Если долго махать напильником, то из паравоза можно сделать самолет.
Авторизация через Internet Authentication Service тоже прикручена. Как оказалось, там ничего особа сложного, единственное в доках CISCO не было указанно, что необходимо в Remote Access Policies в параметрах Connections to other access servers разрешить подключение удаленный доступ. И в пользователях разрешить такую вещь как подключение по Dialup. Почитав доку по подключению PIX к радиусу, я присоеденил недостающее к доке в предыдущем посте про сертификаты и все заработало. А завтра админский шабат. Мож авансек дадуд...
Получившийся конфиг, сразу говорю, он не рабочий, так как сделан только для того чтобы проверить авторизацю через радиус с сертификатами.
PIX Version 8.0(4)
!
hostname pix515
domain-name pix515
enable password blabla encrypted
passwd blabla encrypted
names
!
interface Ethernet0
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet1
nameif inside
security-level 100
ip address 192.168.12.45 255.255.255.0
!
interface Ethernet2
shutdown
no nameif
no security-level
no ip address
!
ftp mode passive
dns server-group DefaultDNS
domain-name pix515
pager lines 24
logging asdm informational
mtu inside 1500
ip local pool vpnpool 10.10.10.1-10.10.10.254
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
aaa-server vpn protocol radius
aaa-server vpn (inside) host 192.168.12.121
key идфидф
aaa authentication ssh console LOCAL
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set myset esp-3des esp-md5-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto dynamic-map outside_dyn_map 10 set transform-set myset
crypto dynamic-map outside_dyn_map 10 set security-association lifetime seconds 28800
crypto dynamic-map outside_dyn_map 10 set security-association lifetime kilobytes 4608000
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map interface inside
crypto ca trustpoint CA1
enrollment terminal
fqdn pixvpn.spklabs.com
subject-name CN=vpn.blabla.bla,OU=IT,O=blabla LTD,C=RU,St=Moscow,L=Moscow
serial-number
keypair my.CA.key
crl configure
crypto ca certificate chain CA1
certificate 61ff73c400000000000b
308205c2
....сертификат отпилен
quit
certificate ca 67e4dfb59853744f1ecs028e268a89
30820
....сертификат отпилен
quit
crypto isakmp enable inside
crypto isakmp policy 65535
authentication rsa-sig
encryption 3des
hash md5
group 2
lifetime 86400
telnet timeout 5
ssh 192.168.12.0 255.255.255.0 inside
ssh timeout 60
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
group-policy defaultgroup internal
group-policy defaultgroup attributes
default-domain value spklabs.com
username vpnuser password blabla encrypted
username vpnuser attributes
group-lock value DefaultRAGroup
username bear password blabla encrypted
tunnel-group DefaultRAGroup general-attributes
address-pool vpnpool
authentication-server-group vpn
default-group-policy defaultgroup
tunnel-group DefaultRAGroup ipsec-attributes
trust-point CA1
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
prompt hostname context
четверг, 21 января 2010 г.
Подписаться на:
Комментарии к сообщению (Atom)
Комментариев нет:
Отправить комментарий