proNovell

Всем добрый день.

У нас есть подсеть публичных адресов
На границе стоит PIX 6.3
Внутри локальной сети BM37

Хочется настроить клиент-сайт VPN на BM.
И вот здесь большая загвоздка
NAT искажает пакеты и нарушает контрольную сумму ICV, о чем BM радостно сообщает.
Все рекомендации по поводу IPsec NAT Traversal говорят
о IKE, а BM37 использует SKIP

У кого-нибудь работает VPN (BM версия до 3.8) через NAT (есс-но не NW NAT)???

Если я подниму вторую карту на сервере и дам ее публичный IP адрес, а на PIX-е пропишу соответствие

name 213.182.111.111 VPN
static (inside,outside) VPN VPN netmask 255.255.255.255 0 0
Привяжу к этому адресу VPN.

Будет ли работать ??? Вроде подмены IP адресов нет и ???

Может быть использовать VPN от Cisco + Radius на BM
Тогда такой вопрос, Bm был проинсталлирован без Radius.
Как его доставить руками, чтобы не накрылись разные SP и патчи?
У кого-нибудь так работает?

Спасибо за любую информацию.

PIX всегда использует НАТ, это его принцип работы. Как вариант пробуйте транслировать адрес сам в себя.
Впринципе Вам ничто не мешает терминировать VPN соединение на PIX. Только справится ли он? Сколько сессий предпологается? Модель PIX?

Так я ж и пишу, что
name 213.182.111.111 VPN
static (inside,outside) VPN VPN netmask 255.255.255.255 0 0
сам в себя.

PIX 506
Соединений до 5
Мне интересно, я один Cisco-и эксплуатирую или как?

Стогов Кирилл писал(а):У кого-нибудь работает VPN (BM версия до 3. через NAT (есс-но не NW NAT)???

на пиксе терминирую.

Если я подниму вторую карту на сервере и дам ее публичный IP адрес, а на PIX-е пропишу соответствие

name 213.182.111.111 VPN
static (inside,outside) VPN VPN netmask 255.255.255.255 0 0
Привяжу к этому адресу VPN.

Будет ли работать ??? Вроде подмены IP адресов нет и ???

если поствишь вторую карту, с внешним ip, то получится что он в той же подсети что и outside, а nat всегда делается _между_
интерфейсами. и вообще пикс в таком случае останется сбоку.

тогда уж static(outside, inside)... а вообще это криво. терминируй на пиксе.

есть. но 1 в 1

Может быть использовать VPN от Cisco + Radius на BM
Тогда такой вопрос, Bm был проинсталлирован без Radius.
Как его доставить руками, чтобы не накрылись разные SP и патчи?
У кого-нибудь так работает?

посмотри, на диске в sys:system, там радиус должен лежать. нужно только создать нужные объекты в edir и и какого-нить пользователя, от имени которого будешь запускать радиус.

biruk

т.е. у тебя VPN сервер это PIX.
А аутентификация в NDS через RADIUS
или без связки с NDS?
И если связка, то есть ли проблемы с эксплуатацией данной схемы?

Хм... у тебя outside---->inside. Вполне возможно PIX просто блокирует все на ouside интерфейсе. Ты access-list навешиваеш или по умолчанию conduit any?

Сергей.М.

Я еще не пробовал адрес сам в себя.

А стандартный NAT, когда немаршрутизируемый адрес
связывается с публичным не работает точно.
Access list в норме, соединение устанавливается, а когда
пытаешься что-нибудь сделать, например, ping, то ICV error.

Я нашел на форуме, и в coolsolutions есть пара слов, что
мол даже не пытайтесь. Все дело в SKIP.

Попытаемся отработать оба варианта, о результатах сообщу.

Стогов Кирилл писал(а):biruk

т.е. у тебя VPN сервер это PIX.
А аутентификация в NDS через RADIUS
или без связки с NDS?
И если связка, то есть ли проблемы с эксплуатацией данной схемы?

через радиус. только микрософтовский. в новелевском должно тоже получится, если нужна только авторизация.

Сергей.М. писал(а):Хм... у тебя outside---->inside. Вполне возможно PIX просто блокирует все на ouside интерфейсе. Ты access-list навешиваеш или по умолчанию conduit any?

все нормально ходит.
access-list, конечно! кондуиты не использую вовсе.

а вообще, это кому вопрос?

biruk писал(а):

Сергей.М. писал(а):Хм... у тебя outside---->inside. Вполне возможно PIX просто блокирует все на ouside интерфейсе. Ты access-list навешиваеш или по умолчанию conduit any?

все нормально ходит.
access-list, конечно! кондуиты не использую вовсе.

а вообще, это кому вопрос?

Это было для Кирила . У тебя то понятно что проблем нет, сами пока терминируем на пиксе, используем IPSec и для генрации ключей са.