Глобальная сеть (WAN) : Устройства защиты Cisco PIX серии 500

Разрешение соединений PPTP через PIX/ASA

23 марта 2008 - Перевод, выполненный профессиональным переводчиком
Другие версии: PDF-версия:pdf | Машинный перевод (28 июля 2013) | Английский (5 февраля 2008) | Отзыв

Содержание

Общие сведения
Предварительные условия
      Требования
      Используемые компоненты
      Базовые сведения
      Условные обозначения
PPTP с внутренним клиентом и внешним сервером
      Схема сети
      Команды, добавляемые к версии 6.2 и более ранним
      Команды, добавляемые для версии 6.3
      Команды, добавляемые для версии 7.x
      Конфигурация для версии 6.2 и более ранних
PPTP с внешним клиентом и внутренним сервером
      Схема сети
      Команды, добавляемые во все версии
Проверка
Поиск и устранение неисправностей
      Несколько соединений PPTP при использовании PAT не работают
      Команды отладки
Информация, обязательная для сбора в случае обращения в Центр технической поддержки
Связанные обсуждения сообщества поддержки Cisco
Дополнительные сведения

Общие сведения

В этом документе обсуждается конфигурация, которая требуется брандмауэру Cisco Secure PIX, чтобы он разрешил клиенту Point-to-Point Tunneling Protocol (PPTP) подключаться к серверу PPTP через Network Address Translation (NAT).

Чтобы настроить устройство безопасности для приема соединений PPTP, обратитесь к документу "Настройка брандмауэра Cisco Secure PIX для использования PPTP".

Предварительные условия

Требования

Для использования этой конфигурации сервер и клиент PPTP должны находиться в рабочем состоянии до включения PIX.

Используемые компоненты

Сведения, содержащиеся в данном документе, приведены на основе следующих версий программного обеспечения:

  • Брандмауэр Cisco PIX, версии 7.1(1), 6.3(1), 6.2(1) и 6.1(1)

Данные для документа были получены в специально созданных лабораторных условиях. При написании данного документа использовались только устройства с пустой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд.

Базовые сведения

PPTP описывается в RFC 2637 leavingcisco.com. Этот протокол использует соединение TCP с портом 1723 и расширение общей инкапсуляции маршрутов (GRE) [протокол 47] для передачи реальных данных (кадр PPP). Соединение TCP инициируется клиентом вслед за соединением GRE, которое инициируется сервером.

Сведения о версии 6.2 и более ранних

Поскольку соединение PPTP инициируется как TCP на одном порте, а отклик производится по протоколу GRE, алгоритмe PIX Adaptive Security Algorithm (ASA) неизвестно, что эти потоки трафика связаны между собой. Поэтому необходимо настроить ACL так, чтобы в них был разрешен обратный трафик в PIX. PPTP через PIX с NAT (сопоставление адресов один-в-один) работает, поскольку PIX использует для хранения записей о трансляции данных порта в TCP или заголовок User Datagram Protocol (UDP). PPTP через PIX с Port Address Translation (PAT) не работает, поскольку в GRE нет концепции портов.

Сведения о версии 6.3

Функция привязки PPTP в версии 6.3 разрешает трафику PPTP проходить через PIX при настройке для PAT. В этом процессе также производится stateful-проверка пакетов PPTP. Команда fixup protocol pptp проверяет пакеты PPTP и динамически создает соединения и трансляции GRE, необходимые для разрешения трафика PPTP. В частности, брандмауэр проверяет объявления версии PPTP и последовательность запросов и ответов исходящего вызова. Как определяется в RFC 2637, производится проверка только PPTP версии 1. Дальнейшая проверка в управляющем канале TCP выключается, если версия, объявленная какой-либо из сторон, оказывается не версией 1. В дополнение отслеживается последовательность запросов и ответов исходящего вызова. Подключения и трансляции создаются динамически, как это необходимо для разрешения последующего вторичного трафика данных GRE. Чтобы трафик PPTP транслировался PAT, должна быть включена функция привязки PPTP.

Сведения о версии 7.x

Механизм Application Inspection Engine PPTP действует в версии 7.x аналогично тому, как команда fixup protocol pptp работает в версии 6.3.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе  "Технические рекомендации Cisco. Условные обозначения".

PPTP с внутренним клиентом и внешним сервером

Схема сети

В этом документе использованы параметры данной сети:

pix_pptp_01.gif

Команды, добавляемые к версии 6.2 и более ранним

Выполните эти шаги, чтобы добавить команды для версии 6.2:

  1. Определите статическое сопоставление для внутреннего ПК. Видимый снаружи адрес - 10.0.0.4.

    pixfirewall(config)#static (inside,outside) 209.165.201.5 10.48.66.106
                          netmask 255.255.255.255 0 0
    
  2. Настройте и примените ACL для разрешения обратного трафика GRE из сервера PPTP к клиенту PPTP.

    pixfirewall(config)#access-list acl-out permit gre host 209.165.201.25
                          host 209.165.201.5
    
  3. Примените ACL.

    pixfirewall(config)#access-group acl-out in interface outside
    

Команды, добавляемые для версии 6.3

Выполните эти шаги, чтобы добавить команды для версии 6.3:

  1. Включите fixup protocol pptp 1723, используя данную команду.

    pixfirewall(config)#fixup protocol pptp 1723
    
  2. Необходимости определять статическое сопоставление нет, поскольку протокол привязки PPTP включен. Можно использовать PAT.

    pixfirewall(config)#nat (inside) 1 0.0.0.0 0.0.0.0 0 0
    
    pixfirewall(config)#global (outside) 1 interface
    

Команды, добавляемые для версии 7.х

Выполните эти шаги, чтобы добавить команды для версии 7.x:

