vpn tra pix515e e pix501

rrroberto · mer 08 feb , 2006 6:10 pm

Salve a tutti,
vorrei collegare via vpn delle sedi remote ad una sede centrale. In periferia ho dei pix501, al centro ho un pix515e.

Ho visto che sui 501 ci sono dei bellissimi wizard dal pdm per la vpn, e infatti già ora li uso per accedere alle sedi remote col vpn client per amministrazione.
Sul pdm del 515 invece non solo non vedo il wizard, ma neanche un accenno vago alla vpn.

Per cui mi chiedevo due cose:
- non è possibile upgradare in qualche maniera il firewall, il pdm o qualcosa del genere per avere il wizard, poiché purtroppo non saprei farlo altrimenti?
- se non dovesse essere possibile come posso cominciare?

Grazie
Roberto

ps:

posto versioni di firewall e pdm:

Codice: Seleziona tutto

Cisco PIX Firewall Version 6.1(4)
Cisco PIX Device Manager Version 1.1(2)

Compiled on Tue 21-May-02 08:40 by morlee

Hardware:   PIX-515E, 32 MB RAM, CPU Pentium II 433 MHz
Flash E28F128J3 @ 0x300, 16MB
BIOS Flash AM29F400B @ 0xfffd8000, 32KB

Licensed Features:
Failover:	Disabled
VPN-DES: 	Enabled
VPN-3DES: 	Disabled
Maximum Interfaces:	3
Cut-through Proxy: 	Enabled
Guards: 	Enabled
Websense: 	Enabled
Inside Hosts: 	Unlimited
Throughput: 	Unlimited
ISAKMP peers: 	Unlimited

MaiO · mer 08 feb , 2006 8:58 pm

Certo che si. Acquista una smarnet e della ram in più e fai l'upgrade del PIX OS e del PDM.

DOvrebbe essere un cat 6 che fa il caso tuo.

Ciao

MaiO · mer 08 feb , 2006 9:01 pm

Dimenticavo, configurarli a mano non è una scenza:

http://www.cisco.com/en/US/products/hw/ ... 4761.shtml

Ciao

rrroberto · mer 08 feb , 2006 9:32 pm

Innanzitutto grazie per la risposta!
Con l'upgrade riesco ad avere il wizard nel pdm?
Per esempio questo "CON-SW-VPKG6 SMARTNET IOS UPGRADE (V. PACK)CAT 6" potrebbe essere corretto?
Gli altri mi pare che includano tutti vari contratti di supporto o maintenance.

La ram è necessaria per fare l'upgrade?
Mi sai indicare qualcosa che possa andare bene per il pix515e? Non riesco a raccapezzarmi.

In ogni caso, mi confermi che potrei farlo da codice senza problemi, il fatto che non ci sia nel pdm non significa che ci siano restrizioni, corretto?
Anche perché sembrerebbe che sia licenziato per la VPN.

Ultima curiosità. Come mai sui pix501 che ho comprato contemporaneamente (si parla di circa 1 anno e mezzo fa) c'era già una versione più aggiornata del software (6.3 credo, ma non vorrei dire stupidate, ora da qui non riesco a controllarlo)?
E' normale? O è una cosa strana?

Grazie ancora,
Roberto

rrroberto · mer 08 feb , 2006 9:35 pm

ma poi, altro dubbio, non so se sia possibile...
a me pare che non ci sia il comando show, è possibile?
io non lo trovo...
né accedendo normalmente, né in modalità privilegiata, né in configure...

MaiO · gio 09 feb , 2006 12:50 am

Con l'upgrade riesco ad avere il wizard nel pdm?

Si

Per esempio questo "CON-SW-VPKG6 SMARTNET IOS UPGRADE (V. PACK)CAT 6" potrebbe essere corretto?

Potrebbe andare bene, da verificare...

La ram è necessaria per fare l'upgrade?

Dipenda dalla versione alla quale upgradi, la 7.0(x) richiede almeno 128 MB di RAM, la 6.3(4) mi sa che sta stretta con i 32 ma non vorrei giurarci.

Mi sai indicare qualcosa che possa andare bene per il pix515e? Non riesco a raccapezzarmi.

Ti serve il codice cisco per l'upgrade???

In ogni caso, mi confermi che potrei farlo da codice senza problemi, il fatto che non ci sia nel pdm non significa che ci siano restrizioni, corretto?

Esatto!

Anche perché sembrerebbe che sia licenziato per la VPN.

Tutti i pix lo sono, solo che per alcuni standard di critografia tipo 3des o aes hai bisogno delle licenze particolari

Ultima curiosità. Come mai sui pix501 che ho comprato contemporaneamente (si parla di circa 1 anno e mezzo fa) c'era già una versione più aggiornata del software (6.3 credo, ma non vorrei dire stupidate, ora da qui non riesco a controllarlo)?
E' normale? O è una cosa strana?

