wagnerb 10 Geschrieben 17. Juni 2006 Melden Teilen Geschrieben 17. Juni 2006 Hallo, ich habe hier eine an sich sehr sichere VPN Lösung implementiert: W2K3 Server als VPN Server, komplett Zertifikatsbasierend mit User und Computerzertifikaten, also keinen Passwörtern mehr, IPSec mit Radius Authentifizierung. Genau diese Konfiguration möchte ich jetzt mit meiner neuen Pix501 6.3(4) haben, d.h. ich möchte mich (ohne Cisco VPN Client) mit einem XP Notebook aus dem Internet zur Pix verbinden (mit IPSec + Client Zertifikaten + Radius). Ziel ist es die Sache noch sicherer zu machen und den VPN Tunnel auf der Pix zu terminieren. Zur Zeit lasse ich ESP und IKE auf der Pix durch und terminiere drinnen, was aber nicht sehr schön ist (aber funktioniert). Frage: Kann das die Pix überhaupt? Ich habe 2 Stunden gegoogelt und sonst noch was alles... Ich habe keine Möglichkeit gefunden wie die Pix Clientzertifikate an den Radius Server weitergeben könnte? LG Boris Zitieren Link zu diesem Kommentar
heiko2 10 Geschrieben 22. Juni 2006 Melden Teilen Geschrieben 22. Juni 2006 Hi Boris, die PIX hält einen eigen Zertifikatsspeicher und unterhält sich wegen der Zertifikate nur mit einer CI, die auf der PIX autorisiert ist. D.h. die Clientzertifikate liegen entweder auf der PIX und sind durch ihren Path verifizierbar oder durch eine ONline-CA. Der Radius wird ausschließlich zu Konfiguration, Accounting bzw. User-Authenifirierung vewrwendet. Das hat aber nichts mehr mit der Konfiguration des IPSec zu tun. IPSec mit Zertifikaten tut für den Tunnel ohne Probleme. Gruß Heiko Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.