VPN PPTP e Utenti locali... ma se voglio le autorizzazioni?

Virtual private networks e affini

Moderatore: Federico.Lagni

Rispondi
venon2k
Cisco fan
Messaggi: 32
Iscritto il: mer 09 lug , 2008 4:19 pm

Ciao a tutti,
ho configurato il mio 2611xm per accettare connessioni vpn pptp dall'esterno in modo da poter amministrare la rete locale da remoto.
Ora, volevo chiedervi se è possibile stabilire delle autorizzazioni in base al nome utente locale che effettua la chiamata in ingresso; vorrei, ad esempio, che io in virtù di amministratore possa accedere alla configurazione del router telnettandolo, mentre un qualsiasi altro utente non possa farlo, ovvero impedire che questi possa effettuare connessioni telnet verso il dato indirizzo ip e data porta; qualche altro utente puo' ad esempio connettersi ad un server all'interno della rete, e altri no... insomma autorizzazioni a livello di network. Un po' di acl ne capisco, ma non so come "associare" queste acl ad un determinato utente del database locale... è possibile fare tutto questo? Presumo che debba necessariamente usare aaa... ma come?
Grazie in anticipo! :roll:
Top
venon2k
Cisco fan
Messaggi: 32
Iscritto il: mer 09 lug , 2008 4:19 pm

Niente??? :roll:
Top
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:
Contatta Wizard

Di sicuro si può fare in questo modo:

- crei n profili vpn client quanti sono gli utenti
- ad ogni profilo crei un pool di ip
- crei le autorizzazioni in base al ip sorgente
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Top
venon2k
Cisco fan
Messaggi: 32
Iscritto il: mer 09 lug , 2008 4:19 pm

Grazie per la risposta!

Il problema però è che non so come creare questi profili vpn client
sul router. L'ios a bordo è un advanced enterprise services 12.3 - 24.
Qualcuno potrebbe darmi qualche suggerimento?
Devo creare altri vpdn-group ?
Altre virtual-template ?

Come faccio ad associare un utente del local database ad un profilo vpn?

Grazie mille in anticipo!
Top
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:
Contatta Wizard

E se passassi a vpn IPSec che sn un tantino + sicure...?!
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Top
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:
Contatta Wizard

Scusa mi sn sbagliato io!
Quello che ti ho descritto nel mio primo post di questo topic non lo puoi fare con le vpn pptp ma devi passare alle IPSec!
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Top
kobaiachi
Cisco pathologically enlightened user
Messaggi: 175
Iscritto il: gio 27 ott , 2005 3:34 pm

potresti provare ad usare AAA
Top
venon2k
Cisco fan
Messaggi: 32
Iscritto il: mer 09 lug , 2008 4:19 pm

Avevo pensato anche ad ipsec, ma il problema fondamentale è che il client l2tp/ipsec di windows supporta connessioni solo a livello di trasporto e non in modalità tunnel come quella del cisco.
Inoltre il comando " crypto ipsec transform_set <nome> mode transport"non è
implementato sull'ios in questione ... ma mi pare soltanto sull'ios dei pix...
correggetemi se sbaglio...
Inoltre ho provato ad utlizzare aaa ma per poter assegnare ad un determinato utente un determinato ip da un pool è necessario radius. Ora non so se mi sbaglio, sono ancora poco esperto, quindi perdonatemi eventuali errori.
Per il client ipsec è possibile utilizzarne alcuni di terze parti, ma era preferibile quello di windows per questioni di versatilità e semplicità di utilizzo per chi si vuole collegare dall'esterno e non è tanto ferrato in materia da saper configurare correttamente un client ipsec...
Top
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:
Contatta Wizard

Per il client IPSec devi usare il Cisco VPN Client
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Top
venon2k
Cisco fan
Messaggi: 32
Iscritto il: mer 09 lug , 2008 4:19 pm

Ciao a tutti, ho seguito il consiglio di utilizzare Cisco VPN CLIENT...
il client si connette ma non riesco a generare traffico... insomma nelle proprietà della connessione i pacchetti inviati-ricevuti sono zero-zero, inoltre la macchina client, una volta connessa da remoto non riesce più ad uscire su internet, come se la connessione vpn attiva fosse l'unica presente sulla macchina remota stessa.

