PIX这个东西我不专业,开始想做个IPSC的,后来发现那软件版本不够。
设备是PIX 525
需求:
VPN用户拨号访问DMZ和insidie的服务器和PC,实现在家办公。。。你说他们Y的多懒吧,本来上班就没什么,还要在家办公。
配置:
折腾我好久。。。
我只把有关的发出来了,其他没用的就别看了,太多,不是一般的多。
access-list VPN permit ip 10.1.255.0 255.255.255.0 10.1.255.0 255.255.255.0
access-list VPN permit ip 10.3.0.0 255.255.255.0 10.1.255.0 255.255.255.0
access-list VPN permit ip 10.1.0.0 255.255.255.0 10.1.255.0 255.255.255.0
access-list VPN permit ip 10.1.3.0 255.255.255.0 10.1.255.0 255.255.255.0
这些列表是不做NAT的流量,也就是VPN用户访问这些网段的时候不用NAT。
nat (DMZ) 0 access-list VPN
nat (inside) 0 access-list VPN
nat的配置,0的意思就是不做NAT。开始没有做DMZ那个,结果DMZ死活访问不了。
ip local pool VPNADD 10.1.255.100-10.1.255.200
定义VPN用户拨上来以后分配给他们的地址池。开始没用这个池,结果不能访问内网,怎么改都不成,最后改成和INSIDE接口一个段的地址池就可以了,真是奇怪。
sysopt connection permit-pptp
这个是说允许PPTP什么的流量,具体我也没弄太明白。看CISCO的文档和书里写的必须要有,不然不能用。
vpdn group MIIC accept dialin pptp 做一个PPTP的拨号组MIIC
vpdn group MIIC ppp authentication mschap 这个组的PPP认证用MCCHAP
vpdn group MIIC ppp encryption mppe 40 这不知道什么东西,我没配过,应该是自己出来的。
vpdn group MIIC client configuration address local VPNADD 告诉这个组播号进来的用户用VPNADD这个池的地址。
vpdn group MIIC client configuration dns 10.1.0.7 10.3.0.4 给这个组的用户分配DNS地址,第一个是主的
vpdn group MIIC pptp echo 60 这个也是自己出来的
vpdn group MIIC client authentication local 这个说客户的认证在本地
vpdn username miic password 123456789 这说拨号的用户使用的用户名和密码
vpdn enable outside 这个是说在OUTSIDE这个接口应用PPTP。