Взаимодействие ISA и CISCO PIX Firewall
Модератор: Модераторы
Сообщений: 18
• Страница 1 из 2 • 1, 2
DVG » 27 янв 2005, 15:28
Уважаемые коллеги, я админ начинающий, поэтому вопрос наверное глупый. В общем мне в наследство досталась сетка в которой присутствует ISA на W2000server. Между внешним интерфесом ISA и Интернетом находится CISCO PIX 501. Cразу скажу, что PIX убрать невозможно - это основное требование головного офиса. Сетка рабочая, интернет доступен. Так вот возникла проблема в создании VPN между головным офисом компании и моей конторой. Дело в том, что ISA не пропускает пинги от PIXа во внутреннюю сетку. Научите пожалуйста как настроить ISA для выполнения этой задачи.
Harry33 » 27 янв 2005, 16:00
DVG
А как настроен сам PIX ? И кто им управляет?
А как настроен сам PIX ? И кто им управляет?
Знания, которые нельзя применить - бесполезны
DVG » 27 янв 2005, 17:29
Что в настройках PIXа Вас интересует конкретно? ИМХО дело тут не в настройках пикса, поскольку я непосредственно с PIXa (при помощи терминала конечно) отправляю пинги. Интернетовские IP с PIXа пингуются, внешний интерфейс ISA сервера пингуется, а все что находится за внутренним интерфейсом ISA - нет. По сути есть две подсетки - одна с внутренней стороны ISA, другая между ISA и PIXом. Вопрос в том, как настроить ISA, чтобы пинги поступающие от PIXa (а по сути из одной подсети) ISA пропускала туда (в другую подсеть) и обратно беспрепятственно.
Harry33 » 27 янв 2005, 19:11
DVG
При установленном VPN соединнии не пингуется?
При установленном VPN соединнии не пингуется?
Знания, которые нельзя применить - бесполезны
Harry33 » 27 янв 2005, 19:22
DVG
Схема такая?
Internet--PIX----ISA---LAN
В каких сегментах какие IP адреса используются (частные/общие)?
Если я правильно понял между ISA и PIX находится DMZ с реальными адресами, а за ISA находится LAN с частным диапазоном адресов.
Если пинг не проходит при установленном VPN соединении то надо смотреть tracert где затыкается и что при этом с маршрутизацией.
Пинг из внешней сети во внутреннюю при текущей конфигурации сквозь ISA не пройдут по определению так как
1. Частные IP адреса не маршрутизируются в интеренете.
2. При такой конфигурации на ISA исполняется NAT (вернее PAT).
Схема такая?
Internet--PIX----ISA---LAN
В каких сегментах какие IP адреса используются (частные/общие)?
Если я правильно понял между ISA и PIX находится DMZ с реальными адресами, а за ISA находится LAN с частным диапазоном адресов.
Если пинг не проходит при установленном VPN соединении то надо смотреть tracert где затыкается и что при этом с маршрутизацией.
Пинг из внешней сети во внутреннюю при текущей конфигурации сквозь ISA не пройдут по определению так как
1. Частные IP адреса не маршрутизируются в интеренете.
2. При такой конфигурации на ISA исполняется NAT (вернее PAT).
Знания, которые нельзя применить - бесполезны
- biruk
- Активный пользователь
- Сообщения: 1134
- Зарегистрирован: 19 июл 2004, 11:30
- Откуда: Москва
biruk » 27 янв 2005, 19:29
а вообще, зачем тебе isa если есть пикс?
vpn легко настраивается на pix'е с аутентификацией через ias (ms radius).
вот еще скажи, какой ip на внешнем интерфейсе isa?
если реальный, то тебе достаточно будет пропустить через пикс протоколы
ip=50,51 и udp/500 для ipsec
и ip=47 и tcp/1723 для pptp
а если из частной сети то увы...
и причем тут пинги?
vpn легко настраивается на pix'е с аутентификацией через ias (ms radius).
вот еще скажи, какой ip на внешнем интерфейсе isa?
если реальный, то тебе достаточно будет пропустить через пикс протоколы
ip=50,51 и udp/500 для ipsec
и ip=47 и tcp/1723 для pptp
а если из частной сети то увы...
и причем тут пинги?
Trust me - i know what i’m doing © Sledge Hummer
DVG » 28 янв 2005, 07:34
Harry33
>При установленном VPN соединнии не пингуется?
VPN еще не установлена. Дело в том,что VPN в данный момент конфигурирует человек из головного офиса, я ему открыл SSH на PIXе.
>При установленном VPN соединнии не пингуется?
VPN еще не установлена. Дело в том,что VPN в данный момент конфигурирует человек из головного офиса, я ему открыл SSH на PIXе.
| Цитата | ||||||
| Схема такая?
Internet--PIX----ISA---LAN В каких сегментах какие IP адреса используются (частные/общие)? Если я правильно понял между ISA и PIX находится DMZ с реальными адресами, а за ISA находится LAN с частным диапазоном адресов. [/quote] Да правильно, схема именно такая. За ISA сетка с диапазоном 192.168.13.0 Между ISA и PIX сетка тоже с частным диапазоном 192.168.15.0 (в соотвествии с мануалом на PIX правильнее было бы 192.168.1.0, но думаю это роли не играет). Я вообще не совсем понимаю, суть схемы. Я полагал, что должно быть примерно так LAN(филиала)--->ISA(ф.)--->PIX(ф.)-vpn->PIX (центрального офиса)--->????(какой-то тип файрвола/маршрутизатора)--->LAN (ц.о.), поэтому мне не понятно зачем нужна VPN между PIXом и моей локалкой. Или придется делать еще и VPN между PIXом и моей локальной сетью на ISA? Как тогда будут взаимодействовать VPN между PIXами моим и центрального офиса и VPN на моем ISA? byruk Могу объяснить, почему сеть была сконфигурирована именно так (с использованием ISA). Объяснение простое - центральный офис потребовал немедленно установить VPN через PIX, был закуплен PIX 501, интернет отрублен от внешнего интерфейса ISA и воткнут в PIX, соотвественно был перенастроен внешний интерфейс ISA. Интернет заработал и все обрадовались. Лимит времени в филиале очень жесткий, об отключении от интернета можно говорить только на время пара часов рано утром и пара часов поздно вечером. Поэтому и был выбран путь наиболее быстрой интеграции PIXa в сеть филиала. А вот фразы "достаточно будет пропустить через пикс протоколы ip=50,51 и udp/500 для ipsec и ip=47 и tcp/1723 для pptp" я, извините, не понял. Говорю же PIX я впервые увидел три дня назад, а о существовании ISA месяц назад я вообще не подозревал. Так, что если можно, то поподробнее.
DVG
|