Главная страница
О проекте Навигация Контакт
Поиск


ru.cisco

 
 - RU.CISCO ---------------------------------------------------------------------
 From : Ѓгвл«ЄЁ­ €.                          2:5020/400     09 Apr 2003  15:59:49
 To : All
 Subject : PIX & VPN - проблема конфигурирования
 -------------------------------------------------------------------------------- 
 
 Приветствую всезнающих!
 
 Столкнулся с проблемой при конфигурировании PIX-ов. Проблема, скорее всего,
 в понимании принципов. Может быть кто-то что-то подскажет? Итак:
 Есть два PIX-506E , за которыми спрятаны сетки 192.168.1.х и 192.168.4.х.
 Hужно наладить связь сеток через интернет. Берем доку и конфигурируем по
 примеру:
 access-list 80 permit ip 192.168.4.0 255.255.255.0 192.168.1.0
 255.255.255.0 - описываем исходящий трафик из одной на другую
 nat 0 access-list 80 - запрещаем преобразование локальных адресов данного
 трафика
 isakmp policy ....
 isakmp key .... - задаем ключ шифрования
 crypto map ... match address 80
 crypto map ... set peer x.x.x.x
 Аналогично - на другой стороне. Все работает, радуемся жизни. Теперь нужно
 обеспечить вход клиентов по VPN (PPTP, т.к. клиенты - Windows 9x). Пусть
 клиенты у нас будут в подсети 192.168.5.х (почему-то во всех примерах для
 клиентов выделяется отдельная подсеть, хотя, думаю, это не принципиально).
 Опять берем доку, настраиваем все по ней. Hужно также запретить трансляцию
 адресов, поэтому добавляем
 access-list 80 permit ip 192.168.4.0 255.255.255.0 192.168.5.0 255.255.255.0
 sysopt connection permit-pptp
 Далее - всякие настройки Радиуса и клиентов.
 Что происходит на практике: клиент нормально подсоединяется, получает
 параметры конфигурации TCP/IP от пикса, пикс строит туннель - все вроде бы
 хорошо. А трафик между клиентом и сетью (или пиксом) не идет.
 
 Hасколько я понимаю, проблема в том, что трафик от клиента попадает под
 crypto map, прицепленный к access-list 80. И что теперь делать? Ведь нельзя
 написать два access-list-а, чтобы потом по каждому из них дать nat 0?
 Точнее, два ACL написать не проблема - проблема отключить по ним NAT. nat 0
 access-list XX можно выдавать только один раз... По идее, та же проблема
 должна возникнуть в случае, если я попытаюсь подключить к этой схеме третью
 локальную сеть... Похоже, я чего-то круто недопонимаю?
 
 С надеждой на помощь
 Игорь
 --- ifmail v.2.15dev4
  * Origin: MTU-Intel ISP (2:5020/400)

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

 Тема:    Автор:    Дата:  
 PIX & VPN - проблема конфигурирования   Ѓгвл«ЄЁ­ €.   09 Apr 2003 15:59:49 
Архивное /ru.cisco/910442389443.html, оценка 2 из 5, голосов 10
Яндекс.Метрика
Valid HTML 4.01 Transitional