Seppe

Guten Morgen

 

Ich besitze mehrere Fragen bezüglich Authentifizierung. Es existieren ein Client-PC (Windows Vista), ein Authenticator-Switch (Cisco) und ein Server (Windows Server 2008 R2), welcher die Rollen NPS, AD und Zertifikatstamm besitzt.

 

1) Wie bindet man das Clientzertifikat zur Authentifizierung bei Peap-TLS in Vista ein?

 

2) Wie kann auf dem NPS-Server anhand des Zertifikates festgestellt werden, dass der eine Client ins VLANx und der andere ins VLANy gehört? Bis jetzt gibt es nur zwei vordefinierte Policys: gesund, nicht gesund.

 

3) Anhand welchen AVP-Attributes kann der VLAN-Name (z.B. PublicVLAN) an den Authenticator zurückgegeben werden? Finde immer nur die VLAN-ID als Rückgabeparameter.

 

4) Kann der DHCP-Dienst IP-Adressen für die verschiedenen VLANs bereitstellen? Wenn ja, wie mache ich das dem NPS-Server klar? Bis jetzt ist alles noch statisch.

 

 

Danke für Hilfe.

 

Seppe

Neue Frage neues Glück :)

 

Hat jemand Erfahrung mit der IP-Telephone-Zertifizierung per RADIUS (CP-8961)?

 

Kann man für das Telephone Zertifikate ausstellen lassen und Einspielen, welche gegenüber dem RADIUS und CA als vertrauenswürdig eingestuft wird?

Habe mal was gelesen, dass sich die Telefone selbst authentifizieren.

 

Wenn man im RADIUS ein Telefon kennzeichnen möchte muss man ja folgendes als AVP hinterlegen: device-traffic-class=voice.

Es soll MDA als Host-Mode genutzt werden.

 

Kann in der CISCO-Doku leider nicht wirklich finden wie man die Telefone 802.1x fähig macht :(

 

 

Danke für jede Hilfe.

 

 

Seppe

Super. Da weis ich ja bescheid :)

Hallo

 

Wollte mal fragen was bei der 802.1x Authentication ist zwischen dem dem dot1x und authentication.

 

Zum Beispiel:

authentication port-control auto

or

dot1x port-control auto

 

 

Danke für Antwort.

 

 

Seppe

Das man den Einstellen kann bzw. per RADIUS übermitteln kann habe ich auch schon gelesen. Aber es steht nicht explizit da, dass es für das Guest-VLAN geht. Bei den Restricted-VLAN steht es direkt da.

Wie würde das vom Ablauf funktionieren? Das Script soll bei Wiedererreichbarkeit des RADIUS den Port re-connecten?

@Wordo: Das ist klar, aber in einer Firma wäre das niocht die optimale Lösung :)

 

@Otaku19: Ob das der Switch macht ist genau die Frage. In der Doku steht weder ja noch nein. Bei den Supplikanten sollte das nicht geregelt werden.

Das ist richtig. Aber wie kommen diese Geräte aus dem Guest-VLAN wider raus?

Hallo Zusammen,

 

Bin gerade dabei mich in der Thamatik "Port-based-Security zu wagen". Lese gerade die passende Doku. Da bin ich auf folgende Abbildung gestoßen: Catalyst 3750 Software Configuration Guide, Release 12.2(55)SE - Configuring IEEE 802.1x Port-Based Authentication* [Cisco Catalyst 3750 Series Switches] - Cisco Systems.

 

Zu meinen Fragen:

 

1.) Was passiert, wenn der RADIUS-Server bei den nicht 802.1x-fähigen Geräten ausfällt? Gibt es da auch ein "Critical Authentication VLAN"?

 

2.) Wenn ein Port im "Critical Authentication VLAN" ist und der Server wieder erreichbar ist, erfolgt automatisch eine Re-Authentication?

 

 

Hat jemand Erfahrung mit dieser Thematik?

 

Danke :-D

Danke für den Link :)

Hattes soweit mitlerwile hinbekommen. Lese mit trotzdem nochmal den Link durch.

Den USER hatte ich rausgenommen zum posten.

Also die Grund Config ist von hier:

 

Cisco Router as a Remote VPN Server using SDM Configuration Example - Cisco Systems

 

Allerdings geht bei mir das VPN SDM nicht, weil die Java Version anscheind nicht unterstützt wird

Es soll erst ein VPN Über das OUTSIDE aufgebaut werden vom PC 10.1.1.2. Und dieser PC soll dann Zugang zum "Intranet" haben, wenn er verbunden ist. Intranet ist in dem Fall dann nur der PC 192.168.1.2.

Zum Testzweck ist zwischen OUTSIDE PC unt Outside Interface ein direktes Kabel. Später soll das Internet dazwischen sein

Für Testzwekce soll es erstmal so funktionieren:

 

Ein externer Mitarbeiter (10.1.1.2) soll sich per VPN ein wählen am OUTSIDE Interface (10.1.1.1). Er soll dann auf einen PC (192.168.1.2) zugreifen im INTRANET über das INSIDE Interface (192.168.1.2).

