфигурацию и снова попробую!


"PIX-515 IOS 8.0.4 настроить PPTP"
Отправлено alexey63rus , 21-Фев-12 11:27 
> http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/produc...
> Более полное руководство касательно настройки именно PPTP.

Ещё извиняюсь за вопрос!
каким образом на PIX можно прописать
primary dns
secondary dns

без поднятия DHCP.


"PIX-515 IOS 8.0.4 настроить PPTP"
Отправлено kot141 , 21-Фев-12 11:39 
pix(config)# vpdn ?
Usage:  vpdn group <name>
                accept dialin pptp|l2tp
                request dialout pppoe
                ppp authentication pap|chap|mschap |
                ppp encryption mppe 40|128|auto [required] |
                client configuration address local <address_pool_name> |
                client configuration dns <dns_ip1> [<dns_ip2>]|
                client configuration wins <wins_ip1> [<wins_ip2>]|
                client authentication local|aaa <auth_aaa_group>|
                client accounting <acct_aaa_group>|
                pptp echo <echo_time>|
                l2tp tunnel hello <hello_time>
                localname <name>
vpdn group <name> client configuration dns <dns_ip1> [<dns_ip2>]|

"PIX-515 IOS 8.0.4 настроить PPTP"
Отправлено kot141 , 21-Фев-12 11:41 
Если соединение устанавливается и происходит выдача адреса клиенту, проверьте маршрутизацию и access-list для отключения NAT на адреса участвующие в PPTP

"PIX-515 IOS 8.0.4 настроить PPTP"
Отправлено alexey63rus , 21-Фев-12 12:13 
> Если соединение устанавливается и происходит выдача адреса клиенту, проверьте маршрутизацию
> и access-list для отключения NAT на адреса участвующие в PPTP

большое спасибо, да действительно это так! access-list не правильно прописан был! Исправил! теперь Ping работает во внутреннею сеть.
это моя не внимательность в доках с Cisco.com

еще такой вопрос:
от провайдера у меня статический - шлюз, IP, DNS1, DNS2
как мне на PIX не поднимая DHCP прописать DNS1, DNS2???

Вы пишите vpdn group <name> client configuration dns <dns_ip1> [<dns_ip2>]|
это для настроек VPN, а мне нужно PIXу прописать DNS

вот что было:
dhcpd address 192.168.1.2-192.168.1.254 inside
dhcpd dns 62.213.0.12 62.213.2.1 interface inside

а нужно без DHCP во внутренней сети!


"PIX-515 IOS 8.0.4 настроить PPTP"
Отправлено kot141 , 21-Фев-12 13:12 
В режиме конфигурации внешнего интерфейса
PIX515E(config-subif)# dns name-server ?

configure mode commands/options:
Hostname or A.B.C.D Server address
PIX515E(config-subif)# dns name-server


"PIX-515 IOS 8.0.4 настроить PPTP"
Отправлено alexey63rus , 21-Фев-12 13:39 
> В режиме конфигурации внешнего интерфейса
> PIX515E(config-subif)# dns name-server ?
> configure mode commands/options:
> Hostname or A.B.C.D Server address
> PIX515E(config-subif)# dns name-server

понял, так и сделаю, спасибо за помощь!
извиняюсь за незнание доков!


"PIX-515 IOS 8.0.4 настроить PPTP"
Отправлено kot141 , 21-Фев-12 13:42 
Делать из пикса dns relay не очень хорошая идея...
Удачи Вам в изучении.

"PIX-515 IOS 8.0.4 настроить PPTP"
Отправлено alexey63rus , 22-Фев-12 08:14 
> Делать из пикса dns relay не очень хорошая идея...
> Удачи Вам в изучении.

по какой причине dns relay это не хорошо?
у меня такая ситуация: две Cisco Catalyst 3550 они соединены между собою по Gbic.
на одном из них поднят DHCP server, VLAN 1,2,3. Установлены правила для внутренней сети.

есть отдельным серваком прокси работает в режиме transparent proxy на Ubuntu Server + SYSLOG

План был таков: что PIX515 будет выступать как маршрутизатор через Squid используя WCCP (proxy squid transparent cache).
То есть на PIX515 не планируются ни какие доп сервисы, просто доступ в инет и ограничения + доступ по PPTP.

То есть, в случае атаки с PIX по syslog будут сливаться логи на сервак. Если уж завалят PIX, то и хрен с ним, всё равно дальше идёт прокся... а внутренняя сеть будет работоспособна.

Идея такова, но не знаю на сколько правильна.