• If this is your first visit, be sure to check out the FAQ by clicking the link above. You may have to register before you can post: click the register link above to proceed. To start viewing messages, select the forum that you want to visit from the selection below.
Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

PIX - help me urgent.

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • PIX - help me urgent.

    Hi all, :oops:
    Minh co mot PIX, dung mobile user VPN cua safenet de connect VPN, nhung khong the connect duoc, co ai biet xin chi gium.

    Cam on.

  • #2
    Bạn cần nói rõ hơn dược không?
    Connect vào PIX hay qua (through) PIX? (Có-lẽ thru PIX?)
    Bạn dùng algorithms, encryption protocols?
    PIX là model nào? (License cho DES, 3DES)
    Nói tóm-lại, bạn có-thể paste configuration lên dây dược không?

    Nếu bạn dùng safenet, bạn dã allow cho ipsec get thru the PIX bằng ACL?
    Command này rất helpful, ko biết bạ dã thử chưa:
    sysopt connection permit-ipsec

    Chúc may-mắn,

    Comment


    • #3
      Re: PIX - help me urgent.

      Hi, :)
      Tui can ca hai, mot la cho safenet connect vao PIX, hai la cho Safenet di thru PIX,
      Hien tai dang config cho connect vao PIX.
      Ban co cach nao chi tui voi.

      Cam on,

      Comment


      • #4
        Muốn ping from outside, bạn dùng:
        icmp permit ..... outside
        Muốn connect to PIX from outside, bạn không telnet dược mà dùng:
        ssh <ip address> &lt;mask> outside
        Muốn get thru PIX by IPsec, bạn allow IPsec bằng conduit hay inbound ACL entries. Chớ quên port UDP500 cho IKE, nếu bạn có dùng nó.
        Again, sysopt connection permit-ipsec rất help.

        Comment


        • #5
          Xin dọc lại là:
          ssh <ip address> &lt;mask> outside

          Comment


          • #6
            Admin,
            Please check giúp: text missing >ip_address&lt; twice!

            Comment


            • #7
              Re: PIX - help me urgent.

              interface ethernet0 10baset
              interface ethernet1 100full
              nameif ethernet0 outside security0
              nameif ethernet1 inside security100
              hostname TEST
              domain-name test.com
              fixup protocol ftp 21
              fixup protocol h323 h225 1720
              fixup protocol h323 ras 1718-1719
              fixup protocol http 80
              fixup protocol ils 389
              fixup protocol rsh 514
              fixup protocol rtsp 554
              fixup protocol sip 5060
              fixup protocol sip udp 5060
              fixup protocol skinny 2000
              fixup protocol smtp 25
              fixup protocol sqlnet 1521
              names
              access-list 80 permit ip 172.16.69.0 255.255.255.0 172.18.20.0 255.255.255.0
              pager lines 24
              mtu outside 1500
              mtu inside 1500
              ip address outside 192.168.160.239 255.255.255.0
              ip address inside 172.16.69.1 255.255.255.0
              ip audit info action alarm
              ip audit attack action alarm
              ip local pool vpnpool 172.18.20.50-172.18.20.60
              pdm history enable
              arp timeout 14400
              global (outside) 1 interface
              nat (inside) 0 access-list 80
              nat (inside) 1 0.0.0.0 0.0.0.0 0 0
              timeout xlate 3:00:00
              timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
              timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
              timeout uauth 0:05:00 absolute
              aaa-server TACACS+ protocol tacacs+
              aaa-server RADIUS protocol radius
              aaa-server LOCAL protocol local
              no snmp-server location
              no snmp-server contact
              snmp-server community public
              no snmp-server enable traps
              floodguard enable
              sysopt connection permit-ipsec
              crypto ipsec transform-set transet esp-des esp-md5-hmac
              crypto dynamic-map dymap 4 set transform-set transet
              crypto map mymap 5 ipsec-isakmp dynamic dymap
              crypto map mymap client configuration address initiate
              crypto map mymap interface outside
              isakmp enable outside
              isakmp key cisco12345 address 0.0.0.0 netmask 0.0.0.0
              isakmp identity address
              isakmp keepalive 3600
              isakmp client configuration address-pool local vpnpool outside
              isakmp nat-traversal 20
              isakmp policy 10 authentication pre-share
              isakmp policy 10 encryption 3des
              isakmp policy 10 hash sha
              isakmp policy 10 group 1
              isakmp policy 10 lifetime 1800
              isakmp policy 15 authentication pre-share
              isakmp policy 15 encryption des
              isakmp policy 15 hash md5
              isakmp policy 15 group 1
              isakmp policy 15 lifetime 1800
              telnet timeout 5
              ssh timeout 5
              console timeout 0

              Hi,
              Day la cau hinh PIX cua tui, cac su phu xem xong chi giao gium,
              Cam on nhieu.

              Comment


              • #8
                Bạn Minh Ky,

                Nếu trên dó là completed configuration của bạn, thì mình tin rằng ít nhất bạn dã thiếu command này:
                route outside 0 0 interface
                Chưa bàn dược về AAA trong configuration, thành-thật xin-lỗi. Xin hẹn sau khi thi xong exam (CSPA) sáng thứ Bảy 14/06/03.
                Link này có good examples cho bạn:



                Best luck,

                Comment


                • #9
                  Cho mình hỏi với!

                  Mình dùng PIX để chặn các gói tin không hợp pháp từ ngoài vào, từ trong ra thì cho tất cả các giao thức tcp đi qua, có 1 server ở trong được map ra ngoài, ở ngoài vào thì chỉ có 3 port được mở cho server được map là www, smtp và pop3. Theo cấu hình này thì ở trong không thể dùng nslookup để truy xuất DNS server ở ngoài. Mình phải cho thêm giao thức udp ở trong ra và ở ngoài vào thì chạy được. Xin các bạn giải thích và cho mình cách nào để giải quyết vấn đề này không ?

                  Cám ơn rất nhiều.

                  Comment


                  • #10
                    Có lẽ là lệnh này !

                    access-list acl_out permit udp any any eq domain

                    By the way, bác có phải nhatpc không vậy ?

                    Comment


                    • #11
                      Cám ơn mặc dù không phải, sau khi mình đọc cái bài FTP thì mình đã hiểu và config được rồi.
                      >>Zazu ????

                      Comment

                      Working...
                      X