Gli ip assegnati sono quelli della "wan" del router cisco che pero' sono a loro volta della lan del router adsl a monte (il cisco è a valle).

Con il collegamento pptp tutto funziona perfettamente tranne per il fatto che i client che si connettono escono tramite la vpn e quindi attraverso la mia connessione internet e non attraverso la loro (cosa che vorrei evitare).

Penso imho che il problema sia lo stesso sia per la IPsec che per la PPTP con l'unica differenza che la PPTP permette il traffico e l'altra no... vi posto la config del router nella speranza che qualcuno sappia darmi una dritta sulla configurazione da utilizzare e/o eventuali modifiche da apportare. Grazie mille in anticipo!

PS. Ho provato ad assegnare ai client gli ip della classe del lato Lan del cisco 10.x.x.x pensando fosse questo il problema, ma nulla è cambiato.

Codice: Seleziona tutto


Building configuration...

Current configuration : 4221 bytes
!
version 12.3
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
enable secret 5 **************.
!
clock timezone ROME 1
clock summer-time ROME date Mar 28 2008 2:00 Oct 31 2008 3:00
no network-clock-participate slot 1
no network-clock-participate wic 0
aaa new-model
!
!
aaa authentication login USERAUTHENTICATION local
aaa authorization network GROUPAUTHORIZATION local
aaa session-id common
ip subnet-zero
no ip source-route
ip cef
!
!
!
ip audit po max-events 100
vpdn enable
!
vpdn-group 1
! Default L2TP VPDN group
! Default PPTP VPDN group
 accept-dialin
  protocol any
  virtual-template 1
!
!
!
!
!
!
!
!
!
!
!
!
!
username admin privilege 15 password 0 *********
username administrator privilege 15 secret 5 *********
username user password 0 ********
!
!
!
!
!
!
crypto isakmp policy 3
 encr 3des
 authentication pre-share
 group 2
!
crypto isakmp client configuration group administrators
 key chiaveamministratore
 wins 192.168.1.101
 domain nexus.net
 pool IPSEC-ADM-DIALIN
 acl 100
!
crypto isakmp client configuration group users
 key chiaveutente
 wins 192.168.1.101
 domain nexus.net
 pool VPN-DIALIN
 acl 101
!
!
crypto ipsec transform-set NEXUS-SET esp-3des esp-sha-hmac
!
crypto dynamic-map DYNAMICMAP 10
 set transform-set NEXUS-SET
!
!
crypto map CLIENTMAP client authentication list USERAUTHENTICATION
crypto map CLIENTMAP isakmp authorization list GROUPAUTHORIZATION
crypto map CLIENTMAP client configuration address respond
crypto map CLIENTMAP 10 ipsec-isakmp dynamic DYNAMICMAP
!
!
!
!
interface FastEthernet0/0
 ip address 192.168.1.11 255.255.255.0
 ip directed-broadcast
 ip nat outside
 duplex auto
 speed auto
 crypto map CLIENTMAP
!
interface Serial0/0
 no ip address
 shutdown
!
interface FastEthernet0/1
 ip address 10.0.0.2 255.0.0.0
 ip nat inside
 duplex auto
 speed auto
!
interface Serial0/1
 ip address 172.21.0.2 255.255.255.0
 no keepalive
!
interface Virtual-Template1
 ip unnumbered FastEthernet0/0
 peer default ip address pool VPN-DIALIN
 ppp encrypt mppe auto
 ppp authentication ms-chap ms-chap-v2
 ppp ipcp mask 255.255.255.0
!
router rip
 version 2
 network 192.168.1.0
 no auto-summary
!
ip local pool VPN-DIALIN 192.168.1.120 192.168.1.140
ip local pool IPSEC-ADM-DIALIN 192.168.1.200 192.168.1.210
ip nat inside source list 100 interface FastEthernet0/0 overload
ip nat inside source static tcp 10.0.0.2 1723 interface FastEthernet0/0 1723
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.1.1 permanent
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 600 life 86400 requests 10000
!
access-list 100 permit ip any any
!
!
snmp-server community public RO 1
snmp-server location *********
snmp-server contact ************
!
!
!
!
!
!
banner motd ^CCC
**********************************************************
*            RESTRICTED AREA ACCESS WARNING              *
* ------------------------------------------------------ *
* This device is Property of ***********************.    *
* Access restricted to authorized persons ONLY! If you   *
* are not authorized please Log-Off immediately!         *
* Accesses to this system are constantly subject to      *
* remote monitoring!                                     *
**********************************************************
*             ATTENZIONE! AREA RISERVATA                 *
* ------------------------------------------------------ *
* Questo apparato e'proprieta'di *********************** *
* Accesso riservato soltanto a persone autorizzate!      *
* Se non sei autorizzato esegui immediatamente il Log-Off*
* Gli accessi a questo sistema vengono costantemente     *
* monitorati a distanza!                                 *
**********************************************************

^C
!
line con 0
line aux 0
line vty 0 1
 privilege level 15
 password ********
 transport input telnet ssh
line vty 2 4
 privilege level 15
 transport input telnet ssh
line vty 5 15
 privilege level 15
 transport input telnet ssh
!
ntp clock-period 17208805
ntp server 193.204.114.232
!
end
Top
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:
Contatta Wizard

Manca da configurare:

- split tunnel (acl 100)
- rotte per il pool verso internet
- nat0

Guarda questo bel topic:

http://www.ciscoforums.it/viewtopic.php?t=9241
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Top
venon2k
Cisco fan
Messaggi: 32
Iscritto il: mer 09 lug , 2008 4:19 pm

Grazie Wizard!
Ho modificato la configurazione.
Ho risolto il problema della navigazione attraverso la VPN PPTP in modo
che i client non possano uscire su internet tramite la mia connessione con la
access-list 124 applicata alla Virtual-Template 1. Se i client vogliono continuare a navigare utilizzando la loro connessione senza passare attraverso la vpn (che non glielo permetterebbe più) adesso basta che tolgano la spunta ad "Usa gateway predefinito sulla rete remota" nella loro connessione vpn pptp.

Rimane il problema della VPN IPSEC con CIsco VPN CLient... non posso raggiungere gli host della lan. Ho applicato la access-list 123 come da codice
che posto... come ho anche intuito nel post che mi avevi linkato...

Codice: Seleziona tutto

Current configuration : 4367 bytes
!
version 12.3
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
enable secret 5 **********************.
!
clock timezone ROME 1
clock summer-time ROME date Mar 28 2008 2:00 Oct 31 2008 3:00
no network-clock-participate slot 1
no network-clock-participate wic 0
aaa new-model
!
!
aaa authentication login USERAUTHENTICATION local
aaa authorization network GROUPAUTHORIZATION local
aaa session-id common
ip subnet-zero
no ip source-route
ip cef
!
!
!
ip audit po max-events 100
vpdn enable
!
vpdn-group 1
! Default L2TP VPDN group
! Default PPTP VPDN group
 accept-dialin
  protocol any
  virtual-template 1
!
!
!
!
!
!
!
!
!
!
!
!
!
username ********* privilege 15 password 0 ******
username ********** privilege 15 secret 5 *******
username ******** password 0 ********
!
!
!
!
!
!
crypto isakmp policy 3
 encr 3des
 authentication pre-share
 group 2
!
crypto isakmp client configuration group administrators
 key **************
 wins 192.168.1.101
 domain nexus.net
 pool IPSEC-ADM-DIALIN
 acl 123
!
crypto isakmp client configuration group users
 key ************
 wins 192.168.1.101
 domain nexus.net
 pool VPN-DIALIN
 acl 101
!
!
crypto ipsec transform-set NEXUS-SET esp-3des esp-sha-hmac
!
crypto dynamic-map DYNAMICMAP 10
 set transform-set NEXUS-SET
!
!
crypto map CLIENTMAP client authentication list USERAUTHENTICATION
crypto map CLIENTMAP isakmp authorization list GROUPAUTHORIZATION
crypto map CLIENTMAP client configuration address respond
crypto map CLIENTMAP 10 ipsec-isakmp dynamic DYNAMICMAP
!
!
!
!
interface FastEthernet0/0
 ip address 192.168.1.11 255.255.255.0
 ip directed-broadcast
 ip nat outside
 duplex auto
 speed auto
 crypto map CLIENTMAP
!
interface Serial0/0
 no ip address
 shutdown
!
interface FastEthernet0/1
 ip address 10.0.0.2 255.0.0.0
 ip nat inside
 duplex auto
 speed auto
!
interface Serial0/1
 ip address 172.21.0.2 255.255.255.0
 no keepalive
!
interface Virtual-Template1
 ip unnumbered FastEthernet0/0
 ip access-group 124 in
 peer default ip address pool VPN-DIALIN
 ppp encrypt mppe auto
 ppp authentication ms-chap ms-chap-v2
 ppp ipcp mask 255.255.255.0
!
router rip
 version 2
 network 192.168.1.0
 no auto-summary
!
ip local pool IPSEC-ADM-DIALIN 192.168.1.200 192.168.1.210
ip local pool VPN-DIALIN 192.168.1.120 192.168.1.130
ip nat inside source list 100 interface FastEthernet0/0 overload
ip nat inside source static tcp 10.0.0.2 1723 interface FastEthernet0/0 1723
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.1.1 permanent
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 600 life 86400 requests 10000
!
access-list 100 permit ip any any
access-list 123 permit ip 192.168.1.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 124 permit ip any 192.168.1.0 0.0.0.255
!
!
snmp-server community public RO 1
snmp-server location *********
snmp-server contact ********
!
!
!
!
!
!
banner motd ^CCC
**********************************************************
*            RESTRICTED AREA ACCESS WARNING              *
* ------------------------------------------------------ *
* This device is Property of ***********************.    *
* Access restricted to authorized persons ONLY! If you   *
* are not authorized please Log-Off immediately!         *
* Accesses to this system are constantly subject to      *
* remote monitoring!                                     *
**********************************************************
*             ATTENZIONE! AREA RISERVATA                 *
* ------------------------------------------------------ *
* Questo apparato e'proprieta'di *********************** *
* Accesso riservato soltanto a persone autorizzate!      *
* Se non sei autorizzato esegui immediatamente il Log-Off*
* Gli accessi a questo sistema vengono costantemente     *
* monitorati a distanza!                                 *
**********************************************************

