發表文章

目前顯示的是 2月, 2014的文章

PIX 515 7.0 site-to-site VPN 設定除錯記

喔! PIX 515已經是老古董了, 我由PIX 515用到現在ASA系列, 其軟體版本則由6.3, 7.x, 到現在的8.x。每一個版本的設定指令都有很大的改變, 不花些時間去看, 真的會看不懂。記得第一次使用時, 還買了一本5.x的中文書, 雖然和當時手上的6.3版已經有些許不同, 但入門的觀念和基本指令還是差不多, 很有幫助, 可惜後來借給同事後, 就不知道跑去那了。 最近則是把老機器拿出來用, 這代的PIX和第一代的ASA是同期的產品, 其軟體版本都是7.x, 所以大部份指令都是相同的。 要設定site-to-site VPN有兩個方法, 一是使用指令(CLI), 另一個方式則是使用web界面。簡單情況下, 使用web界面的方式較容易, 也比較不會出錯。但是使用指令可以做到細部的修改, 這可不是web界面的精靈能幫得上忙的。不過, 也比較容易出錯就是。我在這次的設定中是使用指令方式, 也因此出了一些錯, 所以找錯的方法和過程, 倒也值得記錄一下。 目的: 在A及B兩個LAN之間, 使用PIX, 建立一個VPN Tunnel 狀況: 每個LAN都有透過ISP提供的乙太專線上外網, 內外網之間則架有PIX當防火牆 A LAN的PIX設定: # sh run : Saved : PIX Version 7.0(1) names ! interface Ethernet0  nameif outside  security-level 0  ip address A.A.A.A 255.255.255.240 ! interface Ethernet1  nameif inside  security-level 100  ip address x.x.x.x 255.255.0.0 ! interface Ethernet2  shutdown  no nameif  no security-level  no ip address ! boot system flash:/image ftp mode passive clock timezone Taipei 8 access-list inside_nat0_outbound extended permit ip x.x.0.0 255.25