BM37 VPN и CISCO

Обсуждение технических вопросов по продуктам Novell

BM37 VPN и CISCO

Сообщение Стогов Кирилл » 20 сен 2004, 14:31

Всем добрый день.

У нас есть подсеть публичных адресов
На границе стоит PIX 6.3
Внутри локальной сети BM37

Хочется настроить клиент-сайт VPN на BM.
И вот здесь большая загвоздка
NAT искажает пакеты и нарушает контрольную сумму ICV, о чем BM радостно сообщает.
Все рекомендации по поводу IPsec NAT Traversal говорят
о IKE, а BM37 использует SKIP

У кого-нибудь работает VPN (BM версия до 3.8) через NAT (есс-но не NW NAT)???

Если я подниму вторую карту на сервере и дам ее публичный IP адрес, а на PIX-е пропишу соответствие

name 213.182.111.111 VPN
static (inside,outside) VPN VPN netmask 255.255.255.255 0 0
Привяжу к этому адресу VPN.

Будет ли работать ??? Вроде подмены IP адресов нет и ???

Может быть использовать VPN от Cisco + Radius на BM
Тогда такой вопрос, Bm был проинсталлирован без Radius.
Как его доставить руками, чтобы не накрылись разные SP и патчи?
У кого-нибудь так работает?

Спасибо за любую информацию.
Стогов Кирилл
 
Сообщения: 368
Зарегистрирован: 10 июн 2002, 14:11
Откуда: СПб

Сообщение Сергей.М. » 21 сен 2004, 05:54

PIX всегда использует НАТ, это его принцип работы. Как вариант пробуйте транслировать адрес сам в себя.
Впринципе Вам ничто не мешает терминировать VPN соединение на PIX. Только справится ли он? Сколько сессий предпологается? Модель PIX?
Аватара пользователя
Сергей.М.
 
Сообщения: 181
Зарегистрирован: 06 июн 2002, 08:14

Сообщение Стогов Кирилл » 21 сен 2004, 09:34

Так я ж и пишу, что
name 213.182.111.111 VPN
static (inside,outside) VPN VPN netmask 255.255.255.255 0 0
сам в себя.

PIX 506
Соединений до 5
Мне интересно, я один Cisco-и эксплуатирую или как?
Стогов Кирилл
 
Сообщения: 368
Зарегистрирован: 10 июн 2002, 14:11
Откуда: СПб

Re: BM37 VPN и CISCO

Сообщение biruk » 21 сен 2004, 11:52

Стогов Кирилл писал(а):У кого-нибудь работает VPN (BM версия до 3.8) через NAT (есс-но не NW NAT)???

на пиксе терминирую.
Если я подниму вторую карту на сервере и дам ее публичный IP адрес, а на PIX-е пропишу соответствие

name 213.182.111.111 VPN
static (inside,outside) VPN VPN netmask 255.255.255.255 0 0
Привяжу к этому адресу VPN.

Будет ли работать ??? Вроде подмены IP адресов нет и ???

если поствишь вторую карту, с внешним ip, то получится что он в той же подсети что и outside, а nat всегда делается _между_
интерфейсами. и вообще пикс в таком случае останется сбоку.

тогда уж static(outside, inside)... а вообще это криво. терминируй на пиксе.

есть. но 1 в 1 :)

Может быть использовать VPN от Cisco + Radius на BM
Тогда такой вопрос, Bm был проинсталлирован без Radius.
Как его доставить руками, чтобы не накрылись разные SP и патчи?
У кого-нибудь так работает?

посмотри, на диске в sys:system, там радиус должен лежать. нужно только создать нужные объекты в edir и и какого-нить пользователя, от имени которого будешь запускать радиус.
biruk
 
Сообщения: 111
Зарегистрирован: 21 янв 2004, 14:20

Re: BM37 VPN и CISCO

Сообщение Стогов Кирилл » 21 сен 2004, 12:34

biruk

т.е. у тебя VPN сервер это PIX.
А аутентификация в NDS через RADIUS
или без связки с NDS?
И если связка, то есть ли проблемы с эксплуатацией данной схемы?
Стогов Кирилл
 
Сообщения: 368
Зарегистрирован: 10 июн 2002, 14:11
Откуда: СПб

Сообщение Сергей.М. » 21 сен 2004, 14:18

Хм... у тебя outside---->inside. Вполне возможно PIX просто блокирует все на ouside интерфейсе. Ты access-list навешиваеш или по умолчанию conduit any?
Аватара пользователя
Сергей.М.
 
Сообщения: 181
Зарегистрирован: 06 июн 2002, 08:14

Сообщение Стогов Кирилл » 21 сен 2004, 14:41

Сергей.М.

Я еще не пробовал адрес сам в себя.

А стандартный NAT, когда немаршрутизируемый адрес
связывается с публичным не работает точно.
Access list в норме, соединение устанавливается, а когда
пытаешься что-нибудь сделать, например, ping, то ICV error.

Я нашел на форуме, и в coolsolutions есть пара слов, что
мол даже не пытайтесь. Все дело в SKIP.

Попытаемся отработать оба варианта, о результатах сообщу.
Стогов Кирилл
 
Сообщения: 368
Зарегистрирован: 10 июн 2002, 14:11
Откуда: СПб

Re: BM37 VPN и CISCO

Сообщение biruk » 21 сен 2004, 20:59

Стогов Кирилл писал(а):biruk

т.е. у тебя VPN сервер это PIX.
А аутентификация в NDS через RADIUS
или без связки с NDS?
И если связка, то есть ли проблемы с эксплуатацией данной схемы?

через радиус. только микрософтовский. в новелевском должно тоже получится, если нужна только авторизация.
biruk
 
Сообщения: 111
Зарегистрирован: 21 янв 2004, 14:20

Сообщение biruk » 21 сен 2004, 21:21

Сергей.М. писал(а):Хм... у тебя outside---->inside. Вполне возможно PIX просто блокирует все на ouside интерфейсе. Ты access-list навешиваеш или по умолчанию conduit any?

все нормально ходит.
access-list, конечно! кондуиты не использую вовсе.

а вообще, это кому вопрос? :)
biruk
 
Сообщения: 111
Зарегистрирован: 21 янв 2004, 14:20

Сообщение Сергей.М. » 22 сен 2004, 05:40

biruk писал(а):
Сергей.М. писал(а):Хм... у тебя outside---->inside. Вполне возможно PIX просто блокирует все на ouside интерфейсе. Ты access-list навешиваеш или по умолчанию conduit any?

все нормально ходит.
access-list, конечно! кондуиты не использую вовсе.

а вообще, это кому вопрос? :)


Это было для Кирила :D. У тебя то понятно что проблем нет, сами пока терминируем на пиксе, используем IPSec и для генрации ключей са.
Аватара пользователя
Сергей.М.
 
Сообщения: 181
Зарегистрирован: 06 июн 2002, 08:14


Вернуться в Novell

Кто сейчас на конференции

Сейчас этот форум просматривают: Majestic-12 [Bot] и гости: 5

cron