windows + pix vpn + windows radius
windows + pix vpn + windows radius
Czy da się zmusic PIX'a do działania z Windosowym Radiusem i klientem z XP?
Tutaj znajdziesz konfiguracje klienta. Tylko miej na uwadze to, ze windowsowy klient korzysta z PPTP. W razie czego przykladowa konfiguracja PIXa dla PPTP tutaj.marwooj pisze:A bez tego Cisco VPN Client?
Tylko z natywnym z windowsa?
Udostepnij tez port TCP 1723 dla polaczenia PPTP, jezeli masz gdzies firewalla pomiedzy pecetem, a PIXem.
niezbyt dobry pomysł żeby żenić pixa z windołowym radiusem, generalnie to działa nawet dobrze (mam takie rozwiązanie) z jednym mankamentem, mianowicie w momencie wygasniecia hasla klient powinien informowac o tym i poprosic o jego zmiane, w tym przypadku jest odmowa połączenia, nieprawidlowy user badz haslo. Generalnie cisco poleca swojego radiusa, nie chca zabardzo gadac o IAS'ie windołowym, ale ponoć w PIX IOS'ie 7 ten problem jest rozwiązany z tym ze 7 nie obsługuje chyba PPTP
Hmm.. z tego co wiem, to nie L2TP lub IPSec tylko L2TP i IPSec, czyli L2TP over IPSec. PIX nie akceptuje L2TP bez IPSec.marwooj pisze:można też korzystać z l2tp lub IPsec, tylko właśnie jak?
Aby dodac IPSeca do Windy XP uzyj MMC i dodaj IP Security Policies. Potem trzeba stworzyc polise bezpieczenstwa z filtrem. W filtrze mozesz skonfigurowac takie parametry jak: adres IP terminowania tunelu, metode autentykacji, jakie pakiety maja przechodzic przez tunel. Nastepnie aktywujesz serwis IPSec Services, zas stworzonej polisie robisz assign.
Co do konfiguracji IPSec na windzie, to wydaje mi sie, ze wiecej sie narobisz, niz gdybys zainstalowal ciscowego klienta. Z kolei PIXa lepiej wykorzystac do samego IPSeca. Nie jestem pewien, ale raczej dla L2TP na PIXie nie zrobisz split tunneling. Poza tym w L2TP/IPSec korzysta sie z IPSec w trybie transport, co powoduje, ze naglowek pakietu nie jest szyfrowany, co daje pewne mozliwosci analizowania przeplywow przez wlamywacza.marwooj pisze: Moźe inaczej, czy ustawiamie VPN dla 50 userów z domeny windows na PIX ma sens?
A jeśli nie ma to jakie rozwiązanie jest najodpowiedniejsze?
Radius z windy bedzie wspolpracowal z PIXem, ale uzytkownikom lepiej dac hasla niewygasajace.
EDIT:
Sprobuj zajrzec jeszcze tutaj. Podaja inna metode na konfiguracje klienta L2TP/IPSec. Moze pomoze
VPN client jest przewaznie w pakiecie z PIX/ASA/VPN router i nic dodatkowo nie musisz placic... Chyba jak kupuje sie PIX/ASA teraz to jest by default.marwooj pisze:A czy Cisco VPN Client i ichni RADIUS jakkolwiek się nazywa sa odpłatne?
Radius by Cisco to CS ACS - i tu trzeba placic. Ale akurat free radiusow jak mrowkow NO i jeszcze Radius w M$. Jak mozna przekazywac atrybuty zgodnie z IETF, to wlasciwie masz wszystko co potrzeba.
TUTAJ nieco wiecej o atrybutach w radiusie...
Aha, w temacie VPN, z klientem M$ albo bez, a juz z pewnoscia bez klienta Cisco VPN, to oczywistym jest rozwiazanie z SSL-VPN (dostepne w routers, vpn3k, ASA)
"Two things are infinite: the universe and human stupidity; and I'm not sure about the universe."
A. Einstein
A. Einstein