Hi!Может-ли 501-ый PIX быть аппаратным VPN(PPTP) клиентом. В доках на него пишется, что он может ПРИНИМАТЬ PPTP-соединения, а устанавливать это соединение сам?
Задача у меня такая - провайдер раздает интернет через VPN-сервер, который находится в его локальной сети (10.5.XX.XX). Реальный IP (212.1.XX.XX) и шлюз (192.168.XX.XX) выдается по DHCP. Хотелось-бы, чтобы PIX сам соединялся с провайдером (login/password) в случае обрыва сам восстанавливал соединение (а обрывы часты!), ну и NAT, IDS делал ...
Может кто поможет с докой или примером конфига?
Буду крайне благодарен ...Игорь.
могет, когдато интересовался, щас найду доку...
а не, он тока по ПППоЕ
http://www.cisco.com/warp/public/110/pppoe-for-pix501.pdfхотя мне кажется что я и про пптп находил... еще поковыряю архивы, мож найду...
>могет, когдато интересовался, щас найду доку...
>а не, он тока по ПППоЕ
>http://www.cisco.com/warp/public/110/pppoe-for-pix501.pdf
>
>хотя мне кажется что я и про пптп находил... еще поковыряю архивы,
>мож найду...Елы-палы! Почти рядом!
!−−− Define the VPDN group to be used for PPPoE.
!−−− Configure this first.
vpdn group pppoex request dialout pppoe
!−−− Associate the username assigned by ISP to the VPDN group.
vpdn group pppoex localname cisco
!−−− Define authentication protocol.
vpdn group pppoex ppp authentication pap
!−−− Create a username and password pair for the PPPoE
!−−− connection (provided by your ISP).
vpdn username cisco password *********а если "pppoe" заменить на "pptp" ?
Игорь.
>>могет, когдато интересовался, щас найду доку...
>>а не, он тока по ПППоЕ
>>http://www.cisco.com/warp/public/110/pppoe-for-pix501.pdf
>>
>>хотя мне кажется что я и про пптп находил... еще поковыряю архивы,
>>мож найду...
>
>Елы-палы! Почти рядом!
>
>!−−− Define the VPDN group to be used for PPPoE.
>!−−− Configure this first.
>vpdn group pppoex request dialout pppoe
>!−−− Associate the username assigned by ISP to the VPDN group.
>vpdn group pppoex localname cisco
>!−−− Define authentication protocol.
>vpdn group pppoex ppp authentication pap
>!−−− Create a username and password pair for the PPPoE
>!−−− connection (provided by your ISP).
>vpdn username cisco password *********
>
>а если "pppoe" заменить на "pptp" ?
>
>Игорь.
Боюсь не проканает ...
вот, что вычитал в документе http://www.cisco.com/en/US/products/sw/secursw/ps2120/produc...
_______________________________________________Support is provided for only inbound PPTP and only one PIX Firewall interface can have the vpdn command enabled.
________________________________________________у меня плохо с английским, но на сколько я понял - ТОЛЬКО ВХОДЯЩИЕ PPTP и только на один интерфейс.
Нет цискаря под рукой, только вечером смогу проверить ...
Игорь.
>>>могет, когдато интересовался, щас найду доку...
>>>а не, он тока по ПППоЕ
>>>http://www.cisco.com/warp/public/110/pppoe-for-pix501.pdf
>>>
>>>хотя мне кажется что я и про пптп находил... еще поковыряю архивы,
>>>мож найду...
>>
>>Елы-палы! Почти рядом!
>>
>>!−−− Define the VPDN group to be used for PPPoE.
>>!−−− Configure this first.
>>vpdn group pppoex request dialout pppoe
>>!−−− Associate the username assigned by ISP to the VPDN group.
>>vpdn group pppoex localname cisco
>>!−−− Define authentication protocol.
>>vpdn group pppoex ppp authentication pap
>>!−−− Create a username and password pair for the PPPoE
>>!−−− connection (provided by your ISP).
>>vpdn username cisco password *********
>>
>>а если "pppoe" заменить на "pptp" ?
>>
>>Игорь.
>
>
>Боюсь не проканает ...
>вот, что вычитал в документе http://www.cisco.com/en/US/products/sw/secursw/ps2120/produc...
>_______________________________________________
>
>Support is provided for only inbound PPTP and only one PIX Firewall
>interface can have the vpdn command enabled.
>________________________________________________
>
>у меня плохо с английским, но на сколько я понял - ТОЛЬКО
>ВХОДЯЩИЕ PPTP и только на один интерфейс.
>
>Нет цискаря под рукой, только вечером смогу проверить ...
>
>Игорь.Не, похоже точно не умеет ...
pix(config)# vpdn group pptp request dialout pptp
unknown or missing arguments: request dialout
Usage: vpdn group <name>
accept dialin pptp|l2tp
request dialout pppoe
ppp authentication pap|chap|mschap |
ppp encryption mppe 40|128|auto [required] |
client configuration address local <address_pool_name> |
client configuration dns <dns_ip1> [<dns_ip2>]|
client configuration wins <wins_ip1> [<wins_ip2>]|
client authentication local|aaa <auth_aaa_group>|
client accounting <acct_aaa_group>|
pptp echo <echo_time>|
l2tp tunnel hello <hello_time>
localname <name>
vpdn username <name> password <passwd> [store-local]
vpdn enable <if_name>
show vpdn tunnel [l2tp|pptp|pppoe] [id <tnl_id>|packets|state|summary|transport]
show vpdn session [l2tp|pptp|pppoe] [id <sess_id>|packets|state|window]
show vpdn pppinterface [id <dev_id>]
show vpdn group [<group_name>]
show vpdn username [user_name]
clear vpdn [group|interface|tunnel|username]
>>>>могет, когдато интересовался, щас найду доку...
>>>>а не, он тока по ПППоЕ
>>>>http://www.cisco.com/warp/public/110/pppoe-for-pix501.pdf
>>>>
>>>>хотя мне кажется что я и про пптп находил... еще поковыряю архивы,
>>>>мож найду...
>>>
>>>Елы-палы! Почти рядом!
>>>
>>>!−−− Define the VPDN group to be used for PPPoE.
>>>!−−− Configure this first.
>>>vpdn group pppoex request dialout pppoe
>>>!−−− Associate the username assigned by ISP to the VPDN group.
>>>vpdn group pppoex localname cisco
>>>!−−− Define authentication protocol.
>>>vpdn group pppoex ppp authentication pap
>>>!−−− Create a username and password pair for the PPPoE
>>>!−−− connection (provided by your ISP).
>>>vpdn username cisco password *********
>>>
>>>а если "pppoe" заменить на "pptp" ?
>>>
>>>Игорь.
>>
>>
>>Боюсь не проканает ...
>>вот, что вычитал в документе http://www.cisco.com/en/US/products/sw/secursw/ps2120/produc...
>>_______________________________________________
>>
>>Support is provided for only inbound PPTP and only one PIX Firewall
>>interface can have the vpdn command enabled.
>>________________________________________________
>>
>>у меня плохо с английским, но на сколько я понял - ТОЛЬКО
>>ВХОДЯЩИЕ PPTP и только на один интерфейс.
>>
>>Нет цискаря под рукой, только вечером смогу проверить ...
>>
>>Игорь.
>
>Не, похоже точно не умеет ...
>
>pix(config)# vpdn group pptp request dialout pptp
>unknown or missing arguments: request dialout
>Usage: vpdn group <name>
>
> accept dialin pptp|l2tp
>
> request dialout pppoe
>
> ppp authentication pap|chap|mschap |
>
> ppp encryption mppe 40|128|auto [required] |
> client configuration address local <address_pool_name> |
> client configuration dns <dns_ip1> [<dns_ip2>]|
> client configuration wins <wins_ip1> [<wins_ip2>]|
> client authentication local|aaa <auth_aaa_group>|
> client accounting <acct_aaa_group>|
> pptp echo <echo_time>|
> l2tp tunnel hello <hello_time>
> localname <name>
> vpdn username <name> password <passwd> [store-local]
> vpdn enable <if_name>
> show vpdn tunnel [l2tp|pptp|pppoe] [id <tnl_id>|packets|state|summary|transport]
> show vpdn session [l2tp|pptp|pppoe] [id <sess_id>|packets|state|window]
> show vpdn pppinterface [id <dev_id>]
> show vpdn group [<group_name>]
> show vpdn username [user_name]
>
> clear vpdn [group|interface|tunnel|username]на 506 точно можна ..
vpdn group ATM accept dialin pptp
vpdn group ATM ppp authentication mschap
vpdn group ATM ppp encryption mppe 40 required
vpdn group ATM client configuration address local ATM
vpdn group ATM client configuration dns 192.168.1.220 192.168.1.221
vpdn group ATM pptp echo 10
vpdn group ATM client authentication local
vpdn username user1 password *********
vpdn username user2 password *********
vpdn username user3 password *********
vpdn enable outside
>[оверквотинг удален]
>vpdn group ATM ppp authentication mschap
>vpdn group ATM ppp encryption mppe 40 required
>vpdn group ATM client configuration address local ATM
>vpdn group ATM client configuration dns 192.168.1.220 192.168.1.221
>vpdn group ATM pptp echo 10
>vpdn group ATM client authentication local
>vpdn username user1 password *********
>vpdn username user2 password *********
>vpdn username user3 password *********
>vpdn enable outsideэто для входящих клиентов
киска будет pptp сервер