本站已运行 15年11天4小时14分31秒

攻城狮论坛

作者: 嘴角上的饭粒
查看: 3408|回复: 62

主题标签Tag

more +今日重磅推荐Recommend No.1

所有IT类厂商认证考试题库下载所有IT类厂商认证考试题库下载

more +随机图赏Gallery

【新盟教育】2023最新华为HCIA全套视频合集【网工基础全覆盖】---国sir公开课合集【新盟教育】2023最新华为HCIA全套视频合集【网工基础全覆盖】---国sir公开课合集
【新盟教育】网工小白必看的!2023最新版华为认证HCIA Datacom零基础全套实战课【新盟教育】网工小白必看的!2023最新版华为认证HCIA Datacom零基础全套实战课
原创_超融合自动化运维工具cvTools原创_超融合自动化运维工具cvTools
重量级~~30多套JAVA就业班全套 视频教程(请尽快下载,链接失效后不补)重量级~~30多套JAVA就业班全套 视频教程(请尽快下载,链接失效后不补)
链接已失效【超过几百G】EVE 国内和国外镜像 全有了 百度群分享链接已失效【超过几百G】EVE 国内和国外镜像 全有了 百度群分享
某linux大佬,积累多年的电子书(约300本)某linux大佬,积累多年的电子书(约300本)
乾颐堂现任明教教主Python完整版乾颐堂现任明教教主Python完整版
乾颐堂 教主技术进化论 2018-2019年 最新31-50期合集视频(各种最新技术杂谈视频)乾颐堂 教主技术进化论 2018-2019年 最新31-50期合集视频(各种最新技术杂谈视频)
Python学习视频 0起点视频 入门到项目实战篇 Python3.5.2视频教程 共847集 能学102天Python学习视频 0起点视频 入门到项目实战篇 Python3.5.2视频教程 共847集 能学102天
约21套Python视频合集 核心基础视频教程(共310G,已压缩)约21套Python视频合集 核心基础视频教程(共310G,已压缩)
最新20180811录制 IT爱好者-清风羽毛 - 网络安全IPSec VPN实验指南视频教程最新20180811录制 IT爱好者-清风羽毛 - 网络安全IPSec VPN实验指南视频教程
最新20180807录制EVE开机自启动虚拟路由器并桥接物理网卡充当思科路由器最新20180807录制EVE开机自启动虚拟路由器并桥接物理网卡充当思科路由器

