Исходное сообщение
"IPSec между 7200 и PIX 501" Отправлено _RAW_, 17-Мрт-10 14:15
Добрый день! Имеется необходимость поднять очередной IPSec туннель между двумя организациями. Имеется две маленькие изюминки: 1. На дальней стороне нет полноценного маршрутизатора, а есть только PIX501 2. С моей стороны сеть, которой требуется доступ к дальней приватной сети является публичной Ранее имел дело с приватными сетями и двумя маршрутизаторами. Поднимал Tunnel интерфейсы, закрывал их IPSec и все было нормально, а тут PIX с урезанными возможностями. Почитал пример организации IPSec между циско роутером и пиксом вот тут: http://www.ciscolab.ru/security/ipsec/152-pixrouter.html но не могу переложить конфигурацию для своих нужд, когда с моей стороны не приватные адреса. Имею: Fa2/0 подключенный к провайдеру, соответственно ip nat outside Fa0/0 в локалку с приватными адресами, соответственно ip nat inside Fa0/1 в DMZ с публичными адресами, соответственно ip nat inside без роутмапа Публичные адреса с моей стороны и стороны провайдера маршрутизированы static роутами. Подумал следующую конфигурацию 7200: !полиси crypto isakmp policy 4 hash md5 authentication pre-share crypto isakmp key ключтакойто address внешний.публичный.адрес.пикса !трансформсет crypto ipsec transform-set мойтрансформсет esp-des esp-md5-hmac !создаю аксесслист для разрешения трафика между моим DMZ и их приватной сетью ip access-list extended такойтолист permit ip моя.дмз.подсеть.такаято 0.0.0.15 их.приватная.подсеть.такаято 0.0.0.255 А вот дальше пока затык... Мыслю так: crypto map моймап 10 ipsec-isakmp set peer внешний.публичный.адрес.пикса set transform-set мойтрансформсет match address такойтолист ip access-list extended разрешенныйтрафик permit ip моя.дмз.подсеть.такаято 0.0.0.15 их.приватная.подсеть.такаято 0.0.0.255 route-map такойто permit 10 match ip address разрешенныйтрафик потом по идее по докам надо на  интерфейс к провайдеру повесить crypto map моймап но вот куда вешать - непонятно... или на f2/0 который канальный или на f0/1 который в дмз... в общем нид хелп, мысль застряла %)

Ваше сообщение
Имя*:
EMail:	Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	> Добрый день! > Имеется необходимость поднять очередной IPSec туннель между двумя организациями. > Имеется две маленькие изюминки: > 1. На дальней стороне нет полноценного маршрутизатора, а есть только PIX501 > 2. С моей стороны сеть, которой требуется доступ к дальней приватной сети > является публичной > Ранее имел дело с приватными сетями и двумя маршрутизаторами. Поднимал Tunnel интерфейсы, > закрывал их IPSec и все было нормально, а тут PIX с > урезанными возможностями. > Почитал пример организации IPSec между циско роутером и пиксом вот тут: http://www.ciscolab.ru/security/ipsec/152-pixrouter.html > но не могу переложить конфигурацию для своих нужд, когда с моей стороны > не приватные адреса. > Имею: > Fa2/0 подключенный к провайдеру, соответственно ip nat outside > Fa0/0 в локалку с приватными адресами, соответственно ip nat inside > Fa0/1 в DMZ с публичными адресами, соответственно ip nat inside без роутмапа > Публичные адреса с моей стороны и стороны провайдера маршрутизированы static роутами. > Подумал следующую конфигурацию 7200: > !полиси > crypto isakmp policy 4 > hash md5 > authentication pre-share > crypto isakmp key ключтакойто address внешний.публичный.адрес.пикса > !трансформсет > crypto ipsec transform-set мойтрансформсет esp-des esp-md5-hmac > !создаю аксесслист для разрешения трафика между моим DMZ и их приватной сетью > ip access-list extended такойтолист > permit ip моя.дмз.подсеть.такаято 0.0.0.15 их.приватная.подсеть.такаято 0.0.0.255 > А вот дальше пока затык... Мыслю так: > crypto map моймап 10 ipsec-isakmp > set peer внешний.публичный.адрес.пикса > set transform-set мойтрансформсет > match address такойтолист > ip access-list extended разрешенныйтрафик > permit ip моя.дмз.подсеть.такаято 0.0.0.15 их.приватная.подсеть.такаято 0.0.0.255 > route-map такойто permit 10 > match ip address разрешенныйтрафик > потом по идее по докам надо на интерфейс к провайдеру повесить > crypto map моймап > но вот куда вешать - непонятно... или на f2/0 который канальный или > на f0/1 который в дмз... > в общем нид хелп, мысль застряла %)
	Введите код, изображенный на картинке: