【求助】CISCO PIX 510 VPN连不出去的问题

这个防火墙的配置如下
2 f& b1 p7 J( O; `% F4 f" A基本没做什么,只是修改了一个2个ETH的IP
可是在内网里ping不出去,而且VPN连接不到外面
连接的时候总是在验证用户名和密码这卡住,等待一分钟后,719错误,对方服务器无应答.

: Saved
) M: [; z. z- {4 ], o5 A( x, n: Written by enable_15 at 01:42:54.855 UTC Tue Jul 4 2006
PIX Version 6.3(1)
3 @( a4 R$ {; `+ \0 [! Yinterface ethernet0 auto
interface ethernet1 100full
# A# y& ^" T  A9 l; lnameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
- C4 d2 _: D4 y7 _. S; n0 G, thostname zg
1 G9 H* g# P1 O; a& x# v$ Xfixup protocol ftp 21
fixup protocol h323 h225 1720
& m1 S' o* E  K7 P* e: @) sfixup protocol h323 ras 1718-1719
fixup protocol http 80
+ V0 E! C5 h' W2 ?! E3 Cfixup protocol ils 389
fixup protocol rsh 514
& E; ^4 [9 z5 ?9 s) ]% Mfixup protocol rtsp 554
fixup protocol sip 2000
fixup protocol sip 5060
fixup protocol sip udp 5060
1 e$ S. H+ z! t/ s2 Cno fixup protocol skinny 2000
6 \( v( X8 ]4 Z9 B$ ^fixup protocol smtp 25
9 E8 u1 e( }. @  J: ?fixup protocol sqlnet 1521
names
pager lines 24
mtu outside 1500
; R- W2 Y& p! }/ z" Rmtu inside 1500
ip address outside 222.223.71.88 255.255.255.0
  |( y' b) U3 c- h5 ?$ A' ~9 @( Nip address inside 192.168.0.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm logging informational 100
pdm history enable
, Y: p& @' J9 d# k6 uarp timeout 14400
, L& Q8 g  n# @2 W7 vglobal (outside) 1 interface
" y; h; s1 E! v4 Ynat (inside) 1 0.0.0.0 0.0.0.0 0 0
conduit permit udp any any
  V. g. {1 j1 w: Z' X4 u" ]conduit deny udp any any
route outside 0.0.0.0 0.0.0.0 222.223.71.1 1
3 @6 I. i8 m. ^. X% _; l) h: N7 Ntimeout xlate 0:05:00
  d' K2 P; m- F* Z1 Ktimeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
, U0 D. p9 n! S2 w' _* W3 Gtimeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
% }$ J6 b( {$ y7 P; J; c5 d) Ltimeout uauth 0:05:00 absolute
$ b' ~9 w+ [4 Paaa-server TACACS+ protocol tacacs+
" e% {: L6 W  _aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
no floodguard enable
telnet 192.168.0.0 255.255.255.0 inside
# x6 F" A6 F0 J$ }telnet timeout 5
ssh timeout 5
& D+ R0 z2 H6 S; y0 Jconsole timeout 0
4 r. J( n' Y8 D/ J! p4 W+ _3 E- Ldhcpd lease 3600
  @* z# z/ p4 G5 M9 idhcpd ping_timeout 750
dhcpd auto_config outside
terminal width 80
Cryptochecksum:c70fb7e1bb5fcebc4f2f4e3765ce7d45

敬请各位高手帮看看什么毛病
/ f. f3 Y: w) K9 j* ]
好象是IPSEC这的设置，可是这个PIX的我不会设置IPSEC

VPN分LAN-TO-LAN和HOST-TO-LAN的，你的配置里面没有相关的VPN配置命令和参数

CISCO PIX甚至支持一边是动态公网IP的LAN-LAN VPN

那改如何设置呢
9 D2 C9 i5 j! O, E: h) `我们想连接别人的VPN服务器，但是,所有的VPN都连不出去...
& P" m$ c: Y, Q+ [! d5 i: ~% |
怎么设置这块呀
4 F' Q' G$ a7 I+ [# `7 q) [高手能给个配置吗

着急啊,在线等
大家给个办法吧

LZ参看LAN－LAN的VPN配置即可

LAN－LAN的VPN怎么配置啊?
  V( D9 G7 F9 H* F0 \
我没有配置手册..