[安全] 【求助】CISCO PIX 510 VPN连不出去的问题

  [复制链接]
查看: 3408|回复: 62
开通VIP 免金币+免回帖+批量下载+无广告
这个防火墙的配置如下
2 f& b1 p7 J( O; `% F4 f" A基本没做什么,只是修改了一个2个ETH的IP; i- H- l7 }. V0 ~9 ]% I
可是在内网里ping不出去,而且VPN连接不到外面4 i& I2 K# J- K# b$ }0 H% o4 F
连接的时候总是在验证用户名和密码这卡住,等待一分钟后,719错误,对方服务器无应答.' G% `( D: z: Z! l7 x* E9 I
$ B' w+ U0 \6 D% D
: Saved
) M: [; z. z- {4 ], o5 A( x, n: Written by enable_15 at 01:42:54.855 UTC Tue Jul 4 2006' l9 e% k5 l; j* [7 \
PIX Version 6.3(1)
3 @( a4 R$ {; `+ \0 [! Yinterface ethernet0 auto2 P$ H) ]+ e: z
interface ethernet1 100full
# A# y& ^" T  A9 l; lnameif ethernet0 outside security0) `3 n4 P7 ^2 S& F/ k9 |0 A, o
nameif ethernet1 inside security100) k! r! q7 ?  Q$ E0 l1 U, f* f
enable password 8Ry2YjIyt7RRXU24 encrypted% \' Y0 d4 [5 `
passwd 2KFQnbNIdI.2KYOU encrypted
- C4 d2 _: D4 y7 _. S; n0 G, thostname zg
1 G9 H* g# P1 O; a& x# v$ Xfixup protocol ftp 212 x; f; |" z; j7 g5 ^0 [9 \
fixup protocol h323 h225 1720
& m1 S' o* E  K7 P* e: @) sfixup protocol h323 ras 1718-1719& }2 V2 W4 _- z% U, w' I+ e1 h* l
fixup protocol http 80
+ V0 E! C5 h' W2 ?! E3 Cfixup protocol ils 3894 j1 H3 t3 C; y; j
fixup protocol rsh 514
& E; ^4 [9 z5 ?9 s) ]% Mfixup protocol rtsp 554+ a, @( b- Q# B' ^
fixup protocol sip 2000  |" U, h  ~6 {2 ]
fixup protocol sip 5060/ a& X7 j8 Z( R) U; u
fixup protocol sip udp 5060
1 e$ S. H+ z! t/ s2 Cno fixup protocol skinny 2000
6 \( v( X8 ]4 Z9 B$ ^fixup protocol smtp 25
9 E8 u1 e( }. @  J: ?fixup protocol sqlnet 15214 c$ ^5 x0 @# N& o& U# @8 H2 u8 _
names! G! d& _; ?$ m9 j) C* x
pager lines 24. v, V3 Z% |! g. [; T6 V
mtu outside 1500
; R- W2 Y& p! }/ z" Rmtu inside 15006 ~% y: X; r4 d: k1 n0 e9 M$ A
ip address outside 222.223.71.88 255.255.255.0
  |( y' b) U3 c- h5 ?$ A' ~9 @( Nip address inside 192.168.0.1 255.255.255.0# W0 K) M+ |1 v" O3 I4 g  p
ip audit info action alarm) }' o- G5 T  k& Q( U2 x1 L
ip audit attack action alarm. l3 b7 D/ B$ S/ H7 a( _
pdm logging informational 1003 d+ L- E! I! ^+ A( p5 }
pdm history enable
, Y: p& @' J9 d# k6 uarp timeout 14400
, L& Q8 g  n# @2 W7 vglobal (outside) 1 interface
" y; h; s1 E! v4 Ynat (inside) 1 0.0.0.0 0.0.0.0 0 0/ L( l6 r7 I0 {- e
conduit permit udp any any
  V. g. {1 j1 w: Z' X4 u" ]conduit deny udp any any, ^* J- ^3 m% t9 g9 I
route outside 0.0.0.0 0.0.0.0 222.223.71.1 1
3 @6 I. i8 m. ^. X% _; l) h: N7 Ntimeout xlate 0:05:00
  d' K2 P; m- F* Z1 Ktimeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
, U0 D. p9 n! S2 w' _* W3 Gtimeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
% }$ J6 b( {$ y7 P; J; c5 d) Ltimeout uauth 0:05:00 absolute
$ b' ~9 w+ [4 Paaa-server TACACS+ protocol tacacs+
" e% {: L6 W  _aaa-server RADIUS protocol radius8 \6 p4 X2 d. w# {3 A7 t7 e
aaa-server LOCAL protocol local' b! i. |& A- e; y- y4 c) `
http server enable9 S+ z8 ~* W4 r  Z
http 192.168.1.0 255.255.255.0 inside6 _6 Q( u6 f# T; S  Z
no snmp-server location' T+ t/ P, J. S2 r, R
no snmp-server contact4 z0 o& w$ J' |/ g6 U; Q( s* l" X
snmp-server community public) F( y( a# [) [# ?9 ~+ u
no snmp-server enable traps- Z5 E8 w  V5 I0 I3 g& z
no floodguard enable3 g- u" a- ~0 D3 T
telnet 192.168.0.0 255.255.255.0 inside
# x6 F" A6 F0 J$ }telnet timeout 5: u. d% j. x: G$ r7 _5 Z) G
ssh timeout 5
& D+ R0 z2 H6 S; y0 Jconsole timeout 0
4 r. J( n' Y8 D/ J! p4 W+ _3 E- Ldhcpd lease 3600
  @* z# z/ p4 G5 M9 idhcpd ping_timeout 7504 Q1 _9 j3 ~! g* Q/ U7 y; {
dhcpd auto_config outside' P+ h( S: K* Q9 m
terminal width 80) O2 t8 {7 _+ X- c
Cryptochecksum:c70fb7e1bb5fcebc4f2f4e3765ce7d45
CCNA考试 官方正规报名 仅需1500元
回复 论坛版权

举报

amykikoli [Lv4 初露锋芒] 发表于 2013-6-30 07:47:22 | 显示全部楼层
敬请各位高手帮看看什么毛病
/ f. f3 Y: w) K9 j* ]. O2 s3 F* |* b- c  ^4 g5 @
好象是IPSEC这的设置,可是这个PIX的我不会设置IPSEC
回复 支持 反对

举报

tlq888 [VIP@钻石] 发表于 2013-6-30 08:25:47 | 显示全部楼层
VPN分LAN-TO-LAN和HOST-TO-LAN的,你的配置里面没有相关的VPN配置命令和参数; W# K# a) {. r6 ^" C7 Y
0 F7 U9 \' H  |3 x* ^- y5 F
CISCO PIX甚至支持一边是动态公网IP的LAN-LAN VPN
回复 支持 反对

