У компании, в которой я работаю, есть клиент с межсетевым экраном Cisco PIX 506e, работающим под управлением v6.3. PIX в настоящее время настроен для управления подключениями PPTP VPN с использованием локального контроллера домена Windows в качестве сервера RADIUS. PIX не поддерживает подключения MSCHAP v2, поэтому пользователи не могут подключаться с рабочих станций Windows 7.
Наш план состоит в том, чтобы просто отключить VPN-соединение на PIX и пропустить VPN, а DC управлять им. Проблема в том, что я не могу найти никакой информации об отключении существующей настройки VPN на PIX.
У меня лишь умеренный опыт работы с PIX, но, насколько мне известно, ниже приведены все команды, управляющие настройкой VPN.
vpdn group 1 accept dialin pptp
vpdn group 1 ppp authentication pap
vpdn group 1 ppp authentication chap
vpdn group 1 ppp authentication mschap
vpdn group 1 ppp encryption mppe 40
vpdn group 1 client configuration address local bigpool
vpdn group 1 client configuration dns local_server_alias
vpdn group 1 client configuration wins local_server_alias
vpdn group 1 client authentication aaa RADIUS
vpdn group 1 pptp echo 60
vpdn username some_users password ********
vpdn enable outside
Посмотрел на PIX v6.3 ссылка на команду и я не видел никакой информации по его отключению. В tftp-server
ссылка на команды с использованием no
команда для отключения tftp-сервера, но в справке по команде vpnd нет информации о ней. Чтобы отключить, это так же просто, как использовать no vpdn enable outside
командовать или делать no
для всех вышеперечисленных команд или что-то еще?
Во-вторых, связанный с этим вопрос заключается в том, как правильно пропустить VPN через pix.
Проверено Cisco Doc ID 18806 и похоже, все, что мне нужно сделать, это добавить следующие строки:
access-list acl-out permit gre any host external_ip_of_RRAS
access-list acl-out permit tcp any host external_ip_of_RRAS eq 1723
static (inside,outside) external_ip_of_RRAS internal_ip_of_RRAS netmask 255.255.255.255 0 0
access-group acl-out in interface outside
Также есть потенциально PPTP fixup
команда, которая может понадобиться, но похоже, что она нужна только для внутреннего и внешнего PPTP. Выглядит правильно или мне нужно что-то еще?
Спасибо!
Вы можете попасть в мир боли, если примените acl-out к внешнему интерфейсу! Если уже применяется группа доступа, существует риск того, что вы удалите весь существующий входящий доступ.
Прежде чем что-либо делать, сделайте show access-group, чтобы проверить, какие ACL уже применены (если есть). У меня нет PIX v6, чтобы точно проверить, какие команды будут, но это будет что-то вроде: -
pix501# show access-group
и вы должны получить ответ вроде ...
access-group outside_acl in interface outside
access-group inside_acl in interface inside
Если у вас есть список доступа, примененный к вашему внешнему интерфейсу, вы захотите добавить к нему, а не создавать новый.
pix501(config)# access-list outside_acl permit gre any host external_ip_of_RRAS
pix501(config)# access-list outside_acl permit tcp any host external_ip_of_RRAS eq 1723
pix501(config)# static (inside,outside) external_ip_of_RRAS internal_ip_of_RRAS
Если у вас нет списка доступа, примененного к вашему внешнему интерфейсу, тогда примените его к вашему внешнему интерфейсу, как вы сказали выше.
pix501(config)# access-group outside_acl in interface outside
Чтобы отключить существующий pptp, все, что вам нужно сделать, это `` нет '' в инструкции vpnd enable
pix501(config)# no vpdn enable outside
Точно так же, если вы хотите полностью удалить всю конфигурацию vpdn, просто введите «нет» перед строкой конфигурации, которую вы хотите удалить.
pix501(config)# no vpdn group 1 accept dialin pptp
pix501(config)# no vpdn group 1 ppp authentication pap
pix501(config)# no vpdn group 1 ppp authentication chap
pix501(config)# no vpdn group 1 ppp authentication mschap
pix501(config)# no vpdn group 1 ppp encryption mppe 40
pix501(config)# no vpdn group 1 client configuration address local bigpool
pix501(config)# no vpdn group 1 client configuration dns local_server_alias
pix501(config)# no vpdn group 1 client configuration wins local_server_alias
pix501(config)# no vpdn group 1 client authentication aaa RADIUS
pix501(config)# no vpdn group 1 pptp echo 60
pix501(config)# no vpdn username some_users