IOS Remote Access VPN

[kroliczko]

Hallo zusammen,
remote user sollen sich per VPN mit dem Router verbinden, um auf das Netz hinter dem Router zugreifen zu können aber dies klappt leider nicht!!!


VPN_ROUTER#show running−config
!
aaa new−model
!
!
aaa authentication login userauthen local
aaa authorization network groupauthor local
!
aaa session−id common
!
username vpnuser password 0 ******
!
!
!
crypto isakmp policy 10
authentication pre−share
encryption 3des
group 2
!
crypto isakmp client configuration group vpngroup
key ******
dns 172.16.1.21
wins 172.16.1.20
pool ippool
acl split_tunnel
!
crypto isakmp profile vpnclient *** wozu braucht man das???? *****
match identity group vpngroup
client authentication list userauthen
isakmp authorization list groupauthor
client configuration address respond
!
!
crypto ipsec transform−set newset esp−3des esp−md5−hmac
crypto ipsec transform−set remote−set esp−3des esp−md5−hmac
!
crypto dynamic−map dynmap 10
set transform−set remote−set
set isakmp−profile vpnclient
reverse−route
!
crypto map map1 65535 ipsec−isakmp dynamic dynmap
!
ip access−list extended split_tunnel
permit ip 172.16.1.0 0.0.0.255 10.10.120.0 0.0.0.255
permit ip 10.10.120.0 0.0.0.255 172.16.1.0 0.0.0.255
!
ip local pool ippool 10.10.120.10 10.10.120.50

-------------------------------------------------

was hat eigentlich "crypto isakmp profile vpnclient" zu bewirken bzw. welche Funktionalität liefert das denn?


wenn ich mich über vpn verbinde, klapt es und ich bekomme ein IP zugewiesen aber ich kann keine Maschinen von 172.16.1.0/24(hat der Router als directly connected) anpingen!!


Danke und Grüsse!

[kroliczko]

stimmt es, dass "crypto isakmp profile" verwendet werden sollte, wenn der Router Site-toSite und Remote Access VPN machen sollte?

welche commands fehlen noch, damit die Remote Access VPN User sich gegenüber einen Radius-Server(172.16.1.2) authentifizieren und nicht local?


Grüsse

[Otaku19]

das musst beim aaa richtig konfigurieren

[kroliczko]

Ich wäre sehr dankbar, wenn jemand mir so ein configbeispiel für diese Konstelation hier posten!

Gewünscht ist: die komplette Authentication/Authorization des Routers(ssh,telnet) und der VPN Users gegenüber den Radius-Server(172.16.1.2) läuft!


Danke & Grüße

[Otaku19]

wenn man sich nicht mit AAA auskennt sollte mans lieber lernen und nicht kopieren da kannst dich sonst mit einem

aaa authentication login default group radius

ganz schnell mal aussperren wenn der Radius nicht erreichbar ist, du musst schon wissen was genau du willst, auf welcher Line was laufen soll (SSH konfiguriert man zB nicht über AAA, bzw.hat mit AAA genau garnix zu tun)
wenn man mal intus hat was Authentifizerung, Authentisierung und Accounting ist und was method lists sind, dann ist das ruckzuck konfiguriert

[kroliczko]

Danke!
der radius-Server ist für den Router erreibar. Ich möchte erstmal nur, dass die VPN User sich gegenüber den radius-Server authetifzieren!
Momentan funktioniert es aber die Authentifizierung für die VPN-User ist local auf dem Router!


Es wäre sehr hilfsreich wenn du mir die nötige command mal postest ;-)


schon mal super Danke!

[Otaku19]

aaa group server radius RADIUS
server 172.16.1.2 auth-port blablabla

aaa authentication login default (besser ne eigene gruppe) group RADIUS
aaa authorization network default (besser ne eigene gruppe) group RADIUS

das sollts gewesen sein, wenn wie bei dir nur ein radius vorhanden ist müsste auch

aaa authorization network default (besser ne eigene gruppe) group radius
radius-server host 172.16.1.2 auth-port blabla

reichen. mit nem ? wird dir grade bei solchen Sachen gut weitergholfen, nur nicht beim verstehen des AAA Prinzips.



SSH wird übrigens so konfiguriert:

es muss ein k9 Image vorhanden sein
ip domain-name bla
crypto key generate rsa general-keys [modulus "Keylänge"]
line vty 0 4
transport input ssh

mit ip ssh ? siehst du das du noch das timeout und retries angeben kannst falls die default settings nicht passen bzw du wissen willst was da passiert

[kroliczko]

super vielen Dank!
Ich werde das ganze mal konfigurieren und feedback geben ;-)

[Otaku19]

AAA mit TACACS+ im Cisco IOS : Security-planet.de

das hier ist als AAA Einführung nicht übel