форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Как сделать чтоб ACL срабатывал до IPSec decryption?"
Сообщение от nazarov_serg303 on 09-Янв-04, 12:30  (MSK)
Всем привет! недавно поставили новый маршрутер - и у меня нес-ко вопросов. 1. subj - К циске коннектится VPN IPSec client. Неправильная вещь - access-lists работают после того как пакет расшифруется - т.е. фильтруется(например адрес источника) не тот что идет по инету а тот(внутренний) что назначен клиенту из local pool. Как изменить порядок? Что-то слышал про loopback интерфейс - а как воспользоваться не знаю. 2. Никак не удается скопировать конфигурационный файл ни по ftp ни по scp. IOS (tm) C1700 Software (C1700-K9O3SY7-M), Version 12.3(5a), RELEASE SOFTWARE (fc1) Работает только tftp - но он говорят небезопасен. Вот что пишет при попытке копировать running-conf по scp %Error writing scp (Protocol error) Кстати ssh на этот же хост(куда хочу скопировать) работает нормально Вот по ftp %Error writing ftp (Undefined error) 3. Как отключить bootps udp/67 ?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Как сделать чтоб ACL срабатывал до IPSec decryption?"
Сообщение от peresvet on 10-Янв-04, 01:02  (MSK)
>Всем привет! >недавно поставили новый маршрутер - и у меня нес-ко вопросов. >1. subj - К циске коннектится VPN IPSec client. Неправильная вещь - >access-lists работают после того как пакет расшифруется - т.е. фильтруется(например адрес >источника) не тот что идет по инету а тот(внутренний) что назначен >клиенту из local pool. Как изменить порядок? >Что-то слышал про loopback интерфейс - а как воспользоваться не знаю. > sh ver напиши и кусок конфига, касающего настроек IPSec >2. Никак не удается скопировать конфигурационный файл ни по ftp ни по >scp. >IOS (tm) C1700 Software (C1700-K9O3SY7-M), Version 12.3(5a), RELEASE SOFTWARE (fc1) >Работает только tftp - но он говорят небезопасен. >Вот что пишет при попытке копировать running-conf по scp >%Error writing scp (Protocol error) >Кстати ssh на этот же хост(куда хочу скопировать) работает нормально >Вот по ftp >%Error writing ftp (Undefined error) > >3. Как отключить bootps udp/67 ?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "Как сделать чтоб ACL срабатывал до IPSec decryption?"
	Сообщение от nazarov_serg303 on 12-Янв-04, 08:52  (MSK)
	>>Всем привет! >>недавно поставили новый маршрутер - и у меня нес-ко вопросов. >>1. subj - К циске коннектится VPN IPSec client. Неправильная вещь - >>access-lists работают после того как пакет расшифруется - т.е. фильтруется(например адрес >>источника) не тот что идет по инету а тот(внутренний) что назначен >>клиенту из local pool. Как изменить порядок? >>Что-то слышал про loopback интерфейс - а как воспользоваться не знаю. >> > >sh ver напиши и кусок конфига, касающего настроек IPSec > >>2. Никак не удается скопировать конфигурационный файл ни по ftp ни по >>scp. >>IOS (tm) C1700 Software (C1700-K9O3SY7-M), Version 12.3(5a), RELEASE SOFTWARE (fc1) >>Работает только tftp - но он говорят небезопасен. >>Вот что пишет при попытке копировать running-conf по scp >>%Error writing scp (Protocol error) >>Кстати ssh на этот же хост(куда хочу скопировать) работает нормально >>Вот по ftp >>%Error writing ftp (Undefined error) >> >>3. Как отключить bootps udp/67 ? Вот полностью sh ver Cisco Internetwork Operating System Software IOS (tm) C1700 Software (C1700-K9O3SY7-M), Version 12.3(5a), RELEASE SOFTWARE (fc1) Copyright (c) 1986-2003 by cisco Systems, Inc. Compiled Tue 25-Nov-03 11:18 by kellythw Image text-base: 0x80008120, data-base: 0x81038E6C ROM: System Bootstrap, Version 12.2(7r)XM1, RELEASE SOFTWARE (fc1) cs1720 uptime is 1 week, 6 days, 23 hours, 55 minutes System returned to ROM by power-on System restarted at 08:44:07 MSK Mon Dec 29 2003 System image file is "flash:c1700-k9o3sy7-mz.123-5a.bin" This product contains cryptographic features and is subject to United States and local country laws governing import, export, transfer and use. Delivery of Cisco cryptographic products does not imply third-party authority to import, export, distribute or use encryption. Importers, exporters, distributors and users are responsible for compliance with U.S. and local country laws. By using this product you agree to comply with applicable laws and regulations. If you are unable to comply with U.S. and local laws, return this product immediately. A summary of U.S. laws governing Cisco cryptographic products may be found at: http://www.cisco.com/wwl/export/crypto/tool/stqrg.html If you require further assistance please contact us by sending email to export@cisco.com. cisco 1721 (MPC860P) processor (revision 0x200) with 114688K/16384K bytes of memory. Processor board ID FOC07380T5N (1913404751), with hardware revision 0000 MPC860P processor: part number 5, mask 2 Bridging software. X.25 software, Version 3.0.0. 2 Ethernet/IEEE 802.3 interface(s) 1 FastEthernet/IEEE 802.3 interface(s) 32K bytes of non-volatile configuration memory. 32768K bytes of processor board System flash (Read/Write) Configuration register is 0x2102 А это IPSec aaa new-model ! ! aaa authentication login USRAUTH local aaa authorization network GRPAUTH local aaa session-id common ! crypto isakmp policy 3 encr 3des authentication pre-share group 2 ! crypto isakmp client configuration group ATRgroup key test domain test.com pool LOCPOOL acl 108 ! ! crypto ipsec transform-set ATRSET esp-3des esp-sha-hmac ! crypto dynamic-map DYNMAP 10 set transform-set ATRSET ! ! crypto map ATRMAP client authentication list USRAUTH crypto map ATRMAP isakmp authorization list GRPAUTH crypto map ATRMAP client configuration address respond crypto map ATRMAP 10 ipsec-isakmp dynamic DYNMAP ip local pool LOCPOOL 192.168.1.1 access-list 108 permit ip 10.0.0.0 0.0.255.255 host 192.168.1.1
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "Как сделать чтоб ACL срабатывал до IPSec decryption?"
	Сообщение от ВОЛКА on 12-Янв-04, 09:00  (MSK)
	access-list 108 permit ip 10.0.0.0 0.0.255.255 host 192.168.1.1 это нужно для split-tunelling'а...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "Как сделать чтоб ACL срабатывал до IPSec decryption?"
	Сообщение от nazarov_serg303 on 11-Фев-04, 09:24  (MSK)
	>access-list 108 permit ip 10.0.0.0 0.0.255.255 host 192.168.1.1 > >это нужно для split-tunelling'а... ВОЛКА, не понял, что ты здесь имеешь ввиду? Что такое split tunelling?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Как сделать чтоб ACL срабатывал до IPSec decryption?"
Сообщение от kessl on 11-Фев-04, 13:07  (MSK)
По поводу tftp Поставь tftp server на свой комп, запусти его, скопируй config (а лучше и сам IOS) и отключи его, и никто не достучится ...
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "Как сделать чтоб ACL срабатывал до IPSec decryption?"
	Сообщение от nazarov_serg303 on 11-Фев-04, 13:37  (MSK)
	>По поводу tftp > >Поставь tftp server на свой комп, запусти его, скопируй config (а лучше >и сам IOS) и отключи его, и никто не достучится ... >
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.