 

Was sagt die ccess Regel 100 aus?

Hier erstmal die Config

 

Ist von der CISCO Seite eine Standard Konfig mit leichter Änderung

 

 

Building configuration...

 

Current configuration : 3329 bytes

!

version 12.4

service timestamps debug datetime msec

service timestamps log datetime msec

no service password-encryption

!

hostname Router

!

boot-start-marker

boot-end-marker

!

!

aaa new-model

!

!

aaa authentication login default local

aaa authentication login sdm_vpn_xauth_ml_1 local

aaa authorization exec default local

aaa authorization network sdm_vpn_group_ml_1 local

!

aaa session-id common

ip cef

!

!

ip auth-proxy max-nodata-conns 3

ip admission max-nodata-conns 3

!

!

!

!

 

 

!

!

!

crypto isakmp policy 1

encr 3des

authentication pre-share

group 2

!

crypto isakmp client configuration group vpn

key sdmsdm

pool SDM_POOL_1

netmask 255.255.255.0

!

!

crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac

!

crypto dynamic-map SDM_DYNMAP_1 1

set transform-set ESP-3DES-SHA

reverse-route

!

!

crypto map SDM_CMAP_1 client authentication list sdm_vpn_xauth_ml_1

crypto map SDM_CMAP_1 isakmp authorization list sdm_vpn_group_ml_1

crypto map SDM_CMAP_1 client configuration address respond

crypto map SDM_CMAP_1 65535 ipsec-isakmp dynamic SDM_DYNMAP_1

!

!

!

interface FastEthernet0/0

ip address 10.1.1.1 255.255.255.0

speed auto

half-duplex

crypto map SDM_CMAP_1

!

interface FastEthernet0/1

ip address 192.168.1.1 255.255.255.0

duplex auto

speed auto

!

interface BRI0/0/0

no ip address

encapsulation hdlc

shutdown

!

ip local pool SDM_POOL_1 192.168.2.1 192.168.2.5

ip forward-protocol nd

!

ip http server

ip http authentication local

ip http secure-server

!

route-map SDM_RMAP_1 permit 1

match ip address 100

!

!

!

control-plane

!

!

 

!

scheduler allocate 20000 1000

end

 

 

 

Liegt es vll. am Routen?

OK. Hier meine Config. Ist aus der CISCO Doku.

 

 

Am OUTSIDE ist der PC mit 10.1.1.2 dran. Am INSIDE Interface soll der PC mit 192.168.1.2 angepingt werden.

 

Vll ein Routing Problem?

 

 

 

Building configuration...

 

Current configuration : 3329 bytes

!

version 12.4

service timestamps debug datetime msec

service timestamps log datetime msec

no service password-encryption

!

hostname Router

!

boot-start-marker

boot-end-marker

!

!

aaa new-model

!

!

aaa authentication login default local

aaa authentication login sdm_vpn_xauth_ml_1 local

aaa authorization exec default local

aaa authorization network sdm_vpn_group_ml_1 local

!

aaa session-id common

ip cef

!

!

ip auth-proxy max-nodata-conns 3

ip admission max-nodata-conns 3

!

!

!

!

crypto pki trustpoint TP-self-signed-779273140

enrollment selfsigned

subject-name cn=IOS-Self-Signed-Certificate-779273140

revocation-check none

rsakeypair TP-self-signed-779273140

!

!

crypto pki certificate chain TP-self-signed-779273140

certificate self-signed 01

3082023C 308201A5 A0030201 02020101 300D0609 2A864886 F70D0101 04050030

30312E30 2C060355 04031325 494F532D 53656C66 2D536967 6E65642D 43657274

69666963 6174652D 37373932 37333134 30301E17 0D313130 35303931 36333732

315A170D 32303031 30313030 30303030 5A303031 2E302C06 03550403 1325494F

532D5365 6C662D53 69676E65 642D4365 72746966 69636174 652D3737 39323733

31343030 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818100

E450EB2E 25954E02 7BB8FDC7 EBB1C1D4 DC78F44C 716B460E 66F4F3E5 E63FEEFD

5BC40D26 E4BF034F E6D3BB9C 220D49F3 C6D929D4 5ED9E143 4709EAA4 044A9F8C

9C3996A6 04772409 88B670B3 B1BCBDDE 5E6C823B 5911E9FF 86E0FBA1 A95B033A

44C5DEBF EA97332A 9E124A72 9A158D64 E6561B1C 8CBEED56 06E8BD01 3CB25167

02030100 01A36630 64300F06 03551D13 0101FF04 05300301 01FF3011 0603551D

11040A30 08820652 6F757465 72301F06 03551D23 04183016 8014BA7C 4785CF69

1F8DB70E 76D12104 90B01D4B 65A4301D 0603551D 0E041604 14BA7C47 85CF691F

8DB70E76 D1210490 B01D4B65 A4300D06 092A8648 86F70D01 01040500 03818100

77AAA7E0 FDD68DEC ACFDDDEF BA274CAB 823B7427 E07E365C 8B9437A5 B172A2B5

A891CF2C BBA479C9 CD1F4D1E 6D2C7AAF A145FAD1 DF161AC1 0DC95490 70141754

69EB083B 1BED920C 1F16970D 2A076616 9A7EA4A4 1E53FD3C 60B810AC B3F879F7

638F393F 6DFF8453 F519DE7D EC1BE7CA 16309864 D5F4C4FA BB33026E E50EF79C

quit

username sdmsdm privilege 15 password 0 sdmsdm

!

!

!

!

crypto isakmp policy 1

encr 3des

authentication pre-share

group 2

!

crypto isakmp client configuration group vpn

key sdmsdm

pool SDM_POOL_1

netmask 255.255.255.0

!

!

crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac

!

crypto dynamic-map SDM_DYNMAP_1 1

set transform-set ESP-3DES-SHA

reverse-route

!

!

crypto map SDM_CMAP_1 client authentication list sdm_vpn_xauth_ml_1

crypto map SDM_CMAP_1 isakmp authorization list sdm_vpn_group_ml_1

crypto map SDM_CMAP_1 client configuration address respond

crypto map SDM_CMAP_1 65535 ipsec-isakmp dynamic SDM_DYNMAP_1

!

!

!

interface FastEthernet0/0

ip address 10.1.1.1 255.255.255.0

speed auto

half-duplex

crypto map SDM_CMAP_1

!

interface FastEthernet0/1

ip address 192.168.1.1 255.255.255.0

duplex auto

speed auto

!

interface BRI0/0/0

no ip address

encapsulation hdlc

shutdown

!

ip local pool SDM_POOL_1 192.168.2.1 192.168.2.5

ip forward-protocol nd

!

ip http server

ip http authentication local

ip http secure-server

!

route-map SDM_RMAP_1 permit 1

match ip address 100

!

!

!

control-plane

!

!

line con 0

line aux 0

line vty 0 4

password sdmsdm

!

scheduler allocate 20000 1000

end

Hallo

 

Bin gerade dabei mich in die Welt der CISCO Router zu wagen.

 

Habe ein VPN IPSEC eingerichtet. Mit dem CISCO Client kann ich mich verbinden. Meine erste Frage: Mit den Windows 7 onBoard Netzwerkverbindungs-Manager klappt es irgendwie nicht. Hat da jemand Erfahrung?

 

Meine zweite Frage geht ins Natting (denk ich mal). Das VPN kommt bei dem OUTSIDE Interface an. Nun möchte ich einen Dienst auf einen anderen PC (erstmal zum Testzweck) ansprechen. Aber ich kann nur das INSIDE Interface anpingen, wo der PC ansteckt.

Den PC selbst leider nicht. Der PC kann aber das INSIDE Interface anpingen. Firewalls sind deaktiviert. Meine Vermutung liegt am NAT. Sehe ich das richtig oder ist liegt es an einem anderen Problem?

 

DANKE für Hilfe

 

Seppe

OK da danke ich euch. Dann wird das so gelöst.

Das steht noch nicht fest. Wollten erstmal Informationen sammeln, ob das alles auch praktisch umsetzbar ist.

Damit im nachhinein eingesehen werden kann, welcher PC auf welche Seite zugegriffen hat.

HTTP Proxy

Auf statische IP, um Zugriffe zu protokollieren. Dazu muss aber der Proxy eingerichtet werden.

Danke

Auf dem Server soll Office Small Business 2007 installiert werden.

Auf Grund des zentralen Zugriffs sollen die Clients auf den Server zugreifen, um eine einheitliche Datenbank zu haben.

Hallo

 

Wollte einen FTP Server einrichten, aber ich finde es einfach nicht. Auch nicht in der IIS?

 

Was ist der Unterschied zwischen FTP- und File-Server?

 

 

 

 

DANKE :p

Hallo

 

Habe meinen Server als DHCP-Server eingerichtet. Das Router vergibt dynamisch die IPs. 3 Workstations, Server sind am Switch mit einer Leitung zum Router gekoppelt.

Vergibt der Server die IPs oder der Router?

Muss ich bei den Clients statische IP oder dynamisch machen?

 

 

Wenn die Clients über den Server ins Netz sollen muss der Server als Proxy-Server konfiguriert sein und brauch 2 Netzwerkkarten?

 

 

DANKE :p

Hallo

 

Wie der Titel schon sagt versuche ich eine Lösung zu finden wie die Clients auf die Access Datenbank des Servers zugreifen können?

 

Wie kann ich die Lizensen an die Workstations vergebeb? Da steht immer nur 0 von 5 genutzt.

 

DANKE :p