PIX与VPNclient的互连(1)

　　PIX与VPNclient的pre-shared key互连

    vpn client是cisco的一款vpn客户端软件，专门用来与cisco的产品(PIX，router，VPN 3000集中器）作vpn连接使用，近日做了一下PIX和VPN client互连的实验，先把pre-shared key的配置写一下

　　实验环境如下：

　　VPN client--------------------------------PIX---------------------------AAA ACS server

　　192.168.0.243 192.168.0.254 10.1.1.244 10.1.1.88

　　VPN分配IP为10.1.1.246

　　pixfirewall# sh config

　　: Saved

　　:

　　PIX Version 6.0(1)

　　nameif ethernet0 outside security0

　　nameif ethernet1 inside security100

　　enable password EZt/JroCts.3MWq4 encrypted

　　passwd EZt/JroCts.3MWq4 encrypted

　　hostname pixfirewall

　　domain-name test.com

　　fixup protocol ftp 21

　　fixup protocol http 80

　　fixup protocol h323 1720

　　fixup protocol rsh 514

　　fixup protocol smtp 25

　　fixup protocol sqlnet 1521

　　fixup protocol sip 5060

　　fixup protocol skinny 2000

　　fixup protocol ftp 2121

　　names

　　access-list test permit icmp host 192.168.0.243 host 192.168.0.254 echo-reply

　　access-list 80 permit ip 10.1.1.0 255.255.255.0 10.1.1.0 255.255.255.0

　　!定义不进行NAT的流量，这些流量会用IPSce来封装，当PIX的内部IP和分配给VPN client的IP在同一网段的时候，一样要加ACL，源和目的网段一样的ACL，这个要注意。当时我在这里按照student guide的例子来配置ACL，允许PIX的outside口IP到分配给VPN client的IP地址段，但怎么也没有配置成功，VPN client不能访问PIX的内网服务器，但PIX的内网服务器却可以访问VPN client。后来修改ACL后就成功了。

　　pager lines 24

　　interface ethernet0 auto

　　interface ethernet1 auto

　　mtu outside 1500

　　mtu inside 1500

　　ip address outside 192.168.0.254 255.255.255.0

　　！定义PIX的outside口IP

　　ip address inside 10.1.1.244 255.255.255.0

　　！定义PIX的inside口IP

　　ip audit info action alarm

　　ip audit attack action alarm

　　ip local pool dialer 10.1.1.246-10.1.1.247

　　!定义分配给VPN client的IP地址池

　　no failover

　　failover timeout 0:00:00

　　failover poll 15

　　failover ip address outside 0.0.0.0

　　failover ip address inside 0.0.0.0

　　pdm location 10.1.1.88 255.255.255.255 inside