【求助】CISCO PIX 510 VPN连不出去的问题

这个防火墙的配置如下
基本没做什么,只是修改了一个2个ETH的IP
% `" X( k! X# x  `* I4 p可是在内网里ping不出去,而且VPN连接不到外面
连接的时候总是在验证用户名和密码这卡住,等待一分钟后,719错误,对方服务器无应答.

: Saved
: Written by enable_15 at 01:42:54.855 UTC Tue Jul 4 2006
' d, o: J1 n" F' X4 Q- V& x  G% p& oPIX Version 6.3(1)
; Y& L' A6 k) H% Finterface ethernet0 auto
" W) r! ?. v/ Xinterface ethernet1 100full
% `: |# V% L1 o2 F5 I$ e" rnameif ethernet0 outside security0
- ^8 w. Z* a% l5 S1 hnameif ethernet1 inside security100
enable password 8Ry2YjIyt7RRXU24 encrypted
. v4 o  s" Q) c% L) Ppasswd 2KFQnbNIdI.2KYOU encrypted
' _5 q* F5 \- R6 j% o! fhostname zg
* ?; ]6 p* Y1 J4 ?* Nfixup protocol ftp 21
fixup protocol h323 h225 1720
! D- _" v9 f, ^1 dfixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 2000
fixup protocol sip 5060
fixup protocol sip udp 5060
no fixup protocol skinny 2000
- G8 {: ?$ {; Afixup protocol smtp 25
' F  L) K! M  V) z; C9 hfixup protocol sqlnet 1521
names
pager lines 24
mtu outside 1500
mtu inside 1500
3 \' q7 N1 A1 k0 Pip address outside 222.223.71.88 255.255.255.0
ip address inside 192.168.0.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
+ e/ A& T9 L, ?2 e# F& I- P. U3 m8 Vpdm logging informational 100
: ?8 \! C) Y% Y: Q0 [6 z3 Vpdm history enable
( K. x* T5 X5 E+ ^# m9 S: ?arp timeout 14400
% j* C2 C1 P: V' B# y2 H' Y" p7 Iglobal (outside) 1 interface
$ b7 u0 F; j! J  u: Gnat (inside) 1 0.0.0.0 0.0.0.0 0 0
conduit permit udp any any
conduit deny udp any any
2 j# o1 P/ q0 e# mroute outside 0.0.0.0 0.0.0.0 222.223.71.1 1
" q' H' S: Y6 ?* o1 U. ^# etimeout xlate 0:05:00
' l/ A4 `, a- H9 s# ]- Z+ atimeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
: E( G, O6 y' V/ y; M0 ?timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
8 ~: L/ B1 X  [% O' Eaaa-server LOCAL protocol local
- Z: [, s9 ~4 ]0 }4 _& Ohttp server enable
8 J" F7 T- P8 z$ R" shttp 192.168.1.0 255.255.255.0 inside
: T, c1 A- V9 A' {no snmp-server location
( u5 L  _( T' _" P' \! D- ^no snmp-server contact
snmp-server community public
no snmp-server enable traps
no floodguard enable
telnet 192.168.0.0 255.255.255.0 inside
telnet timeout 5
; \1 A" `, l% K; A  g9 p( ?ssh timeout 5
console timeout 0
- [, C+ t  |, c2 i3 J  w/ Udhcpd lease 3600
/ ^0 q1 t- T9 p3 o; [4 }: X7 r( l8 @dhcpd ping_timeout 750
dhcpd auto_config outside
terminal width 80
3 U; y" p; Y6 v& e) D6 UCryptochecksum:c70fb7e1bb5fcebc4f2f4e3765ce7d45

敬请各位高手帮看看什么毛病
3 d; `" S) L, M6 T3 e3 q7 O* o
好象是IPSEC这的设置，可是这个PIX的我不会设置IPSEC

VPN分LAN-TO-LAN和HOST-TO-LAN的，你的配置里面没有相关的VPN配置命令和参数

; k5 J4 ^0 @: }6 b0 _/ FCISCO PIX甚至支持一边是动态公网IP的LAN-LAN VPN

那改如何设置呢
/ Q- {: y0 z0 `5 J/ g8 D我们想连接别人的VPN服务器，但是,所有的VPN都连不出去...

+ p7 r' J* c3 X- \怎么设置这块呀
高手能给个配置吗

着急啊,在线等
大家给个办法吧

LZ参看LAN－LAN的VPN配置即可

LAN－LAN的VPN怎么配置啊?
' v1 S, m7 @1 H" v% X* d3 y- P8 j  B. q
我没有配置手册..

工作原理：
一边服务器的网络子网为192.168.1.0/24
路由器为100.10.15.1
另一边的服务器为192.168.10.0/24
7 ^, z1 G' J6 r- s0 U) u. f路由器为200.20.25.1。
+ o1 K+ a! |4 z& u9 l1 `+ J. A执行下列步骤：
7 `- {! x) R- S4 @2 H1. 确定一个预先共享的密钥（保密密码）（以下例子保密密码假设为noIP4u）
2. 为SA协商过程配置IKE。
3. 配置IPSec。
配置IKE:
Shelby(config)#crypto isakmp policy 1
' ^7 `: S/ _# C/ A# j注释：policy 1表示策略1，假如想多配几个VPN，可以写成policy 2、policy3┅
! W; N. Q0 i# H9 O% Q( yShelby(config-isakmp)#group 1
: |$ X, M* \( f9 z  w3 I6 y+ B: M% R" T, X注释：除非购买高端路由器，或是VPN通信比较少，否则最好使用group 1长度的密钥，group命令有两个参数值：1和2。参数值1表示密钥使用768位密钥，参数值2表示密钥使用1024位密钥，显然后一种密钥安全性高，但消耗更多的CPU时间。
1 v# p8 [' G$ R  ~Shelby(config-isakmp)#authentication pre-share
注释：告诉路由器要使用预先共享的密码。
Shelby(config-isakmp)#lifetime 3600
9 t' A! ]2 S: W" ?9 D注释：对生成新SA的周期进行调整。这个值以秒为单位，默认值为86400，也就是一天。值得注意的是两端的路由器都要设置相同的SA周期，否则VPN在正常初始化之后，将会在较短的一个SA周期到达中断。
) a* K5 X# t! f) l: aShelby(config)#crypto isakmp key noIP4u address 200.20.25.1
2 p6 n+ M4 N$ {' @8 B注释：返回到全局设置模式确定要使用的预先共享密钥和指归VPN另一端路由器IP地址，即目的路由器IP地址。相应地在另一端路由器配置也和以上命令类似，只不过把IP地址改成100.10.15.1。
% ?5 X; I- E( W; E7 q配置IPSec
: z5 r* l7 W' @9 i: B2 x; N9 cShelby(config)#access-list 130 permit ip 192.168.1.0 0.0.0.255 172.16.10.0 0.0.0.255
注释：在这里使用的访问列表号不能与任何过滤访问列表相同，应该使用不同的访问列表号来标识VPN规则。
Shelby(config)#crypto ipsec transform-set vpn1 ah-md5-hmac esp-des esp-md5-hmac
$ E9 K  ]: a9 p  `) D: f注释：这里在两端路由器唯一不同的参数是vpn1，这是为这种选项组合所定义的名称。在两端的路由器上，这个名称可以相同，也可以不同。以上命令是定义所使用的IPSec参数。为了加强安全性，要启动验证报头。由于两个网络都使用私有地址空间，需要通过隧道传输数据，因此还要使用安全封装协议。最后，还要定义DES作为保密密码钥加密算法。
. q8 e3 n9 f6 e1 M8 V" F5 W8 aShelby(config)#crypto map shortsec 60 ipsec-isakmp
6 ?4 o$ O7 T5 U9 k- V1 C: k& |注释：以上命令为定义生成新保密密钥的周期。如果攻击者破解了保密密钥，他就能够解使用同一个密钥的所有通信。基于这个原因，我们要设置一个较短的密钥更新周期。比如，每分钟生成一个新密钥。这个命令在VPN两端的路由器上必须匹配。参数shortsec是我们给这个配置定义的名称，稍后可以将它与路由器的外部接口建立关联。
: T& v9 i, \) R4 H7 JShelby(config-crypto-map)#set peer 200.20.25.1
注释：这是标识对方路由器的合法IP地址。在远程路由器上也要输入类似命令，只是对方路由器地址应该是100.10.15.1。
Shelby(config-crypto-map)#set transform-set vpn1
% [# c3 \  V3 o. p3 u4 [; R$ v5 d9 tShelby(config-crypto-map)#match address 130
" n7 X" O8 ]9 W  G注释：这两个命令分别标识用于这个连接的传输设置和访问列表。
Shelby(config)#interface s0
$ l+ Y/ y' t; qShelby(config-if)#crypto map shortsec
/ ^; {! E+ z( y4 L8 |+ R& c, ?# w注释：将刚才定义的密码图应用到路由器的外部接口。
$ E& p% j. g0 Y' O2 P% D现在剩下的部分是测试这个VPN的连接，并且确保通信是按照预期规划进行的。
% U* l/ ]( T$ l/ v" ^最后一步是不要忘记保存运行配置，否则所作的功劳白费了。
; \6 {1 g4 V& ^# }  @# P: z
5 ^/ |% p5 |! N. \7 j9 A附：参照网络安全范围，VPN硬件设备应放置以下四个地点：
8 o, S4 E$ e/ C( ]' j& K! \/ _● 在DMZ的防火墙之外
7 Q  d( c, a+ y, C. P● 连接到防火墙的第三个网卡（服务网络）
2 b  u! G. Z% `● 在防火墙保护的范围之内
: z7 I0 i3 Q5 F; k4 P) ]9 M● 与防火墙集成

先谢谢楼上的热心高手朋友
1 m5 p. F7 {5 O+ e9 S3 j+ i
$ q& d% W2 k- q* p- \: dPIX系列的防火墙,不配置VPN,那内网的机器是不是都不能通过这个防火墙连出去呢..
- h- N4 t: ^2 @) J1 [/ K
按你的说话是不是在PIX防火墙上又做了一个VPN服务器?

而且不知道对方VPN服务器的密钥和配置信息
  m: U. B& ~  O$ O只知道VPN服务器的IP和登陆帐号和密码
( M* ]7 G& k3 c4 W9 a
7 F9 g* h' M$ c; H2 Y我们用一台计算机做主机可以连到对方的VPN,用这个PIX 501防火墙就不可以
+ _4 x8 ^" h( L/ I# {+ p如果重置配置,只用最简单的可以上网的配置,是不是就不用设置VPN了呢?