^C
!
line con 0
line aux 0
line vty 0 1
 privilege level 15
 password *********
 transport input telnet ssh
line vty 2 4
 privilege level 15
 transport input telnet ssh
line vty 5 15
 privilege level 15
 transport input telnet ssh
!
ntp clock-period 17208607
ntp server 193.204.114.232
!
end
Top
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:
Contatta Wizard

Ok, la acl 123 è OK!
Ti manca il nat0 e le rotte per i pool vpn client...
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Top
venon2k
Cisco fan
Messaggi: 32
Iscritto il: mer 09 lug , 2008 4:19 pm

Uhm ... è 4 ore che ci smanetto... sto cercando ovunque... ma ancora non ho trovato la risposta... qualche aiutino? suggerimento di codice?

Grazie :(
Top
venon2k
Cisco fan
Messaggi: 32
Iscritto il: mer 09 lug , 2008 4:19 pm

Ciao a tutti di nuovo!
Ho fatto delle modifiche alla configurazione
ora riesco a pingare solo 192.168.1.11 che è l'ip della FE0/0 (WAN del 2611xm) dal client vpn ma non gli altri ip della lan.

La FE0/0 sarebbe la wan del 2611xm ma allo stesso tempo è sulla lan del router di telecom a monte con ip 192.168.1.1.

Quando un client si connette da internet gli viene assegnato un ip del pool IPSEC-ADM-DIALIN.

Capisco che puo' sembrare assurdo ma il 2611xm deve fare da server vpn per la lan 192.168.1.0/24 e da router allo stesso della rete 10.0.0.0/8 a valle.

Premetto questo per evitare che alcune cose possano apparire come "stranezze" nella config :lol:

Posto dunque la nuova conf...

Ho provato a creare la nat0 ma non so se è corretta...
Ho creato anche una rotta, ma ...idem ... :?

Codice: Seleziona tutto


Current configuration : 6517 bytes
!
version 12.3
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
enable secret 5 xxxxxxxxxxxxxxxxxxxxxxx
!
aaa new-model
!
!
aaa authentication login USERAUTHENTICATION local
aaa authorization network GROUPAUTHORIZATION local
!
aaa session-id common
!
resource policy
!
clock timezone ROME 1
clock summer-time ROME date Mar 28 2008 2:00 Oct 31 2008 3:00
no network-clock-participate slot 1
no network-clock-participate wic 0
ip subnet-zero
no ip source-route
ip cef
!
!
no ip dhcp use vrf connected
!
!
no ip ips deny-action ips-interface
vpdn enable
vpdn ip udp ignore checksum
!
vpdn-group 1
! Default L2TP VPDN group
! Default PPTP VPDN group
 accept-dialin
  protocol any
  virtual-template 1
!
!
no ftp-server write-enable
!
!
crypto pki trustpoint TP-self-signed-1724912716
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-1724912716
 revocation-check none
 rsakeypair TP-self-signed-1724912716
!
!
crypto pki certificate chain TP-self-signed-1724912716
 certificate self-signed 01
  xxxxxxxxxxxxxxx

username xxxxxxxxx privilege 15 password 0 xxxxxxxxx
username xxxxxxx privilege 15 secret 5 xxxxxxxxxxxxxxx
username xxxxxxx password 0 xxxxxxxxxxx
!
!
!
crypto isakmp policy 3
 encr 3des
 authentication pre-share
 group 2
no crypto isakmp ccm
!
crypto isakmp client configuration group administrators
 key xxxxxxxxxxxxxx
 wins 192.168.1.101
 domain nexus.net
 pool IPSEC-ADM-DIALIN
 acl 123
 max-users 10
 netmask 255.255.255.0
!
crypto isakmp client configuration group users
 key xxxxxxxxxx
 wins 192.168.1.101
 domain nexus.net
 pool VPN-DIALIN
 acl 101
!
!
crypto ipsec transform-set NEXUS-SET esp-3des esp-sha-hmac
!
crypto dynamic-map DYNAMICMAP 10
 set transform-set NEXUS-SET
 reverse-route
!
!
crypto map CLIENTMAP client authentication list USERAUTHENTICATION
crypto map CLIENTMAP isakmp authorization list GROUPAUTHORIZATION
crypto map CLIENTMAP client configuration address respond
crypto map CLIENTMAP 10 ipsec-isakmp dynamic DYNAMICMAP
!
!
!
interface FastEthernet0/0
 ip address 192.168.1.11 255.255.255.0
 ip directed-broadcast
 no ip proxy-arp
 ip nat outside
 ip virtual-reassembly
 duplex auto
 speed auto
 crypto map CLIENTMAP
!
interface Serial0/0
 no ip address
 shutdown
 no dce-terminal-timing-enable
!
interface FastEthernet0/1
 ip address 10.0.0.2 255.0.0.0
 ip nat inside
 ip virtual-reassembly
 duplex auto
 speed auto
!
interface Serial0/1
 ip address 172.21.0.2 255.255.255.0
 no keepalive
 no dce-terminal-timing-enable
!
interface Virtual-Template1
 ip unnumbered FastEthernet0/0
 ip access-group 124 in
 peer default ip address pool VPN-DIALIN
 ppp encrypt mppe auto
 ppp authentication ms-chap ms-chap-v2
 ppp ipcp mask 255.255.255.0
!
router rip
 version 2
 network 192.168.1.0
 no auto-summary
!
ip local pool IPSEC-ADM-DIALIN 192.168.1.200 192.168.1.210
ip local pool VPN-DIALIN 192.168.1.120 192.168.1.130
ip classless
no ip route static inter-vrf
ip route 0.0.0.0 0.0.0.0 192.168.1.1 permanent
ip route 192.168.1.0 255.255.255.0 FastEthernet0/0
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 600 life 86400 requests 10000
ip nat inside source list 100 interface FastEthernet0/0 overload
ip nat inside source list nat0 interface FastEthernet0/0 overload
ip nat inside source static tcp 10.0.0.2 1723 interface FastEthernet0/0 1723
!
ip access-list extended nat0
 permit ip 192.168.1.0 0.0.0.255 any
!
access-list 100 permit ip any any
access-list 123 permit ip 192.168.1.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 124 permit ip any 192.168.1.0 0.0.0.255
snmp-server community public RO 1
snmp-server location xxxxxxxxxxxx
snmp-server contact xxxxxxxxx
!
!
control-plane
!
!
!
Top
Rispondi

Torna a “VPN”