Обсудить на форуме

Построение IPSEC туннеля между аппаратным VPN клиентом на PIX и концентратором VPN 3000

Источник: www.ciscolab.ru

Данный документ предоставляет пошаговую конфигурацию для потребителей, кто хочет развернуть функциональность Cisco VPN Hardware Client на PIX 501/506. Эта функциональность была введена в PIX версии 6.2 и используется для создания IPSec туннеля с концентратором VPN 3000, Cisco IOS Router или PIX Firewall.
Конфигурация аппаратного клиента PIX 501/506 одинакова, независимо от головного VPN оборудования, будь то концентратор VPN 3000, роутер или PIX. Компьютерам находящимися за аппаратным VPN клиентом более не нужно инсталлировать ПО VPN Client для того, чтобы обеспечить безопасную связь с устройствами, лежащими за головным оборудованием

VPN Hardware Client может работать либо режиме сетевого расширения (NEM), либо в клиентском режиме. В NEM, сетевой администратор способен получить доступ к устройствам, лежащими за PIX VPN Hardware Client, для удаленного доступа и устранения неисправностей. В режиме клиента, сетевые устройства за PIX 501/506 недоступны из головного офиса.
Помните, что PIX 501 и PIX 506/506E могут работать как Easy VPN Remote и как Easy VPN Server, а PIX 515/515E, PIX 525, и PIX 535 могут работать только в режиме сервера.

В данном примере PIX 506 настраивается для того, чтобы инициировать VPN туннель с концентратором Cisco VPN 3000 в режиме NEM. На концентраторе работает протокол динамической маршрутизации RIP v2 для того, чтобы изучать и вещать маршруты. Также на концентраторе включена функциональность Reverse Route Injection (RRI), так, что он может вещать маршруты на удаленные сети, находящиеся за аппаратным VPN клиентом PIX 506, используя RIP к Cisco роутеру 2600, как трафик инициируемый от роутера Cisco 3620.

 

На концентраторе не включено сплит туннелирование поэтому весь трафик уходящий от роутера 3620 шифруется и высылается на концентратор VPN 3000, который в свою очередь перенаправляет этот трафик в соответствие своей маршрутной политике. Эта политика определяется на концентраторе и может быть изменена, основываясь на индивидуальных требованиях компании, и выталкивается аппаратному клиенту во время фазы согласования туннеля.
PIX 506 конфигурируется как DHCP сервер для динамической раздачи IP адресов на E1 интерфейсе. На роутере Cisco 2621 работает RIP версии 2.

О том как конфигурировать концентратор смотрите статью Конфигурация IPSEC между Cisco VPN Client и Концентратором Cisco VPN3000 ранее опубликованной на данном сайте.

Конфигурация Cisco 3620 Router

interface FastEthernet0/1
    ip address dhcp  

!--- DHCP запрашивает  IP от  PIX, который конфигурирован как сервер DHCP

Конфигурация Cisco 2621 Router

hostname 2621
!
interface FastEthernet0/1
ip address 10.10.10.2 255.255.255.0

!--- Посылаем только RIP версии 2.
ip rip send version 2

!--- Принимаем только RIP версии 2.
ip rip receive version 2
!
!--- Включаем RIP версии 2.
router rip
  version 2
  network 10.0.0.0
  no auto-summary
!

Конфигурация PIX

Нет необходимости конфигурировать ACL для того, чтобы разрешить трафик, т.к. соединение инициируется от PIX 506, а не от VPN концентратора. По умолчанию трафик разрешен от inside в outside.

PIX Version 6.2

!--- На PIX 501/506, это конфигурация по умолчанию
nameif ethernet0 outside security0

nameif ethernet1 inside security100

hostname 506

!--- Вам нужно вручну указать скорость и дуплекс на интерфейсах, в случае когда присоединенное устройство не поддерживает авто-согласование
interface ethernet0 auto
interface ethernet1 auto

ip address outside 172.21.48.22 255.255.255.224
ip address inside 172.16.1.1 255.255.255.0

route outside 0.0.0.0 0.0.0.0 172.21.48.25 1
no sysopt route dnat

!--- Определяем пул для DHCP сервера.
dhcpd address 172.16.1.10-172.16.1.20 inside

!--- Это необязательно.
dhcpd lease 3600

!--- Это необязательно.
dhcpd ping_timeout 750

dhcpd domain cisco.com

!--- Вам нужно включить DHCP на внутреннем интерфейсе.
dhcpd enable inside

!--- Имя группы и пароль должны соответствовать тем, что определены на VPN концентраторе
vpnclient vpngroup beta password ********

!--- Имя пользователя и пароль должны соответствовать тем, что определены на VPN концентраторе
vpnclient username cisco password ********

!--- Указываем  IP адрес VPN концентратора.
vpnclient server 172.21.48.25

!--- Используем NEM.
vpnclient mode network-extension-mode

vpnclient enable

Google Developer Day 2008 в Москве.

Дата проведения: 28 октября 2008 г.; Место проведения: Амбер Плаза, Москва, Россия. Конференция для веб-разработчиков и разработчиков мобильных приложений в Москве. Узнайте, как наилучшим образом использовать инструменты разработки и API от Google, чтобы создавать социальные, мобильные и картографические приложения, как использовать AJAX/JavaScript инструменты и библиотеки от Google и многое другое из первых уст.

ТОП 10 самых раздражающих факторов для программиста.

Совсем недавно наткнулся в интернете на забавный "хит-парад" наиболее раздражающих вещей для программиста. Поскольку он был на английском — решил перевести текст и несколько адаптировать к нашим реалиям…

Windows Server 7, 8 и 9.

К написанию этой статьи меня побудили недавние изыскания Мэри Джо Фоли (Mary Jo Foley) по поводу Windows 7 Server и Windows Server 2008 R2. Если бы не она, я, наверное, и не вспомнил бы о массе информации, имеющейся по этому поводу у меня. Если вы не слышали, Microsoft удалось смутить львиную долю пользователей своим заявлением о том, что Windows Server 2008 R2, чей релиз должен состояться в 2010 году, есть ничто иное, как Windows 7 Server.