ACS 3.0 Access Einschränkung

[Zion]

Hallo Leute !

Kennt sich einer von euch mit dem ACS 3.0 von Cisco gut aus.

Ich regle über die 2.6 Version und ein NAS (Cisco 5300) die Einwahl in meiner Firma. Das funzt auch soweit einwandfrei !

Ich will jetzt den Zugriff für Fremdfirmen auch da drauf legen, will
sie aber vom Access her einschränken also ACL's.

Meine Frage ist: wie funzt das mit den AV-Pairs ich muss
die ACL's auf dem Router machen das ist klar. Aber irgendwie
bekomme ich sobald die ACL mit einbezogen sind im ACS gar keinen Zugriff. Die Access Liste müsste eigentlich stimmen

z.B.access list 105 permit tcp 192.168.17.0 0.0.0.255 any eq ftp
access list 105 permit tcp 192.168.17.0 0.0.0.255 any eq www
.
.
access list 105 deny ip any any

Danach beziehe ich das ganze unter den IP Einstellungen im ACS ein.

Bin für jeden Tip dankbar !

[Zion]

OK ich seh schon von euch hat auch keiner ne rechte Ahnung.

Ich bin jetzt grad dabei das über die PIX ACLs beim 3.0er zu versuchen.
Hab da aber das gleiche Problem das ich gar nicht reinkomme.
Irgendwo bleib ich da an den User/Group Einstellungen hängen, an den ACLs ich hab auch schon das deny weggelassen aber nada ! ...... HILFE......

[HenryNo1]

Hi Zion,

sorry, dass ich nicht früher antworten konnte.
Ich hab zwar schon mal mit dem ACS "rumgespielt", aber so aus dem Stegreif kann ich Dir bei Deinem Problem leider auch nicht weiterhelfen.

Ich schau morgen mal in meinen Unterlagen nach, kann Dir aber leider aus der Arbeit nicht antworten....also bitte Geduld
Ich tu mein Bestes

CYa HenryNo1

[HenryNo1]

Ach ja,

was meinst Du denn mit Pix ACL beim 3er und nicht reinkommen etc.
Wenn Du mir da etwas genauere Infos zukommen lassen könntest.....

Thx

[Lian]

Original geschrieben von Zion OK ich seh schon von euch hat auch keiner ne rechte Ahnung.

"Ein Augenblick Geduld kann viel Unglueck verhueten."
Chinesisches Sprichwort

[Zion]

Hi !
Ich hab euch mal im Anhang ein Paar Info's und den DEBUG.

Ich hab's zuerst mit den normalen PPP IP Access Listen probiert.
Und danach über die Downloadable PIX ACL's.

Vielleicht hilfts weiter !

MfG Zion

[Zion]

ACS 1.Teil

[Zion]

ACS 2.Teil

[Zion]

Und noch en Debug

AUTHOR/START queued
3w2d: TAC+: 10.128.132.47 (2815543761) AUTHOR/START queued
3w2d: TAC+: 10.128.132.47 ESTAB id=2815543761 wrote 75 of 75 bytes
3w2d: TAC+: 10.128.132.47 req=6147E66C Qd id=2815543761 ver=192 handle=0x613FAFD4 (ESTAB) expire=9 AUTHOR/START sent
3w2d: TAC+: 10.128.132.47 ESTAB read=12 wanted=12 alloc=12 got=12
3w2d: TAC+: 10.128.132.47 ESTAB read=149 wanted=149 alloc=149 got=137
3w2d: TAC+: 10.128.132.47 received 149 byte reply for 6147E66C
3w2d: TAC+: req=6147E66C Tx id=2815543761 ver=192 handle=0x613FAFD4 (ESTAB) expire=9 AUTHOR/START processed
3w2d: TAC+: (2815543761) AUTHOR/START processed
3w2d: TAC+: periodic timer stopped (queue empty)
3w2d: TAC+: (2815543761): received author response status = PASS_ADD
3w2d: TAC+: Closing TCP/IP 0x613FAFD4 connection to 10.128.132.47/49
3w2d: TAC+: Received Attribute "inacl#1=permit icmp 10.128.0.0 0.0.255.255 10.128.0.0 0.0.255.255"
3w2d: TAC+: Received Attribute "inacl#2=permit tcp 10.128.0.0 0.0.255.255 10.128.0.0 0.0.255.255"
3w2d: Se0:14 AAA/AUTHOR/IPCP (263633215): found list "default"
3w2d: AAA/AUTHOR/TAC+: (263633215): user=test
3w2d: AAA/AUTHOR/TAC+: (263633215): send AV service=ppp
3w2d: AAA/AUTHOR/TAC+: (263633215): send AV protocol=ip
3w2d: AAA/AUTHOR/TAC+: (263633215): send AV addr*10.128.99.3
3w2d: TAC+: using previously set server 10.128.132.47 from group tacacs+
3w2d: TAC+: Opening TCP/IP to 10.128.132.47/49 timeout=10
3w2d: TAC+: Opened TCP/IP handle 0x613FB470 to 10.128.132.47/49
3w2d: TAC+: Opened 10.128.132.47 index=1
3w2d: TAC+: periodic timer started
3w2d: TAC+: 10.128.132.47 req=6147CF90 Qd id=263633215 ver=192 handle=0x613FB470 (ESTAB) expire=10 AUTHOR/START queued
3w2d: TAC+: 10.128.132.47 (263633215) AUTHOR/START queued
3w2d: TAC+: 10.128.132.47 ESTAB id=263633215 wrote 92 of 92 bytes
3w2d: TAC+: 10.128.132.47 req=6147CF90 Qd id=263633215 ver=192 handle=0x613FB470 (ESTAB) expire=9 AUTHOR/START sent
3w2d: TAC+: 10.128.132.47 ESTAB read=12 wanted=12 alloc=12 got=12
3w2d: TAC+: 10.128.132.47 ESTAB read=149 wanted=149 alloc=149 got=137
3w2d: TAC+: 10.128.132.47 received 149 byte reply for 6147CF90
3w2d: TAC+: req=6147CF90 Tx id=263633215 ver=192 handle=0x613FB470 (ESTAB) expire=9 AUTHOR/START processed
3w2d: TAC+: (263633215) AUTHOR/START processed
3w2d: TAC+: periodic timer stopped (queue empty)
3w2d: TAC+: (263633215): received author response status = PASS_ADD
3w2d: TAC+: Closing TCP/IP 0x613FB470 connection to 10.128.132.47/49

// Hier sollten meine Access Listen ziehen die ich unter User Setup->PPP IP->Custom attributes konfiguriert habe
3w2d: TAC+: Received Attribute "inacl#1=permit icmp 10.128.0.0 0.0.255.255 10.128.0.0 0.0.255.255"
3w2d: TAC+: Received Attribute "inacl#2=permit tcp 10.128.0.0 0.0.255.255 10.128.0.0 0.0.255.255"
3w2d: AAA/ACCT/PROG: Updating Connect Progress for ds0 14 to 67
3w2d: AAA/ACCT/PROG: Updating Connect Progress for ds0 14 to 60

// Und hier hat er dann ein Problem die ACLs auf das User Profile zu ziehen
3w2d: %PERUSER-3-ISDNINTF: Se0:14 define-ip-nacl: Can not apply configuration to ISDN channel:
"inacl#1=permit icmp 10.128.0.0 0.0.255.255 10.128.0.0 0.0.255.255"
// Das mit der Route da peil ich auch nicht ganz
3w2d: Se0:15 IPCP: Install route to 10.128.99.3
3w2d: Se0:15 IPCP: Remove route to 10.128.99.3

3w2d: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0:14, changed state to up
3w2d: %ISDN-6-CONNECT: Interface Serial0:14 is now connected to XXXXXXXXX test
ACS30#


Na denn irgendwann knack ich die Nuss schon noch !

[Zion]

Und hier nochmal nen kleinen Zwischenstand wir hatten gestern nen Oberguru von Cisco da von dem wir hofften mehr über ACS und AV-Pairs zu erfahren. Aber dessen Aussage war leider nur benutzt CISTRON .... bei ACS Accesseinschränkung meinte er es is wohl implementiert aber es hat wohl noch keiner so richtig eingerichtet und es gibt auch keine Beispiel Configs bei CISCO (selbst nicht mit CCO Account) Der fragt jetzt aber wohl nochmal direkt bei den Amis nach irgendjemand muss das Teil ja programmiert haben ! Wenn wir das hinkriegen sind wir glaub die ersten zumindest in Germany.