本站已运行 14年358天9小时41分32秒

攻城狮论坛

作者: 嘴角上的饭粒
查看: 3390|回复: 62

主题标签Tag

more +今日重磅推荐Recommend No.1

所有IT类厂商认证考试题库下载所有IT类厂商认证考试题库下载

more +随机图赏Gallery

【新盟教育】2023最新华为HCIA全套视频合集【网工基础全覆盖】---国sir公开课合集【新盟教育】2023最新华为HCIA全套视频合集【网工基础全覆盖】---国sir公开课合集
【新盟教育】网工小白必看的!2023最新版华为认证HCIA Datacom零基础全套实战课【新盟教育】网工小白必看的!2023最新版华为认证HCIA Datacom零基础全套实战课
原创_超融合自动化运维工具cvTools原创_超融合自动化运维工具cvTools
重量级~~30多套JAVA就业班全套 视频教程(请尽快下载,链接失效后不补)重量级~~30多套JAVA就业班全套 视频教程(请尽快下载,链接失效后不补)
链接已失效【超过几百G】EVE 国内和国外镜像 全有了 百度群分享链接已失效【超过几百G】EVE 国内和国外镜像 全有了 百度群分享
某linux大佬,积累多年的电子书(约300本)某linux大佬,积累多年的电子书(约300本)
乾颐堂现任明教教主Python完整版乾颐堂现任明教教主Python完整版
乾颐堂 教主技术进化论 2018-2019年 最新31-50期合集视频(各种最新技术杂谈视频)乾颐堂 教主技术进化论 2018-2019年 最新31-50期合集视频(各种最新技术杂谈视频)
Python学习视频 0起点视频 入门到项目实战篇 Python3.5.2视频教程 共847集 能学102天Python学习视频 0起点视频 入门到项目实战篇 Python3.5.2视频教程 共847集 能学102天
约21套Python视频合集 核心基础视频教程(共310G,已压缩)约21套Python视频合集 核心基础视频教程(共310G,已压缩)
最新20180811录制 IT爱好者-清风羽毛 - 网络安全IPSec VPN实验指南视频教程最新20180811录制 IT爱好者-清风羽毛 - 网络安全IPSec VPN实验指南视频教程
最新20180807录制EVE开机自启动虚拟路由器并桥接物理网卡充当思科路由器最新20180807录制EVE开机自启动虚拟路由器并桥接物理网卡充当思科路由器

[安全] 【求助】CISCO PIX 510 VPN连不出去的问题

  [复制链接]
查看: 3390|回复: 62
开通VIP 免金币+免回帖+批量下载+无广告
这个防火墙的配置如下) I- U) G; j: _) \' O9 F- Q! X
基本没做什么,只是修改了一个2个ETH的IP
% `" X( k! X# x  `* I4 p可是在内网里ping不出去,而且VPN连接不到外面  ~0 Y& I& t) d7 P& v0 a
连接的时候总是在验证用户名和密码这卡住,等待一分钟后,719错误,对方服务器无应答.# `+ H; H' D" C: [* n" s
- n" ?- x. s: L5 U1 }: ~8 |
: Saved( |" f; I9 b" o9 C
: Written by enable_15 at 01:42:54.855 UTC Tue Jul 4 2006
' d, o: J1 n" F' X4 Q- V& x  G% p& oPIX Version 6.3(1)
; Y& L' A6 k) H% Finterface ethernet0 auto
" W) r! ?. v/ Xinterface ethernet1 100full
% `: |# V% L1 o2 F5 I$ e" rnameif ethernet0 outside security0
- ^8 w. Z* a% l5 S1 hnameif ethernet1 inside security100* z2 x+ g/ a- u$ g! u7 B# F5 S
enable password 8Ry2YjIyt7RRXU24 encrypted
. v4 o  s" Q) c% L) Ppasswd 2KFQnbNIdI.2KYOU encrypted
' _5 q* F5 \- R6 j% o! fhostname zg
* ?; ]6 p* Y1 J4 ?* Nfixup protocol ftp 21" Y6 |2 L0 x* I4 F
fixup protocol h323 h225 1720
! D- _" v9 f, ^1 dfixup protocol h323 ras 1718-1719- f! ?  |# e& o6 u' k% x
fixup protocol http 808 I* x# _( w- h6 c$ y
fixup protocol ils 3891 w/ W% r# n2 \  s! E2 W4 G8 x
fixup protocol rsh 514, B% h4 E: S( l- B
fixup protocol rtsp 5548 b: n2 G" s3 H( R
fixup protocol sip 2000- y9 ?0 d  n* M$ l: ]3 C
fixup protocol sip 50603 c& L" E0 _0 k: H9 S  r3 T$ L4 ~
fixup protocol sip udp 5060: H% }0 ?) C/ M) }0 P. q" a
no fixup protocol skinny 2000
- G8 {: ?$ {; Afixup protocol smtp 25
' F  L) K! M  V) z; C9 hfixup protocol sqlnet 1521, \  Y$ E# A8 s6 \
names/ f+ ~  A, ?) D3 T0 K5 v, |
pager lines 24& m3 m* v" L) r* k# |% A+ b/ e' b
mtu outside 1500: o" d) z3 X; J' P
mtu inside 1500
3 \' q7 N1 A1 k0 Pip address outside 222.223.71.88 255.255.255.0. _( P  W9 J( Q" |: T
ip address inside 192.168.0.1 255.255.255.01 k0 o# Y( d! ^$ K3 o5 _
ip audit info action alarm  |% K+ C' m: p3 c% F% |
ip audit attack action alarm
+ e/ A& T9 L, ?2 e# F& I- P. U3 m8 Vpdm logging informational 100
: ?8 \! C) Y% Y: Q0 [6 z3 Vpdm history enable
( K. x* T5 X5 E+ ^# m9 S: ?arp timeout 14400
% j* C2 C1 P: V' B# y2 H' Y" p7 Iglobal (outside) 1 interface
$ b7 u0 F; j! J  u: Gnat (inside) 1 0.0.0.0 0.0.0.0 0 0: |  ~( ^/ M( a' z8 j6 S6 u$ q+ a
conduit permit udp any any" H" |( Y  l! d0 Q
conduit deny udp any any
2 j# o1 P/ q0 e# mroute outside 0.0.0.0 0.0.0.0 222.223.71.1 1
" q' H' S: Y6 ?* o1 U. ^# etimeout xlate 0:05:00
' l/ A4 `, a- H9 s# ]- Z+ atimeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
: E( G, O6 y' V/ y; M0 ?timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00& z3 W5 A. A+ h/ [6 Q
timeout uauth 0:05:00 absolute! z; p6 d5 }+ X; Y- M1 r4 K
aaa-server TACACS+ protocol tacacs+: ~  R4 a% o$ Y" @1 y  i) e
aaa-server RADIUS protocol radius
8 ~: L/ B1 X  [% O' Eaaa-server LOCAL protocol local
- Z: [, s9 ~4 ]0 }4 _& Ohttp server enable
8 J" F7 T- P8 z$ R" shttp 192.168.1.0 255.255.255.0 inside
: T, c1 A- V9 A' {no snmp-server location
( u5 L  _( T' _" P' \! D- ^no snmp-server contact* E6 a& x. T: C5 z. ?
snmp-server community public$ n) T( P- i" X! W
no snmp-server enable traps. o. J' @1 F; g1 J2 F/ Y# D% x+ u$ G
no floodguard enable3 |- w# ?, r" G& h" a
telnet 192.168.0.0 255.255.255.0 inside+ _% i7 ?% h  }
telnet timeout 5
; \1 A" `, l% K; A  g9 p( ?ssh timeout 5  M, j3 f4 L  I" E
console timeout 0
- [, C+ t  |, c2 i3 J  w/ Udhcpd lease 3600
/ ^0 q1 t- T9 p3 o; [4 }: X7 r( l8 @dhcpd ping_timeout 750: f$ v& q$ O# l, l5 o1 U% }
dhcpd auto_config outside% X1 L6 g% u+ A, J: t7 h
terminal width 80
3 U; y" p; Y6 v& e) D6 UCryptochecksum:c70fb7e1bb5fcebc4f2f4e3765ce7d45
CCNA考试 官方正规报名 仅需1500元
回复 论坛版权

举报

amykikoli [Lv4 初露锋芒] 发表于 2013-6-30 07:47:22 | 显示全部楼层
敬请各位高手帮看看什么毛病
3 d; `" S) L, M6 T3 e3 q7 O* o. }9 H  L( u: W+ S+ ^
好象是IPSEC这的设置,可是这个PIX的我不会设置IPSEC
回复 支持 反对

举报

tlq888 [VIP@钻石] 发表于 2013-6-30 08:25:47 | 显示全部楼层
VPN分LAN-TO-LAN和HOST-TO-LAN的,你的配置里面没有相关的VPN配置命令和参数( B6 R7 L/ q3 d3 f; J5 Z6 s

