The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Как сделать чтоб ACL срабатывал до IPSec decryption?"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [Проследить за развитием треда]

"Как сделать чтоб ACL срабатывал до IPSec decryption?" 
Сообщение от nazarov_serg303 Найти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 09-Янв-04, 12:30  (MSK)
Всем привет!
недавно поставили новый маршрутер - и у меня нес-ко вопросов.
1. subj - К циске коннектится VPN IPSec client. Неправильная вещь - access-lists работают после того как пакет расшифруется - т.е. фильтруется(например адрес источника) не тот что идет по инету а тот(внутренний) что назначен клиенту из local pool. Как изменить порядок?
Что-то слышал про loopback интерфейс - а как воспользоваться не знаю.

2. Никак не удается скопировать конфигурационный файл ни по ftp ни по scp.
IOS (tm) C1700 Software (C1700-K9O3SY7-M), Version 12.3(5a), RELEASE SOFTWARE (fc1)
Работает только tftp - но он говорят небезопасен.
Вот что пишет при попытке копировать running-conf по scp
%Error writing scp (Protocol error)
Кстати ssh на этот же хост(куда хочу скопировать) работает нормально
Вот по ftp
%Error writing ftp (Undefined error)

3. Как отключить bootps udp/67 ?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "Как сделать чтоб ACL срабатывал до IPSec decryption?" 
Сообщение от peresvet Найти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 10-Янв-04, 01:02  (MSK)
>Всем привет!
>недавно поставили новый маршрутер - и у меня нес-ко вопросов.
>1. subj - К циске коннектится VPN IPSec client. Неправильная вещь -
>access-lists работают после того как пакет расшифруется - т.е. фильтруется(например адрес
>источника) не тот что идет по инету а тот(внутренний) что назначен
>клиенту из local pool. Как изменить порядок?
>Что-то слышал про loopback интерфейс - а как воспользоваться не знаю.
>

sh ver напиши и кусок конфига, касающего настроек IPSec

>2. Никак не удается скопировать конфигурационный файл ни по ftp ни по
>scp.
>IOS (tm) C1700 Software (C1700-K9O3SY7-M), Version 12.3(5a), RELEASE SOFTWARE (fc1)
>Работает только tftp - но он говорят небезопасен.
>Вот что пишет при попытке копировать running-conf по scp
>%Error writing scp (Protocol error)
>Кстати ssh на этот же хост(куда хочу скопировать) работает нормально
>Вот по ftp
>%Error writing ftp (Undefined error)
>
>3. Как отключить bootps udp/67 ?


  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Как сделать чтоб ACL срабатывал до IPSec decryption?" 
Сообщение от nazarov_serg303 Найти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 12-Янв-04, 08:52  (MSK)
>>Всем привет!
>>недавно поставили новый маршрутер - и у меня нес-ко вопросов.
>>1. subj - К циске коннектится VPN IPSec client. Неправильная вещь -
>>access-lists работают после того как пакет расшифруется - т.е. фильтруется(например адрес
>>источника) не тот что идет по инету а тот(внутренний) что назначен
>>клиенту из local pool. Как изменить порядок?
>>Что-то слышал про loopback интерфейс - а как воспользоваться не знаю.
>>
>
>sh ver напиши и кусок конфига, касающего настроек IPSec
>
>>2. Никак не удается скопировать конфигурационный файл ни по ftp ни по
>>scp.
>>IOS (tm) C1700 Software (C1700-K9O3SY7-M), Version 12.3(5a), RELEASE SOFTWARE (fc1)
>>Работает только tftp - но он говорят небезопасен.
>>Вот что пишет при попытке копировать running-conf по scp
>>%Error writing scp (Protocol error)
>>Кстати ssh на этот же хост(куда хочу скопировать) работает нормально
>>Вот по ftp
>>%Error writing ftp (Undefined error)
>>
>>3. Как отключить bootps udp/67 ?

