/ Forside / Teknologi / Netværk / TCP/IP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
TCP/IP
#NavnPoint
Per.Frede.. 4668
BjarneD 4017
severino 2804
pallebhan.. 1680
EXTERMINA.. 1525
xou 1455
strarup 1430
Manse9933 1419
o.v.n. 1400
10  Fijala 1204
PIX VpnGroup authentication-server ??
Fra : Brian Ipsen


Dato : 18-01-04 23:54

Hej!

Jeg var ved at støve options på VPNGROUP kommandoen, da "vpngroup groupname
authentication-server" dukkede op.... vil det sige, at man nu kan bruge
forskellige RADIUS servere til validering på forskellige VPN grupper ??

En anden ting - er det muligt på en VPN gruppe at sige, at de f.eks. kun må
have adgang til en enkelt host på nettet (192.168.1.44), som er forbundet
til PIX'en ??
Jeg tænkte på noget i stil med:

ip local pool myvpnpool 192.168.7.1-192.168.7.6
access-list limited_vpn permit host 192.168.1.44 192.168.7.0 255.255.255.248
crypto ipsec transform-set vpnset esp-3des esp-sha-hmac
crypto dynamic-map dynmap 21 set transform-set vpnset
crypto dynamic-map dynmap 21 set security-association lifetime seconds 28800
kilobytes 4608000

crypto map mymap 21 ipsec-isakmp dynamic dynmap
crypto map mymap 21 match address limited_vpn
crypto map mymap 21 set transform-set vpnset
isakmp policy 21 authentication pre-share
isakmp policy 21 encryption 3des
isakmp policy 21 hash sha
isakmp policy 21 group 1
isakmp policy 21 lifetime 86400
vpngroup myvpngrp address-pool myvpnpool
vpngroup myvpngrp dns-server 192.168.1.44
vpngroup myvpngrp wins-server 192.168.1.44
vpngroup myvpngrp default-domain domain.dk
vpngroup myvpngrp idle-time 3600
vpngroup myvpngrp password ********

Eller er det en umulig tanke ??

Mvh,

Brian



 
 
Martin Bilgrav (19-01-2004)
Kommentar
Fra : Martin Bilgrav


Dato : 19-01-04 15:33


"Brian Ipsen" <me@nowhere.net> wrote in message
news:buf2pf$7ku$1@sunsite.dk...
> Hej!
>
> Jeg var ved at støve options på VPNGROUP kommandoen, da "vpngroup
groupname
> authentication-server" dukkede op.... vil det sige, at man nu kan bruge
> forskellige RADIUS servere til validering på forskellige VPN grupper ??

hmm, godt spørgsmål.
1. Man kan godt specificere forskellige aaa auth server
2. Man kan godt sætte vpngroup auth server
Men faktisk så plejer jeg at ikke at lave vpngroup auth server, men blot :
crypto map NAME client authentication TAG
dette sammen med en Aaa Server protocol

men hvorfor bruge forskellige servers, hvis man kan bruge attributes i
radius/tacacs+ ?
Man kan måske også opnå det samme du vil, ved bruge at groupname eller andet
ifm attributes.

>
> En anden ting - er det muligt på en VPN gruppe at sige, at de f.eks. kun

> have adgang til en enkelt host på nettet (192.168.1.44), som er forbundet
> til PIX'en ??
Ja, det kalder Cisco for split tunneling.

> Jeg tænkte på noget i stil med:


>
> ip local pool myvpnpool 192.168.7.1-192.168.7.6
> access-list limited_vpn permit host 192.168.1.44 192.168.7.0
255.255.255.248
> crypto ipsec transform-set vpnset esp-3des esp-sha-hmac
> crypto dynamic-map dynmap 21 set transform-set vpnset
> crypto dynamic-map dynmap 21 set security-association lifetime seconds
28800
> kilobytes 4608000
>
> crypto map mymap 21 ipsec-isakmp dynamic dynmap
> crypto map mymap 21 match address limited_vpn
> crypto map mymap 21 set transform-set vpnset
> isakmp policy 21 authentication pre-share
> isakmp policy 21 encryption 3des
> isakmp policy 21 hash sha
> isakmp policy 21 group 1
> isakmp policy 21 lifetime 86400
> vpngroup myvpngrp address-pool myvpnpool
> vpngroup myvpngrp dns-server 192.168.1.44
> vpngroup myvpngrp wins-server 192.168.1.44
> vpngroup myvpngrp default-domain domain.dk
> vpngroup myvpngrp idle-time 3600
> vpngroup myvpngrp password ********
>
> Eller er det en umulig tanke ??

Jeg plejer at bruge spilttunnels, vpngroup NAME split-tunnel ACL, men det er
ikke umuligt at du kan det med ACL også.

Mvh
MArtin



>
> Mvh,
>
> Brian
>
>



Brian Ipsen (19-01-2004)
Kommentar
Fra : Brian Ipsen


Dato : 19-01-04 16:17

"Martin Bilgrav" <bilgravCUTTHISOUT@image.dk> wrote in message
news:eUROb.76124$jf4.4868349@news000.worldonline.dk...
> > Jeg var ved at støve options på VPNGROUP kommandoen, da "vpngroup
> > groupname
> > authentication-server" dukkede op.... vil det sige, at man nu kan bruge
> > forskellige RADIUS servere til validering på forskellige VPN grupper ??
>
> hmm, godt spørgsmål.
> 1. Man kan godt specificere forskellige aaa auth server
> 2. Man kan godt sætte vpngroup auth server
> Men faktisk så plejer jeg at ikke at lave vpngroup auth server, men blot :
> crypto map NAME client authentication TAG
> dette sammen med en Aaa Server protocol
>
> men hvorfor bruge forskellige servers, hvis man kan bruge attributes i
> radius/tacacs+ ?

Fordi det p.t. er en Windows RADIUS server, og jeg vil gerne undgå at alle
VPN brugere skal oprettes på den (da det integrerer ned i Active Directory,
og nogle af VPN brugerne skal ikke have adgang pi det AD miljø). Jeg har kig
på en linux RADIUS, men det virker umiddelbart ret kompliceret at sætte op
(men det skal jeg nok tage op i en anden gruppe).
TACACS+ har jeg ikke kigget på - min fornemmelse er, at Cisco's software på
den front koster en halv arm...

> > En anden ting - er det muligt på en VPN gruppe at sige, at de f.eks. kun
> > må have adgang til en enkelt host på nettet (192.168.1.44), som er
forbundet
> > til PIX'en ??

> Ja, det kalder Cisco for split tunneling.

Jo - men det var netop for kun at begrænse adgang til enkelte hosts - og
stadig ikke have split tunnelling (af sikkerheds-hensyn).

/Brian



Søg
Reklame
Statistik
Spørgsmål : 177559
Tips : 31968
Nyheder : 719565
Indlæg : 6408935
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste