Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка Cisco PIX Firewall / ASA

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41

Открыть новую тему     Написать ответ в эту тему

era

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Cisco PIX Firewall / ASA

 
Cisco PIX Firewall / ASA - OS ищем тут !
 
 
 
 
 
Полезные ссылки
http://cisco.com - тут как гворится есть всё !
http://ciscolab.ru - CiscoLab Лаборатория Сетей
http://www.opennet.ru/mp/cisco/ - Мини-портал Cisco на opennet.ru
http://faq-cisco.ru/ - cisco на русском
http://ru.wikipedia.org/wiki/Cisco - cisco на Wikipedia
http://dreamcatcher.ru -  
http://ods.com.ua/win/rus/rfc/faq/c_faq.html - FAQ по маршрутизаторам cisco
 
 
Уже обсуждалось
CISCO PIX 7.04 форвардинг портов. КАК?
Сброс пароля на Cisco PIX 501
cisco pix 501 config помогите
Помогите настроить PIX
Cisco ASA 55x0 Remote Access VPN
 
 
Родственные темы
Настройка Cisco оборудования.
 
 
FAQ
 
 
 
 

Всего записей: 1 | Зарегистр. 07-08-2002 | Отправлено: 10:41 07-08-2002 | Исправлено: slech, 09:30 11-06-2008
slut



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
slech
если на ASA/PIX, то однозначно второй вариант.

Всего записей: 1813 | Зарегистр. 31-10-2002 | Отправлено: 17:04 13-01-2009
yarasha



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Доброе время суток,
Есть два вопроса по PIX 501
Настроил Remote Access VPN. Split-tunnel  прописал локальную сеть (10.0.x.x) и все чудесно заработало. Но есть два но.
1.    При подключении из вне с VPN Client  оно загоняет весь трафик в туннель. И вроде все как бы работает, но мне нужен в туннеле  только трафик для локальной сети(10.0.x.x), а не весь. Абсолютно лишнее, если  PIX  еще и весь общий трафик от удаленных клиентов через себя будет пускать.  На другом Роутере (Netgear) это получилось без напряг - в туннель идет трафик только для локальной сети от удаленных клиентов. А с остальной трафик обрабатывается самостоятельно клиентами.  
 
2.    Необходимо также создать также VPN  Site-to-Site  между центральным офисом Cisco PIX  и филиалом (Netgear):
И все вроде опять таки хорошо, но вот на эту строчку ругается и не работает>
access-list outside_cryptomap_20 permit ip 10.0.x.x 255.255.255.0  192.168.y.y 255.255.255.0  
[ERR]crypto map outside_map 20 set peer z.z.z.z
WARNING: This crypto map is incomplete.
To remedy the situation add a peer and a valid access-list to this crypto map.
 
Это же какого же ему access-list ему не хватает???? Все что я пребывал, не помогло. VPN  не работает.
 
Если кто-то сможет подсказать, буду очень благодарен.

Всего записей: 207 | Зарегистр. 28-10-2002 | Отправлено: 00:08 20-01-2009
Zenith1983



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
crypto isakmp client configuration group group1
 key bla-bla-bla
 pool VPN_pool
 acl VPN
 
ip access-list extended VPN
permit ip 10.0.x.x 0.0.255.255 10.0.x.x 0.0.255.255
 
В этот акл (vpn) вешаем все роуты которые должны встать на клиентском хосте.
 

Всего записей: 297 | Зарегистр. 21-03-2008 | Отправлено: 01:44 20-01-2009
eXcite

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Обновил PIX515e до 8.0(4) (лицензия UR), как теперь создаются vlan?, в описалове написано, что
interface vlan #
но такой команды вообще нет есть только
  Ethernet   IEEE 802.3
  Redundant  Redundant Interface

Всего записей: 71 | Зарегистр. 12-08-2005 | Отправлено: 12:26 21-01-2009 | Исправлено: eXcite, 14:52 21-01-2009
slech



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
всем привет. возник вопрос по добавлению object - группы хостов
(config)# name 208.111.160.44 WindowsUpdate_01 description download.windowsupdate.com
маску тут задать нельзя. а вот из ASDM можно.
 
(config)# object-group network WindowsUpdate
(config-network)# network-object 208.111.160.44 255.255.255.255

так я знаю но это не точто мне нужно.
единственное что я решил это добавление первой командойи потом правка из ASDM  - можно ли другим способом ?
 
ещё вопрос про группы сервисов.
почему у cisco по умолчанию при создании севиса выставляется:
TCP src_port=0-65563
UDP src_por=1-65535

а не 1024-65535

Всего записей: 4893 | Зарегистр. 10-11-2004 | Отправлено: 21:14 27-01-2009
slut



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
eXcite
что-то типа  
(config)#int e 3.1
(config-if)#vlan 1

Всего записей: 1813 | Зарегистр. 31-10-2002 | Отправлено: 09:41 28-01-2009
yarasha



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
1.    При подключении из вне с VPN Client  оно загоняет весь трафик в туннель. И вроде все как бы работает, но мне нужен в туннеле  только трафик для локальной сети(10.0.x.x), а не весь. Абсолютно лишнее, если  PIX  еще и весь общий трафик от удаленных клиентов через себя будет пускать.  На другом Роутере (Netgear) это получилось без напряг - в туннель идет трафик только для локальной сети от удаленных клиентов. А с остальной трафик обрабатывается самостоятельно клиентами.  

 
Как приятно самому спросить и самому ответить. Приятно, черт возьми, пообщаться с умным человеком. Я очень хочу надеяться, что ниже написанное будет интересно всем остальным. Проблема была не в настройке PIX  а в Cisco VPN Client 5.0.03 + Windows Vista. У всех остальных как клиентах, так  и с этим же клиентом, но установленном на WinXP данной проблемы не наблюдается.  Все работает абсолютно корректно. В туннель уходит трафик только для двух сетей прописанных в  SplitTunnell.  Уж не знаю, кто виноват VPN Client или ОС. Я честно говоря дальше не копал.
 

Цитата:
2.    Необходимо также создать также VPN  Site-to-Site  между центральным офисом Cisco PIX  и филиалом (Netgear):
И все вроде опять таки хорошо, но вот на эту строчку ругается и не работает>
access-list outside_cryptomap_20 permit ip 10.0.x.x 255.255.255.0  192.168.y.y 255.255.255.0  
[ERR]crypto map outside_map 20 set peer z.z.z.z
WARNING: This crypto map is incomplete.
To remedy the situation add a peer and a valid access-list to this crypto map.
 
Это же какого же ему access-list ему не хватает???? Все что я пребывал, не помогло. VPN  не работает.

 
Проблема осталась. Причем она происходит, только если   Site-to-Site  конфигурирую вторым. А так, на чистый конфиг все ставиться. Это что же получается, что я не могу создать пару VPN подключений одновременно. Дык, а по документации я могу до  10 штук.  В данном случае мне надо 2 раза Site-to-Site и максимально до 5 удаленных пользователей одновременно.   Кстати, не сможет ли кто-то подсказать, а PIX 501 выдержит ли такою нагрузку да еще и офис 20 машин в придачу?  
 
 

Всего записей: 207 | Зарегистр. 28-10-2002 | Отправлено: 23:41 29-01-2009
slech



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
всем привет.
вопросик про firewall на ASA.
inside - sec-level=0
outside - sec-level=0
по умолчанию запрещён трафик между интерфейсами с одиноковыми sec-level.
и если я верно понимаю то для того чтобы с outside можно было попасть на inside по 80 порту, то нужно
1. создать ALC на вход на outside по 80 порту - применить его
2. создать ACL на выход на inside по 80 порту и применить его.
если же выставить прохождение трафика при одинаковых sec-level то останется только 1 ACL.
верно ли то что я написал.
спасибо.
 

Всего записей: 4893 | Зарегистр. 10-11-2004 | Отправлено: 10:49 30-01-2009
slech



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
занимаюсь настройкой ASA 5510 -ASA 8.04 .
правила на прохождение между интерфейсами настроил.
стали проверять. всё работает.
если удалить дефолтную инспекцию трафика то трафик отказывается ходить и по PT и на реальном моделировании.
Везде встречал лишь то что для ICMP необходимо включать инспекцию если хотим не создавать 2 правила на in и out.
Но нигде не сказано, что если не будет вообще какой либо инспекции то трафик не будет вообще ходить между интерфейсами.
Проверяли на ftp и MS SQL протоколах. Кто может пояснить этот момент.
В книжке cisco-asa-pix-and-fwsm-firewall-handbook - не нашёл вообще про это. Судя по ней досточно просто правила in но так точно не хочет работать. Хотя мало ли может не коректная настройка.
 
спасибо.

Всего записей: 4893 | Зарегистр. 10-11-2004 | Отправлено: 14:41 05-02-2009
slech



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
подскажите про часы.
по умолчанию ASA не обновляет часы в Internet ?
у Cisco нету своих серверов времени откуда можно было бы время обновлять ?
спасибо.

Всего записей: 4893 | Зарегистр. 10-11-2004 | Отправлено: 20:11 07-02-2009
slut



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
slech
По первым двум вопросам не готов сходу сказать, надо стенд собирать и смотреть.
Касательно ntp - крайне не рекомендуется поднимать сервер ntp для локальной сети на PIX/ASA. Лучше прокиньте ntp на какой-нить опорный маршрутизатор или свитч  
типа
access-list list_out extended permit udp host 10.77.16.1 host 62.117.76.141 eq ntp
 
и потом уже синхронизируйте ASA по внутреннему интерфейсу.
 
ntp-сервера, которыми пользуюсь не первый год:
134.214.100.6 (stratum 3) - этот вообще без сбоев около 8 лет юзаю
62.117.76.141 (stratum 2) - юзаю пару лет, бывали сбои

Всего записей: 1813 | Зарегистр. 31-10-2002 | Отправлено: 13:00 09-02-2009
ESX091

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
slech
Я не совсем понял, что требуется.
 
Если на интерфейсах security-level одинаковый, тогда
To permit communication between interfaces with equal security levels, or to allow traffic to enter and
exit the same interface, use the same-security-traffic command in global configuration mode. To
disable the same-security traffic, use the no form of this command
 
Если все таки inside >0, а Outside = 0.
>>и если я верно понимаю то для того чтобы с outside можно было попасть на inside по 80 >>порту, то нужно
>>1. создать ALC на вход на outside по 80 порту - применить его
>>2. создать ACL на выход на inside по 80 порту и применить его.  
достаточно одного acl, который бы разрешал доступ по 80 порту и повесить access-group с тем же именем, что и acl на outside interface (направление in).
пункт 2 не нужен.

Всего записей: 282 | Зарегистр. 23-04-2008 | Отправлено: 19:17 10-02-2009
slech



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ESX091
спасибо, этот момент уже уяснил. Вот что нашёл в CCNA security

Цитата:

Normally, interfaces on the same security level cannot communicate. If it is necessary that interfaces with the same security level are able to communicate, use the same-security-traffic command. Two interfaces could be assigned to the same level to allow them to communicate without using NAT, if more than 100 communicating interfaces are needed, or if protection features are to be applied equally for traffic between two interfaces.  

 
Кто может подсказать про VPN.
Site-to-Site
192.168.0.1 - Real IP <---> Real IP - 10.0.1.X
Всё работает ок если поднять VPN и разрешить весь ip траффик.
Мне же нужно разрешить только определённый.
PIX/ASA 7.x and Later: VPN Filter (Permit Specific Port or Protocol) Configuration Example for L2L and Remote Access
если создаю ACL и разрешаю в нём

Цитата:
 
access-list VPN_Filter extended permit object-group remote 10.0.1.0 255.255.255.0 192.168.0.0 255.255.255.0 log disable  
access-list VPN_Filter extended permit object-group remote 192.168.0.0 255.255.255.0 10.0.1.0 255.255.255.0 log disable  
access-list VPN_Filter extended deny ip any any log disable  
 
group-policy GroupPolicy_VPN internal
group-policy GroupPolicy_VPN attributes
 vpn-filter value VPN_Filter
 vpn-tunnel-protocol IPSec l2tp-ipsec  
 
tunnel-group XX.XX.XX.XX type ipsec-l2l
tunnel-group XX.XX.XX.XX general-attributes
 default-group-policy GroupPolicy_VPN
 

 
то есть это работает только в одном направлении т.е. из 192.168.0.1 в 10.0.1.X
а обратно нивкакую.
где ошибка ?  
 
спасибо.

Всего записей: 4893 | Зарегистр. 10-11-2004 | Отправлено: 00:41 17-02-2009 | Исправлено: slech, 00:44 17-02-2009
at200859



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
В ASA 5505 имеющей лицензию Security Plus и подключенной к двум провайдерам (основному и запасному) в конфигурации интерфейса можно назначить backup interface примерно так:
interface Vlan2
 backup interface Vlan3
 nameif outside1
 security-level 0
 ip address xxx.xxx.xxx.xxx 255.255.255.252
interface Vlan3
 nameif outside2
 security-level 0
 ip address yyy.yyy.yyy.yyy 255.255.255.252  
На сайте cisco.com я не нашел описания что это дает и как это практически использовать. Лично меня интересует могу ли я использовать такой backup интерфейс для резервирования vpn-соединения с удаленным офисом. Есть ли у кого практические примеры использования ASA 5505 для организации резервирования vpn-соединений через резервные каналы связи?

Всего записей: 53 | Зарегистр. 18-02-2003 | Отправлено: 15:27 18-02-2009 | Исправлено: at200859, 15:30 18-02-2009
ESX091

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
slech
 
я вообще-т делал безовсяких
group-policy GroupPolicy_VPN internal
group-policy GroupPolicy_VPN attributes  
 
можно вот так например (через preshared key, можно и с помощью Certification Authority).
crypto isakmp policy 10
 authentication pre-share
 encryption des
 group 2  
hash md5
 
crypto isakmp key cciesec address REAL_IP_REMOTE
 
access-list 121 extended permit ip 192.168.0.0 255.255.255.0 10.0.1.0 255.255.255.0
 
crypto ipsec transform-set 12 esp-des esp-md5-hmac
 
crypto map mymap 10 match address 121
crypto map mymap 10 set peer REAL_IP_REMOTE
crypto map mymap 10 set transform-set  12
 
crypto map mymap interface Outside
crypto isakmp enable Outside
.....
На второй асе зеркальные настройки. Выложите конфиги, плиз

Всего записей: 282 | Зарегистр. 23-04-2008 | Отправлено: 20:59 19-02-2009
slech



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ESX091
в результате твоих настроек у тебя в тунеле бегает весь IP траффик.
у меня задача ограничить трафик бегающий по трубе, т.е. применить фильтр.
консультировались с представителями cisco. сказали все настройки корректны и должно работать, поддтвердили что неработает. сказали баг. посоветовали ребутнуть девайс - на что начальство ответило отказом.
выкрутилиь так:

Цитата:
no sysopt connection permit-vpn
access-list Outside_access_in extended permit object-group remote object-group 1_LAN object-group 2_LAN log notifications
access-list Inside_access_in extended permit object-group remote object-group 2_LAN object-group 1_LAN log notifications
 

и того:
отключаем для VPN обход ACL, создаём входящее правило на внешнем интерфейсе и входящее на внутренем и оно заработало.

Всего записей: 4893 | Зарегистр. 10-11-2004 | Отправлено: 22:20 19-02-2009 | Исправлено: slech, 22:22 19-02-2009
ESX091

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
что значит ВЕСЬ ip трафик??
я помещаю в туннель только тот трафик, который мне нужен, который не нужно передавать - не указываем в acl.
 
или, как вариант, нужно дополнительно/выборочно дропать трафик, который идет через туннель?
Тогда можно повесить acl на внешний интерфейс, который будет запрещать трафик, который получили по ipsec из другого офиса и трафик уже decrypted.
Но в этом случае acl будет действовать на все туннели (если их несколько). Вам насколько я понял, нужно, чтобы acl применялся только к определенному туннелю?
 
slech
может задачу поточнее поставите? тогда постараюсь конфиг подобрать. железо под руками есть- всегда можно оттестить. хорошо, если еще версии софта укажите)))
 
Добавлено:
at200859
"To ensure that traffic can pass over the backup interface in case the primary fails, be sure to configure default routes on both the primary and backup interfaces so that the backup interface can be used when the primary fails. For example, you can configure two default routes: one for the primary interface with a lower administrative distance, and one for the backup interface with a higher distance"
 
вот здесь описывается решение static route tracking:
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configuration_example09186a00806e880b.shtml
 
c vpn проблем не вижу. после разрыва основного канала будет таймаут, который складывается из того, как быстро оба офиса переключатся (чистый ipsec или же  + gre) и на построение нового туннеля.

