Jeg har vist nok et gæste-login. Jeg har fået gaflet en klient, men skal man føle sig som en lille hæler, eller hvad er egentlig Cisco's intentioner med disse forhindringer? (gætter man skal være autoriseret)
Jeg må bare sige, at det fungerer rigtig godt. :o)
Du skal "banke" dette ind i dine PIX konfigs: isakmp nat-traversal 60... Hvorfor? Here goes:
Man kan ikke køre native IPsec ud igennem en PIX hvis denne PIX er konfig'et til at terminerer VPN tunneller (Jo, hvis man har flere public IPs og laver en static NAT mapping til klient). IPSec virker jo ikke sådan videre igennem NAT, med mindre NAT boksen understøtter IPSec passthroug (Det gør PIX ved at bruge kommandoen "fixup protocol esp-ike". Gør du dette kan PIX ikke længere terminere VPN tunneller.) Men hvis man nu encapsulerer IPSec i UDP som virker igennem et NAT device, er der intet problem. Det er lige det kommandoen "isakmp nat-traversal 60" gør :-) Den er dog kun tilgængelig hvis du kører PIX OS ver. 6.3.... :-(
Nå ja, nummeret 60 er et interval i secs. for keepalives packets...
Inden jeg begynder at gå dybere ind i konfigurationen, ville jeg gerne tage backup. Er der en snild måde at gemme en konfiguration og hente den ind igen - hvis nødvendigt.
Du selvfølgelig bare paste konfig'en ud af den via en consol el. telnet... Du kan også gemme konfig på en TFTP server, med kommandoen "write net <TFTserver IP>:filnavn"
Login:<password> PIX>ena password PIX#conf t PIX(config)#isakmp nat-traversal 60 exit PIX#wr term (så ser du den kørenden konfig..chec at der nu står isakmp nat-traversal 60 ) PIX#wr mem (så gemmes konfig)
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.