Настройка удаленного доступа в офис через VPN на Cisco PIX 501/506 и FreeBSD 7.0
Настройка удаленного доступа в офис через VPN на Cisco PIX 501/506 и FreeBSD 7.0
Примеры решения стандартных задач:
- организация удаленного доступа в головной офис сотрудников(системных администраторов, менеджеров и бухгалтеров)
с разграничением доступа на имеющемся в наличии мажсетевом экране(firewall) Cisco PIX 5ХХ
- реализация удаленного доступа в офис одного из удаленных филиалов на OS FreeBSD 7.Х через MPD
- настройка шифрованного туннеля(ipsec) для связи в единую локальную сеть центрального офиса и филиалов
1) Настройка удаленного доступа в офис через VPN на Cisco PIX 5ХХ
1. Убеждаемся, что активированы лицензии криптографии
pix# sh ver
Cisco PIX Firewall Version 6.3(5)
Hardware: PIX-501, 16 MB RAM, CPU Am5x86 133 MHz
Licensed Features:
VPN-DES: Enabled
VPN-3DES-AES: Enabled
2. Базовые настройки
pix(config)#ip address outside 80.80.80.2 255.255.255.0
pix(config)#ip address inside 10.10.10.1 255.255.255.0
pix(config)#route outside 0.0.0.0 0.0.0.0 80.80.80.1
pix(config)#global (outside) 1 interface
pix(config)#nat (inside) 1 10.10.10.0 255.255.255.0 0 0
3. Создаем списки доступа для администратора(без ограничений),
бухгалтера(только в 1С) и менеджера(в CRM) и блокируем попадание в NAT ВПН-трафика
pix(config)#access-list vpn_adm permit ip 10.10.10.0 255.255.255.0 10.10.100.0 255.255.255.0
pix(config)#access-list vpn_acc permit udp host 10.10.10.3 eq 475 10.10.100.0 255.255.255.0
pix(config)#access-list vpn_mng permit tcp host 10.10.10.2 eq 80 10.10.100.0 255.255.255.0
pix(config)#access-list nonat permit ip 10.10.10.0 255.255.255.0 10.10.100.0 255.255.255.0
pix(config)#nat (inside) 0 access-list nonat
4. Настраиваем шифрование
pix(config)#sysopt connection permit-ipsec
pix(config)#crypto ipsec transform-set main-lan esp-des esp-md5-hmac
pix(config)#crypto dynamic-map VPN 10 set transform-set main-lan
pix(config)#crypto map main-map 10 ipsec-isakmp dynamic VPN
pix(config)#crypto map main-map interface outside
pix(config)#isakmp enable outside
pix(config)#isakmp identity address
pix(config)#isakmp nat-traversal 60
pix(config)#isakmp policy 10 authentication pre-share
pix(config)#isakmp policy 10 encryption des
pix(config)#isakmp policy 10 hash sha
pix(config)#isakmp policy 10 group 1
pix(config)#isakmp policy 10 lifetime 86400
5. Создаем пулы, учетные записи пользователей и выдаем права доступа
pix(config)#ip local pool VPNuser0 10.10.100.100
pix(config)#ip local pool VPNuser1 10.10.100.101
pix(config)#ip local pool VPNuser2 10.10.100.102
pix(config)#vpngroup alex address-pool VPNuser0
pix(config)#vpngroup alex split-tunnel vpn_adm
pix(config)#vpngroup alex password ********
pix(config)#vpngroup alex idle-time 1800
pix(config)#vpngroup larisa address-pool VPNuser1
pix(config)#vpngroup larisa split-tunnel vpn_acc
pix(config)#vpngroup larisa password ********
pix(config)#vpngroup larisa idle-time 1800
pix(config)#vpngroup mike address-pool VPNuser2
pix(config)#vpngroup mike split-tunnel vpn_mng
pix(config)#vpngroup mike password ********
pix(config)#vpngroup mike idle-time 1800
6. Отладка при возникновении проблем
pix#debug crypto isakmp
pix#debug crypto ipsec
pix#debug crypto engine
7. Для подключения используем Cisco VPN client,
взять можно здесь(http://net-adm.ru/soft/vpnclient-win-msi-4.8.01.0300-k9.exe)
или скачать с сайта www.cisco.com
(для windows vista рекомендуется использовать 5-ю версию клиента)
8. Подключение
Запускаем программу, нажимаем кнопку "New"
В открывшемся окне в поле "Connection Entry" вводим main-office (можно любое слово - это будет название подключения)
В поле "Host" вводим 80.80.80.2
В поле "Name" вводим логин (alex, larisa или mike)
В поле "Password" вводим соответствующий пароль, в поле "Confirm password" повторяем его еще раз.
Нажимаем кнопку "Save"
Теперь в основном меню программы появилось соединение - кликаем в него и нажимаем "Connect".