dornbirn2000 10 Geschrieben 14. Juli 2007 Melden Teilen Geschrieben 14. Juli 2007 Hallo zusammen, habe bei mir einen Cisco 3620 im Einsatz und bekomme hin und wieder folgende Meldung im log: %CRYPTO-4-IKMP_NO_SA: IKE message from [iP_Adresse] has no SA and is not an initialization offer soweit ich das bis dato mit google interpretieren konnte, will sich ein anderer Cisco mit dem 3620 unterhalten und eine VPN Verbindung aufbauen. Zurzeit habe ich noch keine VPN Einwahlserver auf dem 3620 konfiguriert. Was wäre wenn ich nun einen VPN Einwahlserver konfiguriere? Kann sich der andere Router dann bei mir einwählen bzw. den Schlüssel den der Cisco generiert, ausspähen? Gruß dornbirn2000 Zitieren Link zu diesem Kommentar
m@rtin 10 Geschrieben 15. Juli 2007 Melden Teilen Geschrieben 15. Juli 2007 soweit ich mich auskenne (und das ist für Cisco-Verhältnisse leider noch nicht viel) kann sich dein unbekannter Router nicht verbinden, auch wenn Du VPN auf Deinem 3620 konfigurierst. Prinzipiell muss zur Etablierung eines VPN Tunnels ein gegenseitiges authentifizieren stattfinden, mindestens durch preshared Keys oder Secrets. Über Zertifikate sollte das eigentlich auch gehen (hab ich aber noch nie getan). Ergo sollte der fremde Router genauso abgeblockt werden wie ein VPN-Client ohne passende Authentisierung. Solltest Du nur Netz-zu-Netz Kopplungen mithilfe des Cisco VPN vorhanden würde ich Dir empfehlen per Accesslisten die Gegenstellen zu Berechtigen, und alles andere wegzuschmeißen. So bist Du auch sicher selbst wenn Deine Authentisierungsverfahren kompromitiert wären. Ich hoffe das paßt soweit. Bitte die Altmeister ggf um Korrektur. Martin Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.