---

Hej!

Hvis man "terminerer" en VPN forbindelse i en Cisco PIX firewall, er
det så muligt (evt. ved hjælp af TACACS+) at styre adgang til
specifikke IP adresser - baseret på hvilken UserID/Password der er
blevet brugt i forbindelse med etableringen af VPN tunellen ?? Der er
tale om enkelte VPN klienter, og ikke Site-2-Site VPN tuneller.

Hvis det er muligt, hvor meget styres så fra TACACS+, og hvor meget
styres i PIX'en ??

/Brian

---

On Thu, 21 Mar 2002 12:37:08 +0100, Brian Ipsen
<spammers@nowhere.net> wrote:

> Hvis man "terminerer" en VPN forbindelse i en Cisco PIX firewall, er
> det så muligt (evt. ved hjælp af TACACS+) at styre adgang til
> specifikke IP adresser - baseret på hvilken UserID/Password der er
> blevet brugt i forbindelse med etableringen af VPN tunellen ??

Hmm, med xauth og brug af VPN-grupper burde du kunne give for-
skellige grupper af brugere forskellige adresser og med ACLs
styre, hvad de har adgang til.

Man kan bruge TACACS, RADIUS eller en lokal brugerdatabase.

> Hvis det er muligt, hvor meget styres så fra TACACS+, og hvor meget
> styres i PIX'en ??

Fra TACACS styres kun gruppen, ikke hvad brugerne har adgang til.
Jeg er ret overbevist om, at PIX'en ikke understøtter downloadede
ACLs som IOS gør det.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.org/networking/
FAQ : http://www.net-faq.dk/

---

On Thu, 21 Mar 2002 22:59:26 +0100, Asbjorn Hojmark
<Asbjorn@Hojmark.ORG> wrote:

>> Hvis man "terminerer" en VPN forbindelse i en Cisco PIX firewall, er
>> det så muligt (evt. ved hjælp af TACACS+) at styre adgang til
>> specifikke IP adresser - baseret på hvilken UserID/Password der er
>> blevet brugt i forbindelse med etableringen af VPN tunellen ??
>
>Hmm, med xauth og brug af VPN-grupper burde du kunne give for-
>skellige grupper af brugere forskellige adresser og med ACLs
>styre, hvad de har adgang til.

Har du evt. et link til Cisco's side som viser lidt om hvordan sådan
noget "bankes" sammen ??

>Man kan bruge TACACS, RADIUS eller en lokal brugerdatabase.

Radius findes sammen med Win2000, det er nok nemmere at bruge dens
brugerdatabase til validering (med rette rettigheder via
group-poilicies that is)

>> Hvis det er muligt, hvor meget styres så fra TACACS+, og hvor meget
>> styres i PIX'en ??
>
>Fra TACACS styres kun gruppen, ikke hvad brugerne har adgang til.
>Jeg er ret overbevist om, at PIX'en ikke understøtter downloadede
>ACLs som IOS gør det.

Ok - og det er sikker samme nummer, hvis man kører valideringen via
RADIUS. Æv, jeg mente at der var noget med downloadede ACL'er, men det
var vistnok IOS'en jeg rodede på dengang....

Jeg bukker for - og takker eksperten - mange gange

/Brian

---

On Wed, 27 Mar 2002 08:54:12 +0100, Brian Ipsen
<spammers@nowhere.net> wrote:

>> Hmm, med xauth og brug af VPN-grupper burde du [...]

> Har du evt. et link til Cisco's side som viser lidt om hvordan sådan
> noget "bankes" sammen ??

Næ, men det burde ikke være voldsomt, hvis man læser docs.

>> Fra TACACS styres kun gruppen, ikke hvad brugerne har adgang til.
>> Jeg er ret overbevist om, at PIX'en ikke understøtter downloadede
>> ACLs som IOS gør det.

> Æv, jeg mente at der var noget med downloadede ACL'er, men det
> var vistnok IOS'en jeg rodede på dengang....

Problemet er vel ikke voldsomt? Hvis du tildeler brugeren en
gruppe med xauth, så kan du på PIX'en tildele en adresse fra en
bestemt pulje, og så skal du blot lave (statiske) access-lister,
der afspejler brugernes rettigheder. Det burde være ligetil.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.org/networking/
FAQ : http://www.net-faq.dk/

---

On Thu, 28 Mar 2002 23:16:11 +0100, Asbjorn Hojmark
<Asbjorn@Hojmark.ORG> wrote:

>>> Fra TACACS styres kun gruppen, ikke hvad brugerne har adgang til.
>>> Jeg er ret overbevist om, at PIX'en ikke understøtter downloadede
>>> ACLs som IOS gør det.
>
>> Æv, jeg mente at der var noget med downloadede ACL'er, men det
>> var vistnok IOS'en jeg rodede på dengang....
>
>Problemet er vel ikke voldsomt? Hvis du tildeler brugeren en
>gruppe med xauth, så kan du på PIX'en tildele en adresse fra en
>bestemt pulje, og så skal du blot lave (statiske) access-lister,
>der afspejler brugernes rettigheder. Det burde være ligetil.

Correct me if I'm wrong - når jeg bruger VPN grupper, så tildeles IP
adresser med:
vpngroup groupname address-pool ippool-name

Så skal:
isakmp client configuration address-pool ...
vel ikke bruges ?

Dernæst er jeg lidt i tvivl om:
crypto map mymap client configuration address initiate
crypto map mymap client configuration address respond

Er de nødvendige med VPN-grupper - eller skal de blot være der pr.
default, fordi adresser tildeles dynamisk af PIX'en i forbindelse med
VPN ?

/Brian

---

On Mon, 01 Apr 2002 10:44:29 +0200, Brian Ipsen
<spammers@nowhere.net> wrote:

> Correct me if I'm wrong

Prøv http://www.cisco.com/warp/customer/110/pix3000.html

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.org/networking/
FAQ : http://www.net-faq.dk/

---

On Tue, 02 Apr 2002 00:08:07 +0200, Asbjorn Hojmark
<Asbjorn@Hojmark.ORG> wrote:

>> Correct me if I'm wrong
>
>Prøv http://www.cisco.com/warp/customer/110/pix3000.html

Oh, du store guru - er det også muligt at anvende forskellige radius
servere til user-validering ?? Eller skal alle accounts ligge på den
samme radius server ?

/Brian

---

On Sun, 07 Apr 2002 21:41:33 +0200, Brian Ipsen
<spammers@nowhere.net> wrote:

> er det også muligt at anvende forskellige radius servere til
> user-validering ??

Det tror jeg ikke.

> Eller skal alle accounts ligge på den samme radius server ?

Det vil jeg tro.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.org/networking/
FAQ : http://www.net-faq.dk/