PIX515E vpn

jungle_vnd

Guest

Это нравится:0 Да/0 Нет

17.11.2009 17:07:34

Доброе время суток.

В наличи старый добрый пикс 515E. Задача была у него маленькая - выпускать
внутренних пользователей в интернет.
Потом появилась задачка пускать удаленных пользователей в сеть.
С родной IOS проблема была такова: пользователь подключался по pptp/vpn,
работал, а потом вдруг внутрення сеть становилась недоступна. При этом,
ipsec/vpn продолжал работать. Перезагрузка проблему решала, но не на долго.
Нашлась информация на cisco.com, что действительно кривой демон pptp в IOS. Удалось найти другой IOS, поновее. Добавил планку ОЗУ - все уместилось.
Теперь уж если трафик уперся, то ни pptp/vpn ни ipsec/vpn не работают.
Тут вопрос не в том, что использовать pptp или ipsec, а вопрос в том - в чем причина такой ситуации с трафиком.
Конфиг стандартный, приведенный и на cisco.com, и на ciscolab.ru и т.п.
Configure VPN on PIX...
Поиск решения проблемы в интернете пока не помог...

capricorn Guest	#2 Это нравится:0 Да/0 Нет 17.11.2009 21:12:47 скорее всего дело не в конфиге, а в лицензии. взгляните #sh ver

SerGio Guest	#3 Это нравится:0 Да/0 Нет 18.11.2009 02:37:22 Что-то мне не совсем понятно что у вас настроено и где... sh ver sh run в момент проблемы sh crypto isakmp sa sh crypto ipsec sa sh asp drop пару раз

jungle_vnd

Guest

Это нравится:0 Да/0 Нет

18.11.2009 09:12:48

1. С лицензией все в порядке.

2. К сожалению, проблема плавающая, и оперативно выехать к месту на момент этой проблемы - сложно. Извиняюсь, что не могу пока представить результаты sh.

Но, по крайней мере, вы считаете что проблема в isacmp, ipsec...

У меня есть еще в Питере пикс - 506й с аналогичным конфигом один в один и работает уже давно и без проблем. Обе сетки построены на базе оборудования cisco.

SerGio

Guest

Это нравится:0 Да/0 Нет

18.11.2009 13:02:56

Цитата
jungle_vnd пишет: К сожалению, проблема плавающая, и оперативно выехать к месту на момент этой проблемы - сложно

ssh тоже не хочет работать?

Может у вас настроен все таки l2tp/ipsec?

jungle_vnd

Guest

Это нравится:0 Да/0 Нет

18.11.2009 15:36:04

http://www.ciscolab.ru/2007/03/02/vpnclient_pix.html

в принципе, все настроенно именно так, как в этой статье.
конфиг такой-же, со своими ip, vpn-группой и паролем:

PIX Version 6.2(х)
interface ethernet0 auto
interface ethernet1 auto
nameif ethernet0 outside security0
nameif ethernet1 inside security100

!--- Лист доступа определяющий nat 0.

access-list 101 permit ip 10.1.1.0 255.255.255.0 10.1.2.0 255.255.255.0

!-- Назначаем IP адреса на интерфейсы
ip address outside 172.18.124.216 255.255.255.0
ip address inside 10.1.1.1 255.255.255.0

!--- Определяем пул адресов для VPN клиентов.
ip local pool ippool 10.1.2.1-10.1.2.254

global (outside) 1 interface

!---Не выполняем NAT для адресов из VPN пула.

nat (inside) 0 access-list 101

nat (inside) 1 0.0.0.0 0.0.0.0 0 0
route outside 0.0.0.0 0.0.0.0 172.18.124.1 1

!-- Данная команда заставляет шифрованный трафик обойти входной ACL
sysopt connection permit-ipsec

!--- Ниже параметры IPSec.
crypto ipsec transform-set myset esp-des esp-md5-hmac
crypto dynamic-map dynmap 10 set transform-set myset
crypto map mymap 10 ipsec-isakmp dynamic dynmap

!--- Привязываем IPSec к внешнему интерфейсу
crypto map mymap interface outside

!--- Здесь - параметры IKE.
isakmp enable outside
isakmp identity address

! -- Политика IKE для VPN клиента
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400

!--- IPSec Конфигурация для группы
vpngroup vpn3000 address-pool ippool
vpngroup vpn3000 idle-time 1800
vpngroup vpn3000 password ********

!--- Разрешаем доступ и к внутренней сети и к Интернет.
vpngroup vpn3000 split-tunnel 101
: end

Изменено: jungle_vnd - 18.11.2009 15:37:29

capricorn

Guest

Это нравится:0 Да/0 Нет

18.11.2009 20:22:15

Цитата
jungle_vnd пишет: У меня есть еще в Питере пикс - 506й с аналогичным конфигом один в один и работает уже давно и без проблем. Обе сетки построены на базе оборудования cisco.

вот именно опираясь на это и это:

Цитата
jungle_vnd пишет: Удалось найти другой IOS, поновее. Добавил планку ОЗУ - все уместилось.

складывается мнение, что дело не в конфиге

SerGio Guest	#8 Это нравится:0 Да/0 Нет 18.11.2009 22:19:42 515E лучше проапгрейдить до 7.2(3) или до 8.0(4). 6.2 довольно старый да и с кучей багов. если будете апгрейдить читайте доку, там в несколько этапов нужно делать.

jungle_vnd

Guest

Это нравится:0 Да/0 Нет

19.11.2009 09:09:04

Цитата
SerGio пишет: 515E лучше проапгрейдить до 7.2(3) или до 8.0(4).

удалось достать 7.2. ссылочку на хороший док. про несколько этапов не дадите?

SerGio

Guest

#10

Это нравится:0 Да/0 Нет

19.11.2009 10:16:07

Цитата
jungle_vnd пишет: удалось достать 7.2. ссылочку на хороший док. про несколько этапов не дадите?

http://www.cisco.com/en/US/docs/security/pix/pix72/release/notes/pixrn723.html#wp43534

Т.е. нужен 7.0 для начала.

jungle_vnd Guest	#11 Это нравится:0 Да/0 Нет 19.11.2009 11:20:56 Спасибо. Будем думать...

jungle_vnd Guest	#12 Это нравится:0 Да/0 Нет 28.11.2009 13:58:07 Господа! Радости нет предела! Все решилось почти просто. ) В свое время в PIX-е стояла одна планка 32Mb (соточка). Так как там два слота - то воткнулось две планки по 128Mb. По ОЗУ в пиксе - это предел. А еще в нем есть PGA370, в котором воткнут селерон 433. В складских ИТ-эшных залежах откопался Celeron 600. Вот его-то в старый добрый пикс и воткнули. И все. Все проблемы разрешились. P.S. Как стало известно, до сих пор народ внедряет в свои сетки даннную модель пикса. Так что сей пример возни с железом, думается, будет очень полезен. )

Логин:
Пароль:
	Запомнить меня на этом компьютере

Забыли свой пароль?