举报

Farley [Lv5 不断成长] 发表于 2013-6-30 10:07:47 | 显示全部楼层
那改如何设置呢
9 D2 C9 i5 j! O, E: h) `我们想连接别人的VPN服务器,但是,所有的VPN都连不出去...
& P" m$ c: Y, Q+ [! d5 i: ~% |5 r1 x3 j9 a+ o* x4 y
怎么设置这块呀
4 F' Q' G$ a7 I+ [# `7 q) [高手能给个配置吗
回复 支持 反对

举报

胡彬 [Lv4 初露锋芒] 发表于 2013-6-30 10:13:48 | 显示全部楼层
着急啊,在线等9 C: M' |3 D7 y) ^- j
大家给个办法吧
回复 支持 反对

举报

会议 [Lv4 初露锋芒] 发表于 2013-6-30 12:19:58 | 显示全部楼层
LZ参看LAN-LAN的VPN配置即可
回复 支持 反对

举报

FOCL [Lv4 初露锋芒] 发表于 2013-6-30 12:53:41 | 显示全部楼层
LAN-LAN的VPN怎么配置啊?
  V( D9 G7 F9 H* F0 \6 ^! B$ ?# s/ e# l' t5 q/ l1 k
我没有配置手册..
回复 支持 反对

举报

qqqwww111 [Lv4 初露锋芒] 发表于 2013-6-30 13:21:28 | 显示全部楼层
工作原理:
* o, u. J- |" c2 v* L0 a一边服务器的网络子网为192.168.1.0/24
0 B' k8 |6 P1 G路由器为100.10.15.1/ `# o" M1 F+ ~) `
另一边的服务器为192.168.10.0/24" I" G% _, n# u
路由器为200.20.25.1。
- R* P1 I# G" l7 L执行下列步骤:- C; W4 J3 b7 u5 N4 H- E
1. 确定一个预先共享的密钥(保密密码)(以下例子保密密码假设为noIP4u)
. L% l9 ~, ?# ~+ F' ~2. 为SA协商过程配置IKE。. q: ^& y( p1 w/ o9 U4 W# E
3. 配置IPSec。" i  `' c1 s4 U
配置IKE:
+ C: y5 C5 B6 t) v6 z' h3 D' VShelby(config)#crypto isakmp policy 1
' ?5 Q8 \& C' a; ]注释:policy 1表示策略1,假如想多配几个VPN,可以写成policy 2、policy3┅
- u5 Q* K" C! }6 CShelby(config-isakmp)#group 1
2 C& z' U4 R3 _* L" N; f注释:除非购买高端路由器,或是VPN通信比较少,否则最好使用group 1长度的密钥,group命令有两个参数值:1和2。参数值1表示密钥使用768位密钥,参数值2表示密钥使用1024位密钥,显然后一种密钥安全性高,但消耗更多的CPU时间。/ a' ^5 w& n, T/ Y9 v( _  P/ S0 I
Shelby(config-isakmp)#authentication pre-share- {6 O7 f, m9 w" r" X" a
注释:告诉路由器要使用预先共享的密码。4 P- l- c0 O! K3 {; d1 o# m
Shelby(config-isakmp)#lifetime 3600
7 y, g( T3 z0 `8 v& Y" n8 |  |, }注释:对生成新SA的周期进行调整。这个值以秒为单位,默认值为86400,也就是一天。值得注意的是两端的路由器都要设置相同的SA周期,否则VPN在正常初始化之后,将会在较短的一个SA周期到达中断。  o0 g  u- p2 [  b5 \, [1 Z
Shelby(config)#crypto isakmp key noIP4u address 200.20.25.1! U/ \) L1 M" D* x0 Q
注释:返回到全局设置模式确定要使用的预先共享密钥和指归VPN另一端路由器IP地址,即目的路由器IP地址。相应地在另一端路由器配置也和以上命令类似,只不过把IP地址改成100.10.15.1。$ a& ]8 r) U2 T' z# u
配置IPSec
. p" |. j+ J9 rShelby(config)#access-list 130 permit ip 192.168.1.0 0.0.0.255 172.16.10.0 0.0.0.255
' h) f. R5 H, \! J: n# ]2 y  F注释:在这里使用的访问列表号不能与任何过滤访问列表相同,应该使用不同的访问列表号来标识VPN规则。4 z, S* G! y6 |3 d2 \- ~
Shelby(config)#crypto ipsec transform-set vpn1 ah-md5-hmac esp-des esp-md5-hmac& j# }3 \+ w& N$ w
注释:这里在两端路由器唯一不同的参数是vpn1,这是为这种选项组合所定义的名称。在两端的路由器上,这个名称可以相同,也可以不同。以上命令是定义所使用的IPSec参数。为了加强安全性,要启动验证报头。由于两个网络都使用私有地址空间,需要通过隧道传输数据,因此还要使用安全封装协议。最后,还要定义DES作为保密密码钥加密算法。4 W* `8 v( J5 `+ L0 \
Shelby(config)#crypto map shortsec 60 ipsec-isakmp
6 R* T* [# t( r6 y$ r4 @5 a注释:以上命令为定义生成新保密密钥的周期。如果攻击者破解了保密密钥,他就能够解使用同一个密钥的所有通信。基于这个原因,我们要设置一个较短的密钥更新周期。比如,每分钟生成一个新密钥。这个命令在VPN两端的路由器上必须匹配。参数shortsec是我们给这个配置定义的名称,稍后可以将它与路由器的外部接口建立关联。, x' ~9 j* e+ t0 T1 M/ G4 t
Shelby(config-crypto-map)#set peer 200.20.25.1
& S) ]  k1 _0 y/ R# C注释:这是标识对方路由器的合法IP地址。在远程路由器上也要输入类似命令,只是对方路由器地址应该是100.10.15.1。
# o0 j1 f7 {* W$ V) IShelby(config-crypto-map)#set transform-set vpn1
( C* C" q* R+ @/ fShelby(config-crypto-map)#match address 130
6 Q6 z% ]1 N% u/ \) F! R8 J' W6 h注释:这两个命令分别标识用于这个连接的传输设置和访问列表。
1 R9 u! D3 E# l  }8 }% d+ b& s- tShelby(config)#interface s0
; w& |& A" X8 n, y) `" W2 n" OShelby(config-if)#crypto map shortsec0 s: c% Q, \! s) V; h. p
注释:将刚才定义的密码图应用到路由器的外部接口。5 I5 D/ q* x) d4 i% b% l6 I+ C
现在剩下的部分是测试这个VPN的连接,并且确保通信是按照预期规划进行的。
( a; x) e8 v5 z最后一步是不要忘记保存运行配置,否则所作的功劳白费了。
' ^0 u; ~% Y0 `' x* {/ a+ q2 X
  Z/ e" g$ w5 V$ `6 {8 Y: g附:参照网络安全范围,VPN硬件设备应放置以下四个地点:
6 S1 z5 N2 w; I! `' x● 在DMZ的防火墙之外
, ^& Q6 j! n- t/ |  q% n2 T● 连接到防火墙的第三个网卡(服务网络)
2 `7 y2 p! N* x* E! t' Q: O● 在防火墙保护的范围之内
; y( |+ r3 |0 g, A# p, [% l" `8 `● 与防火墙集成
回复 支持 反对

