Zion 10 Geschrieben 27. Januar 2003 Melden Teilen Geschrieben 27. Januar 2003 Hallo Leute ! Kennt sich einer von euch mit dem ACS 3.0 von Cisco gut aus. Ich regle über die 2.6 Version und ein NAS (Cisco 5300) die Einwahl in meiner Firma. Das funzt auch soweit einwandfrei ! Ich will jetzt den Zugriff für Fremdfirmen auch da drauf legen, will sie aber vom Access her einschränken also ACL's. Meine Frage ist: wie funzt das mit den AV-Pairs ich muss die ACL's auf dem Router machen das ist klar. Aber irgendwie bekomme ich sobald die ACL mit einbezogen sind im ACS gar keinen Zugriff. Die Access Liste müsste eigentlich stimmen z.B.access list 105 permit tcp 192.168.17.0 0.0.0.255 any eq ftp access list 105 permit tcp 192.168.17.0 0.0.0.255 any eq www . . access list 105 deny ip any any Danach beziehe ich das ganze unter den IP Einstellungen im ACS ein. Bin für jeden Tip dankbar ! Zitieren Link zu diesem Kommentar
Zion 10 Geschrieben 28. Januar 2003 Autor Melden Teilen Geschrieben 28. Januar 2003 OK ich seh schon von euch hat auch keiner ne rechte Ahnung. Ich bin jetzt grad dabei das über die PIX ACLs beim 3.0er zu versuchen. Hab da aber das gleiche Problem das ich gar nicht reinkomme. Irgendwo bleib ich da an den User/Group Einstellungen hängen, an den ACLs ich hab auch schon das deny weggelassen aber nada ! ...... HILFE...... Zitieren Link zu diesem Kommentar
HenryNo1 10 Geschrieben 28. Januar 2003 Melden Teilen Geschrieben 28. Januar 2003 Hi Zion, sorry, dass ich nicht früher antworten konnte. Ich hab zwar schon mal mit dem ACS "rumgespielt", aber so aus dem Stegreif kann ich Dir bei Deinem Problem leider auch nicht weiterhelfen. Ich schau morgen mal in meinen Unterlagen nach, kann Dir aber leider aus der Arbeit nicht antworten....also bitte Geduld ;) Ich tu mein Bestes :rolleyes: CYa HenryNo1 Zitieren Link zu diesem Kommentar
HenryNo1 10 Geschrieben 28. Januar 2003 Melden Teilen Geschrieben 28. Januar 2003 Ach ja, was meinst Du denn mit Pix ACL beim 3er und nicht reinkommen etc. Wenn Du mir da etwas genauere Infos zukommen lassen könntest..... Thx Zitieren Link zu diesem Kommentar
Lian 2.436 Geschrieben 28. Januar 2003 Melden Teilen Geschrieben 28. Januar 2003 Original geschrieben von Zion OK ich seh schon von euch hat auch keiner ne rechte Ahnung. :rolleyes: "Ein Augenblick Geduld kann viel Unglueck verhueten." Chinesisches Sprichwort Zitieren Link zu diesem Kommentar
Zion 10 Geschrieben 29. Januar 2003 Autor Melden Teilen Geschrieben 29. Januar 2003 Hi ! Ich hab euch mal im Anhang ein Paar Info's und den DEBUG. Ich hab's zuerst mit den normalen PPP IP Access Listen probiert. Und danach über die Downloadable PIX ACL's. Vielleicht hilfts weiter ! MfG Zion acs.doc Zitieren Link zu diesem Kommentar
Zion 10 Geschrieben 29. Januar 2003 Autor Melden Teilen Geschrieben 29. Januar 2003 ACS 1.Teil acs01.zip Zitieren Link zu diesem Kommentar
Zion 10 Geschrieben 29. Januar 2003 Autor Melden Teilen Geschrieben 29. Januar 2003 ACS 2.Teil acs02.zip Zitieren Link zu diesem Kommentar
Zion 10 Geschrieben 6. Februar 2003 Autor Melden Teilen Geschrieben 6. Februar 2003 Und noch en Debug AUTHOR/START queued 3w2d: TAC+: 10.128.132.47 (2815543761) AUTHOR/START queued 3w2d: TAC+: 10.128.132.47 ESTAB id=2815543761 wrote 75 of 75 bytes 3w2d: TAC+: 10.128.132.47 req=6147E66C Qd id=2815543761 ver=192 handle=0x613FAFD4 (ESTAB) expire=9 AUTHOR/START sent 3w2d: TAC+: 10.128.132.47 ESTAB read=12 wanted=12 alloc=12 got=12 3w2d: TAC+: 10.128.132.47 ESTAB read=149 wanted=149 alloc=149 got=137 3w2d: TAC+: 10.128.132.47 received 149 byte reply for 6147E66C 3w2d: TAC+: req=6147E66C Tx id=2815543761 ver=192 handle=0x613FAFD4 (ESTAB) expire=9 AUTHOR/START processed 3w2d: TAC+: (2815543761) AUTHOR/START processed 3w2d: TAC+: periodic timer stopped (queue empty) 3w2d: TAC+: (2815543761): received author response status = PASS_ADD 3w2d: TAC+: Closing TCP/IP 0x613FAFD4 connection to 10.128.132.47/49 3w2d: TAC+: Received Attribute "inacl#1=permit icmp 10.128.0.0 