ISDN-Einwahl RSA-Token mit Router?

[maho 10]

Hallo,

 

ist es möglich eine ISDN-Einwahl mit RSA SecureID-Card Autorisierung mit einem Router zu implementieren? Dann wäre es nämlich möglich den Zugriff zu sharen, um mehrere User parallel den Zugriff zu ermöglichen.

Wäre Remote Capi das Richtige dafür?

 

Danke schon mal im Voraus.

 

maho

[rob_67 10]

Hi,

 

 

kommt drauf an, wie diu dir das vorgestellt hast, du authentifizierst doch mittels eines servers... wenn du aber auf nem cisco (nur 801 bis 805 weiter sind mir nicht bekannt) die rcapi nimmst, kann ichs nicht empfehlen, das riecht nach problemen... besser wärs du machst ne isdn einwahl auf dem router und gehst über ip zu server, falls der das kann, ich kenne deine vorraussetzungen nicht...

 

gruss

 

 

rob

[maho 10]

Wir haben einen sicheren ISDN-Zugang bei einem Partner, für Consulting-Tätigkeiten.

Damit sich die User nicht per Rechner einwählen müssen, hätte ich gerne eine Routereinwahl dafür.

 

Zweck:

- Mehrere User sollen über eine Einwahl mit einer RSA SecureID Card parallel arbeiten können

- spart ISDN Anschlüsse

- es wird nur eine RSA Karte benötigt

 

per Cisco Concentrator und VPN Hardware-Client habe ich das schon gemacht. Ganz grob: Hardware-Client macht Anfrage zum Concentrator, dieser verlangt RSA Auth. über den User per Anmeldung auf den Hardware-Client. Nun ganz das ganze Netzwerk per NAT zugreifen.

 

Wenn das so ähnlich per ISDN und Router funktionieren würde...

[rob_67 10]

yes, solange alles über IP läuft, dann ja. bloss nicht über die capi, sondern über einen oder mehrere dialer... der client wählt sich auf dem router ein (kann ein windows rechner sein) und geht via ip zum server und authentifiziert sich...

[maho 10]

Wir administratiren den Eiwahlrouter nicht. Wir haben nur eine RSA karte bekommen, mit dem wir uns per PC und ISDN einwählen sollen.

Nun möchte ich mich nicht per PC, sondern über einen Router einwählen. Wie sieht die Konfig. des Routers aus?

[rob_67 10]

kommt drauf an, wie viele verschiedene nutzer von verschiedenen orten wählen sich denn ein ?

 

wenn ich das richtig verstanden habe, geht dann der pc per ip zum concentrator und authentifiziert sich und wird nach erfolgreicher authentifizierung genatet und entsprechend ins LAN geroutet.

 

dann ist es abhängig, was du für einen isdn anschuß verwenden willst, mehrere bris oder ein oder mehrere pris, dementsprechend muss der accessrouter ausgewählt werden und das bestimmt dann die config. zum testen, ob die ganze geschichte praktikabel ist, reicht ja ein 801 er...

 

 

gruss

 

rob

[maho 10]

Ich glaube Du hast mich missverstanden. Vergiss mal die VPN/Concentrator Geschichte.

 

Stell Dir vor, Du kriegst von mir eine RSA Karte, eine Rufnummer wo Du Dich einwählen sollst und einen Benutzernamen.

So und nun willst Du Dich nicht mit einem PC, sondern einen Router bei mir einwählen.

 

Ich hoffe diesmal ist es klarer.

 

Grüße, maho

[rob_67 10]

dann sieht es allerdings anders aus... ich wüßte nicht, wie du die wechselnden token in den router reinkriegst, aber wenn du eine remote capi verwendest, ist das praktisch so, wie eine isdn karte im rechner, nur dass diese viele clients nutzen dürfen, dann sollte das mit rcapi gehen!

[maho 10]

hat mir jemand eine Bsp. Konfig. mit rcapi? Ich habe nämlich nicht blassesten Schimmer, wie das zu konfigurieren sein soll... Wäre über jeden Tip sehr dankbar.

[rob_67 10]

können wir nächste woche mal schauen, bei ciscos musst du aber rvscom (mindestens light)installieren, das liegt jeden router bei... bintec router können das fast noch besser!

[maho 10]

Hi Rob, wie siehts aus, haste mir vielleicht noch paar Infos? Ich komme nicht weiter, finde auch nichts Bracuhbares auf der Cisco Seite.

[rob_67 10]

Hi Maho,

 

 

sorry, hab ich glatt vergessen, ich poste heute noch ne config für nen 801 er mit konfiguerierter CAPI...

 

 

Gruss

 

Rob

[rob_67 10]

Hi,

 

 

hier ne cisco 801 er capi config:

 

 

!

version 12.2

no service pad

service timestamps debug uptime

service timestamps log uptime

no service password-encryption

!

hostname Router

!

boot system flash c800-y6-mw.122-29.bin

enable secret

!

ip subnet-zero

!

isdn switch-type basic-net3

isdn voice-call-failure 0

!

!

!

interface Ethernet0

ip address 192.168.1.1 255.255.255.0

!

interface BRI0

no ip address

encapsulation hdlc

isdn switch-type basic-net3

isdn incoming-voice modem

hold-queue 30 in

hold-queue 30 out

!

no ip http server

ip classless

!

tftp-server flash:

!

line con 0

stopbits 1

line vty 0 4

session-timeout 360

password cisco

logging synchronous

login

!

rcapi server port 2578

!

rcapi number 8004

!

end

 

 

Wichtig ist halt hier nur die rcapi number, das ist die rufnummer, auf welche der router hören soll (hier Nebenstellennummer 8004), die sollte sich von einer eventuell zu verwendenden ppp rufnummer unterscheiden, encapsulation kann auch anders sein... wichtig ist, dass du die zugehörige software rvscom hast, die liegt nem 801 er bei, die musst du auf jedem pc installieren (der die rcapi nutzen soll) und den gleichen port (2578) wie auf dem router angeben, dann kann der router als server für mehrere clients betrieben werden (habe ich auf dem cisco allerdings noch nicht getestet, bei bintec funktioniert so was ganz gut)

 

 

gruss

 

rob