Stranger2000
Junior Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Здравствуйте!
Вот решил поделиться первым опытом работы с этими мегажелезяками
конкретно Cisco PIX 501
две штуки
конфигурялись через веб интерфейс
изначально стояла задача завязать два офиса абсолютно прозрачным туннелем. Провайдер наложил своих кабелей, дал живые IP и мы начали думать.
схемы продумывались разные, в итоге решили остановиться на том чтобы внедрить туннель прямо в рабочую сеть.
исходно
офис1 - подсеть 192,168,0,0
офис2 - подсеть 192,168,99,0
по локалкам адреса раздает ДХЦП, машинок не то чтобы много, по десятку-полтора в каждом офисе.
------
по цискам -
inside IP каждой циске вручается ручками из диапазона офисной подсети, в которой настраивается железка, то есть, в офисе1 на внутренний интерфейс в моем случае сгодился адрес 192.168.0.2 во офисе2, соответственно, 192.168.99.2 - делается это предварительно на отключенной от сеток машине.
в самой циске нашли небольшой нюанс - почему то невозможно прописать DNS на внутреннем адреса, если отключен ДХЦП - до сиих пор гадаю- баг это или фича. пришлось сначала вручить через ДХЦП адрес, затем прописать DNS, затем уже вырубить DHCP.
В принципе, никаких технических данных здесь расписывать смысла нет - веб интерфейс предполагает два достаточно дружелюбных мастера - первичной настройки и VPN. в первичной настройке настраиваются интерфейсы - внешний и внутренний, а вот на ВПН остановлюсь чуть подробнее (рассматривая именно мой случай).
во первых PIXа спрашивает, чего мы собственно собираемся делать - Site-to-Site или Remote Access VPN и через какой интерфейс мы собираемся этот самый VPN разрешать. для туннеля делаем Site-to-Site через outside интерфейс (следует помнить, что работа предполагается с уже настроенными интерфейсами, внутренним и внешним)
Далее PIX интересуется, такой штукой, как Remote Site Peer - это не что иное, как внешний адрес удаленной PIX, которая будет установлена на втором офисе - смело отдаем ей внешний IP второго офиса - неважно, что у нас там пока ничего не настроено и даже не подключено. Далее, в том же окне мастера нужно выбрать режим аутентификации. мы в своих изысканиях далеко в дебри не вдавались и нафигачили в первом же поле (Pre-shared key) пароль. два раза.
Далее циска интересуется, какой политикой ей шифровать предполагаемый туннель - мы оставили параметры по умолчанию - Encryption="3DES", Authentication="MD5", DH Group= "Group2-1024bit"
Затем идет вопрос про Transform Set, шо це за звер, мы малость не догнали, предположили, что это параметры шифрование, которые должны быть идентичны с обоих сторон (типа согласования) - оставили как есть - Encryption="3DES", Authentication="MD5"
После этого потребовалось указать, из какой подсети и в какую нужно проложить туннель: IP Traffic selector - > on local site. Здесь все просто- указываем из какой подсети шифровать данные, естессно, указали нашу офис1 (192,168,0,0) = интерфейс указали Inside, и чуть ниже сеть\маску. переместили выбранные параметры в Selected.
Следующим шагом, как нетрудно догадаться, Циска хотела знать, а в какую подсеть ей, собственно передавать данные - мы указали внутренний интерфейс удаленной второй циски, который будет жить в подсети 192,168,99,0. Офигевший от такого поворота событий девайс удивленно спросил, как ему обозвать подсеть, к которой он пока не подключен, мы обозвали office2 и добавили получившийся пресет в список "Selected".
после чего нажимается кнопка финиш. и циска подключается к первому доступному свитчу в офисной локалке. Ну и естессно, пингуется. пока нам более ничего с этой стороны делать не нужно.
на удаленном офисе делается то же самое с зеркальным отражением настроек - удаленной сетью указывается office1, локальной - office2, пиром для туннеля указывается внешний IP первого офиса - единственно, что синхронно - это параметры шифрования. Через какие то минутки спустя на девайсах загораются лампочки "VPN Tunnel" - это означает конец первого этапа "марлезонского балета" - железяки друг друга нашли, поздоровались и крепко друг за дружку уцепились - если верить обещаниям, несколько самых умных суперкомпьютеров будут расшифровывать данные в этом туннеле несколько сотен лет. Бог в помощь.
для того чтобы инфа начала ходить по этому туннелю, нужно в качестве основного маршрутизатора (параметр DHCP) на обоих офисах указать ip пиксов. Если DHCP в сети нет = сочувствую, пишите руками, иного способа сменить основной шлюз я не знаю... если, как в моем случае, кроме этого туннеля, есть иные дыры в мир, которые раздают, например интернет, то на них оставляется задача исключительно как прокси - здесь оговорюсь - что у меня ранее вопрос VPN-туннеля решал Kerio, поэтому во избежание всяких недоразумений я его убил.
Выяснились еще некоторые непонятные вещи - для того чтобы пинговать внутренние адреса удаленных цисок, потребовалось прописать дополнительно правило для ICMP пакетов, несмотря на то, что железяка по завершении конфигуряния создает правило "все-всегда-всем-в любые дыры" можно. не знаю почему, на для пингов пришлось писать.
И все у меня пошло-побежало, я аж кофием подавился, как радостно стало.
Однако мучают вопросы - все ли я сделал правильно? нет ли иных простых и безопасных путей организовать грамотный туннель?
и если есть какие то слишком глупые ошибки - укажите мне на них пожалуйста, и за текст не ругайте - всеж первый опыт общения с такими устройствами 
С уважением, Я! |
. Туннель же поднимается, только по статистике VPN Client'a счетчики нарастают счетчики Encrypted packets и Sent Packets растут а Received и Decrypted по нулям .