工作原理：
* o, u. J- |" c2 v* L0 a一边服务器的网络子网为192.168.1.0/24
0 B' k8 |6 P1 G路由器为100.10.15.1
另一边的服务器为192.168.10.0/24
路由器为200.20.25.1。
- R* P1 I# G" l7 L执行下列步骤：
1. 确定一个预先共享的密钥（保密密码）（以下例子保密密码假设为noIP4u）
. L% l9 ~, ?# ~+ F' ~2. 为SA协商过程配置IKE。
3. 配置IPSec。
配置IKE:
+ C: y5 C5 B6 t) v6 z' h3 D' VShelby(config)#crypto isakmp policy 1
' ?5 Q8 \& C' a; ]注释：policy 1表示策略1，假如想多配几个VPN，可以写成policy 2、policy3┅
- u5 Q* K" C! }6 CShelby(config-isakmp)#group 1
2 C& z' U4 R3 _* L" N; f注释：除非购买高端路由器，或是VPN通信比较少，否则最好使用group 1长度的密钥，group命令有两个参数值：1和2。参数值1表示密钥使用768位密钥，参数值2表示密钥使用1024位密钥，显然后一种密钥安全性高，但消耗更多的CPU时间。
Shelby(config-isakmp)#authentication pre-share
注释：告诉路由器要使用预先共享的密码。
Shelby(config-isakmp)#lifetime 3600
7 y, g( T3 z0 `8 v& Y" n8 |  |, }注释：对生成新SA的周期进行调整。这个值以秒为单位，默认值为86400，也就是一天。值得注意的是两端的路由器都要设置相同的SA周期，否则VPN在正常初始化之后，将会在较短的一个SA周期到达中断。
Shelby(config)#crypto isakmp key noIP4u address 200.20.25.1
注释：返回到全局设置模式确定要使用的预先共享密钥和指归VPN另一端路由器IP地址，即目的路由器IP地址。相应地在另一端路由器配置也和以上命令类似，只不过把IP地址改成100.10.15.1。
配置IPSec
. p" |. j+ J9 rShelby(config)#access-list 130 permit ip 192.168.1.0 0.0.0.255 172.16.10.0 0.0.0.255
' h) f. R5 H, \! J: n# ]2 y  F注释：在这里使用的访问列表号不能与任何过滤访问列表相同，应该使用不同的访问列表号来标识VPN规则。
Shelby(config)#crypto ipsec transform-set vpn1 ah-md5-hmac esp-des esp-md5-hmac
注释：这里在两端路由器唯一不同的参数是vpn1，这是为这种选项组合所定义的名称。在两端的路由器上，这个名称可以相同，也可以不同。以上命令是定义所使用的IPSec参数。为了加强安全性，要启动验证报头。由于两个网络都使用私有地址空间，需要通过隧道传输数据，因此还要使用安全封装协议。最后，还要定义DES作为保密密码钥加密算法。
Shelby(config)#crypto map shortsec 60 ipsec-isakmp
6 R* T* [# t( r6 y$ r4 @5 a注释：以上命令为定义生成新保密密钥的周期。如果攻击者破解了保密密钥，他就能够解使用同一个密钥的所有通信。基于这个原因，我们要设置一个较短的密钥更新周期。比如，每分钟生成一个新密钥。这个命令在VPN两端的路由器上必须匹配。参数shortsec是我们给这个配置定义的名称，稍后可以将它与路由器的外部接口建立关联。
Shelby(config-crypto-map)#set peer 200.20.25.1
& S) ]  k1 _0 y/ R# C注释：这是标识对方路由器的合法IP地址。在远程路由器上也要输入类似命令，只是对方路由器地址应该是100.10.15.1。
# o0 j1 f7 {* W$ V) IShelby(config-crypto-map)#set transform-set vpn1
( C* C" q* R+ @/ fShelby(config-crypto-map)#match address 130
6 Q6 z% ]1 N% u/ \) F! R8 J' W6 h注释：这两个命令分别标识用于这个连接的传输设置和访问列表。
1 R9 u! D3 E# l  }8 }% d+ b& s- tShelby(config)#interface s0
; w& |& A" X8 n, y) `" W2 n" OShelby(config-if)#crypto map shortsec
注释：将刚才定义的密码图应用到路由器的外部接口。
现在剩下的部分是测试这个VPN的连接，并且确保通信是按照预期规划进行的。
( a; x) e8 v5 z最后一步是不要忘记保存运行配置，否则所作的功劳白费了。
' ^0 u; ~% Y0 `' x* {/ a+ q2 X
  Z/ e" g$ w5 V$ `6 {8 Y: g附：参照网络安全范围，VPN硬件设备应放置以下四个地点：
6 S1 z5 N2 w; I! `' x● 在DMZ的防火墙之外
, ^& Q6 j! n- t/ |  q% n2 T● 连接到防火墙的第三个网卡（服务网络）
2 `7 y2 p! N* x* E! t' Q: O● 在防火墙保护的范围之内
; y( |+ r3 |0 g, A# p, [% l" `8 `● 与防火墙集成

先谢谢楼上的热心高手朋友

' d+ i5 }8 C0 c6 aPIX系列的防火墙,不配置VPN,那内网的机器是不是都不能通过这个防火墙连出去呢..

按你的说话是不是在PIX防火墙上又做了一个VPN服务器?

而且不知道对方VPN服务器的密钥和配置信息
4 I4 N& y/ f" H: T* a8 t只知道VPN服务器的IP和登陆帐号和密码

我们用一台计算机做主机可以连到对方的VPN,用这个PIX 501防火墙就不可以
如果重置配置,只用最简单的可以上网的配置,是不是就不用设置VPN了呢?