Всего записей: 282 | Зарегистр. 23-04-2008 | Отправлено: 23:50 19-02-2009
at200859



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ESX091

Цитата:
c vpn проблем не вижу

С переключением vpn не все так просто как кажется. Так как надо описать два vpn соединения с идентичными криптомапами но повешанными на разные интерфесы, то тут возникают сложности с назначением и переключением маршрутов для шифрованного трафика. Переключение при необходимости VPN канала до удаленного офиса должно происходить независимо от того переключился ли при этом интернет трафик основного канала. Т.е. это ситуация когда есть интернет на основном канале, но нет связи через него с удаленным офисом. Кроме того vpn канал должен уметь переключаться обратно при устранении мешающих ему причин. Все это должно происходить автоматически в обоих офисах с минимальными таймаутами и без участия живого администратора.
 
Я эту задачу решил, но не без недостатка, связанным как мне кажется с ошибками в ios. Одна из ASA-5505 обычно после перезагрузки не подымает vpn соединение. Мало того она вообще перестает пропускать даже не шифрованный трафик в сторону удаленного офиса. Лечу модификацией какого-нибудь параметра криптомапа vpn соединения и возврата его назад. После этого канал может стоять месяцами, переключаясь с основного на запасной и обратно. Обновления ios не помагают.

Цитата:
вот здесь описывается решение static route tracking:  
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configuration_example09186a00806e880b.shtml  

я читал этот документ и именно по нему у меня сейчас реализовано подключение к интернет. Однако этот документ по PIX. Переключение трафика идет с помощью двух маршрутов с разными метриками. Однако у ASA с лицензией Security Plus есть новая опция  для настройки интерфейса - backup interface. В хелпе к ASDM указано

Цитата:
This option is useful for Easy VPN; when the backup interface becomes the primary, the security appliance moves the VPN rules to the new primary interface.

Вот о ее использовании я и хотел услышать.

Всего записей: 53 | Зарегистр. 18-02-2003 | Отправлено: 10:36 20-02-2009
slech



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ESX091
вы когда создаёте VPN

Цитата:
 
access-list 121 extended permit ip 192.168.0.0 255.255.255.0 10.0.1.0 255.255.255.0
crypto map mymap 10 match address 121
 

указываете интересующий трафик.
я пробовал создавать:

Цитата:
 
access-list 121 extended permit object-group remote 192.168.0.0 255.255.255.0 10.0.1.0 255.255.255.0
object-group service remote
service-object tcp http
service-object tcp https
service-object tcp ftp
service-object tcp ssh
service-object tcp smtp
service-object tcp domain
service-object udp domain
service-object udp snmp
service-object udp syslog
service-object tcp eq 3389
service-object tcp eq 2211
service-object tcp range 5800 5806
service-object tcp range 5900 5906
service-object tcp eq 1433
service-object tcp eq 4083
service-object tcp eq 3796
service-object tcp eq 12599
service-object udp eq 1434
service-object icmp echo
service-object icmp echo-reply
service-object icmp redirect
service-object icmp time-exceeded
service-object icmp traceroute  
service-object icmp unreachable
crypto map mymap 10 match address 121
 

т.е. что бы тунель поднимался только этим трафиком и собственно этот трафик в нём и ходил и ничего больше.
но вот только тунель не поднимался. поднимался только тогда когда указывали ip трафик между сетями.
т.е. вы хотите сказать что должно было бы заработать так как я указал в своём примере выше ?
 
Cisco ASA 5510 - OS 8.0(4)
задача поднять тунель между сетями и пускать в него только определённого вида трафик(например тот который я указал выше)
а вот выкрутились как уже писал именно так как вы советовали. разрешаем на входящем интерфейсе трафик с другово конца тунеля.
 
