Нубский вопрос по cisco pix 501

jet_pilot

Guest

Это нравится:0 Да/0 Нет

27.09.2006 13:18:35

ТЗ:

1.поставить пикс с минимальными изменениями в старой схеме (cisco pix firewall 501)
2.компы А должны иметь доступ к компам В и наоборот строго согласно Access list'у
3.С - незащищённая среда (локалка). Компы В не должны быть видны случайным пользователям из С

Планируется:
НАТ со static роутами или nat 0 (для соединений А->B)
прописать аксэс листы

вопрос в том как организовать VPN соединения
что нужно для Cisco VPN client to PIX via network? платный ли cisco VPN client или его можно откуда-нибудь слить и пользовать с чистой совестью?
и самый главный вопрос - как запретить все неVPN соединения с компов А?

Заранее спасибо

Kalashmat

Guest

Это нравится:0 Да/0 Нет

27.09.2006 13:33:41

Цитата
jet_pilot пишет: что нужно для Cisco VPN client to PIX via network?

Угу желательно.

Цитата
jet_pilot пишет: платный ли cisco VPN client или его можно откуда-нибудь слить и пользовать с чистой совестью?

Бесплатный, должен идти в комплекте с PIX501

Цитата
jet_pilot пишет: и самый главный вопрос - как запретить все неVPN соединения с компов А?

А PIX тут причем? Запрещать дургие соединения надо на компах А или устройстве которое перед ними. Или имеешь ввиду доступ к компам B через статик наты? Тогда все разруливается ACL`ми

P.S. Можешь так же юзать виндовый pptp клиент а на пиксе развернуть pptp сервер.

Ссылки по теме:
Restrict the Network Access of Remote Access VPN Users

Configuring the Cisco Secure PIX Firewall to Use PPTP

Configuring the PIX Firewall and VPN Clients Using PPTP, MPPE and IPSec

jet_pilot

Guest

Это нравится:0 Да/0 Нет

27.09.2006 13:54:13

Цитата
Kalashmat пишет: А PIX тут причем? Запрещать дургие соединения надо на компах А или устройстве которое перед ними. Или имеешь ввиду доступ к компам B через статик наты? Тогда все разруливается ACL`ми

в смысле чтобы через пикс проходили только шифрованные соединения, открытые он не пускал
в ACL это тоже можно задать?

уан мо квэсчн, мистэр))) какую разновидность VPN использовать? я что-то совсем в них запутался
over IPsec, over SSL...

Kalashmat

Guest

Это нравится:0 Да/0 Нет

27.09.2006 14:06:16

Цитата
jet_pilot пишет: в смысле чтобы через пикс проходили только шифрованные соединения, открытые он не пускал в ACL это тоже можно задать?

Сначала уточните откуда и куда проходили соединения и откуда куда не проходили, но в общем все рулится acl

Цитата
jet_pilot пишет: уан мо квэсчн, мистэр))) какую разновидность VPN использовать? я что-то совсем в них запутался over IPsec, over SSL...

IPsec если найдете цисковый клиент или pptp (NS-CHAP) если нет, остальное можете забыть оно вас только запутает.

jet_pilot

Guest

Это нравится:0 Да/0 Нет

27.09.2006 14:43:45

Цитата
Kalashmat пишет: Сначала уточните откуда и куда проходили соединения и откуда куда не проходили, но в общем все рулится acl

соединение от А до Б. в обе стороны
если это будет Cisco VPN client to PIX via network, то по идее всё должно работать

Kalashmat

Guest

Это нравится:0 Да/0 Нет

27.09.2006 15:00:46

Цитата
jet_pilot пишет: соединение от А до Б. в обе стороны

Да это возможно, так как внутренние компы сети B вы увидете только подключившись VPN клиентом.

