因此,我加入的公司希望放弃 IPCop 防火墙,将其替换为 Cisco ASA 5505。我决定先在我们的远程设施中用 ASA 替换 IPCop 防火墙,然后再替换中心 IPCop 盒(甚至可能永远不替换),而不是拆除整个网络并使其停机数周(无论设置每个新 ASA 需要多少周)。
我们远程设施中的每个 IPCop 防火墙都使用证书通过隧道连接到单个集线器 IPCop 盒。为了保持一致性,我想使用证书从新的 ASA 创建到集线器 IPCop 盒的 VPN 隧道。
我目前所做的:
- 在 ASA 上生成 RSA 密钥对
- 使用手动注册将集线器 IPCop 盒添加为 ASA 上的信任点
- 为信任点生成注册请求
- 将注册请求发送到 IPCop 框并与其建立连接
- 创建连接时导入了IPCop盒子创建的身份证书
- 在 ASA 中验证 IPCop 盒的根证书
- 通过 VPN 向导创建 NAT 豁免和隧道组等
种种迹象表明,VPN 隧道仍未打开。我是不是忘了神奇的“拨动开关”步骤?我是不是完全搞错了?