Hai preso un bidone, si vede che ti hanno venduto un prodotto vecchio che avevano sul magazino e dovevano pure in qualche modo smalitirlo.

ma poi, altro dubbio, non so se sia possibile...
a me pare che non ci sia il comando show, è possibile?

Non lo so, ma sono quasi sicuro che sbagli qualcosa io sono stato collegato su un 515E (6.3) fino ad adesso e credimi non avrei fatto quello che ho fatto senza lo show.

Ciao ciao

rrroberto · gio 09 feb , 2006 1:24 pm

OK, mi dici per favore cosa devo verificare e dove posso controllare per upgrade versione e memoria?
Se sai il codice meglio ovviamente, se no cmq qualche riferimento, dove posso capire cosa va bene per il mio pix.

ups. per lo show ho sbagliato a scrivere. è show run che non mi va.

Secondo te un firewall con su il 6.1 a quando può risalire? Spero non quel 21-May-02 08:40 della data di compilazione...

Ciao, grazie.

MaiO · gio 09 feb , 2006 2:17 pm

Secondo te un firewall con su il 6.1 a quando può risalire? Spero non quel 21-May-02 08:40 della data di compilazione...

Mi sa proprio di si...

Riguardo alla memoria io ti consigliere questo codice PIX515-MEM-128=
cmq verifica con tuo fornitore/distributore che sia essatto. (prezzo di listino 326,00 €, se te lo propongono con un prezzo oltre 200 € è un ladrocinio - rivogliti a me

naturalmente tutti i prezzi sono iva esclusa)

Ciao

MaiO · gio 09 feb , 2006 3:04 pm

Ho trovato questo:

"PIX OS Version—PDM 3.0 requires PIX Firewall Version 6.3 and does not run with PIX Firewall versions
earlier than Version 6.3. Refer to Earlier versions of PDM."

Se vuoi maggiori info guarda qua:

http://www.cisco.com/univercd/cc/td/doc ... /index.htm

questo

http://www.cisco.com/en/US/products/hw/ ... 87d8.shtml

e questo

http://www.cisco.com/en/US/products/hw/ ... 08d8.shtml

PS

Già se devi upgradare upgrada sulla 7.0.x

Ciao

MaiO · gio 09 feb , 2006 3:07 pm

Scusate ma visto che anchio sono interessato a passare alla 7.0.x mi sto dando da fare.

Tutte le info di qui hai bisogno le trovi qua:

http://www.cisco.com/en/US/products/hw/ ... 4a5d.shtml

Spero basti

Ciao

rrroberto · gio 09 feb , 2006 6:33 pm

ma pensavo una cosa...
effettivamente io sui miei vari pix501 in periferia accetto connessioni pptp per fare connettere ai loro uffici gli utenti remoti col client windows.
non potrei fare connettere il 515 ai 501 usando lo stesso protocollo?
o è una stupidata?

il mio dubbio è, una volta configurati i 501 per connettersi al 515, potranno ancora accettare pptp?
grazie
Roberto

MaiO · gio 09 feb , 2006 11:03 pm

non potrei fare connettere il 515 ai 501 usando lo stesso protocollo?
o è una stupidata?

Una cosa cosi sciocca non l'ho mai sentita (senza offesa)

il mio dubbio è, una volta configurati i 501 per connettersi al 515, potranno ancora accettare pptp?

Cercto che si!

Ciao

rrroberto · lun 13 feb , 2006 12:42 pm

Ho lavorato secondo quell'articolo Configuring a Simple PIX-to-PIX VPN Tunnel Using IPSec (http://www.cisco.com/en/US/products/hw/ ... 4761.shtml) che mi hai consigliato e funziona tutto perfettamente.
Intanto ti ringrazio ancora.
Pongo un altro dubbio poi.
Ora io sto collegando al mio centro una sola filiale.

Se volessi collegarne altre contemporaneamente, utilizzando lo stesso metodo, cosa posso fare?

Grazie
Roberto

MaiO · lun 13 feb , 2006 12:59 pm

Intanto quando sarò dalle parti tue mi aspetto una birra!!!

Poi eccoti un esempio che potrebbe far caso tuo,
http://www.cisco.com/en/US/products/hw/ ... 3bd3.shtml

e due link interessanti
http://www.cisco.com/en/US/tech/tk583/t ... _list.html
http://www.cisco.com/en/US/products/hw/ ... _list.html

rrroberto · lun 13 feb , 2006 1:04 pm

Anche due!
Provo.
Ciao, grazie.

vpn tra pix515e e pix501

Login • Iscriviti