Цитата
jet_pilot пишет: если это будет Cisco VPN client to PIX via network, то по идее всё должно работать

Даже если это будет pptp clien to PIX то тоже все будет работать

jet_pilot

Guest

Это нравится:0 Да/0 Нет

27.09.2006 15:20:45

Цитата

Kalashmat пишет:

jet_pilot пишет:соединение от А до Б. в обе стороны

Да это возможно, так как внутренние компы сети B вы увидете только подключившись VPN клиентом.

jet_pilot пишет:если это будет Cisco VPN client to PIX via network, то по идее всё должно работать

Даже если это будет pptp clien to PIX то тоже все будет работать

эт понятно
меня смущает исходящее соединение из Б в А
неплохо было бы его тоже защитить
З.Ы. уважаемый, к вам в асю вечерком постучаться можно?

Kalashmat

Guest

Это нравится:0 Да/0 Нет

27.09.2006 15:56:07

Цитата
jet_pilot пишет: меня смущает исходящее соединение из Б в А

Не совсем понятно а зачем компам локальной сети видеть удаленных клиентов? Если там тоже своя сеть тогда проще делать Site-toSite VPN (pix-to-pix). Конечно можно создать исходящий ACL для тунеля и для обычного соединения в первом случае разрешить коннекты к адресам А а во втором наоборот дропать, но это не совсем правильный дизайн топологии и подключения.

Цитата
jet_pilot пишет: З.Ы. уважаемый, к вам в асю вечерком постучаться можно?

Лучше стукнуться на cisco.com на предмет чтения док и примеров.

P.S. Вечером занят не меньше чем днем

jet_pilot Guest	#9 Это нравится:0 Да/0 Нет 27.09.2006 15:59:17 это одна локалка просто нужно защитить компы Б и соединения к ним и от них а второго пикса или роутера для site-site нету

jet_pilot Guest	#10 Это нравится:0 Да/0 Нет 27.09.2006 16:39:48 нет, всё оказалось гораздо проще - появился второй пикс

Kalashmat

Guest

#11

Это нравится:0 Да/0 Нет

27.09.2006 16:56:58

Цитата
jet_pilot пишет: нет, всё оказалось гораздо проще - появился второй пикс

Ну и правильно! Читайте:
Pix-to-Pix IPSec VPN

Настраивается элементарно.

jet_pilot

Guest

#12

Это нравится:0 Да/0 Нет

27.09.2006 17:26:33

теперь в силу минимальных изменений в существующую сеть нужно сделать либо transparent firewall либо нат с одинаковыми внешними и внутренними адресами
возможно ли что-нибудь из этого на 501м?

нашёл
http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/pix_v52/config/examples.htm#xtocid4
но тут ни слова про модель =(

Kalashmat Guest	#13 Это нравится:0 Да/0 Нет 27.09.2006 17:54:07 Вы хотите сказать что A и B в одной IP сети?!

jet_pilot

Guest

#14

Это нравится:0 Да/0 Нет

27.09.2006 20:01:26

Цитата
Kalashmat пишет: Вы хотите сказать что A и B в одной IP сети?!

не-а ))))
рядом с пиксом где-то роутер должен быть
просто как я уже говорил вмешательство должно быть минимальным

Kalashmat

Guest

#15

Это нравится:0 Да/0 Нет

28.09.2006 08:28:01

Цитата
jet_pilot пишет: не-а )))) рядом с пиксом где-то роутер должен быть просто как я уже говорил вмешательство должно быть минимальным

Ну тогда никаких transparent`ов городить не надо обычный Pix-to-Pix, можно даже соединить два пикса если за ними одинаковый диапазон IP адресов, но для этого надо что бы на insid`ах было достаточное количество адресов для nat`а, на cisco.com где-то был такой пример.

jet_pilot

Guest

#16

Это нравится:0 Да/0 Нет

29.09.2006 12:06:12

писал вот большущую такую постину и кукис истёк )))

транспарент нужен только для того чтобы отсекать нежелательные соединения по аксесс-листу и не менять адреса компов Б

на данный момент я вижу два варианта решения:
1.нат со статиком или нат 0
2. транспарент

больше склоняюсь ко второму. возникло вопрос:
- транспарент согласно ману возможен только между двумя интерфейсами. внутренний интерфейс на 501мэто как я понимаю все четыре дырки ethernet? )))