0.0.255.255 10.128.0.0 0.0.255.255" 3w2d: TAC+: Received Attribute "inacl#2=permit tcp 10.128.0.0 0.0.255.255 10.128.0.0 0.0.255.255" 3w2d: Se0:14 AAA/AUTHOR/IPCP (263633215): found list "default" 3w2d: AAA/AUTHOR/TAC+: (263633215): user=test 3w2d: AAA/AUTHOR/TAC+: (263633215): send AV service=ppp 3w2d: AAA/AUTHOR/TAC+: (263633215): send AV protocol=ip 3w2d: AAA/AUTHOR/TAC+: (263633215): send AV addr*10.128.99.3 3w2d: TAC+: using previously set server 10.128.132.47 from group tacacs+ 3w2d: TAC+: Opening TCP/IP to 10.128.132.47/49 timeout=10 3w2d: TAC+: Opened TCP/IP handle 0x613FB470 to 10.128.132.47/49 3w2d: TAC+: Opened 10.128.132.47 index=1 3w2d: TAC+: periodic timer started 3w2d: TAC+: 10.128.132.47 req=6147CF90 Qd id=263633215 ver=192 handle=0x613FB470 (ESTAB) expire=10 AUTHOR/START queued 3w2d: TAC+: 10.128.132.47 (263633215) AUTHOR/START queued 3w2d: TAC+: 10.128.132.47 ESTAB id=263633215 wrote 92 of 92 bytes 3w2d: TAC+: 10.128.132.47 req=6147CF90 Qd id=263633215 ver=192 handle=0x613FB470 (ESTAB) expire=9 AUTHOR/START sent 3w2d: TAC+: 10.128.132.47 ESTAB read=12 wanted=12 alloc=12 got=12 3w2d: TAC+: 10.128.132.47 ESTAB read=149 wanted=149 alloc=149 got=137 3w2d: TAC+: 10.128.132.47 received 149 byte reply for 6147CF90 3w2d: TAC+: req=6147CF90 Tx id=263633215 ver=192 handle=0x613FB470 (ESTAB) expire=9 AUTHOR/START processed 3w2d: TAC+: (263633215) AUTHOR/START processed 3w2d: TAC+: periodic timer stopped (queue empty) 3w2d: TAC+: (263633215): received author response status = PASS_ADD 3w2d: TAC+: Closing TCP/IP 0x613FB470 connection to 10.128.132.47/49 :suspect: // Hier sollten meine Access Listen ziehen die ich unter User Setup->PPP IP->Custom attributes konfiguriert habe 3w2d: TAC+: Received Attribute "inacl#1=permit icmp 10.128.0.0 0.0.255.255 10.128.0.0 0.0.255.255" 3w2d: TAC+: Received Attribute "inacl#2=permit tcp 10.128.0.0 0.0.255.255 10.128.0.0 0.0.255.255" 3w2d: AAA/ACCT/PROG: Updating Connect Progress for ds0 14 to 67 3w2d: AAA/ACCT/PROG: Updating Connect Progress for ds0 14 to 60 // Und hier hat er dann ein Problem die ACLs auf das User Profile zu ziehen 3w2d: %PERUSER-3-ISDNINTF: Se0:14 define-ip-nacl: Can not apply configuration to ISDN channel: "inacl#1=permit icmp 10.128.0.0 0.0.255.255 10.128.0.0 0.0.255.255" // Das mit der Route da peil ich auch nicht ganz 3w2d: Se0:15 IPCP: Install route to 10.128.99.3 3w2d: Se0:15 IPCP: Remove route to 10.128.99.3 3w2d: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0:14, changed state to up 3w2d: %ISDN-6-CONNECT: Interface Serial0:14 is now connected to XXXXXXXXX test ACS30# Na denn irgendwann knack ich die Nuss schon noch ! Zitieren Link zu diesem Kommentar
Zion 10 Geschrieben 11. April 2003 Autor Melden Teilen Geschrieben 11. April 2003 Und hier nochmal nen kleinen Zwischenstand wir hatten gestern nen Oberguru von Cisco da von dem wir hofften mehr über ACS und AV-Pairs zu erfahren. Aber dessen Aussage war leider nur benutzt CISTRON .... bei ACS Accesseinschränkung meinte er es is wohl implementiert aber es hat wohl noch keiner so richtig eingerichtet und es gibt auch keine Beispiel Configs bei CISCO (selbst nicht mit CCO Account) Der fragt jetzt aber wohl nochmal direkt bei den Amis nach irgendjemand muss das Teil ja programmiert haben ! Wenn wir das hinkriegen sind wir glaub die ersten zumindest in Germany. :D Zitieren Link zu diesem Kommentar
Zion 10 Geschrieben 10. Juli 2003 Autor Melden Teilen Geschrieben 10. Juli 2003 Hi @all hab schon lang nichts mehr gepostet werd das jetzt mal nachholen. Das Sache mit der Accesseinschränkung beim Cisco ACS habe ich jetzt auch gelöst. Man muss dazu lediglich nur ein sogenanntes virtual template auf dem Router anlegen und schon haut das mit den AV-Pairs bei den Benutzer und auch auf die Gruppen bezogen hin :D Falls dazu mal jemand genauere Infos braucht kann er mir jederzeit mailen. So denn in diesem Sinne würd ich den Beitrag für geschlossen betrachten ! Gruss Zion Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.