Назад | Перейти на главную страницу

Отключите VPN на Cisco PIX 506e (v6.3) и настройте проход VPN через Windows 2003 DC / RRAS

У компании, в которой я работаю, есть клиент с межсетевым экраном Cisco PIX 506e, работающим под управлением v6.3. PIX в настоящее время настроен для управления подключениями PPTP VPN с использованием локального контроллера домена Windows в качестве сервера RADIUS. PIX не поддерживает подключения MSCHAP v2, поэтому пользователи не могут подключаться с рабочих станций Windows 7.

Наш план состоит в том, чтобы просто отключить VPN-соединение на PIX и пропустить VPN, а DC управлять им. Проблема в том, что я не могу найти никакой информации об отключении существующей настройки VPN на PIX.

У меня лишь умеренный опыт работы с PIX, но, насколько мне известно, ниже приведены все команды, управляющие настройкой VPN.

vpdn group 1 accept dialin pptp
vpdn group 1 ppp authentication pap
vpdn group 1 ppp authentication chap
vpdn group 1 ppp authentication mschap
vpdn group 1 ppp encryption mppe 40
vpdn group 1 client configuration address local bigpool
vpdn group 1 client configuration dns local_server_alias 
vpdn group 1 client configuration wins local_server_alias
vpdn group 1 client authentication aaa RADIUS
vpdn group 1 pptp echo 60
vpdn username some_users password ********
vpdn enable outside

Посмотрел на PIX v6.3 ссылка на команду и я не видел никакой информации по его отключению. В tftp-server ссылка на команды с использованием no команда для отключения tftp-сервера, но в справке по команде vpnd нет информации о ней. Чтобы отключить, это так же просто, как использовать no vpdn enable outside командовать или делать no для всех вышеперечисленных команд или что-то еще?

Во-вторых, связанный с этим вопрос заключается в том, как правильно пропустить VPN через pix.

Проверено Cisco Doc ID 18806 и похоже, все, что мне нужно сделать, это добавить следующие строки:

access-list acl-out permit gre any host external_ip_of_RRAS 
access-list acl-out permit tcp any host external_ip_of_RRAS eq 1723 
static (inside,outside) external_ip_of_RRAS internal_ip_of_RRAS netmask 255.255.255.255 0 0 
access-group acl-out in interface outside

Также есть потенциально PPTP fixup команда, которая может понадобиться, но похоже, что она нужна только для внутреннего и внешнего PPTP. Выглядит правильно или мне нужно что-то еще?

Спасибо!

Вы можете попасть в мир боли, если примените acl-out к внешнему интерфейсу! Если уже применяется группа доступа, существует риск того, что вы удалите весь существующий входящий доступ.

Прежде чем что-либо делать, сделайте show access-group, чтобы проверить, какие ACL уже применены (если есть). У меня нет PIX v6, чтобы точно проверить, какие команды будут, но это будет что-то вроде: -

pix501# show access-group

и вы должны получить ответ вроде ...

access-group outside_acl in interface outside
access-group inside_acl in interface inside

Если у вас есть список доступа, примененный к вашему внешнему интерфейсу, вы захотите добавить к нему, а не создавать новый.

pix501(config)# access-list outside_acl permit gre any host external_ip_of_RRAS 
pix501(config)# access-list outside_acl permit tcp any host external_ip_of_RRAS eq 1723
pix501(config)# static (inside,outside) external_ip_of_RRAS internal_ip_of_RRAS 

Если у вас нет списка доступа, примененного к вашему внешнему интерфейсу, тогда примените его к вашему внешнему интерфейсу, как вы сказали выше.

pix501(config)# access-group outside_acl in interface outside

Чтобы отключить существующий pptp, все, что вам нужно сделать, это `` нет '' в инструкции vpnd enable

pix501(config)# no vpdn enable outside

Точно так же, если вы хотите полностью удалить всю конфигурацию vpdn, просто введите «нет» перед строкой конфигурации, которую вы хотите удалить.

pix501(config)# no vpdn group 1 accept dialin pptp
pix501(config)# no vpdn group 1 ppp authentication pap
pix501(config)# no vpdn group 1 ppp authentication chap
pix501(config)# no vpdn group 1 ppp authentication mschap
pix501(config)# no vpdn group 1 ppp encryption mppe 40
pix501(config)# no vpdn group 1 client configuration address local bigpool
pix501(config)# no vpdn group 1 client configuration dns local_server_alias 
pix501(config)# no vpdn group 1 client configuration wins local_server_alias
pix501(config)# no vpdn group 1 client authentication aaa RADIUS
pix501(config)# no vpdn group 1 pptp echo 60
pix501(config)# no vpdn username some_users