Мы находимся в процессе миграции наших брандмауэров с Cisco Pix 501 на Netgear FVS336G из-за возраста, емкости и того, что Windows 7 не поддерживает программное обеспечение VPN. Брандмауэр обеспечивает DHCP, исходящий Интернет и входящий VPN (я не уверен, какие протоколы). Никаких других типов подключений не требуется.
Мы также используем беспроводной ADSL-маршрутизатор Netgear DG834G в качестве модема ADSL. NAT отключен, но брандмауэр работает.
У нас есть 6 внешних IP-адресов (host1-host6, Cisco - host5), а маршрутизатор ADSL настроен на обработку межсетевого экрана Cisco как сервера DMZ. Насколько я понимаю, это означает, что все неизвестные входящие протоколы маршрутизируются на PiX.
Можно ли запустить оба брандмауэра параллельно, при этом брандмауэр NetGear предоставляет DHCP, исходящий Интернет и VPN для вновь настроенных клиентов, а Cisco предоставляет только VPN для старых клиентов, как на схеме ниже?
+------+ +----+
IP=Host5 | PiX | | |
+--------+ +-------| Fire |---| |
| | | | wall | | R |
Internet | ADSL | | +------+ | o |
----------| ROUTER |---+ <IP=Host6 | u |
IP | | | +------+ | t |
x.x.x.x +--------+ | | NetG | | e |
+-------| Fire |---| r |
IP=Host1 | wall | | |
+------+ +----+
Если да, можем ли мы просто оставить маршрутизаторы Cisco и ADSL в покое и настроить брандмауэр Netgear на другом IP-адресе (host1), или мне нужно будет настроить маршрутизатор ADSL для маршрутизации разных протоколов на разные IP-адреса?
На полпути, могу ли я просто выключить брандмауэр на ADSL-маршрутизаторе и настроить NetGear в соответствии с требованиями?
Кроме того, как отключить сервер DHCP и т. Д. В Pix? После небольшого случайного поиска в Google, похоже, что это должно работать. Это верно?
conf t
clear dhcpd
wr m
Предполагая, что ваш DG834G просто выполняет маршрутизацию, а не действует как брандмауэр, исходящие VPN-соединения должны быть в порядке, потому что клиент будет связываться с внешним IP-адресом PIX (host5), а не с netgear (host6). Однако вы говорите «сервер dmz», поэтому я не уверен, что это значит в данном случае ...
Я думаю, что одна из проблем будет заключаться в том, что происходит с трафиком между клиентом VPN снаружи и сервером внутри. Предположительно, Cisco является конечной точкой VPN, поэтому трафик дешифруется на pix. Затем этот трафик пересылается (в открытом виде) на сервер, который отвечает. Этот ответ должен быть направлен на pix для шифрования, а не на netgear - так как же внутренний маршрутизатор узнает, какой трафик является трафиком vpn, а какой нет? Если ваш cisco vpn предоставляет клиентам IP-адрес из пула адресов, вам нужно, чтобы он был из пула адресов, отличного от вашей внутренней сети - таким образом вы можете просто поместить маршрут во внутренний маршрутизатор, чтобы направить такой трафик на pix. Это, вероятно, означает, что вам нужен DHCP-сервер, работающий на pix, только для клиентов vpn.