Kandu.dk - PIX VpnGroup authentication-server ??


/ Forside / Teknologi / Netværk / TCP/IP / Nyhedsindlæg

Glemt dit kodeord?

Brugernavn*

Kodeord *

Husk mig

Brugerservice

Kom godt i gang

Bliv medlem

Seneste indlæg

Find en bruger

Stil et spørgsmål

Skriv et tip

Fortæl en ven

Pointsystemet

Kontakt Kandu.dk

Emnevisning

Kategorier

Alfabetisk

Karriere

Interesser

Teknologi

Reklame

Top 10 brugere

TCP/IP

#	Navn	Point
1	Per.Frede..	4668
2	BjarneD	4017
3	severino	2804
4	pallebhan..	1680
5	EXTERMINA..	1525
6	xou	1455
7	strarup	1430
8	Manse9933	1419
9	o.v.n.	1400
10	Fijala	1204

PIX VpnGroup authentication-server ??
Fra : Brian Ipsen

Dato : 18-01-04 23:54

Hej!

Jeg var ved at støve options på VPNGROUP kommandoen, da "vpngroup groupname
authentication-server" dukkede op.... vil det sige, at man nu kan bruge
forskellige RADIUS servere til validering på forskellige VPN grupper ??

En anden ting - er det muligt på en VPN gruppe at sige, at de f.eks. kun må
have adgang til en enkelt host på nettet (192.168.1.44), som er forbundet
til PIX'en ??
Jeg tænkte på noget i stil med:

ip local pool myvpnpool 192.168.7.1-192.168.7.6
access-list limited_vpn permit host 192.168.1.44 192.168.7.0 255.255.255.248
crypto ipsec transform-set vpnset esp-3des esp-sha-hmac
crypto dynamic-map dynmap 21 set transform-set vpnset
crypto dynamic-map dynmap 21 set security-association lifetime seconds 28800
kilobytes 4608000

crypto map mymap 21 ipsec-isakmp dynamic dynmap
crypto map mymap 21 match address limited_vpn
crypto map mymap 21 set transform-set vpnset
isakmp policy 21 authentication pre-share
isakmp policy 21 encryption 3des
isakmp policy 21 hash sha
isakmp policy 21 group 1
isakmp policy 21 lifetime 86400
vpngroup myvpngrp address-pool myvpnpool
vpngroup myvpngrp dns-server 192.168.1.44
vpngroup myvpngrp wins-server 192.168.1.44
vpngroup myvpngrp default-domain domain.dk
vpngroup myvpngrp idle-time 3600
vpngroup myvpngrp password ********

Eller er det en umulig tanke ??

Mvh,

Brian

Martin Bilgrav (19-01-2004)

Kommentar
Fra : Martin Bilgrav

Dato : 19-01-04 15:33

"Brian Ipsen" <me@nowhere.net> wrote in message
news:buf2pf$7ku$1@sunsite.dk...
> Hej!
>
> Jeg var ved at støve options på VPNGROUP kommandoen, da "vpngroup
groupname
> authentication-server" dukkede op.... vil det sige, at man nu kan bruge
> forskellige RADIUS servere til validering på forskellige VPN grupper ??

hmm, godt spørgsmål.
1. Man kan godt specificere forskellige aaa auth server
2. Man kan godt sætte vpngroup auth server
Men faktisk så plejer jeg at ikke at lave vpngroup auth server, men blot :
crypto map NAME client authentication TAG
dette sammen med en Aaa Server protocol

men hvorfor bruge forskellige servers, hvis man kan bruge attributes i
radius/tacacs+ ?
Man kan måske også opnå det samme du vil, ved bruge at groupname eller andet
ifm attributes.

>
> En anden ting - er det muligt på en VPN gruppe at sige, at de f.eks. kun
må
> have adgang til en enkelt host på nettet (192.168.1.44), som er forbundet
> til PIX'en ??
Ja, det kalder Cisco for split tunneling.

> Jeg tænkte på noget i stil med:

>
> ip local pool myvpnpool 192.168.7.1-192.168.7.6
> access-list limited_vpn permit host 192.168.1.44 192.168.7.0
255.255.255.248
> crypto ipsec transform-set vpnset esp-3des esp-sha-hmac
> crypto dynamic-map dynmap 21 set transform-set vpnset
> crypto dynamic-map dynmap 21 set security-association lifetime seconds
28800
> kilobytes 4608000
>
> crypto map mymap 21 ipsec-isakmp dynamic dynmap
> crypto map mymap 21 match address limited_vpn
> crypto map mymap 21 set transform-set vpnset
> isakmp policy 21 authentication pre-share
> isakmp policy 21 encryption 3des
> isakmp policy 21 hash sha
> isakmp policy 21 group 1
> isakmp policy 21 lifetime 86400
> vpngroup myvpngrp address-pool myvpnpool
> vpngroup myvpngrp dns-server 192.168.1.44
> vpngroup myvpngrp wins-server 192.168.1.44
> vpngroup myvpngrp default-domain domain.dk
> vpngroup myvpngrp idle-time 3600
> vpngroup myvpngrp password ********
>
> Eller er det en umulig tanke ??

Jeg plejer at bruge spilttunnels, vpngroup NAME split-tunnel ACL, men det er
ikke umuligt at du kan det med ACL også.

Mvh
MArtin

>
> Mvh,
>
> Brian
>
>

Brian Ipsen (19-01-2004)

Kommentar
Fra : Brian Ipsen

Dato : 19-01-04 16:17

"Martin Bilgrav" <bilgravCUTTHISOUT@image.dk> wrote in message
news:eUROb.76124$jf4.4868349@news000.worldonline.dk...
> > Jeg var ved at støve options på VPNGROUP kommandoen, da "vpngroup
> > groupname
> > authentication-server" dukkede op.... vil det sige, at man nu kan bruge
> > forskellige RADIUS servere til validering på forskellige VPN grupper ??
>
> hmm, godt spørgsmål.
> 1. Man kan godt specificere forskellige aaa auth server
> 2. Man kan godt sætte vpngroup auth server
> Men faktisk så plejer jeg at ikke at lave vpngroup auth server, men blot :
> crypto map NAME client authentication TAG
> dette sammen med en Aaa Server protocol
>
> men hvorfor bruge forskellige servers, hvis man kan bruge attributes i
> radius/tacacs+ ?

Fordi det p.t. er en Windows RADIUS server, og jeg vil gerne undgå at alle
VPN brugere skal oprettes på den (da det integrerer ned i Active Directory,
og nogle af VPN brugerne skal ikke have adgang pi det AD miljø). Jeg har kig
på en linux RADIUS, men det virker umiddelbart ret kompliceret at sætte op
(men det skal jeg nok tage op i en anden gruppe).
TACACS+ har jeg ikke kigget på - min fornemmelse er, at Cisco's software på
den front koster en halv arm...

> > En anden ting - er det muligt på en VPN gruppe at sige, at de f.eks. kun
> > må have adgang til en enkelt host på nettet (192.168.1.44), som er
forbundet
> > til PIX'en ??

> Ja, det kalder Cisco for split tunneling.

Jo - men det var netop for kun at begrænse adgang til enkelte hosts - og
stadig ikke have split tunnelling (af sikkerheds-hensyn).

/Brian

Søg

Reklame

Statistik

Spørgsmål :	177502
Tips :	31968
Nyheder :	719565
Indlæg :	6408534
Brugere :	218887

Månedens bedste

Årets bedste

Sidste års bedste