Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Giúp mình fix lỗi VPN trên PIX 506E

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Giúp mình fix lỗi VPN trên PIX 506E

    hiện tại công ty e đang có một đường kết nối VPN client-to-site liên tục gặp sự cố.
    Nên e mong các pro giúp e với

    công ty có mô hình kết nối thế này.
    - Thiết bị vigor 2910 dung để nối đến ISP. và một PIX 506E của Cisco dùng làm firewall và VPN.
    -Địa chỉ mạng: local 19.168.10.0/24
    -Địa chỉ mạng vpn pool: 10.10.1.0/24.
    -Địa chỉ IP outsite cua PIX: 192.168.1.254 và nat dmz trên vigor ra ngoài.
    -Địa chỉ IP insite cua PIX 192.168.10.254.
    Cấu hình của PIX:
    interface ethernet0 auto
    interface ethernet1 auto

    mtu outside 1500
    mtu inside 1500
    nameif ethernet0 outside security0
    nameif ethernet1 inside security100
    ip address outside 192.168.1.254 255.255.255.0
    ip address inside 192.168.10.254 255.255.255.0

    hostname pixdrc
    domain-name drc.com.vn

    ***Định nghĩa port cho protocols***

    fixup protocol dns maximum-length 512
    fixup protocol ftp 21
    fixup protocol h323 h225 1720
    fixup protocol h323 ras 1718-1719
    fixup protocol http 80
    fixup protocol pptp 1723
    fixup protocol rsh 514
    fixup protocol rtsp 554
    fixup protocol sip 5060
    fixup protocol sip udp 5060
    fixup protocol skinny 2000
    fixup protocol smtp 25
    fixup protocol sqlnet 1521
    fixup protocol tftp 69
    names

    ***Cấu hình access-list cho phép traffic vào/ra trên các interface ***

    access-list 100 permit icmp any any
    access-list 100 permit ip any any
    access-list 100 permit tcp any any
    access-list 110 permit icmp any any
    access-list 110 permit ip any any
    access-list 110 permit tcp any any

    access-group 100 in interface outside
    access-group 110 in interface inside

    ***Cấu hình NAT cho mạng inside khi đi ra bên ngoài***

    nat (inside) 1 0.0.0.0 0.0.0.0 0 0
    global (outside) 1 192.168.1.253

    ***bỏ cấu hình NAT khi mạng inside và mạng VPN trao đổi data với nhau***

    access-list nonat permit ip 10.1.1.0 255.255.255.0 192.168.10.0 255.255.255.0
    access-list nonat permit ip any 10.1.1.0 255.255.255.0
    nat (inside) 0 access-list nonat


    ***Cho phép mạng inside telnet hoặc ssh đến PIX***

    telnet 192.168.10.0 255.255.255.0 inside
    telnet timeout 10
    ssh 192.168.10.0 255.255.255.0 inside
    ssh timeout 5

    ***Cấu hình PDM cho phép cấu hình PIX qua giao diện Web***

    http server enable
    http 192.168.1.0 255.255.255.0 outside
    http 192.168.10.0 255.255.255.0 inside
    pdm location 10.1.1.0 255.255.255.0 inside
    pdm location 192.168.10.0 255.255.255.0 outside
    pdm location 10.1.1.0 255.255.255.0 outside
    pdm location 192.168.10.9 255.255.255.255 inside
    pdm logging informational 100
    pdm history enable


    ***Cấu hình servers chứng thực***

    aaa-server TACACS+ protocol tacacs+
    aaa-server TACACS+ max-failed-attempts 3
    aaa-server TACACS+ deadtime 10
    aaa-server RADIUS protocol radius
    aaa-server RADIUS max-failed-attempts 3
    aaa-server RADIUS deadtime 10
    aaa-server LOCAL protocol local

    ***Cấu hình VPN***

    ip local pool mypool 10.1.1.1-10.1.1.254
    sysopt connection permit-pptp
    vpdn group drc accept dialin pptp
    vpdn group drc ppp authentication pap
    vpdn group drc ppp authentication chap
    vpdn group drc ppp authentication mschap
    vpdn group drc ppp encryption mppe auto
    vpdn group drc client configuration address local mypool
    vpdn group drc pptp echo 60
    vpdn group drc client authentication local
    vpdn username tuanpn password *********
    vpdn username vietnt password *********
    vpdn username lanph password *********
    vpdn username sondrc password *********
    vpdn username dudrc password *********
    vpdn enable outside
    ***Cấu hình các thông số phụ***

    pager lines 24
    mtu outside 1500
    mtu inside 1500
    ip audit info action alarm
    ip audit attack action alarm
    no snmp-server location
    no snmp-server contact
    snmp-server community public
    no snmp-server enable traps
    floodguard enable

    arp timeout 14400
    route outside 0.0.0.0 0.0.0.0 192.168.1.1 1
    timeout xlate 3:00:00
    timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
    timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
    timeout sip-disconnect 0:02:00 sip-invite 0:03:00
    timeout uauth 0:05:00 absolute
    console timeout 30
    - Mong các pro xem giúp cho mình xem cấu hình vậy co good không, hay là do lổi gì mà tại sao mình chuyển qua dùng VPN của vigor và không thông qua con PIX thì không bị rớt.
    Còn dùng con PIX hay rớt khi mà kết nối để up dữ liệu về hệ thống ERP trên server của công ty.

    Thanks

  • #2
    không có ai giúp mình nhỉ @-)

    Comment


    • #3
      Sao không thấy ai giúp mình với hichic

      Comment


      • #4
        Chắc người tài giỏi chưa đọc tới ^_^ ...mà người ko biết gì ( như mình ) thì đọc roài :P...wait......:69::48:

        Comment


        • #5
          post cấu hình thì cũng nên có cái hình để dễ hiểu và cấu hình đầy đủ chút

          Comment


          • #6
            Bạn up file config của vigor 2910 để xem có phải là do vấn đề NAT ip từ interface outside của PIX bạn làm chưa đúng hay ko ?
            Nhiệt tình + Không biết >> Phá hoại

            Comment

            Working...
            X