вот текущая конфига:

Цитата:
 
no sysopt connection permit-vpn  
 
access-list Untrust_cryptomap_5 extended permit ip 10.0.1.0 255.255.255.0 192.168.0.0 255.255.255.0  
 
crypto map Untrust_map 30 match address Untrust_cryptomap_5
crypto map Untrust_map 30 set pfs  
crypto map Untrust_map 30 set peer 80.80.80.80  
crypto map Untrust_map 30 set transform-set ESP-3DES-SHA
crypto map Untrust_map 30 set security-association lifetime seconds 28800
crypto map Untrust_map 30 set security-association lifetime kilobytes 4608000
crypto map Untrust_map interface Untrust
 
access-list Untrust_access_in extended permit object-group remote 192.168.0.0 255.255.255.0 10.0.1.0 255.255.255.0 log notifications
access-group Untrust_access_in in interface Untrust
 
access-list Trust_access_in extended permit object-group remote 10.0.1.0 255.255.255.0 192.168.0.0 255.255.255.0 log disable
access-group Trust_access_in in interface Trust
 
 

 
 
а вот собсвенно и статья PIX/ASA 7.x and Later: VPN Filter (Permit Specific Port or Protocol) Configuration Example for L2L and Remote Access - по которой хотел всё настроить и ничего работать нехотело, вернее как писал выше - только в одну сторону.

Всего записей: 4893 | Зарегистр. 10-11-2004 | Отправлено: 12:36 20-02-2009 | Исправлено: slech, 12:59 20-02-2009
ESX091

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
at200859
Линк можно использовать как для Pix, так и для Асы, разницы, как понимаете, нет .
для 5505 используется эта команда, чтобы обойти ограничение в 3 влана в версии 7.2(1) .
если у вас более новый софт, то кол-во vlan будет значительно больше и можно обойтись без этой настройки.
Туннели ipsec или используется и gre?
 
если можно, то скиньте (сюда или в личку) конфиги. на выходных посмотрю.
5505 под руками нет ((
 
Добавлено:
slech
а вы не напутали с object-group?
у меня все работает с vpn-filter.
 
По вашему конфигу:
 
1. меняем на sysopt connection permit-vpn  
2 .access-list Untrust_cryptomap_5 extended permit ip 10.0.1.0 255.255.255.0 192.168.0.0 255.255.255.0  
 
3. crypto map Untrust_map 30 match address Untrust_cryptomap_5
! crypto map Untrust_map 30 set pfs  
нужно ли?
crypto map Untrust_map 30 set peer 80.80.80.80  
crypto map Untrust_map 30 set transform-set ESP-3DES-SHA
crypto map Untrust_map 30 set security-association lifetime seconds 28800
crypto map Untrust_map 30 set security-association lifetime kilobytes 4608000
crypto map Untrust_map interface Untrust
 
4. не увидел crypto isakmp enable Untrust
 
После этого должно работать 10.0.1.0 <-> 192.168.0.0  
 
создаете object-groups:
например для icmp
Обратите внимание на тип object-group
...............................
object-group icmp-type ICMP_SERVICE
 icmp-object echo
 icmp-object echo-reply
...............................
 
Теперь для тестирования я разрешаю только icmp между подсетями в офисах
Настраиваю на pix (10.0.1.0)
 
Обратите внимание в каком месте acl вешаются object-group.
Если в object-group указаны порты, значит в acl эта object-group должна быть на месте портов.
Если же в object-group указаны подсети, значит в acl object-group должна быть вместо ip-адресов
 
access-list 103 extended permit icmp 192.168.0.0 255.255.255.0 10.0.1.0 255.255.255.0 object-group ICMP_SERVICE
 
Все остальное будет запрещено
Добавляю фильтр
group-policy filter internal
group-policy filter attributes
 vpn-filter value 103
 
Вешаем фильтр на туннель
tunnel-group REAL-IP (192.168.0.0) general-attributes
 default-group-policy filter
 
После этого должны ходить ТОЛЬКО icmp (пинги) между подсетями.
 
 
 
 

Всего записей: 282 | Зарегистр. 23-04-2008 | Отправлено: 14:16 20-02-2009 | Исправлено: ESX091, 23:56 20-02-2009
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка Cisco PIX Firewall / ASA


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru