URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 23547
[ Назад ]

Исходное сообщение
"PIX-515 IOS 8.0.4 настроить PPTP"
Отправлено alexey63rus , 21-Фев-12 09:23

Прошу помощи,
проgoogle достаточное количество материале, решения так и не смог найти.
как на PIX515 IOS 8.0.4 настроить PPTP сервер, чтобы клиенты из вне цеплялись к PIX - в свою очередь PIX их пробрасывал на определённые внутренние ресурсы DMZ и т.п.
На PIX нет DHCP сервера, он поднят на CISCO Catalyst 3550
Заранее извиняюсь.
С уважением Алексей
Используемое оборудование:
Cisco PIX Security Appliance Software Version 8.0(4)32
Device Manager Version 6.1(5)57
Compiled on Tue 05-May-09 14:50 by builders
System image file is "flash:/pix804.bin"
Config file at boot was "startup-config"
Hardware:   PIX-515, 256 MB RAM, CPU Pentium 200 MHz
Flash i28F640J5 @ 0x300, 16MB
BIOS Flash AT29C257 @ 0xfffd8000, 32KB
0: Ext: Ethernet0           : address is 0050, irq 11
1: Ext: Ethernet1           : address is 0050, irq 10
Licensed features for this platform:
Maximum Physical Interfaces  : 6
Maximum VLANs                : 25
Inside Hosts                 : Unlimited
Failover                     : Active/Active
VPN-DES                      : Enabled
VPN-3DES-AES                 : Enabled
Cut-through Proxy            : Enabled
Guards                       : Enabled
URL Filtering                : Enabled
Security Contexts            : 2
GTP/GPRS                     : Disabled
VPN Peers                    : Unlimited
This platform has an Unrestricted (UR) license.

Содержание

PIX-515 IOS 8.0.4 настроить PPTP,kot141, 09:51 , 21-Фев-12
- PIX-515 IOS 8.0.4 настроить PPTP,kot141, 09:58 , 21-Фев-12
  - PIX-515 IOS 8.0.4 настроить PPTP,alexey63rus, 10:31 , 21-Фев-12
  - PIX-515 IOS 8.0.4 настроить PPTP,alexey63rus, 10:33 , 21-Фев-12
  - PIX-515 IOS 8.0.4 настроить PPTP,alexey63rus, 11:27 , 21-Фев-12
    - PIX-515 IOS 8.0.4 настроить PPTP,kot141, 11:39 , 21-Фев-12
      - PIX-515 IOS 8.0.4 настроить PPTP,kot141, 11:41 , 21-Фев-12
        
        PIX-515 IOS 8.0.4 настроить PPTP,alexey63rus, 12:13 , 21-Фев-12
        
        PIX-515 IOS 8.0.4 настроить PPTP,kot141, 13:12 , 21-Фев-12
        
        PIX-515 IOS 8.0.4 настроить PPTP,alexey63rus, 13:39 , 21-Фев-12
        
        PIX-515 IOS 8.0.4 настроить PPTP,kot141, 13:42 , 21-Фев-12
        
        PIX-515 IOS 8.0.4 настроить PPTP,alexey63rus, 08:14 , 22-Фев-12

Сообщения в этом обсуждении

"PIX-515 IOS 8.0.4 настроить PPTP"
Отправлено kot141 , 21-Фев-12 09:51

Что именно из данного руководства Вам не понятно? В нем Вас интересует все что касается pptp, остальное можно опустить.
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/produc...

"PIX-515 IOS 8.0.4 настроить PPTP"
Отправлено kot141 , 21-Фев-12 09:58

http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/produc...
Более полное руководство касательно настройки именно PPTP.

"PIX-515 IOS 8.0.4 настроить PPTP"
Отправлено alexey63rus , 21-Фев-12 10:31

> http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/produc...
> Более полное руководство касательно настройки именно PPTP.
по этому описанию и настраивал, но пинги не идут во внутреннею сеть!

"PIX-515 IOS 8.0.4 настроить PPTP"
Отправлено alexey63rus , 21-Фев-12 10:33

> http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/produc...
> Более полное руководство касательно настройки именно PPTP.
если не получится, наверное сброшу на дефолт конфигурацию и снова попробую!

"PIX-515 IOS 8.0.4 настроить PPTP"
Отправлено alexey63rus , 21-Фев-12 11:27

> http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/produc...
> Более полное руководство касательно настройки именно PPTP.
Ещё извиняюсь за вопрос!
каким образом на PIX можно прописать
primary dns
secondary dns
без поднятия DHCP.

"PIX-515 IOS 8.0.4 настроить PPTP"
Отправлено kot141 , 21-Фев-12 11:39

pix(config)# vpdn ?
Usage:  vpdn group <name>
                accept dialin pptp|l2tp
                request dialout pppoe
                ppp authentication pap|chap|mschap |
                ppp encryption mppe 40|128|auto [required] |
                client configuration address local <address_pool_name> |
                client configuration dns <dns_ip1> [<dns_ip2>]|
                client configuration wins <wins_ip1> [<wins_ip2>]|
                client authentication local|aaa <auth_aaa_group>|
                client accounting <acct_aaa_group>|
                pptp echo <echo_time>|
                l2tp tunnel hello <hello_time>
                localname <name>
vpdn group <name> client configuration dns <dns_ip1> [<dns_ip2>]|

"PIX-515 IOS 8.0.4 настроить PPTP"
Отправлено kot141 , 21-Фев-12 11:41

Если соединение устанавливается и происходит выдача адреса клиенту, проверьте маршрутизацию и access-list для отключения NAT на адреса участвующие в PPTP

"PIX-515 IOS 8.0.4 настроить PPTP"
Отправлено alexey63rus , 21-Фев-12 12:13

> Если соединение устанавливается и происходит выдача адреса клиенту, проверьте маршрутизацию
> и access-list для отключения NAT на адреса участвующие в PPTP
большое спасибо, да действительно это так! access-list не правильно прописан был! Исправил! теперь Ping работает во внутреннею сеть.
это моя не внимательность в доках с Cisco.com
еще такой вопрос:
от провайдера у меня статический - шлюз, IP, DNS1, DNS2
как мне на PIX не поднимая DHCP прописать DNS1, DNS2???
Вы пишите vpdn group <name> client configuration dns <dns_ip1> [<dns_ip2>]|
это для настроек VPN, а мне нужно PIXу прописать DNS
вот что было:
dhcpd address 192.168.1.2-192.168.1.254 inside
dhcpd dns 62.213.0.12 62.213.2.1 interface inside
а нужно без DHCP во внутренней сети!

"PIX-515 IOS 8.0.4 настроить PPTP"
Отправлено kot141 , 21-Фев-12 13:12

В режиме конфигурации внешнего интерфейса
PIX515E(config-subif)# dns name-server ?
configure mode commands/options:
Hostname or A.B.C.D Server address
PIX515E(config-subif)# dns name-server

"PIX-515 IOS 8.0.4 настроить PPTP"
Отправлено alexey63rus , 21-Фев-12 13:39

> В режиме конфигурации внешнего интерфейса
> PIX515E(config-subif)# dns name-server ?
> configure mode commands/options:
> Hostname or A.B.C.D Server address
> PIX515E(config-subif)# dns name-server
понял, так и сделаю, спасибо за помощь!
извиняюсь за незнание доков!

"PIX-515 IOS 8.0.4 настроить PPTP"
Отправлено kot141 , 21-Фев-12 13:42

Делать из пикса dns relay не очень хорошая идея...
Удачи Вам в изучении.

"PIX-515 IOS 8.0.4 настроить PPTP"
Отправлено alexey63rus , 22-Фев-12 08:14

> Делать из пикса dns relay не очень хорошая идея...
> Удачи Вам в изучении.
по какой причине dns relay это не хорошо?
у меня такая ситуация: две Cisco Catalyst 3550 они соединены между собою по Gbic.
на одном из них поднят DHCP server, VLAN 1,2,3. Установлены правила для внутренней сети.
есть отдельным серваком прокси работает в режиме transparent proxy на Ubuntu Server + SYSLOG
План был таков: что PIX515 будет выступать как маршрутизатор через Squid используя WCCP (proxy squid transparent cache).
То есть на PIX515 не планируются ни какие доп сервисы, просто доступ в инет и ограничения + доступ по PPTP.
То есть, в случае атаки с PIX по syslog будут сливаться логи на сервак. Если уж завалят PIX, то и хрен с ним, всё равно дальше идёт прокся... а внутренняя сеть будет работоспособна.
Идея такова, но не знаю на сколько правильна.