---

Hej Alle.

Ovenstående er opsat således at den giver VPN-adgang (PPTP).

VPN klienter får IP-adresse fra en 'pool' i 192.168.10.0 netværket
Inderside interfacet er 192.168.1.1


Så vidt jeg kan se kan man ikke få fat i PIX'ens interfaces herfra.
Kan man på en eller anden måde få lov til at konfigurere PIX'en som
VPN-bruger?


Mvh Morten

---

On Thu, 15 Aug 2002 21:52:26 +0200, "BOH" <no@mails.thanx> wrote:

> Så vidt jeg kan se kan man ikke få fat i PIX'ens interfaces herfra.
> Kan man på en eller anden måde få lov til at konfigurere PIX'en som
> VPN-bruger?

Hvem der kan telnette (og hvorfra) styrer du med kommandoen 'tel-
net adresse maske interface'. Man får kun lov til at konfigurere
telnet for 'outside', hvis IPSec kører, og crypto map'en inklude-
rer trafik til/fra PIX'en.

Alternativt kan du bruge SSH direkte til outside, og i så fald er
IPSec ikke nødvendigt.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.org/networking/
FAQ : http://www.net-faq.dk/

---

"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> wrote in message
news:q76olukil01i5foe2rc40picrl4ivs90u8@news.worldonline.dk...
> On Thu, 15 Aug 2002 21:52:26 +0200, "BOH" <no@mails.thanx> wrote:

> Hvem der kan telnette (og hvorfra) styrer du med kommandoen 'tel-
> net adresse maske interface'. Man får kun lov til at konfigurere
> telnet for 'outside', hvis IPSec kører, og crypto map'en inklude-
> rer trafik til/fra PIX'en.

telnet 192.168.10.0 255.255.255.0 inside
giver ikke den ønskede adgang.

> Alternativt kan du bruge SSH direkte til outside, og i så fald er
> IPSec ikke nødvendigt.

SSH er opsat og virker på outside.

Ideen med det hele er at der kan køre en TFTP server på PPTP klienten,
som PIX'en så kan fange. Så slipper jeg for at lave den offentlig.


Mvh Morten

---

On Fri, 16 Aug 2002 07:12:00 +0200, "BOH" <no@mails.thanx> wrote:

> telnet 192.168.10.0 255.255.255.0 inside
> giver ikke den ønskede adgang.

Næ, men du kommer jo også fra outside...

-A

---

Jeg bruger altid SSH fra outside.
Det *er* langt det sikreste. Herigennem vil du også kunne upgarde PIX-OS og
lave wr net osv.
Hvordan vil du fx sikre dig at andre ikke får IP'en til telnet access ?

Mvh
Martin Bilgrav

"BOH" <no@mails.thanx> wrote in message
news:3d5c0679$0$27844$edfadb0f@dspool01.news.tele.dk...
> Hej Alle.
>
> Ovenstående er opsat således at den giver VPN-adgang (PPTP).
>
> VPN klienter får IP-adresse fra en 'pool' i 192.168.10.0 netværket
> Inderside interfacet er 192.168.1.1
>
>
> Så vidt jeg kan se kan man ikke få fat i PIX'ens interfaces herfra.
> Kan man på en eller anden måde få lov til at konfigurere PIX'en som
> VPN-bruger?
>
>
> Mvh Morten
>
>
>
>

---

On Fri, 16 Aug 2002 21:42:30 +0200, "Martin Bilgrav"
<bilgravCUTTHISOUT@image.dk> wrote:

> Jeg bruger altid SSH fra outside. Det *er* langt det sikreste.

Hvorfor opfatter du SSH som sikrere end 3DES IPSec?

> Hvordan vil du fx sikre dig at andre ikke får IP'en til telnet access ?

IPSec.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.org/networking/
FAQ : http://www.net-faq.dk/

---

Asbjorn Hojmark wrote:
>>Jeg bruger altid SSH fra outside. Det *er* langt det sikreste.
> Hvorfor opfatter du SSH som sikrere end 3DES IPSec?

Hvordan remoteadministere man en PIX med IPSec problemer, hvis
administrationen skal forgå igennem IPSec?

Men hvilken IPSec benytter Cisco sig af?

---

On Fri, 16 Aug 2002 22:42:00 +0200, "Christian E. Lysel"
<sunsite.dk.nntp@spindelnet.dk> wrote:

>>> Jeg bruger altid SSH fra outside. Det *er* langt det sikreste.

>> Hvorfor opfatter du SSH som sikrere end 3DES IPSec?

> Hvordan remoteadministere man en PIX med IPSec problemer, hvis
> administrationen skal forgå igennem IPSec?

På samme måde som man remoteadministrerer en PIX med
SSH-problemer via SSH, går jeg ud fra. Dvs. ikke.

> Men hvilken IPSec benytter Cisco sig af?

Jeg er ikke sikker på, jeg forstår spørgsmålet.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.org/networking/
FAQ : http://www.net-faq.dk/

---

Asbjorn Hojmark wrote:
>>Hvordan remoteadministere man en PIX med IPSec problemer, hvis
>>administrationen skal forgå igennem IPSec?
> På samme måde som man remoteadministrerer en PIX med
> SSH-problemer via SSH, går jeg ud fra. Dvs. ikke.

IPSec kræver at begge ender fungere og er langt mere komplekst at sætte op.

Jeg har til dags dato ikke oplevet en SSH server der ikke virkede. Det
samme kan ikke siges om IPSec.

>>Men hvilken IPSec benytter Cisco sig af?
> Jeg er ikke sikker på, jeg forstår spørgsmålet.

Det er jeg heller ikke....jeg fik byttet om på ipsec og ssh, dvs.
hvilken implementation af ssh bruger Cisco?

---

On Sat, 17 Aug 2002 00:51:21 +0200, "Christian E. Lysel"
<sunsite.dk.nntp@spindelnet.dk> wrote:

> IPSec kræver at begge ender fungere og er langt mere komplekst at sætte op.

Mja, jeg synes ikke, det er svært at konfigurere. Og når man har
konfigureret det, og konstateret, at det virker, så skal man jo
bare lade være med at pille mere ved det, så bliver det også ved
med det.

> hvilken implementation af ssh bruger Cisco?

V1.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.org/networking/
FAQ : http://www.net-faq.dk/

---

Asbjorn Hojmark wrote:
>>IPSec kræver at begge ender fungere og er langt mere komplekst at sætte op.
> Mja, jeg synes ikke, det er svært at konfigurere. Og når man har

Jeg spørger ikke til om det er svært. Efter at have arbejdes med mange
IPSec implementationer og læst standarden er den ikke svær, men det
ændre ikke ved det er mere komplekst at sætte op, end SSH.

Endvidere hvor mange gange har du set problemmer med henholdsvis IPSec
og SSH?

Jeg har én gang haft problemmer med SSH mellem to forskellige
distributioner, på to forskellige operativ systemer, på to forskellige
cpu typer. Med IPSec ser det anderledes ud, og jeg ser langt flere
problemer.

>>hvilken implementation af ssh bruger Cisco?
> V1.

ok

---

On Sun, 18 Aug 2002 23:46:44 +0200, "Christian E. Lysel"
<sunsite.dk.nntp@spindelnet.dk> wrote:

>>> IPSec kræver at begge ender fungere og er langt mere komplekst at sætte op.

>> Mja, jeg synes ikke, det er svært at konfigurere. Og når man har

> Jeg spørger ikke til om det er svært. Efter at have arbejdes med mange
> IPSec implementationer og læst standarden er den ikke svær, men det
> ændre ikke ved det er mere komplekst at sætte op, end SSH.

OK, det er mere komplekst end SSH at konfigurere. Men det kan
konfigureres på et par minutter, så problemet er vel overskue-
ligt?

Ja, der er nogle IPSec-implementationer, der har opført sig
mærkeligt sammen. Men hvis man har købt en PIX, har man også
mulighed for at bruge en IPSec-klient, der virker med PIX'en.

Begge dele har virket fint for mig, så om man vælger det ene
eller det andet, er nok mest et spørgsmål om preferencer.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.org/networking/
FAQ : http://www.net-faq.dk/

---

"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> wrote in message
news:lvmqlusac7jdajkp4sg3qefjt54sa0bjqb@news.worldonline.dk...
> On Fri, 16 Aug 2002 21:42:30 +0200, "Martin Bilgrav"

> > Hvordan vil du fx sikre dig at andre ikke får IP'en til telnet access ?
>
> IPSec.

Hejsa
Tro du overser et lille problem her. Manden vil jo bruge teknet gennem en
CVPN klient.
Fx vil han tillade 192.168.10.0 /24 til telnet access til pix'en (vi kan for
densagsskyld også sige at een host er tilladt fx 192.168.10.10)
I det senarie vil man ikke kunne sikre sig at andre der kobler sig op med
CVPN klient (når man selv ikk er det) får denne IP der er tilladt til telnet
access.

Dette kan kun overkommes ved at lave en specielt gruppe til admin, som han
så skal bruge.

og forresten står der ikke noget om at det er 3DES han bruger, vel !


Til resten af spørgsmålet, vedr. TFTP server placering, så skal den være
tilgængelig via pub-internet eller du skal gøre den tilgængelig via en
tunnel.
Ligesom man ville gøre med en remote PIX's SNMP og syslog gennem en outside
tunnel til en fx HQ servere. Dog bruger man typisk site2site vpn til dette.
Har ikke opsat noget hvor man har tftp serveren på en CVPN klient der kobler
sig op...

SSH er version 1.5 / Cisco 1.25

HTH
Mvh
Martin Bilgrav

---

"Martin Bilgrav" <bilgravCUTTHISOUT@image.dk> wrote in message
news:Czc79.4911$ww6.622182@news010.worldonline.dk...
> Jeg bruger altid SSH fra outside.
> Det *er* langt det sikreste. Herigennem vil du også kunne upgarde PIX-OS
og
> lave wr net osv.

OK, opgradere PIX-OS, det er jo det jeg gerne vil. Men kan det lade sig
gøre, hvis en TFTP-server kører på hosten som forbinder via SSH?

Det jeg fisker efter: Kan man slippe for at lave en _offentlig_ TFTP-server?
Hvis ja, hvordan sættes dette op (sikkerhedsmæssigt forsvarligt
naturligvis)?


Mvh Morten