Добрый день.появлилось в руках новое железо - pix 515e ver 7.1(2) ASDM 5.1(2)
вроде сильный он.
Потребовалось развернуть VPN-сервер типа PPTP с возможностью шифровния, но пока нечего не получается.
сколько не читал, понять мало что удалось.
нашел статью (вообщем все статьи практически ссылаютя на нее)
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/produc...
но не получается у меня.
знакомые, все говорят, что pix нужно конфигурировать через gui asdm ну там есть кнопочки вроде красиво, но результатов нет.
Только какие-то ipsec мне нужно просто pptp и все.
Подскажите.
Благодарю.
>Добрый день.
>
>появлилось в руках новое железо - pix 515e ver 7.1(2) ASDM 5.1(2)
>
>вроде сильный он.
>Потребовалось развернуть VPN-сервер типа PPTP с возможностью шифровния, но пока нечего не
>получается.
>сколько не читал, понять мало что удалось.
>нашел статью (вообщем все статьи практически ссылаютя на нее)
>http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/produc...
>но не получается у меня.
>знакомые, все говорят, что pix нужно конфигурировать через gui asdm ну там
>есть кнопочки вроде красиво, но результатов нет.
>Только какие-то ipsec мне нужно просто pptp и все.
>Подскажите.
>Благодарю.
Features not Supported in Version 7.1
The following features are not supported in Version7.1(2) release:•PPPoE
•L2TP over IPSec
•PPTP
в 7.2 только PPTP не поддерживается.
>>Добрый день.
>>
>>появлилось в руках новое железо - pix 515e ver 7.1(2) ASDM 5.1(2)
>>
>>вроде сильный он.
>>Потребовалось развернуть VPN-сервер типа PPTP с возможностью шифровния, но пока нечего не
>>получается.
>>сколько не читал, понять мало что удалось.
>>нашел статью (вообщем все статьи практически ссылаютя на нее)
>>http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/produc...
>>но не получается у меня.
>>знакомые, все говорят, что pix нужно конфигурировать через gui asdm ну там
>>есть кнопочки вроде красиво, но результатов нет.
>>Только какие-то ipsec мне нужно просто pptp и все.
>>Подскажите.
>>Благодарю.
>
>
>Features not Supported in Version 7.1
>The following features are not supported in Version7.1(2) release:
>
>•PPPoE
>
>•L2TP over IPSec
>
>•PPTP
>
>
>
>в 7.2 только PPTP не поддерживается.
а как быть тогда ?
че на пиксе тока dmz строить можно?
>>>Добрый день.
>>>
>>>появлилось в руках новое железо - pix 515e ver 7.1(2) ASDM 5.1(2)
>>>
>>>вроде сильный он.
>>>Потребовалось развернуть VPN-сервер типа PPTP с возможностью шифровния, но пока нечего не
>>>получается.
>>>сколько не читал, понять мало что удалось.
>>>нашел статью (вообщем все статьи практически ссылаютя на нее)
>>>http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/produc...
>>>но не получается у меня.
>>>знакомые, все говорят, что pix нужно конфигурировать через gui asdm ну там
>>>есть кнопочки вроде красиво, но результатов нет.
>>>Только какие-то ipsec мне нужно просто pptp и все.
>>>Подскажите.
>>>Благодарю.
>>
>>
>>Features not Supported in Version 7.1
>>The following features are not supported in Version7.1(2) release:
>>
>>•PPPoE
>>
>>•L2TP over IPSec
>>
>>•PPTP
>>
>>
>>
>>в 7.2 только PPTP не поддерживается.
>
>
>а как быть тогда ?
>че на пиксе тока dmz строить можно?
если без PPTP никак не жить - то ставьте 6.3(5)
а так на 7.2 0 L2TP и PPPoE можно построить.
>>>>Добрый день.
>>>>
>>>>появлилось в руках новое железо - pix 515e ver 7.1(2) ASDM 5.1(2)
>>>>
>>>>вроде сильный он.
>>>>Потребовалось развернуть VPN-сервер типа PPTP с возможностью шифровния, но пока нечего не
>>>>получается.
>>>>сколько не читал, понять мало что удалось.
>>>>нашел статью (вообщем все статьи практически ссылаютя на нее)
>>>>http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/produc...
>>>>но не получается у меня.
>>>>знакомые, все говорят, что pix нужно конфигурировать через gui asdm ну там
>>>>есть кнопочки вроде красиво, но результатов нет.
>>>>Только какие-то ipsec мне нужно просто pptp и все.
>>>>Подскажите.
>>>>Благодарю.
>>>
>>>
>>>Features not Supported in Version 7.1
>>>The following features are not supported in Version7.1(2) release:
>>>
>>>•PPPoE
>>>
>>>•L2TP over IPSec
>>>
>>>•PPTP
>>>
>>>
>>>
>>>в 7.2 только PPTP не поддерживается.
>>
>>
>>а как быть тогда ?
>>че на пиксе тока dmz строить можно?
>
>
>если без PPTP никак не жить - то ставьте 6.3(5)
>а так на 7.2 0 L2TP и PPPoE можно построить.
да, мне хотелось чтоб удаленным пользоватеям дать доступ к внутренней сети по рабочим делам, пользователи обычные.
я знаком немного с pptp, как работает ipsec понятия не имею, настоить соответвенно не могу, да и думаю не удобно для клиентов из win2000/winxp.
>да, мне хотелось чтоб удаленным пользоватеям дать доступ к внутренней сети по
>рабочим делам, пользователи обычные.
>я знаком немного с pptp, как работает ipsec понятия не имею, настоить
>соответвенно не могу, да и думаю не удобно для клиентов из
>win2000/winxp.ну так сделайте им L2TP
а то что не знакомы - ну я когда то не умел разбирать двигатель на мотоцилке Ява ;). Но ничего - разобрал, собрал - даже ездило... ;) ИМХО надо расти и к тому же вы не хотите что бы данные пользователей гуляли в открытом виде по сети? ;)
>>да, мне хотелось чтоб удаленным пользоватеям дать доступ к внутренней сети по
>>рабочим делам, пользователи обычные.
>>я знаком немного с pptp, как работает ipsec понятия не имею, настоить
>>соответвенно не могу, да и думаю не удобно для клиентов из
>>win2000/winxp.
>
>ну так сделайте им L2TP
>а то что не знакомы - ну я когда то не умел
>разбирать двигатель на мотоцилке Ява ;). Но ничего - разобрал, собрал
>- даже ездило... ;) ИМХО надо расти и к тому же
>вы не хотите что бы данные пользователей гуляли в открытом виде
>по сети? ;)
ну l2tp работает на 2-ом уровне, а мне нужно "дать" тунельный доступ из других сетей (интернет).
>>>да, мне хотелось чтоб удаленным пользоватеям дать доступ к внутренней сети по
>>>рабочим делам, пользователи обычные.
>>>я знаком немного с pptp, как работает ipsec понятия не имею, настоить
>>>соответвенно не могу, да и думаю не удобно для клиентов из
>>>win2000/winxp.
>>
>>ну так сделайте им L2TP
>>а то что не знакомы - ну я когда то не умел
>>разбирать двигатель на мотоцилке Ява ;). Но ничего - разобрал, собрал
>>- даже ездило... ;) ИМХО надо расти и к тому же
>>вы не хотите что бы данные пользователей гуляли в открытом виде
>>по сети? ;)
>
>
>ну l2tp работает на 2-ом уровне, а мне нужно "дать" тунельный доступ
>из других сетей (интернет).и в чем проблема?
одна из первых ссылок
http://support.microsoft.com/?kbid=314831Протокол L2TP — это стандартный протокол, позволяющий передавать пакеты протокола Point to Point Protocol (PPP) между различными сетями (как описано в документе Request for Comments [RFC] номер 2661). Применяя протокол L2TP совместно с протоколом IPSec, пользователи получают возможность создания защищенных туннелей, позволяющих передавать пакеты различных протоколов (например, IP и IPX) по сети, использующей протокол IP.
Протокол L2TP помещает исходные пакеты в кадры протокола PPP (при этом может выполняться сжатие данных), а также в пакеты протокола UDP (User Datagram Protocol), использующие порт 1701. Поскольку пакеты протокола UDP передаются с помощью пакетов протокола IP, протокол L2TP автоматически использует протокол IPSec для защиты передаваемых по туннелю данных в соответствии с параметрами, указанными пользователем при создании туннеля L2TP. Для согласования параметров безопасности туннеля L2TP применяется протокол IPSec IKE (Internet Key Exchange). По умолчанию используется проверка подлинности на основе сертификатов. При этом применяются не сертификаты пользователей, а сертификаты компьютеров, поскольку при выполнении данной проверки необходимо удостовериться, что исходный и целевой компьютеры доверяют друг другу. После завершения согласования параметров безопасности IPSec протокол L2TP согласовывает параметры туннеля (включая параметры сжатия и проверки подлинности пользователей) и осуществляет управление доступом на основе учетных данных пользователя.