; k5 J4 ^0 @: }6 b0 _/ FCISCO PIX甚至支持一边是动态公网IP的LAN-LAN VPN
回复 支持 反对

举报

Farley [Lv5 不断成长] 发表于 2013-6-30 10:07:47 | 显示全部楼层
那改如何设置呢
/ Q- {: y0 z0 `5 J/ g8 D我们想连接别人的VPN服务器,但是,所有的VPN都连不出去...$ R2 L5 b" g% H0 n( r9 A

+ p7 r' J* c3 X- \怎么设置这块呀+ s) }  j0 d6 l% `3 r7 X9 S, w, {
高手能给个配置吗
回复 支持 反对

举报

胡彬 [Lv4 初露锋芒] 发表于 2013-6-30 10:13:48 | 显示全部楼层
着急啊,在线等/ ~( l2 f& T* `5 M
大家给个办法吧
回复 支持 反对

举报

会议 [Lv4 初露锋芒] 发表于 2013-6-30 12:19:58 | 显示全部楼层
LZ参看LAN-LAN的VPN配置即可
回复 支持 反对

举报

FOCL [Lv4 初露锋芒] 发表于 2013-6-30 12:53:41 | 显示全部楼层
LAN-LAN的VPN怎么配置啊?
' v1 S, m7 @1 H" v% X* d3 y- P8 j  B. q; ]0 k& \0 L0 Y" n6 J' H5 e9 s
我没有配置手册..
回复 支持 反对

举报

qqqwww111 [Lv4 初露锋芒] 发表于 2013-6-30 13:21:28 | 显示全部楼层
工作原理:3 P. H1 q% s" S4 N7 |" k$ E
一边服务器的网络子网为192.168.1.0/245 X6 k. R. i3 Z6 W/ Z! Y
路由器为100.10.15.1( r5 _. |/ c1 U8 \$ g: U
另一边的服务器为192.168.10.0/24
7 ^, z1 G' J6 r- s0 U) u. f路由器为200.20.25.1。
+ o1 K+ a! |4 z& u9 l1 `+ J. A执行下列步骤:
7 `- {! x) R- S4 @2 H1. 确定一个预先共享的密钥(保密密码)(以下例子保密密码假设为noIP4u)4 P4 {' y8 [! S, a
2. 为SA协商过程配置IKE。. ^  y- D( Q, j, K& d. G" x- @
3. 配置IPSec。3 Z3 z* J# h2 r7 i  ]
配置IKE:+ u6 W0 q! v. h. W/ d5 u! h
Shelby(config)#crypto isakmp policy 1
' ^7 `: S/ _# C/ A# j注释:policy 1表示策略1,假如想多配几个VPN,可以写成policy 2、policy3┅
! W; N. Q0 i# H9 O% Q( yShelby(config-isakmp)#group 1
: |$ X, M* \( f9 z  w3 I6 y+ B: M% R" T, X注释:除非购买高端路由器,或是VPN通信比较少,否则最好使用group 1长度的密钥,group命令有两个参数值:1和2。参数值1表示密钥使用768位密钥,参数值2表示密钥使用1024位密钥,显然后一种密钥安全性高,但消耗更多的CPU时间。
1 v# p8 [' G$ R  ~Shelby(config-isakmp)#authentication pre-share0 f( Y: h1 f0 F0 Q5 L
注释:告诉路由器要使用预先共享的密码。4 V  m9 @8 s5 v- f
Shelby(config-isakmp)#lifetime 3600
9 t' A! ]2 S: W" ?9 D注释:对生成新SA的周期进行调整。这个值以秒为单位,默认值为86400,也就是一天。值得注意的是两端的路由器都要设置相同的SA周期,否则VPN在正常初始化之后,将会在较短的一个SA周期到达中断。
) a* K5 X# t! f) l: aShelby(config)#crypto isakmp key noIP4u address 200.20.25.1
2 p6 n+ M4 N$ {' @8 B注释:返回到全局设置模式确定要使用的预先共享密钥和指归VPN另一端路由器IP地址,即目的路由器IP地址。相应地在另一端路由器配置也和以上命令类似,只不过把IP地址改成100.10.15.1。
% ?5 X; I- E( W; E7 q配置IPSec
: z5 r* l7 W' @9 i: B2 x; N9 cShelby(config)#access-list 130 permit ip 192.168.1.0 0.0.0.255 172.16.10.0 0.0.0.255; e6 ]. P2 `& N% w/ f
注释:在这里使用的访问列表号不能与任何过滤访问列表相同,应该使用不同的访问列表号来标识VPN规则。4 s; _! V' b7 P
Shelby(config)#crypto ipsec transform-set vpn1 ah-md5-hmac esp-des esp-md5-hmac
$ E9 K  ]: a9 p  `) D: f注释:这里在两端路由器唯一不同的参数是vpn1,这是为这种选项组合所定义的名称。在两端的路由器上,这个名称可以相同,也可以不同。以上命令是定义所使用的IPSec参数。为了加强安全性,要启动验证报头。由于两个网络都使用私有地址空间,需要通过隧道传输数据,因此还要使用安全封装协议。最后,还要定义DES作为保密密码钥加密算法。
. q8 e3 n9 f6 e1 M8 V" F5 W8 aShelby(config)#crypto map shortsec 60 ipsec-isakmp
6 ?4 o$ O7 T5 U9 k- V1 C: k& |注释:以上命令为定义生成新保密密钥的周期。如果攻击者破解了保密密钥,他就能够解使用同一个密钥的所有通信。基于这个原因,我们要设置一个较短的密钥更新周期。比如,每分钟生成一个新密钥。这个命令在VPN两端的路由器上必须匹配。参数shortsec是我们给这个配置定义的名称,稍后可以将它与路由器的外部接口建立关联。
: T& v9 i, \) R4 H7 JShelby(config-crypto-map)#set peer 200.20.25.1) A: R9 J/ s, s8 o
注释:这是标识对方路由器的合法IP地址。在远程路由器上也要输入类似命令,只是对方路由器地址应该是100.10.15.1。; N8 J# _$ C. j
Shelby(config-crypto-map)#set transform-set vpn1
% [# c3 \  V3 o. p3 u4 [; R$ v5 d9 tShelby(config-crypto-map)#match address 130
" n7 X" O8 ]9 W  G注释:这两个命令分别标识用于这个连接的传输设置和访问列表。; }3 X0 k& L. ?" ^
Shelby(config)#interface s0
$ l+ Y/ y' t; qShelby(config-if)#crypto map shortsec
/ ^; {! E+ z( y4 L8 |+ R& c, ?# w注释:将刚才定义的密码图应用到路由器的外部接口。
$ E& p% j. g0 Y' O2 P% D现在剩下的部分是测试这个VPN的连接,并且确保通信是按照预期规划进行的。
% U* l/ ]( T$ l/ v" ^最后一步是不要忘记保存运行配置,否则所作的功劳白费了。
; \6 {1 g4 V& ^# }  @# P: z
5 ^/ |% p5 |! N. \7 j9 A附:参照网络安全范围,VPN硬件设备应放置以下四个地点:
8 o, S4 E$ e/ C( ]' j& K! \/ _● 在DMZ的防火墙之外
7 Q  d( c, a+ y, C. P● 连接到防火墙的第三个网卡(服务网络)
2 b  u! G. Z% `● 在防火墙保护的范围之内
: z7 I0 i3 Q5 F; k4 P) ]9 M● 与防火墙集成
回复 支持 反对