З.Ы. очень подробный и мелочный ман оказался по ASDM (http://www.cisco.com/univercd/cc/td/doc/product/netsec/secmgmt/asdm/v_5_0/asdmhelp.pdf)

Цитата

Traditionally, a firewall is a routed hop and acts as a default gateway for hosts that connect to one of its
screened subnets. A transparent firewall, on the other hand, is a Layer 2 firewall that acts like a “bump
in the wire,” or a “stealth firewall,” and is not seen as a router hop to connected devices. The security
appliance connects the same network on its inside and outside ports. Because the firewall is not a routed
hop, you can easily introduce a transparent firewall into an existing network; IP readdressing is
unnecessary.
Maintenance is facilitated because there are no complicated routing patterns to troubleshoot and no NAT
configuration.
Even though transparent mode acts as a bridge, Layer 3 traffic, such as IP traffic, cannot pass through
the security appliance unless you explicitly permit it with an extended access list. The only traffic
allowed through the transparent firewall without an access list is ARP traffic. ARP traffic can be
controlled by ARP inspection.
In routed mode, some types of traffic cannot pass through the security appliance even if you allow it in
an access list. The transparent firewall, however, can allow any traffic through using either an extended
access list (for IP traffic) or an EtherType access list (for non-IP traffic).

Kalashmat

Guest

#17

Это нравится:0 Да/0 Нет

29.09.2006 12:43:22

Цитата
jet_pilot пишет: внутренний интерфейс на 501мэто как я понимаю все четыре дырки ethernet? )))

Да это inside, просто в виде маленького хаба.

Цитата
jet_pilot пишет: ман оказался по ASDM

ASDM для старших моделей PIX начиная с 515E, в 501-м PDM

Цитата
jet_pilot пишет: 1.нат со статиком или нат 0

Хм... static nat и nat 0 это разные вещи транспарент юзать не советую, кстати не помню может ли это делать PixOS в 501-й модели... Проще отключить нат и сделать маршрутизацию всех пакетов на pix в качестве default gateway. И соединить IPSec тунелем с дургим PIX`ом, но этьо при условии если у компьютеров A одна IP подсеть, B другая и между A и B третья, все остальные коннекты и прочее регулировать аксесс листами.

jet_pilot

Guest

#18

Это нравится:0 Да/0 Нет

02.10.2006 14:06:42

Цитата

Kalashmat пишет:
Хм... static nat и nat 0 это разные вещи транспарент юзать не советую, кстати не помню может ли это делать PixOS в 501-й модели... Проще отключить нат и сделать маршрутизацию всех пакетов на pix в качестве default gateway. И соединить IPSec тунелем с дургим PIX`ом, но этьо при условии если у компьютеров A одна IP подсеть, B другая и между A и B третья, все остальные коннекты и прочее регулировать аксесс листами.

в том и проблема, что это одна сеть

были бы разные не задумывался бы о transparent'e (эту вкусняшку 501е действительно не поддерживают)
айпишники всё-таки придётся менять или можно будет извернуться с нат0?

возник ещё один технический вопрос. почему при смене айпи инсайда пропадает доступ к PDM (https://*.*.*.*/startup.html) , хотя к ssh остаётся? (смена с 192.168.1.1 на 10.0.0.1)

jet_pilot Guest	#19 Это нравится:0 Да/0 Нет 04.10.2006 16:39:43 ещё вопросина - при налаживании pix2pix VPN пиксы должны друг к другу аутсайдами должны быть обращены или всё равно?

ksiva

Editor

Сообщений: 1106 Баллов: 1117 Регистрация: 14.07.2003

Безопасность? Это просто!

#20

Это нравится:0 Да/0 Нет

07.10.2006 01:00:01

Цитата
pix2pix VPN пиксы должны друг к другу аутсайдами должны быть обращены или всё равно?

все равно.

если напишешь

isakmp enable outside

то будет outside, если другой интерфейс, то по другому.

Читают тему

Логин:
Пароль:
	Запомнить меня на этом компьютере

Забыли свой пароль?