  1. Добавьте проверку PPTP в схему политик по умолчанию, используя карту классов по умолчанию.

    pixfirewall(config)#policy-map global_policy
    
    pixfirewall(config-pmap)#class inspection_default
    
    pixfirewall(config-pmap-c)#inspect pptp
    
  2. Необходимости определять статическое сопоставление нет, поскольку PIX теперь проверяет трафик PPTP. Можно использовать PAT.

    pixfirewall(config)#nat (inside) 1 0.0.0.0 0.0.0.0 0 0
    
    pixfirewall(config)#global (outside) 1 interface
    

Конфигурация для версии 6.2 и более ранних

Конфигурация PIX - внутренний клиент, внешний сервер

pixfirewall(config)#write terminal 
Building configuration... 
: Saved
: 
PIX Version 6.2(1)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 intf2 security10
enable password Ujkil6aDv2yp6suI encrypted
passwd OnTrBUG1Tp0edmkr encrypted
hostname pixfirewall
domain-name cisco.com
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
fixup protocol skinny 2000
no names

!--- Эта строка разрешает трафик GRE от 
!--- сервера PPTP к клиенту.
 
access-list acl-out permit gre host 209.165.201.25 host 209.165.201.5  
pager lines 24
logging on
logging console debugging
logging trap debugging
interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 auto shutdown
mtu outside 1500
mtu inside 1500
mtu intf2 1500
ip address outside 209.165.201.1 255.255.255.224
ip address inside 10.48.66.47 255.255.254.0
ip address intf2 127.0.0.1 255.255.255.255
ip audit info action alarm
ip audit attack action alarm
no failover
failover timeout 0:00:00
failover poll 15
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0
failover ip address intf2 0.0.0.0
pdm history enable
arp timeout 14400

!--- Разрешает трафик из интерфейса с низкой безопасностью 
!--- в интерфейс с высокой безопасностью.
 
static (inside,outside) 209.165.201.5 10.48.66.106 netmask 255.255.255.255 0 0 

!--- Применяет ACL к внешнему интерфейсу.
  
access-group acl-out in interface outside 
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00
h323 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute uauth 0:04:00 inactivity
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
no snmp-server location
no snmp-server contact
snmp-server community public
snmp-server enable traps
no floodguard enable
no sysopt route dnat
telnet timeout 5
ssh timeout 5
terminal width 80
Cryptochecksum:18bdf8e21bd72ec0533795549165ecf5
: end
[OK]

PPTP с внешним клиентом и внутренним сервером

Схема сети

pix_pptp_02.gif

Команды, добавляемые во все версии

В этом примере конфигурации сервер PPTP находится по адресу 209.165.201.5 (статический во внутренний 10.48.66.106), а клиент PPTP - 209.165.201.25.

access-list acl-out permit gre host 209.165.201.25 host 209.165.201.5
access-list acl-out permit tcp host 209.165.201.25 host 209.165.201.5 eq 1723 
static (inside,outside) 209.165.201.5 10.48.66.106 netmask 255.255.255.255 0 0 
access-group acl-out in interface outside

Проверка

Для этой конфигурации отсутствует процедура проверки.

Поиск и устранение неисправностей

В данном разделе описывается процесс поиска и устранения неисправностей конфигурации.

Несколько соединений PPTP при использовании PAT не работают

При использовании PAT можно создавать только одно соединение PPTP через устройство безопасности PIX. Так происходит, потому что необходимое соединение GRE устанавливается через порт 0, а устройство безопасности PIX сопоставляет порт 0 только одному хосту.

Команды отладки

Служебная программа Output Interpreter (только для зарегистрированных пользователей) (OIT) поддерживает некоторые команды show. Эта программа  позволяет просмотреть анализ выходных данных команды show.

Примечание. Прежде чем применять команды отладки, ознакомьтесь с разделом "Важные сведения о командах отладки".

В данном примере показан клиент PPTP внутри PIX, инициирующий соединение с сервером PPTP снаружи PIX, притом что не существует ACL, настроенного на разрешение трафика GRE. При записи отладочных сообщений на PIX можно видеть инициацию трафика из клиента портом 1723 TCP и отклонение обратного трафика протокола 47 GRE.

pixfirewall(config)#loggin on 
pixfirewall(config)#loggin console 7 
pixfirewall(config)#302013: Built outbound TCP connection 4 for outside:
209.165.201.25/1723 (209.165.201.25/1723) to inside:10.48.66.106/4644 
   (209.165.201.5/4644)
106010: Deny inbound protocol 47 src outside:209.165.201.25 dst 
   inside:209.165.201.5
106010: Deny inbound protocol 47 src outside:209.165.201.25 dst 
   inside:209.165.201.5

Информация, обязательная для сбора в случае обращения в Центр технической поддержки

Если после выполнения описанных выше действий по устранению неполадок вам по-прежнему нужна помощь и вы планируете обращение в Центр технической поддержки Cisco, убедитесь в том, что в запрос включена следующая информация:

  • Описание проблемы и соответствующие аспекты топологии;

  • Действия по устранению неполадок, произведенные перед обращением за поддержкой;

  • Выходные данные команды show tech-support;

  • Выходные данные команды show log после запуска вместе с командой logging buffered debugging или снимки консоли, демонстрирующие проблему (по возможности).

Присоедините собранные данные к запросу на обслуживание в простом текстовом формате (.txt), не архивируя вложенный файл. К запросу в Центр можно добавить данные, загрузив их с помощью средства Service Request Query Tool (только для зарегистрированных пользователей). При отсутствии доступа к средству Service Request Query Tool можно отправить данные в приложении электронной почты по адресу attach@cisco.com с номером сервисного запроса в строке "Тема" в отправляемом сообщении.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 18806