Вот полностью sh ver

Cisco Internetwork Operating System Software
IOS (tm) C1700 Software (C1700-K9O3SY7-M), Version 12.3(5a), RELEASE SOFTWARE (fc1)
Copyright (c) 1986-2003 by cisco Systems, Inc.
Compiled Tue 25-Nov-03 11:18 by kellythw
Image text-base: 0x80008120, data-base: 0x81038E6C

ROM: System Bootstrap, Version 12.2(7r)XM1, RELEASE SOFTWARE (fc1)

cs1720 uptime is 1 week, 6 days, 23 hours, 55 minutes
System returned to ROM by power-on
System restarted at 08:44:07 MSK Mon Dec 29 2003
System image file is "flash:c1700-k9o3sy7-mz.123-5a.bin"


This product contains cryptographic features and is subject to United
States and local country laws governing import, export, transfer and
use. Delivery of Cisco cryptographic products does not imply
third-party authority to import, export, distribute or use encryption.
Importers, exporters, distributors and users are responsible for
compliance with U.S. and local country laws. By using this product you
agree to comply with applicable laws and regulations. If you are unable
to comply with U.S. and local laws, return this product immediately.

A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

If you require further assistance please contact us by sending email to
export@cisco.com.

cisco 1721 (MPC860P) processor (revision 0x200) with 114688K/16384K bytes of memory.
Processor board ID FOC07380T5N (1913404751), with hardware revision 0000
MPC860P processor: part number 5, mask 2
Bridging software.
X.25 software, Version 3.0.0.
2 Ethernet/IEEE 802.3 interface(s)
1 FastEthernet/IEEE 802.3 interface(s)
32K bytes of non-volatile configuration memory.
32768K bytes of processor board System flash (Read/Write)

Configuration register is 0x2102


А это IPSec

aaa new-model
!
!
aaa authentication login USRAUTH local
aaa authorization network GRPAUTH local
aaa session-id common

!
crypto isakmp policy 3
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group ATRgroup
key test
domain test.com
pool LOCPOOL
acl 108
!
!
crypto ipsec transform-set ATRSET esp-3des esp-sha-hmac
!
crypto dynamic-map DYNMAP 10
set transform-set ATRSET
!
!
crypto map ATRMAP client authentication list USRAUTH
crypto map ATRMAP isakmp authorization list GRPAUTH
crypto map ATRMAP client configuration address respond
crypto map ATRMAP 10 ipsec-isakmp dynamic DYNMAP

ip local pool LOCPOOL 192.168.1.1

access-list 108 permit ip 10.0.0.0 0.0.255.255 host 192.168.1.1

  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Как сделать чтоб ACL срабатывал до IPSec decryption?" 
Сообщение от ВОЛКА emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 12-Янв-04, 09:00  (MSK)
access-list 108 permit ip 10.0.0.0 0.0.255.255 host 192.168.1.1

это нужно для split-tunelling'а...

  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Как сделать чтоб ACL срабатывал до IPSec decryption?" 
Сообщение от nazarov_serg303 emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 11-Фев-04, 09:24  (MSK)
>access-list 108 permit ip 10.0.0.0 0.0.255.255 host 192.168.1.1
>
>это нужно для split-tunelling'а...


ВОЛКА, не понял, что ты здесь имеешь ввиду?
Что такое split tunelling?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Как сделать чтоб ACL срабатывал до IPSec decryption?" 
Сообщение от kessl Найти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 11-Фев-04, 13:07  (MSK)
По поводу tftp

Поставь tftp server на свой комп, запусти его, скопируй config (а лучше и сам IOS) и отключи его, и никто не достучится ...

  Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "Как сделать чтоб ACL срабатывал до IPSec decryption?" 
Сообщение от nazarov_serg303 emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 11-Фев-04, 13:37  (MSK)
>По поводу tftp
>
>Поставь tftp server на свой комп, запусти его, скопируй config (а лучше
>и сам IOS) и отключи его, и никто не достучится ...
>


  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру