[newbe] vpn multiple su Pix 515e
Luca Giordani
delle 4 interfacce, il gruppo su tale interfaccia � gi� configurato, dal
men� visuale remoto ho visto che easy vpn � disattivato
che step dovrei seguire per aggiungere 8 vpn con relative password per
accedere a tale gruppo?
chiedo scusa se la domanda � gi� stata posta, ma non ho trovato la
soluzione al momento e la deifficolt� deriva da non aver visto un pix in
vita mia
chiedo un aiuto cosi dettagliato perch� sulle altre interfacce girano
servizi vitali per l'azienda, se faccio danno son dolori!!...
grazie mille a chi sar� cosi gentile da darmi una mano
Luca
Chino
> delle 4 interfacce, il gruppo su tale interfaccia � gi� configurato, dal
> men� visuale remoto ho visto che easy vpn � disattivato
Easy VPN � un'altra cosa.
.Che vuoi dire con "il gruppo su tale interfaccia � gi� configurato? Alle
interfacce si applicano le crypto map, i gruppi vengono configurati a parte
e poi vengono richiamati da una delle policy della crypto map (quella
dinamica).
> che step dovrei seguire per aggiungere 8 vpn con relative password per
> accedere a tale gruppo?
Non si capisce (o almeno io non ho capito) bene cosa vuoi fare.
Vuoi solo aggiungere 8 utenti al gruppo VPN gi� esistente? In questo caso
dovrai verificare qual � il metodo di autenticazione degli utenti vpn (se �
locale basta aggiungere uno username nella lista di quelli gi� presenti sul
PIX, se � remoto dovrai aggiungere un utente sul DB remoto tipo Radius).
Se invece devi aggiungere 8 nuovi gruppi VPN il discorso � un po' pi�
complicato.
Luca Giordani
>> ho il seguente problema, ho una vpn gi� configurata per accedere ad una
>> delle 4 interfacce, il gruppo su tale interfaccia � gi� configurato, dal
>> men� visuale remoto ho visto che easy vpn � disattivato
>>
>
> Easy VPN � un'altra cosa.
>
mmh pensavo fosse un metodo pi� semplice per avere lo stesso risultato
> .Che vuoi dire con "il gruppo su tale interfaccia � gi� configurato? Alle
> interfacce si applicano le crypto map, i gruppi vengono configurati a parte
> e poi vengono richiamati da una delle policy della crypto map (quella
> dinamica).
>
>
nel senso che c'� un gruppo di nome MTX_GROUP gi� relazionato
all'interfaccia n.3
pessima cosa essere niubbo di qualcosa...
>> che step dovrei seguire per aggiungere 8 vpn con relative password per
>> accedere a tale gruppo?
>>
>
> Non si capisce (o almeno io non ho capito) bene cosa vuoi fare.
>
guarda, forse mi spiego male (anche senza il forse temo)
> Vuoi solo aggiungere 8 utenti al gruppo VPN gi� esistente? In questo caso
> dovrai verificare qual � il metodo di autenticazione degli utenti vpn (se �
> locale basta aggiungere uno username nella lista di quelli gi� presenti sul
> PIX, se � remoto dovrai aggiungere un utente sul DB remoto tipo Radius).
> Se invece devi aggiungere 8 nuovi gruppi VPN il discorso � un po' pi�
> complicato.
sono 8 utenti nuovi (remoti) che si dovrebbero aggiungere alla
possibilit� di connettersi via VPN a MTX_GROUP
attualmente l'unica connessione vpn sull'interfaccia 3 si effettua con
client cisco e nome "MTX_GROUP" e password relativa
Chino
> sono 8 utenti nuovi (remoti) che si dovrebbero aggiungere alla
> possibilit� di connettersi via VPN a MTX_GROUP
>
> attualmente l'unica connessione vpn sull'interfaccia 3 si effettua con
> client cisco e nome "MTX_GROUP" e password relativa
Credo che tu stia solamente cercando di aggiungere nuovi utenti allo stesso
gruppo VPN.
In questo caso devi solamente aggiungere gli 8 username e le relative
password cos� come qualcuno deve aver fatto per lo username "MTX_GROUP".
Se guardi nella configurazione del tuo PIX da qualche parte ci dovrebbe
essere una riga (parlo della configurazione da riga di comando, non ho
presente l'interfaccia grafica) che dice "username MTX_GROUP password
<qualcosa>", tu dovrai aggiungere altre 8 righe con "username pluto password
pippo" eccetera.
Se invece il PIX � configurato per autenticare gli utenti VPN su un server
radius esterno, allora dovrai aggiungere gli 8 utenti a questo server, ma
questo lo puoi sapere solo tu.
Luca Giordani
l'autentificazione la fa lui di certo, quindi se ho ben capito c'� un
file di configurazione con gli accessi scritti papale papale?
e come si distinguono gli utenti per una determinata interfaccia?
Chino
> di configurazione con gli accessi scritti papale papale?
> e come si distinguono gli utenti per una determinata interfaccia?
Non esistono utenti associati ad interfacce.
Gli utenti sono associati ai vpngroup che a loro volta sono associati a una
crypto map dinamica che a sua volta � associata a una interfaccia.
Quindi si possono avere pi� utenti per ciascun VPN group. Il pix si accorge
del VPN group di cui fa parte un utente perch� quest'ultimo nella
configurazione della connessione sul VPN Client lo ha specificato (nel campo
"Group").
Tosh
> accorge del VPN group di cui fa parte un utente perch� quest'ultimo nella
> configurazione della connessione sul VPN Client lo ha specificato (nel
> campo "Group").
Se il pix ha una release pre 7.x non c'� nessuna possibilit� di associare
gli utenti ad un gruppo, tutti gli utenti sono uguali per il pix.
Luca Giordani
> Non esistono utenti associati ad interfacce.
> Gli utenti sono associati ai vpngroup che a loro volta sono associati a una
> crypto map dinamica che a sua volta � associata a una interfaccia.
> Quindi si possono avere pi� utenti per ciascun VPN group. Il pix si accorge
> del VPN group di cui fa parte un utente perch� quest'ultimo nella
> configurazione della connessione sul VPN Client lo ha specificato (nel campo
> "Group").
>
finalmente la nebbia nella mia testa inizia a diradarsi, chiedo scusa
per la mia totale inesperienza sui FW cisco
quindi, provo a far ordine
a) ok, abbiamo un gruppo che uso gi� per connettermi via VPN da remoto,
tuttavia senza inserire alcun nome utente e relativa password, il nome
del gruppo � MTX_GROUP sull'interfaccia 3 del Pix
b) presumo quindi che esista una crypto map gi� configurata che lega
MTX_GROUP all'interfaccia 3, e quindi non ci sia bisogno di toccarla
(anche perch� non ho chiarissimo cosa sia una CM, se non qualcosa che
stabilisce gli algoritmi di criptazione ed hashing
c) in parole povere dovrei solamente aggiungere gli utenti al mio
MTX_GROUP, giusto?
leggendo qui e la (che bordello affacciarsi per la prima volta a questo
mondo) ho visto che per aggiungere degli utenti la sintassi �
vpngroup user [NOME UTENTE] password [LA SUA PASSWORD]
� giusto o � un eresia?
il dubbio che mi viene � che
1) nel comando non c'� alcun riferimento al gruppo, come faccio a
specificare al pix che l'utente aggiunto sar� valido solo per MTX_GROUP?
2) nel client cisco al momento di collegarmi non ho visto riferimenti
all'utente ma solo al gruppo, alla password DI GRUPPO ed all'indirizzo
ip pubblico del PIX, ho preso un abbaglio?
intanto ti ringrazio davvero per la gentilezza, penso ci voglia molta
pazienza per seguire qualcuno a digiuno di know-how
grazie
Chino
Si infatti l'associazione come ho detto sta nel Client VPN: l'utente che
deve utilizzare un certo gruppo avr� configurato una connessione con il nome
e la password del gruppo stesso.
Chino
> tuttavia senza inserire alcun nome utente e relativa password, il nome del
> gruppo � MTX_GROUP sull'interfaccia 3 del Pix
>
> b) presumo quindi che esista una crypto map gi� configurata che lega
> MTX_GROUP all'interfaccia 3, e quindi non ci sia bisogno di toccarla
> (anche perch� non ho chiarissimo cosa sia una CM, se non qualcosa che
> stabilisce gli algoritmi di criptazione ed hashing
Si.
> c) in parole povere dovrei solamente aggiungere gli utenti al mio
> MTX_GROUP, giusto?
>
Si, anche se gli utenti potrebbero utilizzare anche altri gruppi nel caso in
cui fossero configurati (nel tuo caso mi pare di capire ce ne sia solo uno,
MTX_GROUP).
>
> vpngroup user [NOME UTENTE] password [LA SUA PASSWORD]
No. Questo comando specifica un nuovo gruppo e la password per quel gruppo.
Quindi tu avrai gi� un comando di questo tipo nella tua configurazione che
specifica il gruppo MTX_GROUP e la sua password.
Questi nome gruppo e password gruppo sono utilizzati per confiugrare la
connessione nel client VPN, ma poi il nome utente e la password di ciascun
utente remoto vengono chiesti con un popup all'avvio della connessione con
il client.
> � giusto o � un eresia?
> il dubbio che mi viene � che
>
> 1) nel comando non c'� alcun riferimento al gruppo, come faccio a
> specificare al pix che l'utente aggiunto sar� valido solo per MTX_GROUP?
Abbiamo visto che il comando non � quello giusto.
Il comando giusto dovrebbe essere "username pluto password pippo" e basta,
senza alcun riferimento al gruppo: questo riferimento sta solo nella
configurazione del cliet VPN.
Magari ci sono anche altri metodi per aggiungere utenti per un determinato
gruppo.
> 2) nel client cisco al momento di collegarmi non ho visto riferimenti
> all'utente ma solo al gruppo, alla password DI GRUPPO ed all'indirizzo ip
> pubblico del PIX, ho preso un abbaglio?
Esatto: host, nome gruppo e password gruppo (cio� quelli specificati nel
comando "vpngroup <nome_gruppo> password <password_gruppo>".
> intanto ti ringrazio davvero per la gentilezza, penso ci voglia molta
> pazienza per seguire qualcuno a digiuno di know-how
> grazie
>
Credo che ora mi fermer� qui ;)