举报

janspring [Lv4 初露锋芒] 发表于 2013-6-30 14:44:50 | 显示全部楼层
先谢谢楼上的热心高手朋友
1 m5 p. F7 {5 O+ e9 S3 j+ i
$ q& d% W2 k- q* p- \: dPIX系列的防火墙,不配置VPN,那内网的机器是不是都不能通过这个防火墙连出去呢..
- h- N4 t: ^2 @) J1 [/ K) e+ M' p5 D6 }! a7 P
按你的说话是不是在PIX防火墙上又做了一个VPN服务器?
回复 支持 反对

举报

lyishan [Lv4 初露锋芒] 发表于 2013-6-30 16:02:43 | 显示全部楼层
而且不知道对方VPN服务器的密钥和配置信息
  m: U. B& ~  O$ O只知道VPN服务器的IP和登陆帐号和密码
( M* ]7 G& k3 c4 W9 a
7 F9 g* h' M$ c; H2 Y我们用一台计算机做主机可以连到对方的VPN,用这个PIX 501防火墙就不可以
+ _4 x8 ^" h( L/ I# {+ p如果重置配置,只用最简单的可以上网的配置,是不是就不用设置VPN了呢?
回复 支持 反对

举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|无图浏览|手机版|网站地图|攻城狮论坛

GMT+8, 2025-7-9 09:38 , Processed in 0.105746 second(s), 15 queries , Gzip On, MemCache On.

Powered by Discuz! X3.4 © 2001-2013 Comsenz Inc.

Designed by ARTERY.cn