kroliczko 10 Geschrieben 29. August 2008 Melden Teilen Geschrieben 29. August 2008 Hallo zusammen, remote user sollen sich per VPN mit dem Router verbinden, um auf das Netz hinter dem Router zugreifen zu können aber dies klappt leider nicht!!! VPN_ROUTER#show running−config ! aaa new−model ! ! aaa authentication login userauthen local aaa authorization network groupauthor local ! aaa session−id common ! username vpnuser password 0 ****** ! ! ! crypto isakmp policy 10 authentication pre−share encryption 3des group 2 ! crypto isakmp client configuration group vpngroup key ****** dns 172.16.1.21 wins 172.16.1.20 pool ippool acl split_tunnel ! crypto isakmp profile vpnclient *** wozu braucht man das???? ***** match identity group vpngroup client authentication list userauthen isakmp authorization list groupauthor client configuration address respond ! ! crypto ipsec transform−set newset esp−3des esp−md5−hmac crypto ipsec transform−set remote−set esp−3des esp−md5−hmac ! crypto dynamic−map dynmap 10 set transform−set remote−set set isakmp−profile vpnclient reverse−route ! crypto map map1 65535 ipsec−isakmp dynamic dynmap ! ip access−list extended split_tunnel permit ip 172.16.1.0 0.0.0.255 10.10.120.0 0.0.0.255 permit ip 10.10.120.0 0.0.0.255 172.16.1.0 0.0.0.255 ! ip local pool ippool 10.10.120.10 10.10.120.50 ------------------------------------------------- was hat eigentlich "crypto isakmp profile vpnclient" zu bewirken bzw. welche Funktionalität liefert das denn? wenn ich mich über vpn verbinde, klapt es und ich bekomme ein IP zugewiesen aber ich kann keine Maschinen von 172.16.1.0/24(hat der Router als directly connected) anpingen!! Danke und Grüsse! Zitieren Link zu diesem Kommentar
kroliczko 10 Geschrieben 5. September 2008 Autor Melden Teilen Geschrieben 5. September 2008 stimmt es, dass "crypto isakmp profile" verwendet werden sollte, wenn der Router Site-toSite und Remote Access VPN machen sollte? welche commands fehlen noch, damit die Remote Access VPN User sich gegenüber einen Radius-Server(172.16.1.2) authentifizieren und nicht local? Grüsse Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 5. September 2008 Melden Teilen Geschrieben 5. September 2008 das musst beim aaa richtig konfigurieren Zitieren Link zu diesem Kommentar
kroliczko 10 Geschrieben 5. September 2008 Autor Melden Teilen Geschrieben 5. September 2008 Ich wäre sehr dankbar, wenn jemand mir so ein configbeispiel für diese Konstelation hier posten! Gewünscht ist: die komplette Authentication/Authorization des Routers(ssh,telnet) und der VPN Users gegenüber den Radius-Server(172.16.1.2) läuft! Danke & Grüße Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 5. September 2008 Melden Teilen Geschrieben 5. September 2008 wenn man sich nicht mit AAA auskennt sollte mans lieber lernen und nicht kopieren ;) da kannst dich sonst mit einem aaa authentication login default group radius ganz schnell mal aussperren wenn der Radius nicht erreichbar ist, du musst schon wissen was genau du willst, auf welcher Line was laufen soll (SSH konfiguriert man zB nicht über AAA, bzw.hat mit AAA genau garnix zu tun) wenn man mal intus hat was Authentifizerung, Authentisierung und Accounting ist und was method lists sind, dann ist das ruckzuck konfiguriert Zitieren Link zu diesem Kommentar
kroliczko 10 Geschrieben 5. September 2008 Autor Melden Teilen Geschrieben 5. September 2008 Danke! der radius-Server ist für den Router erreibar. Ich möchte erstmal nur, dass die VPN User sich gegenüber den radius-Server authetifzieren! Momentan funktioniert es aber die Authentifizierung für die VPN-User ist local auf dem Router! Es wäre sehr hilfsreich wenn du mir die nötige command mal postest ;-) schon mal super Danke! Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 5. September 2008 Melden Teilen Geschrieben 5. September 2008 aaa group server radius RADIUS server 172.16.1.2 auth-port blablabla aaa authentication login default (besser ne eigene gruppe) group RADIUS aaa authorization network default (besser ne eigene gruppe) group RADIUS das sollts gewesen sein, wenn wie bei dir nur ein radius vorhanden ist müsste auch aaa authorization network default (besser ne eigene gruppe) group radius radius-server host 172.16.1.2 auth-port blabla reichen. mit nem ? wird dir grade bei solchen Sachen gut weitergholfen, nur nicht beim verstehen des AAA Prinzips. SSH wird übrigens so konfiguriert: es muss ein k9 Image vorhanden sein ip domain-name bla crypto key generate rsa general-keys [modulus "Keylänge"] line vty 0 4 transport input ssh mit ip ssh ? siehst du das du noch das timeout und retries angeben kannst falls die default settings nicht passen bzw du wissen willst was da passiert Zitieren Link zu diesem Kommentar
kroliczko 10 Geschrieben 5. September 2008 Autor Melden Teilen Geschrieben 5. September 2008 super vielen Dank! Ich werde das ganze mal konfigurieren und feedback geben ;-) Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 7. September 2008 Melden Teilen Geschrieben 7. September 2008 AAA mit TACACS+ im Cisco IOS : Security-planet.de das hier ist als AAA Einführung nicht übel Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.