%20%E4%B8%8A%E7%A6%81%E7%94%A8%20VPN%EF%BC%8C%E5%B9%B6%E9%85%8D%E7%BD%AE%20VPN%20%E7%9B%B4%E9%80%9A%E5%88%B0%20Windows%202003%20DC%2FRRAS.png)
我所在的公司有一位客户,其客户拥有运行 v6.3 的 Cisco PIX 506e 防火墙。PIX 当前设置为使用本地 Windows 域控制器作为 RADIUS 服务器来管理 PPTP VPN 连接。PIX 不支持 MSCHAP v2 连接,因此用户无法从 Windows 7 工作站进行连接。
我们的计划是禁用 PIX 上的 VPN 连接,然后让 VPN 通过,让 DC 进行管理。问题是,我找不到有关禁用 PIX 上现有 VPN 设置的任何信息。
我对 PIX 的经验并不多,但据我所知,以下是控制 VPN 设置的所有命令。
vpdn group 1 accept dialin pptp
vpdn group 1 ppp authentication pap
vpdn group 1 ppp authentication chap
vpdn group 1 ppp authentication mschap
vpdn group 1 ppp encryption mppe 40
vpdn group 1 client configuration address local bigpool
vpdn group 1 client configuration dns local_server_alias
vpdn group 1 client configuration wins local_server_alias
vpdn group 1 client authentication aaa RADIUS
vpdn group 1 pptp echo 60
vpdn username some_users password ********
vpdn enable outside
我看过 PIX v6.3命令参考我没有看到任何关于禁用它的信息。命令tftp-server参考使用no命令禁用 tftp 服务器,但 vpnd 命令参考没有相关信息。要禁用它,是否只需使用命令no vpdn enable outside或no对上述所有命令执行一次,还是其他方法?
其次,相关的问题是如何通过 pix 正确地传递 VPN。
已审核思科文档 ID 18806看起来我需要做的就是添加以下几行:
access-list acl-out permit gre any host external_ip_of_RRAS
access-list acl-out permit tcp any host external_ip_of_RRAS eq 1723
static (inside,outside) external_ip_of_RRAS internal_ip_of_RRAS netmask 255.255.255.255 0 0
access-group acl-out in interface outside
可能还需要一个 PPTPfixup命令,但听起来只有从内到外的 PPTP 才需要这个命令。这看起来正确吗?还是我还需要其他命令?
谢谢!
答案1
如果您将“acl-out”应用于外部接口,您可能会发现自己陷入困境!如果已经应用了访问组,则存在删除所有现有入站访问的风险。
在执行任何操作之前,请先执行 show access-group 来检查已应用了哪些 acl(如果有)。我没有 PIX v6 来检查命令的具体内容,但它应该是这样的:-
pix501# show access-group
你应该会收到类似的回应......
access-group outside_acl in interface outside
access-group inside_acl in interface inside
如果你确实有一个访问列表应用于你的外部接口,那么你需要添加到那个访问列表,而不是创建一个新的访问列表
pix501(config)# access-list outside_acl permit gre any host external_ip_of_RRAS
pix501(config)# access-list outside_acl permit tcp any host external_ip_of_RRAS eq 1723
pix501(config)# static (inside,outside) external_ip_of_RRAS internal_ip_of_RRAS
如果您没有将访问列表应用于您的外部接口,那么请按照上面所说的将其应用于您的外部接口。
pix501(config)# access-group outside_acl in interface outside
要禁用现有的 pptp,您需要做的就是将 vpnd enable 语句设置为“否”
pix501(config)# no vpdn enable outside
类似地,如果你想彻底删除所有的 vpdn 配置,只需在要删除的配置行前面输入“no”
pix501(config)# no vpdn group 1 accept dialin pptp
pix501(config)# no vpdn group 1 ppp authentication pap
pix501(config)# no vpdn group 1 ppp authentication chap
pix501(config)# no vpdn group 1 ppp authentication mschap
pix501(config)# no vpdn group 1 ppp encryption mppe 40
pix501(config)# no vpdn group 1 client configuration address local bigpool
pix501(config)# no vpdn group 1 client configuration dns local_server_alias
pix501(config)# no vpdn group 1 client configuration wins local_server_alias
pix501(config)# no vpdn group 1 client authentication aaa RADIUS
pix501(config)# no vpdn group 1 pptp echo 60
pix501(config)# no vpdn username some_users