Ниже показана структура пакетов L2TP/IPSec. Поле «Данные PPP» содержит исходный пакет протокола IP, а курсивом выделены поля, подвергаемые шифрованию с помощью протокола IPSec.
|Заголовок IP|Заголовок IPSec ESP|Заголовок UDP|Заголовок L2TP|Заголовок PPP|Данные PPP|Окончание IPSec ESP|Окончание IPSec Auth|
как вариант - сделайте пользователям web-vpn. правда у этого решения есть ограничения - но может быть вам оно подойдет.
>как вариант - сделайте пользователям web-vpn. правда у этого решения есть ограничения
>- но может быть вам оно подойдет.
что за веб-впн разве пикс умеет ?
>>как вариант - сделайте пользователям web-vpn. правда у этого решения есть ограничения
>>- но может быть вам оно подойдет.
>
>
>что за веб-впн разве пикс умеет ?
в документации упоминание есть. точно проверить не могу, железки под рукой с 7.2 нет
еще и ssl-vpn умеет.
>>>как вариант - сделайте пользователям web-vpn. правда у этого решения есть ограничения
>>>- но может быть вам оно подойдет.
>>
>>
>>что за веб-впн разве пикс умеет ?
>
>
>в документации упоминание есть. точно проверить не могу, железки под рукой с
>7.2 нет
>еще и ssl-vpn умеет.а я так понимаю, что разумнее наверное идти в сторону l2tp темболее клиент в стандратной упаковке есть в win2000/xp что очень удобно для мобитльных пользователей.
буду ковырять,
попутно возник вопрос такого хаарктера поскольку пикс умеет много чего еще закгружать один тунелем его слишком дорогое удовольствие (пользователей удаленных не более 20)
так же подумываю зделать dmz на нем засунуть туда несколько серверв основные http,mail,dns
на сколько я понимаю сервера разумно прятать за натом а сам пикс будет якобы "рутером", инспектить трафик в обе стороны как считаете разумно и т д (чтоб сразу и тунель +дмз)?
>>>>как вариант - сделайте пользователям web-vpn. правда у этого решения есть ограничения
>>>>- но может быть вам оно подойдет.
>>>
>>>
>>>что за веб-впн разве пикс умеет ?
>>
>>
>>в документации упоминание есть. точно проверить не могу, железки под рукой с
>>7.2 нет
>>еще и ssl-vpn умеет.
>
>а я так понимаю, что разумнее наверное идти в сторону l2tp темболее
>клиент в стандратной упаковке есть в win2000/xp что очень удобно для
>мобитльных пользователей.
спорный вопрос. ssl-vpn - клиент скачивает маленького клиента с пикса и все дела. практически не требуется его настройка (со стророны клиента).>буду ковырять,
>попутно возник вопрос такого хаарктера поскольку пикс умеет много чего еще закгружать
>один тунелем его слишком дорогое удовольствие (пользователей удаленных не более 20)
>
>так же подумываю зделать dmz на нем засунуть туда несколько серверв основные
>http,mail,dns
>на сколько я понимаю сервера разумно прятать за натом а сам пикс
>будет якобы "рутером", инспектить трафик в обе стороны как считаете разумно
>и т д (чтоб сразу и тунель +дмз)?http://www.cisco.com/en/US/netsol/ns340/ns394/ns171/ns128/ne...
почитайте, там все разложено по полочкам.
>>>>>как вариант - сделайте пользователям web-vpn. правда у этого решения есть ограничения
>>>>>- но может быть вам оно подойдет.
>>>>
>>>>
>>>>что за веб-впн разве пикс умеет ?
>>>
>>>
>>>в документации упоминание есть. точно проверить не могу, железки под рукой с
>>>7.2 нет
>>>еще и ssl-vpn умеет.
>>
>>а я так понимаю, что разумнее наверное идти в сторону l2tp темболее
>>клиент в стандратной упаковке есть в win2000/xp что очень удобно для
>>мобитльных пользователей.
>спорный вопрос. ssl-vpn - клиент скачивает маленького клиента с пикса и все
>дела. практически не требуется его настройка (со стророны клиента).
>
>>буду ковырять,
>>попутно возник вопрос такого хаарктера поскольку пикс умеет много чего еще закгружать
>>один тунелем его слишком дорогое удовольствие (пользователей удаленных не более 20)
>>
>>так же подумываю зделать dmz на нем засунуть туда несколько серверв основные
>>http,mail,dns
>>на сколько я понимаю сервера разумно прятать за натом а сам пикс
>>будет якобы "рутером", инспектить трафик в обе стороны как считаете разумно
>>и т д (чтоб сразу и тунель +дмз)?
>
>http://www.cisco.com/en/US/netsol/ns340/ns394/ns171/ns128/ne...
>почитайте, там все разложено по полочкам.
эх..еще бы по англиски понимать.