举报

janspring [Lv4 初露锋芒] 发表于 2013-6-30 14:44:50 | 显示全部楼层
先谢谢楼上的热心高手朋友3 v, j9 U0 D/ R# q: B. j  k

' d+ i5 }8 C0 c6 aPIX系列的防火墙,不配置VPN,那内网的机器是不是都不能通过这个防火墙连出去呢..- y2 R2 x6 g+ k$ l/ d2 V) z2 ]% l! F
0 Q0 |8 T9 t: ?$ N" e
按你的说话是不是在PIX防火墙上又做了一个VPN服务器?
回复 支持 反对

举报

lyishan [Lv4 初露锋芒] 发表于 2013-6-30 16:02:43 | 显示全部楼层
而且不知道对方VPN服务器的密钥和配置信息
4 I4 N& y/ f" H: T* a8 t只知道VPN服务器的IP和登陆帐号和密码  l) D* T7 o* a$ Q; }, Q6 c
. H- A6 z5 D1 |  @+ I- \, \. i& y% j& O
我们用一台计算机做主机可以连到对方的VPN,用这个PIX 501防火墙就不可以. x& [" O" e2 |, K4 y) p1 m
如果重置配置,只用最简单的可以上网的配置,是不是就不用设置VPN了呢?
回复 支持 反对

举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|无图浏览|手机版|网站地图|攻城狮论坛

GMT+8, 2025-7-27 04:10 , Processed in 0.110915 second(s), 16 queries , Gzip On, MemCache On.

Powered by Discuz! X3.4 © 2001-2013 Comsenz Inc.

Designed by ARTERY.cn