Mình có một thử nghiệm VPN như thế này nhờ các bạn giúp.

[Khonggiadinh]

Mình có một thử nghiệm như thế này nhờ các bạn giúp.

Xin xem file đính kèm :

Theo đó :

-Với địa chỉ của laptop 192.168.1.3 thì nó có thể được xem như là đang câu vào mặt trong với pix hay không
- Từ mặt trong của pix muốn ping đến 10.32.50.50 thì phải làm thế nào?
- Nếu ping được thì kỹ thuật thuật thực hiện nó có phải là VPN không.

Xin được chỉ giáo.

Cảm ơn

[meo_u82]

Mình không biết cái PIX là cái gì vậy , nhưng theo mình thì nếu bạn chỉ sử dụng Switch đơn thuần như thế thì chắc chắn là bạn không thể nào làm cho Laptop bạn ping được các network còn lại vì khi bạn nối vào Switch thì nó phải cùng subnet với subnet đó , nếu địa chỉ của PIX là 172.18.124.35/28 thì nếu Server là 172.18.124.157/28 thì PIX và Server sẽ không nhìn thấy nhau vì nó thuộc 2 Subnet khác nhau , bạn có thể đổi IP cho Server từ 172.18.124.33 172.18.124.46 dĩ nhiên là không được đặt là 172.18.124.35 vì nó trùng với của PIX , tương tự , Laptop phải nằm trong vùng địa chỉ trên , nếu bạn nối Laptop vào Switch như thế thì không thể xem như nối vào mặt trong của PIX , mình chỉ nghĩ vậy , nếu có gì sai xót thì xin được các bạn "chỉ giáo" thêm

[Khonggiadinh]

Rồi.............. bây giờ mình sữa lại địa chỉ của Win2K server la` 172.18.124.39/28. bây giờ thì nó cùng subnet voi Pix Firewall rồi nhé.

Vẫn câu hỏi như cũ. :shock:

Và mình thì vẫn cho rằng Laptop đang đươc câu vào mặt trong của PIX vì nó đang cùng subnet với địa chỉ iniside của PIX. Right???

Mong các bạn cho ý kiến.

[Lan Huong]

Chào các bạn !

Có thể diễn giải sơ đồ của bạn Khonggiadinh theo mô hình như sau:


Net----------||(PIX)------------------------||(Switch) (laptop)---------------------------||(PC)-----------Net

Và Laptop có cùng subnet với địa chỉ mặt trong mặt trong của PIX. OK?

Theo ý mình thì :

1. Với sơ đồ như thế này thì có thể xem như Laptop đang thuộc mạng bên trong của PIX (vì rõ ràng là địa chỉ của nó có cùng subnet với địa chỉ inside của PIX).

2. Có thể từ mặt trong của PIX ping đến các địa chỉ bên trong của Win2KServer hoặc ngược lại.

Bằng cách nào?
Thì cứ xem như đây là VPN site-to-site !!!!?????

Site1 (Pix) -------------------------------------(Server) Site2

Và để thực hiện điều này có thể cấu hình tại Win2KServer các rule để chấp nhận sự trao đổi thông tin giữa 2 bên. Và cấu hình Pix như la` 1 site khác.

Không biết ý đồ của Khonggiadinh có phải là như thế không ????

Còn các bạn khác........ý kiến các bạn thế nào!

Mong được trao đổi.

[meo_u82]

Theo mình , nếu PIX là một router thì nếu bạn connect Laptop vào switch , mặc dù về mặt IP thì nó cùng subnet , với mặt trong của PIX ,nhưng nó không cùng segment với interface của PIX , nên bạn không thể dùng Laptop để ping tới các site khác , nếu được thì bạn có thể practice ý kiến của bạn và ý kiến của tôi

[hoachuoi]

Khonggiadinh ơi,

Nhờ bạn gửi lại sơ đồ theo hình jpg, gif... lên đây được không, như vậy chắc sẽ dễ xem hơn hi. Chỗ mình không mở được cái .zip này và không biết ý đồ của bạn có giống như Lan Huong đã trình bày không nhỉ?

[Khonggiadinh]

Xin cảm ơn các bạn đã quan tâm đến câu hỏi của mình
to Hoa chuối : Hình mình đã post lại. Bạn xem giúp nhé.
to Lan Hương : Bạn có thể cho mình xem bạn đã config trên PIX và trên Win như thế nào không.

Cảm ơn vì đã quan tâm.

[hoachuoi]

Cám ơn Khonggiadinh đã đáp ứng nhu cầu rất nhanh chóng!

Về sơ đồ này, có lẽ Laptop không nằm ở phía trong của PIX đâu hi, mặc dù địa chỉ giống ở bên trong nhưng về vật lý nó lại nằm cùng switch với cổng bên ngoài, nếu dùng thế này chắc PIX nó sẽ báo lỗi giả địa chỉ IP, phát hiện bởi kỹ thuật anti-spoofing ha.

Nếu muốn ping từ mặt trong của PIX đến mạng 10. mà không có yêu cầu gì đặc biệt hơn, thì cách đơn giản nhất là dùng NAT(/PAT) trên PIX và cài đặt routing ở phía ngoài cho đúng. (route outside 10.32.50.0 255.255.255.0 172.18.124.38).

Còn nếu muốn dùng VPN cũng được, cài đặt VPN site-to-site từ PIX đến Windows server. Cách này rõ ràng là phải cấu hình nhiều hơn cách trên rồi, bạn có thể xem thêm tài liệu về cấu hình site-to-site VPN cho PIX trong Doc CD hoặc trên CCO.

Chúc thành công.

[diendan]

Ơi Hoa Chuối. Chắc không phải là Anti-Spoofing đâu, về lý thuyết ATS chỉ thực hiện được ở SUBNET không thuộc hai SUBNET của PIX thôi. Laptop chả là gì trong/ngoài của PIX.

Để Ping được:
1.
Router outside: ip route 10.32.50.0 255.255.255.240 172.18.124.38
Win2k : + NAT (Eth [172.] PRIVATE, Eth [10.] PUBLIC)
+ Không cấm ICMP

2. VPN của Hoa Chuối.

Hoa Chuối thấy thế nào?

Thân chào!

[Lan Huong]

Xin chao`.

Ở đây chỉ xin lạm bàn về VPN………..
Từ ý tưởng của bạn khonggiadinh mình đã thử làm đúng như các giả thiết nêu ra trong mô hình .
Tuy nhiên mình nối inside lẫn outside của PIX vào Switch.
Mục đích là để tạo giả lập kết nối VPN site-to-site . Nếu từ mặt trong của PIX ping đến được 10.32.50.50 thì có nghĩa là kết nối VPN đã tha`nh công phải không anh Hoachuoi. ????
Mình đã config trên PIX như thế này . Tuy nhiên vẫn chưa ping đến được mạng bên trong WIN2KServer và ngược lại. Why why why ??????

Không hiểu là đã sai chỗ nào……

Các đại gia VPN ơi . Giúp mình với nha.


PIX Version 6.2


!--- Source/Destination networks defined

access-list 115 permit ip 192.168.1.0 255.255.255.0 10.32.50.0 255.255.255.0
access-list 115 deny ip 192.168.1.0 255.255.255.0 any
ip address outside 172.18.124.35 255.255.255.240
ip address inside 192.168.1.1 255.255.255.0

!--- Except Source/Destination from Network Address Translation (NAT):

nat (inside) 0 access-list 115
route outside 0.0.0.0 0.0.0.0 172.18.124.36 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00
sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
no sysopt route dnat

!--- IPSec transforms

crypto ipsec transform-set myset esp-des esp-md5-hmac

!--- IPSec lifetime

crypto ipsec security-association lifetime seconds 3600
crypto map rtpmap 10 ipsec-isakmp

!--- Source/Destination networks

crypto map rtpmap 10 match address 115
!--- Encryption peer

crypto map rtpmap 10 set peer 172.18.124.38
crypto map rtpmap 10 set transform-set myset
crypto map rtpmap interface outside
isakmp enable outside
!--- Encryption peer

isakmp key ******** address 172.18.124.38 netmask 255.255.255.240
isakmp identity address
!--- Authentication method

isakmp policy 10 authentication pre-share

!--- IKE encryption method

isakmp policy 10 encryption des
!--- IKE hashing

isakmp policy 10 hash sha
!--- Diffie-Hellman group

isakmp policy 10 group 1

!--- IKE lifetime

isakmp policy 10 lifetime 28800telnet timeout 5
ssh timeout 5
terminal width 80
Cryptochecksum:c237ed11307abea7b530bbd0c2b2ec08
: end



Và ở phía Win2Kserver Run / secpol.msc /IP Security Policies on Local Machine /

Ở đây mình cấu hình 2 filter 1 accept lưu lượng từ Win-> PIX và 1 cho phép lưu lượng tù PIX -> Win.

Xin cảm ơn.