Подскажите как можно настроить пикс чтоб он пропускал из вне vpn соединения к исе
Я вкл fix up
добавл access-list но не помогает
Пикс ос 7,02

• ISA за PIX 515,Eduard_k, 16:22 , 12-Авг-05
  • ISA за PIX 515,Ilya, 16:45 , 12-Авг-05
    • ISA за PIX 515,Eduard_k, 13:58 , 15-Авг-05
      • ISA за PIX 515,Ilya, 14:53 , 15-Авг-05
        • ISA за PIX 515,Eduard_k, 16:41 , 15-Авг-05
          • ISA за PIX 515,ilya, 11:59 , 16-Авг-05
            • ISA за PIX 515,Ilya, 08:00 , 17-Авг-05

>Подскажите как можно настроить пикс чтоб он пропускал из вне vpn соединения
>к исе
>Я вкл fix up
>добавл access-list но не помогает
>Пикс ос 7,02

конфиг?

>>Подскажите как можно настроить пикс чтоб он пропускал из вне vpn соединения
>>к исе
>>Я вкл fix up
>>добавл access-list но не помогает
>>Пикс ос 7,02
>
>
>конфиг?

PIX Version 7.0(2)
names
!
interface Ethernet0
nameif outside
security-level 0
ip address 213.206.32.116 255.255.255.248
!
interface Ethernet1
nameif inside
security-level 100
ip address 223.255.250.9 255.255.255.0
!
interface Ethernet2
shutdown
nameif intf2
security-level 10
no ip address
!
interface Ethernet3
shutdown
nameif intf3
security-level 15
!
interface Ethernet4
shutdown
nameif intf4
security-level 20
no ip address
!
interface Ethernet5
shutdown
nameif intf5
security-level 25
no ip address
!
enable password OxaFZBgC0mboUG4s encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall
domain-name ccbu.uz
ftp mode passive
same-security-traffic permit inter-interface
access-list 116 extended permit tcp any any
access-list 116 extended permit ip any any
access-list 116 extended permit icmp any any
access-list 116 extended permit udp any any
access-list 117 extended permit ip any any
access-list 118 extended permit tcp any any eq pptp
access-list 118 extended permit gre any any
access-list acl-out extended permit gre any any
access-list acl-out extended permit tcp any any eq pptp
pager lines 24
logging console debugging
mtu outside 1500
mtu inside 1500
mtu intf2 1500
mtu intf3 1500
mtu intf4 1500
mtu intf5 1500
no failover
monitor-interface outside
monitor-interface inside
monitor-interface intf2
monitor-interface intf3
monitor-interface intf4
monitor-interface intf5
asdm history enable
arp timeout 14400
nat-control
nat (inside) 1 223.255.250.0 255.255.255.0
nat (inside) 1 223.255.250.0 223.255.250.255
nat (inside) 2 0.0.0.0 0.0.0.0
static (inside,outside) 213.206.32.116 223.255.250.249 netmask 255.255.255.255
access-group acl-out in interface outside
access-group 116 out interface outside
access-group 116 in interface inside
route outside 0.0.0.0 0.0.0.0 213.206.32.117 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
http server enable
http 223.255.250.243 255.255.255.255 inside
no snmp-server location
no snmp-server contact
snmp-server community public
snmp-server enable traps snmp
no sysopt connection permit-ipsec
telnet timeout 5
ssh version 1
console timeout 0
!
class-map Forpptp
match port tcp eq pptp
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
  inspect dns maximum-length 512
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect http
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
  inspect pptp
!
service-policy global_policy global
Cryptochecksum:e76d123e531f3a4eda3d37a5462d4751
: end
pixfirewall(config)#

>access-group 116 out interface outside
>access-group 116 in interface inside
а если вот эти две строчки убрать? или в access-list 116 permit gre any any

>>access-group 116 out interface outside
>>access-group 116 in interface inside
>а если вот эти две строчки убрать? или в access-list 116 permit
>gre any any

ccess-list 116 line 1 extended permit tcp any any (hitcnt=3852)
access-list 116 line 2 extended permit ip any any (hitcnt=426)
access-list 116 line 3 extended permit icmp any any (hitcnt=0)
access-list 116 line 4 extended permit udp any any (hitcnt=0)
access-list 116 line 5 extended permit gre any any (hitcnt=0)
access-list 116 line 6 extended permit tcp any eq pptp any eq pptp (hitcnt=0)

>>>access-group 116 out interface outside
>>>access-group 116 in interface inside
>>а если вот эти две строчки убрать? или в access-list 116 permit
>>gre any any
>
>
>ccess-list 116 line 1 extended permit tcp any any (hitcnt=3852)
>access-list 116 line 2 extended permit ip any any (hitcnt=426)
>access-list 116 line 3 extended permit icmp any any (hitcnt=0)
>access-list 116 line 4 extended permit udp any any (hitcnt=0)
>access-list 116 line 5 extended permit gre any any (hitcnt=0)
>access-list 116 line 6 extended permit tcp any eq pptp any eq
>pptp (hitcnt=0)

ну я даже не знаю, наверняка еще IKE надо разрешить.

>>>>access-group 116 out interface outside
>>>>access-group 116 in interface inside
>>>а если вот эти две строчки убрать? или в access-list 116 permit
>>>gre any any
>>
>>
>>ccess-list 116 line 1 extended permit tcp any any (hitcnt=3852)
>>access-list 116 line 2 extended permit ip any any (hitcnt=426)
>>access-list 116 line 3 extended permit icmp any any (hitcnt=0)
>>access-list 116 line 4 extended permit udp any any (hitcnt=0)
>>access-list 116 line 5 extended permit gre any any (hitcnt=0)
>>access-list 116 line 6 extended permit tcp any eq pptp any eq
>>pptp (hitcnt=0)
>
>ну я даже не знаю, наверняка еще IKE надо разрешить.
и может быть еще esp и ah. что бы точно сказать - нужно знать какие протоколы ИСА использует.

Все всем спасибо заработало само сабой!!!